Cuando se habla de gestionar la seguridad de la información, en lo que generalmente se piensa es en la serie de normas ISO 27000. Pero puntualmente para la gestión de riesgos hay otras alternativas que pueden ayudar a la empresa.
Una parte fundamental dentro de la gestión de la seguridad de la información, es conocer y controlar los riesgos a los cuales está expuesta la información de la compañía. Cuando las empresas buscan como implementar modelos de gestión de seguridad suelen adoptar metodologías que las que les brinden un marco de trabajo definido que facilite la administración de los riesgos y además permita mejorarla.
Si bien ISO 27005 e ISO 31000 son los estándares más conocidos para la gestión de riesgos, existen otros instrumentos que estando alienados con estos estándares y que facilitan a una empresa enfocarse en implementar herramientas y metodologías que satisfagan los requerimientos básicos de la administración de riesgos en sus sistemas de información.
En este sentido fue desarrollado MAGERIT una metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica de España, que ofrece un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones para de esta forma implementar las medidas de control más adecuadas que permitan tener los riesgos mitigados. Además de esto, cuenta con todo un documento que reúne técnicas y ejemplos de cómo realizar el análisis de riesgos.
Puntualmente MAGERIT se basa en analizar el impacto que puede tener para la empresa la violación de la seguridad, buscando identificar las amenazas que pueden llegar a afectar la compañía y las vulnerabilidades que pueden ser utilizadas por estas amenazas, logrando así tener una identificación clara de las medidas preventivas y correctivas más apropiadas.
Lo interesante de esta metodología, es que presenta una guía completa y paso a paso de cómo llevar a cabo el análisis de riesgos. Esta metodología está dividida en tres libros. El primero de ellos hace referencia al Método, donde se describe la estructura que debe tener el modelo de gestión de riesgos. Este libro está de acuerdo a lo que propone ISO para la gestión de riesgos.
El segundo libro es un Catálogo de Elementos, el cual es una especie de inventario que puede utilizar la empresa para enfocar el análisis de riesgo. Es así como contiene una división de los activos de información que deben considerarse, las características que deben tenerse en cuenta para valorar los activos identificados y además un listado con las amenazas y controles que deben tenerse en cuenta.
Finalmente el tercer libro es una Guía de Técnicas, lo cual lo convierte en un factor diferenciador con respecto a otras metodologías. En este tercera parte se describen diferentes técnicas frecuentemente utilizadas en el análisis de riesgos. Contiene ejemplos de análisis con tablas, algoritmos, árboles de ataque, análisis de costo beneficio, técnicas gráficas y buenas prácticas para llevar adelante sesiones de trabajo para el análisis de los riesgos.
Esta metodología es muy útil para aquellas empresas que inicien con la gestión de la seguridad de la información, pues permite enfocar los esfuerzos en los riesgos que pueden resultar más críticos para una empresa, es decir aquellos relacionados con los sistemas de información. Lo interesante es que al estar alineado con los estándares de ISO es que su implementación se convierte en el punto de partida para una certificación o para mejorar los sistemas de gestión.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research