Riesgo de TI

Riesgo de tecnología de la información , o riesgo de TI ( inglés  IT risk ), cualquier riesgo asociado con el uso de la tecnología de la información .

Si bien la información siempre ha sido un recurso valioso e importante, ahora, en la era de la economía del conocimiento y la revolución digital , las organizaciones dependen cada vez más de la información, su procesamiento y, especialmente, de las tecnologías de la información . En este sentido, los eventos que afectan a TI de alguna manera pueden afectar negativamente a los procesos de negocio [1] . Estimar la plausibilidad de varios tipos de eventos con un cálculo de sus posibles consecuencias es una forma común de evaluar y medir el riesgo de TI [2] . Los métodos alternativos para medir el riesgo de TI suelen implicar la evaluación de factores contribuyentes, como amenazas, vulnerabilidades y activos.

Definiciones

ISO

La probabilidad de que una amenaza dada aproveche una vulnerabilidad en un activo o grupo de propiedades valiosas y, por lo tanto, cause daño a la organización. Nota: Esta medida es en términos de una combinación de la probabilidad de un evento y sus consecuencias [3] .

NIST

riesgo de TI [7]
  1. Probabilidad de que una amenaza dada explote (accidental o intencionalmente) una vulnerabilidad específica del sistema
  2. El resultado de este impacto. Los riesgos de TI surgen de posibles pérdidas o responsabilidad legal debido a:
    1. Divulgación, alteración o destrucción no autorizada (maliciosa o accidental) de información
    2. Errores u omisiones no intencionales
    3. Fallas técnicas debido a desastres naturales o provocados por el hombre
    4. Falta de atención en la implementación y operación del sistema informático.

Gestión de riesgos de TI

Hay formas de gestionar los riesgos, incluida la identificación de riesgos, el proceso de evaluación de riesgos y el proceso de implementación de medidas destinadas a reducir el riesgo a un nivel aceptable. La evaluación proactiva del riesgo y la adopción de medidas para mitigarlo permite a los administradores de TI equilibrar los costos operativos y económicos de las acciones de protección para garantizar el éxito de la organización y la seguridad de los datos críticos para lograr el objetivo. Este proceso es un fenómeno común en el campo de TI y lo observamos a menudo en la vida cotidiana. Un ejemplo es la seguridad del hogar. Muchas personas optan por instalar sistemas de seguridad en el hogar y pagan cuotas mensuales por su mantenimiento a cambio de la seguridad de su propiedad privada. Aparentemente, los propietarios sopesaron el costo de instalar y mantener un sistema de seguridad contra la seguridad de la familia y el daño potencial de perder su propiedad. [8] [9]

El propósito de implementar procesos de gestión de riesgos es permitir que la organización cumpla su misión o misiones [10] :

  1. Mejorar la seguridad de los sistemas de TI que almacenan, procesan o transmiten información dentro y fuera de la organización
  2. Aumentar la conciencia de la gerencia y la conciencia de las decisiones de gestión de riesgos tomadas para obtener costos razonables que deberían convertirse en una parte integral del presupuesto general de TI.
  3. Asistir a la gerencia en la autorización (o acreditación) de sus sistemas de TI con base en el respaldo documentado de los resultados resultantes de la implementación de los procesos de gestión de riesgos.
Minimización de riesgos

Minimización de riesgos: tomar medidas para reducir el riesgo general de la organización. Esto a menudo incluye la selección de contramedidas que reducirán la probabilidad de que ocurra una amenaza y/o reduzcan el daño. Pueden ser técnicos u operativos y pueden incluir cambios en la infraestructura física. El riesgo de pérdida de datos debido a una infección de la máquina, por ejemplo, se puede reducir instalando un software antivirus. Al evaluar el potencial de una medida, se debe considerar cómo funciona: como una medida que previene o detecta intentos de implementar amenazas. La organización puede tratar por separado la parte del riesgo que permanece después de la aplicación de medidas o contramedidas, a menudo denominado riesgo residual.

Otra salida es si la organización comparte su riesgo con contrapartes de terceros a través de compañías de seguros y/o proveedores de servicios. El seguro es un mecanismo de compensación posterior al evento, que reduce la carga de la pérdida cuando ocurre un evento. La transferencia de riesgo es el cambio de riesgo de una parte a otra. Por ejemplo, cuando los documentos en papel se mueven fuera de la organización a un servicio de almacenamiento, la responsabilidad y el costo de proteger la información se transfieren al proveedor del servicio. El costo del almacenamiento puede incluir la obligación de pagar una indemnización en caso de daño, pérdida o robo de documentos.

Un mecanismo para eliminar un riesgo negándose a iniciar o continuar actividades en las que se puede realizar el riesgo. Por ejemplo, una organización puede decidir abandonar un proceso comercial para evitar una situación en la que la organización esté expuesta al riesgo. [once]

Por lo general, el proceso de minimización de riesgos se ve así [7] :

  1. Identificar posibles problemas y luego encontrar soluciones.
  2. Determinar el momento de la integración de nuevas tecnologías.
  3. Optimización de los procesos de negocio de la organización .
  4. Garantizar la protección de la información (tanto de los clientes como de la propia organización)
  5. Desarrollo de un procedimiento de actuación en caso de fuerza mayor.
  6. Determinar las necesidades reales de recursos de información.
Restricciones para reducir el riesgo

La reducción del riesgo puede y debe lograrse a través de la selección de controles de seguridad para que el riesgo residual se perciba como aceptable. Pero la elección de estos controles puede ser bastante difícil, ya que existen tales restricciones [12] :

  1. Temporario
  2. Financiero
  3. Técnico
  4. Operacional
  5. Cultural
    Lo que puede ser posible en una región ( Europa ), como facturar maletas, no es posible en otra ( Oriente Medio ).
  6. Ética
    Diferentes ideas sobre la disponibilidad de información sobre la vida privada, dependiendo de la ética de la región, el gobierno. También hay una diferencia en industrias como la industria o la atención médica.
  7. Ambiental
    Generalmente asociado con el clima y los peligros naturales de una región en particular.
  8. Legal
  9. Facilidad de uso y personal cualificado.
Identificación de vulnerabilidades

Una vulnerabilidad no es dañina en sí misma, debe existir una amenaza que permita explotar dicha vulnerabilidad. Una vulnerabilidad sin una amenaza de explotación puede no requerir control, pero debe ser encontrada y monitoreada para detectar cambios. Por el contrario, una amenaza sin las vulnerabilidades que la acompañan puede no generar riesgo. Se pueden identificar vulnerabilidades en las siguientes áreas: personal, organización, procesos y procedimientos, configuración del sistema de información , hardware, software , equipos de comunicación. [13]

Ejemplos de vulnerabilidades
Hardware
vulnerabilidades amenazas
Susceptibilidad a la humedad y al polvo. Polvo, corrosión, formación de hielo
Almacenamiento desprotegido Robo de medios o documentos
Copia sin control Robo de medios o documentos
Descuido en la destrucción Robo de medios o documentos
Mantenimiento insuficiente Sistema de TI no reparable
Susceptibilidad a los cambios de voltaje Fallo en la fuente de alimentación
Personal
vulnerabilidades amenazas
Capacitación en seguridad insuficiente Error en uso
Falta de mecanismos de seguimiento Procesamiento ilegal de datos
Trabajo no supervisado por personal externo. Robo de medios o documentos
Las fallas en la segregación adecuada de las responsabilidades de seguridad de la información Negación de acción
Red
vulnerabilidades amenazas
Mala gestión de contraseñas falsificación de derechos
Servicios innecesarios iniciados Procesamiento ilegal de datos
Software inacabado o nuevo Fallo de software
Líneas de comunicación no seguras Escuchando
Arquitectura de red peligrosa Espionaje remoto
Pasar contraseñas en texto sin formato Espionaje remoto
Conexiones de red pública inseguras Uso no autorizado de equipos.
EN
vulnerabilidades amenazas
Pruebas de software insuficientes abuso de derechos
No 'cerrar sesión' al salir de la estación de trabajo abuso de derechos
Pocas revisiones abuso de derechos
Distribución incorrecta de los derechos de acceso abuso de derechos
Software generalizado Corrupción de datos
Documentación incorrecta Error en uso
Fechas incorrectas Error en uso
Enfoques para la evaluación de riesgos de seguridad de la información

Una evaluación de riesgos superficial le permite determinar la prioridad de cerrar las vulnerabilidades. Debido a las restricciones de mitigación de riesgos, a menudo no es posible cerrar todas las vulnerabilidades, en cuyo caso solo es necesario corregir las más importantes. Las fuentes se pueden dividir en tres categorías: [14] [15]

  1. Alto
    La fuente de la amenaza es muy activa y tiene grandes capacidades, mientras que la prevención de la explotación es ineficaz. Puede resultar en una pérdida grave de activos, violar la misión de la organización.
  2. Medio
    La fuente de la amenaza es activa y capaz, pero los controles para evitar la explotación de la vulnerabilidad son efectivos. Existe la posibilidad de pérdida de activos tangibles, daño a la reputación de la organización, interferir con su trabajo.
  3. Bajo
    La fuente de amenazas no tiene motivación para llevar a cabo las amenazas y las contramedidas son efectivas. Puede conducir a una pérdida menor de recursos e interferir con el trabajo de la organización.

