GUIA PARA LA GESTIN DE RIESGOS EN AMBIENTES TI.

PRINCIPIOS BSICOS
1. El anlisis y gestin de riesgos ser parte esencial del proceso de seguridad y deber mantenerse permanentemente actualizado. 2. La gestin de riesgos permitir el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reduccin de estos niveles se realizar mediante el despliegue de medidas de seguridad, que establecer un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estn expuestos y las medidas de seguridad

ANLISIS DE RIESGOS PARTE I

El anlisis de riesgos. Hacerlo permite averiguar cules son los peligros a los que se enfrenta la organizacin y la importancia de cada uno de ellos. Con esta informacin ya ser posible tomar decisiones bien fundamentadas acerca de qu medidas de seguridad deben implantarse.

Administracin de Riesgos TIC

[1]

Preparacin del anlisis de riesgos

Para realizar un anlisis de riesgos se parte del inventario de activos. Si es razonablemente reducido, puede decidirse hacer el anlisis sobre todos los activos que contiene. Si el inventario es extenso, es recomendable escoger un grupo relevante y manejable de activos, bien los que tengan ms valor, los que se consideren estratgicos o todos aquellos que se considere que se pueden analizar con los recursos disponibles. Se puede tomar cualquier criterio que se estime oportuno para poder abordar el anlisis de riesgos en la confianza de que los resultados van a ser tiles. Hay que tener en cuenta que la realizacin de un anlisis de riesgos es un proceso laborioso. Para cada activo se van a valorar todas las amenazas que pueden afectarle, la vulnerabilidad cada una de las amenaza y el impacto que causara la amenaza en caso de ocurrir. Con todos esos datos, se calcula el valor del riesgo para ese activo. Independientemente de la metodologa que se utilice, el anlisis de riesgos debe ser objetivo y conseguir resultados repetibles en la medida de lo posible, por lo que deberan participar en l todas las reas de la organizacin que estn dentro del alcance .De esta manera quedarn plasmados varios puntos de vista y la subjetividad, que es inevitable, quedar reducida. Adems contar con la colaboracin de varias personas ayuda a promover el desarrollo de la administracin de riesgos como una herramienta til para toda la organizacin y no slo para la direccin o el rea que se encarga del proyecto. Se puede abordar el anlisis de riesgos con varios enfoques dependiendo del grado de profundidad con el que se quiera o pueda realizar el anlisis. 1. Enfoque de Mnimos: Se escoge un conjunto mnimo de activos y se hace un anlisis conjunto, de manera que se emplean una cantidad mnima de recursos, consumiendo poco tiempo y por lo tanto tiene un costo menor. Este enfoque tienen el inconveniente de que si se escoge un nivel bsico de seguridad muy alto, puede requerir recursos excesivos al implantarlo para todos los activos y por el contrario, si es muy bajo, los activos con ms riesgos pueden no quedar adecuadamente protegidos. Debido a la falta de detalle en el anlisis, puede ser difcil actualizar los controles o aadir otros segn vayan cambiando los activos y sistemas. 2. Enfoque informal: Con este enfoque, no se necesita formacin especial para realizarlo ni necesita de tantos recursos de tiempo y personal como el anlisis detallado. Las desventajas de este enfoque son que al no estar basado en mtodos estructurados, puede suceder que se pasen por altos reas de riesgos o amenazas importantes y al depender de las personas que lo realizan, el anlisis puede resultar con cierto grado de subjetividad. Si no se argumenta bien la seleccin de controles, puede ser difcil justificar despus el gasto en su implantacin.

3. Enfoque detallado:

Administracin de Riesgos TIC

[2]

Con este enfoque se consigue una idea muy exacta y objetiva de los riesgos a los que se enfrenta la organizacin. Se puede decidir un nivel de seguridad apropiado para cada activo y de esa manera escoger los controles con precisin. Es el enfoque que ms recursos necesita en tiempo, personal y dinero para llevarlo a cabo de una manera efectiva. 4. Enfoque combinado: Con un enfoque de alto nivel al principio, permite determinar cules son los activos en los que habr que invertir ms antes de utilizar muchos recursos en el anlisis. Por ello ahorra recursos al tratar antes y de manera ms exhaustiva los riesgos ms importantes mientras que al resto de los riesgos slo se les aplica un nivel bsico de seguridad, con lo que consigue un nivel de seguridad razonable en la organizacin con recursos ajustados. Es el enfoque ms eficaz en cuanto a costos y a adaptabilidad a empresas con recursos limitados. Hay que tener en cuenta que si el anlisis de alto nivel es errneo puede que queden algunos activos crticos a los que no se realice un anlisis detallado.

