¿Cómo afecta la evaluación de riesgos a la política de seguridad de la información?

La evaluación de riesgos no debe afectar las políticas de seguridad de la información. La política debe ser una declaración de metas / objetivos, y normalmente no debe cambiar. La política debe definir los límites de la gestión de riesgos.

Múltiples organizaciones diferentes proporcionan diferentes risk tasación / risk análisis metodologías, pero creo que son demasiado detalladas para su pregunta (no estoy seguro de si está preguntando sobre ATO, C & A, ISCM, RMF, etc.) . Si entiendo la pregunta correctamente, la respuesta es que Evaluación de riesgos & El análisis de riesgo está destinado a iniciar una sugerencia constructiva sobre la respuesta al riesgo. Cuando complete una evaluación técnica:

1. En general, hay más hallazgos que recursos para corregirlos. La evaluación de riesgos prioriza los recursos contra los riesgos: si tiene problemas con $ N dólares y 10x $ N, tiene sentido gastar los primeros $ en alta probabilidad, problemas de alto impacto y soluciones diferidas en problemas de baja probabilidad / bajo impacto. Los hallazgos técnicos pueden revelar que no tiene una cerca alrededor de sus instalaciones, lo que lo deja vulnerable a la infiltración física; eso no es un problema si eres un barco en el mar.

2. Muchos de los hallazgos son el resultado del instante en que se realizó la evaluación técnica. La evaluación de riesgos puede discutir la urgencia del problema. Si mi vida media de parche es de 7 días, en cualquier evaluación técnica instantánea encontraré máquinas sin parches. La evaluación de riesgos me permite comparar el costo de un panel de control de configuración de emergencia con el hecho de que esos parches deben resolverse en un plazo de 7 a 10 días.

3. Muchos hallazgos son irresolubles. Trabajé en una evaluación que encontró una falla en los dispositivos de red que habrían requerido decenas de millones para solucionarlos: habríamos tenido que reemplazar los dispositivos de red estándar (que podrían ser administrados por administradores de red normales), con dispositivos de red especializados que requerían Formación especializada y soporte exclusivo. El costo unitario era alto, los costos de soporte eran más altos y la cantidad de unidades estaba en los miles bajos. Reemplazar el equipo estándar de estantes con equipo hecho a medida es muy costoso. Hubo una solución alternativa que se podía hacer usando repuestos de mantenimiento, y el entorno resultante era en realidad más seguro que el equipo personalizado.

4. A veces el hallazgo técnico no es el problema; Los procedimientos subyacentes / gobernabilidad es el problema. He administrado una serie de evaluaciones donde los problemas técnicos se acumulan porque el gerente correspondiente no se ha molestado en pedir el dinero para resolver el problema subyacente. La evaluación de riesgos es el marco para la discusión que comienza, "Si solicita $ X ahora, lo obtendrá el próximo año, pero si espera que ocurra el incidente, le costará 100 $ X. Aquí es cómo hacerlo ... "*

5. A veces el hallazgo no vale la pena. No tiene sentido implementar la autenticación de dos factores en un panel de control SCADA. Si cuesta miles de dólares detener el procesamiento, cierre sesión en el sistema, vuelva a iniciar sesión en el sistema y comience a procesarlo nuevamente al final de cada turno, hay otras formas de garantizar la responsabilidad.

La evaluación técnica compara un conjunto de principios abstractos de la torre de marfil con un sistema que está implementado para realizar una función de misión.

La evaluación de riesgos es el inicio de un diálogo, "¿Cómo podemos cumplir nuestra misión con nuestros recursos en nuestro entorno, sabiendo que tenemos estas vulnerabilidades?".

Esta es una pregunta bastante inespecífica, así que la responderé de manera bastante amplia.

La explicación más formal y ampliamente aceptada para esto se puede ver en ISO / IEC 27005 :

  

La evaluación de riesgos consta de las siguientes actividades:

     

• Identificación de riesgos
  
• Análisis de riesgos
  
• Evaluación de riesgos
  

La evaluación de riesgos determina el valor de los activos de información, identifica las amenazas aplicables y   las vulnerabilidades que existen (o podrían existir), identifican los controles existentes y su efecto sobre el riesgo identificado,   determina las posibles consecuencias y finalmente prioriza los riesgos derivados y los clasifica en función del riesgo   criterios de evaluación establecidos en el establecimiento del contexto.

Su pregunta fue, ¿cómo la evaluación de riesgos puede mejorar la política de seguridad de la información?

Una política de seguridad de la información establece objetivos para la seguridad de la información dentro de una organización. Al planificar cómo lograr estos objetivos, esta organización debe definir el proceso respectivo, los recursos necesarios, las responsabilidades, etc. Para definir estos aspectos clave, debe realizar una evaluación de riesgos de seguridad de la información. Por lo tanto, la evaluación de riesgos no es solo mejorar una política de seguridad de la información, sino que es obligatoria .

Para obtener más información, debe leer la norma internacional ISO / IEC 27005. Todo el proceso y sus beneficios se explican en su totalidad allí.

Si bien Mark tiene razón en principio, en realidad existe una relación bidireccional entre la evaluación de riesgos y la política. Porque en realidad, ninguna política es perfecta.

Una buena evaluación de riesgos le dirá qué áreas de su negocio contienen los riesgos más altos. Esto a su vez le informa dónde aplicar sus contramedidas.

Si descubre que tiene riesgos que se pueden abordar mejor con contramedidas de la organización, o que tales contramedidas no son tan efectivas como pensaba, tiene indicadores de que sus directrices, procesos y / o políticas puede ser incompleto o poco claro. Estos son resultados a considerar durante su próxima revisión de la política (sí revisa las políticas con regularidad, ¿no?).

La evaluación de riesgos es una actividad periódica, y muchas organizaciones no logran cerrar todos los ciclos de retroalimentación.