Pasos del Análisis de Riesgo •  Paso 1: Sondeo de Sistemas

•  Paso 2: Identificación de Riesgo

•  Paso 3: Análisis de Controles

•  Paso 4: Identificación de Vulnerabilidades

•  Paso 5: Determinación de Probabilidad

•  Paso 6: Análisis de Impacto

•  Paso 7: Determinación de Riesgo

•  Paso 8: Controles Recomendados

•  Paso 9: Documentación de Resultados

Paso 1: Sondeo de Sistemas

•  El primer paso recomendado es llevar a cabo un inventario de aplicaciones y sistemas que procesan y/o guardan información protegida de seguridad"

• ➢ Servers"

• ➢ Networking components (routers, switches, firewalls)"

• ➢ Computer workstations (stationary computers used in office and work areas)"

• ➢ Mobile devices (laptops, tablets, hand-held computing devices, smartphones, etc.)"

• ➢Software (Windows 2008 Server, MS Windows 7 Professional, MS Office, EMR software, any other)"

Paso 2: Identificación de Riesgo

•  Cuando usted termine el inventario de aplicaciones y sistemas, entonces es tiempo de considerar el riesgo al cual se exponen. Para mantener las

•  El termino “REASONABLY ANTICIPATED” es utilizado en el “HIPAA Security Rule” para ilustrar la gestión adecuada que deben tomar las organizaciones. “Do not use canon to !

kill mosquitoe”!

•  En éste paso usted identificará y documentará medidas de seguridad existentes y controles para determinar si los mismos previenen o identifican las amenazas adecuadamente.

Paso 3: Análisis de Controles

Paso 4: Identificación de Vulnerabilidades

•  Las vulnerabilidades son identificadas típicamente como la ausencia de medidas de seguridad y controles que pudieron haber sido identificados durante el análisis de controles.

Paso 5: Determinación de Probabilidad

•  Ahora que usted ha identificado las amenazas, controles y vulnerabilidades para sus activos informáticos, el próximo paso es determinar la probabilidad potencial de que amenazas explote las vulnerabilidades. La probabilidad se puede calificar como: “high, medium or low”.

Paso 6: Análisis de Impacto

•  Considerar la imagen abarcadora y ser despiadadamente honesto, pensando en a largo plazo sobre todas las áreas de su operación.

•  Cuantificar con precisión el impacto que pueda tener una amenaza, de esta convertirse en un hecho.

•  Por ejemplo, ¿Podría usted asignar un impacto financiero a una organización y el resultante desprestigio a su imagen ante la comunidad a como resultado de una fuga de data PHI?

•  Es por eso que nuevamente le sugerimos asignar valores como “high, medium or low”. Es recomendado que la organización cree definiciones para los niveles de impacto, para así mantener consistencia.

•  Impactos, independientemente de su origen, deben ser medidos contra que tan rápido puede su organización recuperarse de un incidente causado por una amenaza convertirse en un hecho.

•  Esta es una de las razones claves por las cuales es extremadamente critico contar con un equipo de respuesta a incidentes “incident response team” identificado, con pasos a tomar claramente definidos (incluyendo la comunicación) y la prioridad de dichos pasos. Recuerde: todo se basa en el manejo del riesgo, no en la eliminación del riesgo por completo.

Paso 7: Determinación de Riesgo

1. Asignar un valor de riesgo

2. Categorizar la larga lista de sus activos

1. El valor de riesgo se determina por probabilidad e impacto.

3. Asignar un valor de riesgo, para darle prioridad a los escasos recursos asignados a la seguridad de la información.

•  Método OCTAVE.

•  Los altos valores de riesgo de 9 o 6 indican las áreas donde medidas de seguridad adicionales y controles son necesarios.

•  Valores de riesgo 4 o 3 significan que controles adicionales pueden ser beneficiosos.

•  Finalmente, valores de riesgo de 2 o 1 sugieren que los riesgo están siendo manejados apropiadamente y que no se requiere tomar acciones adicionales al momento.

Paso 8: Controles Recomendados

•  La recomendación de controles se hacen examinando las vulnerabilidades. Donde existe falta de control o débiles medidas de seguridad, la recomendación de control debe reforzarlos.

Paso 9: Documentación de Resultados

•  Los tres principales documentos que son creados como resultado de un análisis de riesgo son:

•  • Perfiles de riesgo

•  • Reporte de análisis de riesgo

•  • Plan de remediación de riesgo

¿Pregúntas?

• recpr.org/blog