Identificar amenazas
Como ya se ha visto anteriormente, podramos denominar amenaza a un evento o incidente provocado por una entidad natural, humana o artificial que, aprovechando una o varias vulnerabilidades de un activo, pone en peligro la confidencialidad, la integridad o la disponibilidad de ese activo. Dicho de otro modo, una amenaza explota la vulnerabilidad del activo. Atendiendo a su origen, existen dos tipos de amenazas: Externas, que son las causadas por alguien (hackers, proveedores, clientes, etc.) o algo que no pertenece a la organizacin. Ejemplos de amenazas de este tipo son los virus. Internas, estas amenazas son causadas por alguien que pertenece a la organizacin, por ejemplo errores de usuario o errores de configuracin, personal malintencionado. Las amenazas tambin pueden dividirse en dos grupos segn la intencionalidad del ataque en deliberadas y accidentales: 1. Deliberadas: Cuando existe una intencin de provocar un dao, por ejemplo un ataque de denegacin de servicio o la ingeniera social. 2. Accidentales: Cuando no existe tal intencin de perjudicar, por ejemplo averas o las derivadas de desastres naturales: terremotos, inundaciones, fuego, etc. Para valorar las amenazas en su justa medida hay que tener en cuenta cual sera el impacto en caso de que ocurrieran y a cul o cules son los parmetros de seguridad que afectara, si a la confidencialidad, la integridad o la disponibilidad.

Administracin de Riesgos TIC

[3]

Identificacin de vulnerabilidades
Una vulnerabilidad es toda aquella circunstancia o caracterstica de un activo que permite la materializacin de ataques que comprometen la confidencialidad, integridad o disponibilidad del mismo. Por ejemplo, un equipo ser vulnerable a los virus si no tiene un programa antivirus instalado. Hay que identificar las debilidades en el entorno de la Organizacin y valorar cmo de vulnerable es el activo en una escala razonable (alto-medio-bajo, de 1 a 5, etc.). Hay que tener en cuenta que la presencia de una vulnerabilidad por s misma no causa dao. Para que se produzca este dao debe existir una amenaza que pueda explotarla. Algunos ejemplos de vulnerabilidades son: 1. La ausencia de copias de seguridad, que compromete la disponibilidad de los activos. 2. Tener usuarios sin formacin adecuada, que compromete la confidencialidad, la integridad y la disponibilidad de los activos, ya que pueden filtrar informacin o cometer errores sin ser conscientes del fallo. 3. Ausencia de control de cambios, que compromete la integridad y la disponibilidad de los activos. Los activos deberan ser protegidos de acuerdo a su valor, determinado a partir de sus dimensiones de seguridad (Disponibilidad, Integridad y Confidencialidad Atributos de la informacin).

Con el equipo de trabajo asignado para ello y la metodologa escogida, se llevar a cabo el anlisis de riesgos. Los participantes tendrn que valorar las amenazas y las vulnerabilidades que afectan a los activos escogidos para el anlisis y el impacto que ocasionara que alguna de las amenazas realmente ocurriera, sobre la base de su conocimiento y experiencia dentro de la organizacin.

Administracin de Riesgos TIC

[4]

ANLISIS DE RIESGOS PARTE II

El anlisis de riesgos considera los siguientes elementos: 1. activos, que son los elementos del sistema de informacin (o estrechamente relacionados con este) que soportan la misin de la Organizacin 2. amenazas, que son cosas que les pueden pasar a los activos causando un perjuicio a la Organizacin 3. salvaguardas (o contra medidas), que son medidas de proteccin desplegadas para que aquellas amenazas no causen [tanto] dao. Con estos elementos se puede estimar: 1. 2. el impacto: lo que podra pasar el riesgo: lo que probablemente pase

El anlisis de riesgos permite analizar estos elementos de forma metdica para llegar a conclusiones con fundamento y proceder a la fase de tratamiento. ste busca calificar los riesgos identificados, bien cuantificando sus consecuencias (anlisis cuantitativo), bien ordenando su importancia relativa (anlisis cualitativo). De una u otra forma, como resultado del anlisis tendremos una visin estructurada que nos permita centrarnos en lo ms importante. Con la informacin obtenida en la identificacin, el equipo de valuacin de riesgos (especialistas en riesgos y administradores de activos) determina la frecuencia e impacto, calcula el riesgo actual, establece los controles recomendados, y determina el riesgo residual, resultante luego de que se implementen los controles. El Riesgo de un activo resulta del producto de la Frecuencia (o Probabilidad) por el Impacto. La Frecuencia es el estimado de cada cunto tiempo puede materializarse una amenaza, y el Impacto es el resultado del valor por la degradacin, donde la degradacin es que tan perjudicado sale el activo (entre 0 y 100%) [2]. Las escalas para la probabilidad e impacto se ilustran ms adelante.

