martes, 23 de junio de 2009

Una Buena Metodología de Análisis de Riesgos II

******************************************************
Una buena Metodología de Análisis de Riesgos I
Una buena Metodología de Análisis de Riesgos II
******************************************************

[...]

Algunas de las metodologías que he podido examinar pierden la trazabilidad de cual es la propiedad de la información (Confidencialidad, Integridad, Disponibilidad) que nos lleva a un determinado valor de riesgo de forma que se hace difícil aventurar cual puede ser la mejor solución si no tenemos claro qué propiedad es la que quiero proteger para un determinado activo de información. En otros casos, se hace la media de los valores recogidos en el BIA y este valor se utiliza en un segundo paso para el cálculo del riesgo, creando un falso valor de riesgo.

Esto, que en un principio es algo obvio, crea al auditor un dilema, sin duda alguna pone en peligro la seguridad de la información, se está evaluando mal el riesgo de la organización creando un modelo de riesgo que no refleja fielmente la realidad de la organización, sin embargo, no hay armas. La inexistencia de un vínculo entre 27001 y 27005 deja al auditor sin argumentos más allá de "esta metodología es inadecuada".

Esto genera un problema de dimensiones mayúsculas, introduciendo desde el inicio una metodología que ciclo tras ciclo va a estar dando un modelo de riesgo equivocado y por ende, priorizando mal, asignando mal los recursos, provocando costes innecesarios y ocultando los verdaderos problemas de seguridad. Esto se extenderá en el tiempo a no ser que se cambie de metodología, lo que nos haría perder una linea clara de cómo hemos ido mitigando los riesgos más importantes para abordar los siguientes en la siguiente iteración. Aunque bien visto, quizá sea el mal menor.

Lo cierto es que las enfermedades que acechan a un SGSI son innumerables desde su concepción y puesta en marcha. Es un engranaje perfecto en el que el error de uno de los componentes puede dar al traste con el sistema completo por lo que su concepción e implantación determinará un rumbo que puede guiar bien hacia la seguridad o dejar a la organzación en algunos aspectos incluso peor que estaba.

Salu2!

******************************************************
Una buena Metodología de Análisis de Riesgos I
Una buena Metodología de Análisis de Riesgos II
******************************************************

No hay comentarios: