Professional Documents
Culture Documents
PRINCIPIOS BSICOS
1. El anlisis y gestin de riesgos ser parte esencial del proceso de seguridad y deber mantenerse permanentemente actualizado. 2. La gestin de riesgos permitir el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reduccin de estos niveles se realizar mediante el despliegue de medidas de seguridad, que establecer un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estn expuestos y las medidas de seguridad
[1]
3. Enfoque detallado:
[2]
Con este enfoque se consigue una idea muy exacta y objetiva de los riesgos a los que se enfrenta la organizacin. Se puede decidir un nivel de seguridad apropiado para cada activo y de esa manera escoger los controles con precisin. Es el enfoque que ms recursos necesita en tiempo, personal y dinero para llevarlo a cabo de una manera efectiva. 4. Enfoque combinado: Con un enfoque de alto nivel al principio, permite determinar cules son los activos en los que habr que invertir ms antes de utilizar muchos recursos en el anlisis. Por ello ahorra recursos al tratar antes y de manera ms exhaustiva los riesgos ms importantes mientras que al resto de los riesgos slo se les aplica un nivel bsico de seguridad, con lo que consigue un nivel de seguridad razonable en la organizacin con recursos ajustados. Es el enfoque ms eficaz en cuanto a costos y a adaptabilidad a empresas con recursos limitados. Hay que tener en cuenta que si el anlisis de alto nivel es errneo puede que queden algunos activos crticos a los que no se realice un anlisis detallado.
Identificar amenazas
Como ya se ha visto anteriormente, podramos denominar amenaza a un evento o incidente provocado por una entidad natural, humana o artificial que, aprovechando una o varias vulnerabilidades de un activo, pone en peligro la confidencialidad, la integridad o la disponibilidad de ese activo. Dicho de otro modo, una amenaza explota la vulnerabilidad del activo. Atendiendo a su origen, existen dos tipos de amenazas: Externas, que son las causadas por alguien (hackers, proveedores, clientes, etc.) o algo que no pertenece a la organizacin. Ejemplos de amenazas de este tipo son los virus. Internas, estas amenazas son causadas por alguien que pertenece a la organizacin, por ejemplo errores de usuario o errores de configuracin, personal malintencionado. Las amenazas tambin pueden dividirse en dos grupos segn la intencionalidad del ataque en deliberadas y accidentales: 1. Deliberadas: Cuando existe una intencin de provocar un dao, por ejemplo un ataque de denegacin de servicio o la ingeniera social. 2. Accidentales: Cuando no existe tal intencin de perjudicar, por ejemplo averas o las derivadas de desastres naturales: terremotos, inundaciones, fuego, etc. Para valorar las amenazas en su justa medida hay que tener en cuenta cual sera el impacto en caso de que ocurrieran y a cul o cules son los parmetros de seguridad que afectara, si a la confidencialidad, la integridad o la disponibilidad.
[3]
Identificacin de vulnerabilidades
Una vulnerabilidad es toda aquella circunstancia o caracterstica de un activo que permite la materializacin de ataques que comprometen la confidencialidad, integridad o disponibilidad del mismo. Por ejemplo, un equipo ser vulnerable a los virus si no tiene un programa antivirus instalado. Hay que identificar las debilidades en el entorno de la Organizacin y valorar cmo de vulnerable es el activo en una escala razonable (alto-medio-bajo, de 1 a 5, etc.). Hay que tener en cuenta que la presencia de una vulnerabilidad por s misma no causa dao. Para que se produzca este dao debe existir una amenaza que pueda explotarla. Algunos ejemplos de vulnerabilidades son: 1. La ausencia de copias de seguridad, que compromete la disponibilidad de los activos. 2. Tener usuarios sin formacin adecuada, que compromete la confidencialidad, la integridad y la disponibilidad de los activos, ya que pueden filtrar informacin o cometer errores sin ser conscientes del fallo. 3. Ausencia de control de cambios, que compromete la integridad y la disponibilidad de los activos. Los activos deberan ser protegidos de acuerdo a su valor, determinado a partir de sus dimensiones de seguridad (Disponibilidad, Integridad y Confidencialidad Atributos de la informacin).