Determinacin del impacto

En esta propuesta el impacto de un activo de informacin es heredado de uno de los procesos al cual asiste (el de valor ms alto), determinado durante en el proceso de anlisis de impacto al negocio (o Business Impact Analysis - BIA); es decir, el impacto ocasionado en el negocio por deficiencias en un proceso, debido a un incidente en el activo. La misin del BIA es determinar el impacto de los procesos en el negocio, como consecuencia de la afectacin de la disponibilidad, integridad o confidencialidad de los activos de informacin que lo soportan. Este se aplica a todas los procesos de la organizacin y se lleva a cabo al menos una vez al ao o cuando hayan cambios significativos en los procesos. El proceso se lleva a cabo con la participacin de los dueos o responsables de cada uno de los procesos, y el patrocinio de la alta direccin.
Administracin de Riesgos TIC [5]

Determinacin de la Frecuencia (F) / Probabilidad

Tanto la frecuencia como la probabilidad se determinan con base en juicio experto. Esta tcnica se conoce con el nombre de Anlisis Cualitativo

Clculo del riesgo

Como se aprecia en la Figura, el riesgo es el resultado de la probabilidad por el impacto.

Figura 3. Factores para determinacin del riesgo

Evaluacin de riesgos
Con los resultados obtenidos en el anlisis se procede a la evaluacin. Para cada activo, el proceso concluye si el riesgo es aceptable, caso contrario, se define el tratamiento (evitar, transferir o mitigar) y se establecen los controles necesarios. En el caso de mitigacin, los controles pueden ser preventivos o correctivos, en el ltimo caso, ser necesario definir un Plan de Continuidad de Servicios TI (denominado tradicionalmente PRD - Plan de Recuperacin ante Desastres). La evaluacin de los riesgos va un paso ms all del anlisis tcnico y traduce las consecuencias a trminos de negocio. Aqu entran factores de percepcin, de estrategia y de poltica permitiendo tomar decisiones respecto de qu riesgos se aceptan y cuales no, as como de en qu circunstancias podemos aceptar un riesgo o trabajar en su tratamiento. En esta actividad se concluye el informe de evaluacin de riesgos TI, el cual es utilizado por el proceso para elaborar el plan de tratamiento de riesgos.

Tratamiento de riesgos
Con base en el informe de riesgos de TI, el equipo de seguridad informtica elabora el plan de tratamiento de riesgos TI. Luego procede a la implementacin, ejecucin y monitoreo de los
Administracin de Riesgos TIC [6]

controles establecidos. Este equipo elabora y remite mensualmente el informe de estado de los controles, a las Subgerencias de Servicios y Riesgos de TI.

Seguimiento y control de riesgos

Con base en el informe de riesgos de TI, el plan de seguridad de TI y los informes de estado de la seguridad, se evala el avance de la implementacin y la eficacia de los controles vigentes. La eficacia se mide a travs de pruebas de vulnerabilidades o ethical hacking, realizadas en forma coordinada.

Comunicacin de riesgos
Esta actividad comprende la presentacin y sustentacin de informes a las jefaturas correspondientes. Asimismo, la sensibilizacin y educacin en gestin de riesgos y seguridad de la informacin a usuarios y tcnicos.

Nivel de aceptacin del riesgo

Como se ilustra en la siguiente Figura, los activos con riesgo extremo e intolerable deben ser llevados al menos al nivel tolerable. Y en el caso de activos crticos deben ser llevados al nivel aceptable.

Figura 4. Mapa de riesgos.

Administracin de Riesgos TIC

[7]

Estimacin de la vulnerabilidad de cada activo, es decir, la facilidad de las amenazas para causar daos en el mismo:

La siguiente tabla se utilizar para calcular el nivel de riesgo, valorando el impacto que tendra en un activo la ocurrencia de una amenaza:

Tomemos como ejemplo un activo, un notebook, cuya valoracin ha resultado ser 8 y cuyas principales amenazas se considera que son: 1. Robo. 2. Errores de los usuarios. 3. Divulgacin de informacin. 4. Acceso no autorizado. Por lo que el nivel de riesgo ser:

Administracin de Riesgos TIC

[8]

El valor de riesgo para este activo es la suma de los valores individuales de cada amenaza, por lo que es 28. De este modo obtendramos el riesgo de todos los activos que se han incluido en el Anlisis de Riesgos y podramos realizar las medidas oportunas para mitigarlos (o realizar el tratamiento escogido en cada caso).

Documentar el anlisis de riesgos

Independientemente de la metodologa o la herramienta informtica que se utilice para la realizacin del anlisis de riesgos, el resultado debera ser una lista de los riesgos correspondientes a los posibles impactos en caso de que se materialicen las amenazas a las que estn expuestos los activos. Esto permite categorizar los riesgos e identificar cules deberan ser tratados primero o ms exhaustivamente. Se debe escoger, a la vista de los resultados, cual es el nivel de riesgo que la organizacin est dispuesta a tolerar, de manera que por debajo de ese nivel el riesgo es aceptable y por encima no lo ser y se tomar alguna decisin al respecto. Hay cuatro tipos de decisiones para tratar los riesgos que se consideran no aceptables: Toda esta informacin debe quedar documentada para justificar las acciones que se van a tomar para conseguir el nivel de seguridad que la organizacin quiere alcanzar y como referencia para posteriores anlisis. ***

Administracin de Riesgos TIC

[9]