Notas

  1. Guía para realizar evaluaciones de riesgos   = Guía para realizar evaluaciones de riesgos // Instituto Nacional de Estándares y Tecnología NIST Special Publication 800-30 . - 2012. - Edición. 1 . - C. E1-E8 .
  2. "El riesgo es una combinación de la probabilidad de que ocurra un evento o una exposición peligrosa y la gravedad de la lesión o la enfermedad que puede causar el evento o la exposición" (OHSAS 18001:2007)
  3. Tecnología de la información -- Técnicas de seguridad-Gestión de riesgos de seguridad de la información  (inglés)  // Normas británicas BS ISO/IEC 27005:2008. - 2008. - 15 de junio ( número 1 ). - S. 1 . Archivado desde el original el 17 de febrero de 2017.
  4. Gary Stoneburner, Alice Goguen y Alexis Feringa. Guía de gestión de riesgos para sistemas de tecnología de la información  // Instituto Nacional de Estándares y Tecnología NIST Publicación especial 800-30  . - 2002. - Edición. 1 . - S. 8 .
  5. FIPS PUB 200 PUBLICACIÓN DE NORMAS FEDERALES DE PROCESO DE INFORMACIÓN . Consultado el 16 de febrero de 2017. Archivado desde el original el 21 de febrero de 2017.
  6. Requisitos mínimos de seguridad para información federal y sistemas de información  (inglés)  // Instituto Nacional de Estándares y Tecnología PUBLICACIÓN DE NORMAS FEDERALES DE PROCESAMIENTO DE LA INFORMACIÓN 200. - 2006. - Edición. 1 . - S. 8 .
  7. 1 2 Isaev I.V. RIESGOS DE TI Y SEGURIDAD DE LA INFORMACIÓN  (rus.)  // Tecnologías modernas intensivas en ciencia. - 2014. - Edición. 1 , núm. 7-1 . - S. 184 .
  8. Guía para realizar evaluaciones de riesgos   = Guía para realizar evaluaciones de riesgos // Instituto Nacional de Estándares y Tecnología NIST Special Publication 800-30 . - 2012. - Edición. 1 . - S. 4-5 .
  9. Gary Stoneburner, Alice Goguen y Alexis Feringa. Guía de gestión de riesgos para sistemas de tecnología de la información  (inglés)  = Guía de gestión de riesgos para sistemas de tecnología de la información // Publicación especial del Instituto Nacional de Estándares y Tecnología NIST 800-30. - 2002. - Edición. 1 . - S. 4 .
  10. Guía para realizar evaluaciones de riesgos   = Guía para realizar evaluaciones de riesgos // Instituto Nacional de Estándares y Tecnología NIST Special Publication 800-30 . - 2012. - Edición. 1 . - S. 4-6 .
  11. Guía para realizar evaluaciones de riesgos   = Guía para realizar evaluaciones de riesgos // Instituto Nacional de Estándares y Tecnología NIST Special Publication 800-30 . - 2012. - Edición. 1 . - S. 29-39 .
  12. Tecnología de la información -- Técnicas de seguridad-Gestión de riesgos de seguridad de la información  (inglés)  // Normas británicas BS ISO/IEC 27005:2008. - 2008. - 15 de junio ( número 1 ). - S. 53-54 . Archivado desde el original el 17 de febrero de 2017.
  13. Tecnología de la información -- Técnicas de seguridad-Gestión de riesgos de seguridad de la información  (inglés)  // Normas británicas BS ISO/IEC 27005:2008. - 2008. - 15 de junio ( número 1 ). - S. 50-53 . Archivado desde el original el 17 de febrero de 2017.
  14. Tecnología de la información -- Técnicas de seguridad-Gestión de riesgos de seguridad de la información  (inglés)  // Normas británicas BS ISO/IEC 27005:2008. - 2008. - 15 de junio ( número 1 ). - S. 47-53 . Archivado desde el original el 17 de febrero de 2017.
  15. Guía para realizar evaluaciones de riesgos   = Guía para realizar evaluaciones de riesgos // Instituto Nacional de Estándares y Tecnología NIST Special Publication 800-30 . - 2012. - Edición. 1 . - S. 5-6 .