Con el equipo de trabajo asignado para ello y la metodologa escogida, se llevar a cabo el anlisis de riesgos. Los participantes tendrn que valorar las amenazas y las vulnerabilidades que afectan a los activos escogidos para el anlisis y el impacto que ocasionara que alguna de las amenazas realmente ocurriera, sobre la base de su conocimiento y experiencia dentro de la organizacin.
[4]
El anlisis de riesgos permite analizar estos elementos de forma metdica para llegar a conclusiones con fundamento y proceder a la fase de tratamiento. ste busca calificar los riesgos identificados, bien cuantificando sus consecuencias (anlisis cuantitativo), bien ordenando su importancia relativa (anlisis cualitativo). De una u otra forma, como resultado del anlisis tendremos una visin estructurada que nos permita centrarnos en lo ms importante. Con la informacin obtenida en la identificacin, el equipo de valuacin de riesgos (especialistas en riesgos y administradores de activos) determina la frecuencia e impacto, calcula el riesgo actual, establece los controles recomendados, y determina el riesgo residual, resultante luego de que se implementen los controles. El Riesgo de un activo resulta del producto de la Frecuencia (o Probabilidad) por el Impacto. La Frecuencia es el estimado de cada cunto tiempo puede materializarse una amenaza, y el Impacto es el resultado del valor por la degradacin, donde la degradacin es que tan perjudicado sale el activo (entre 0 y 100%) [2]. Las escalas para la probabilidad e impacto se ilustran ms adelante.
Evaluacin de riesgos
Con los resultados obtenidos en el anlisis se procede a la evaluacin. Para cada activo, el proceso concluye si el riesgo es aceptable, caso contrario, se define el tratamiento (evitar, transferir o mitigar) y se establecen los controles necesarios. En el caso de mitigacin, los controles pueden ser preventivos o correctivos, en el ltimo caso, ser necesario definir un Plan de Continuidad de Servicios TI (denominado tradicionalmente PRD - Plan de Recuperacin ante Desastres). La evaluacin de los riesgos va un paso ms all del anlisis tcnico y traduce las consecuencias a trminos de negocio. Aqu entran factores de percepcin, de estrategia y de poltica permitiendo tomar decisiones respecto de qu riesgos se aceptan y cuales no, as como de en qu circunstancias podemos aceptar un riesgo o trabajar en su tratamiento. En esta actividad se concluye el informe de evaluacin de riesgos TI, el cual es utilizado por el proceso para elaborar el plan de tratamiento de riesgos.
Tratamiento de riesgos
Con base en el informe de riesgos de TI, el equipo de seguridad informtica elabora el plan de tratamiento de riesgos TI. Luego procede a la implementacin, ejecucin y monitoreo de los
Administracin de Riesgos TIC [6]
controles establecidos. Este equipo elabora y remite mensualmente el informe de estado de los controles, a las Subgerencias de Servicios y Riesgos de TI.
Comunicacin de riesgos
Esta actividad comprende la presentacin y sustentacin de informes a las jefaturas correspondientes. Asimismo, la sensibilizacin y educacin en gestin de riesgos y seguridad de la informacin a usuarios y tcnicos.
[7]
Estimacin de la vulnerabilidad de cada activo, es decir, la facilidad de las amenazas para causar daos en el mismo:
La siguiente tabla se utilizar para calcular el nivel de riesgo, valorando el impacto que tendra en un activo la ocurrencia de una amenaza:
Tomemos como ejemplo un activo, un notebook, cuya valoracin ha resultado ser 8 y cuyas principales amenazas se considera que son: 1. Robo. 2. Errores de los usuarios. 3. Divulgacin de informacin. 4. Acceso no autorizado. Por lo que el nivel de riesgo ser:
[8]
El valor de riesgo para este activo es la suma de los valores individuales de cada amenaza, por lo que es 28. De este modo obtendramos el riesgo de todos los activos que se han incluido en el Anlisis de Riesgos y podramos realizar las medidas oportunas para mitigarlos (o realizar el tratamiento escogido en cada caso).
[9]