Anlisis y gestin de riesgos

Autor: Santiago Galvn Snchez

La guerra es un asunto de importancia vital para el Estado; un asunto de vida o muerte, el camino hacia la supervivencia o la destruccin. Por lo tanto, es imperativo estudiarla profundamente.

Hay que valorarla en trminos de cinco factores fundamentales, y hacer comparaciones entre diversas condiciones de los bandos antagonistas, de cara a determinar el resultado de la contienda.

El primero de estos factores es la poltica; el segundo, el clima; el tercero, el terreno; el cuarto, el comandante; y el quinto, la doctrina.

Mediante todo esto, uno puede adivinar el resultado final de la batalla.

El arte de la guerra
Sun Tzu, 2.000 a.C.

Seguro con respecto a qu?

Para el dinero, para sus empleados, para sus clientes.

Ante qu es seguro?

Un robo, un incendio, una crisis econmica, etc.

Qu medidas incluye para aumentar la seguridad?

El reducir la cantidad de dinero efectivo, aumenta la seguridad?

Las medidas de seguridad hacen que no exista ningn riesgo para el banco?

Prdida de beneficiosDeterioro de la confianza del inversorPerjuicio de la reputacinPrdida o
compromiso
de la seguridad
de los datosInterrupcin de los procesos empresarialesDeterioro de la confianza del cliente

Consecuencias legales

Seguridad es la capacidad de las redes o de los sistemas de informacin para resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

La norma UNE-ISO/IEC 17799 define la seguridad de la informacin como la preservacin de...

... su confidencialidad.Slo quienes estn autorizados pueden acceder a la informacin.

... su integridad.La informacin y sus mtodos de proceso son exactos y completos.

... su disponibilidad.Los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran.

Protegemos los activos.

Se denominan activos los recursos del sistema de informacin o relacionados con ste, necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su direccin.

El activo esencial es la informacin que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes:

Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos.

Las aplicaciones informticas (software) que permiten manejar los datos.

Los equipos informticos (hardware) y que permiten hospedar datos, aplicaciones y servicios.

Los soportes de informacin que son dispositivos de almacenamiento de datos.

El equipamiento auxiliar que complementa el material informtico.

Las redes de comunicaciones que permiten intercambiar datos.

Las instalaciones que acogen equipos informticos y de comunicaciones.

Las personas que explotan u operan todos los elementos anteriormente citados.

Protegemos los activos de las amenazas.

Las amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un dao.

Las vulnerabilidades son debilidades asociadas a activos de informacin. En s mismas no causan dao.

Esas debilidades pueden ser explotadas por amenazas que pueden causar una rotura de seguridad que tenga como consecuencia dao o perdida de esos activos de informacin

Reduciendo su riesgo.

El riesgo es una estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la Organizacin (impacto).

El riesgo crece con el impacto y con la frecuencia.

Implantar controles o salvaguardas con el objetivo de reducir el riesgo.

Las salvaguardas pueden tener vulnerabilidades por lo que es necesario realizar pruebas y seguimiento de las mismas.

La seguridad absoluta no existe

siempre hay que aceptar un riesgo que, eso s, debe ser conocido y sometido al umbral de calidad que se requiere del servicio.

ACTIVO: recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos por su direccin.

Vulnerabilidades: debilidades asociadas a activos de informacin

AMENAZA: Evento que puede desencadenar un incidente en la organizacin, produciendo daos o prdidas en sus activos.

RIESGO: Posibilidad de que una amenaza se materialice.

IMPACTO: Consecuencia sobre un activo de la materializacin de una amenaza.

CONTROL: Prctica, procedimiento o mecanismo que reduce el nivel de riesgo.

Es de sentido comn que no se puede invertir en salvaguardas ms all del valor de los propios activos a proteger.

Este tipo de grficas intentan reflejar cmo al avanzar de un grado de seguridad 0 hacia un grado de seguridad del 100%, el coste de la inseguridad (el riesgo) disminuye, mientras que el coste de la inversin en salvaguardas aumenta. Es intencionado el hecho de que el riesgo caiga fuertemente con pequeas inversiones19 y que el coste de las inversiones se dispare para alcanzar niveles de seguridad cercanos al 100%20. La curva central suma el coste para la Organizacin, bien derivado del riesgo (baja seguridad), bien derivado de la inversin en proteccin. De alguna forma existe un punto de equilibrio entre lo que se arriesga y lo que se inverte en defensa, punto al que hay que tender si la nica consideracin es econmica

Evaluacin

Evaluar y valorar los activos

Identificar los riesgos de la seguridad

Analizar y asignar prioridad a los riesgos de la seguridad

Desarrollo e implementacin

Desarrollar mtodos correctivos de seguridad

Probar los mtodos correctivos de seguridad

Obtener informacin de seguridad

Funcionamiento

Volver a valorar los activos nuevos y los que han sufrido cambios, as como los riesgos de seguridad

Estabilizar e implementar medidas preventivas nuevas o que han cambiado

SeguimientoPlanAnlisisControl

Identificacin

12354

Declaracin de
riesgos

Anlisis de riesgos: proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una Organizacin.

Gestin de riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados.

Anlisis de riesgos + Tratamientos de riesgos= Gestin de riesgos

Paso 1. Identificar los activos.

Paso 2. Valorar los activos.

Paso 3. Identificar las amenazas.

Paso 4. Determinar el impacto de una amenaza.

Paso 5. Determinacin del riesgo.

Paso 6. Establecer salvaguardas.

Paso 7. Revisin del paso 4, determinar el impacto residual.

Paso 8. Revisin del paso 5, determinar el riesgo residual.

Por qu interesa un activo? Por lo que vale.

Si algo no vale para nada, prescndase de ello. Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo que hay que averiguar pues eso es lo que hay que proteger.

El valor de un activo puede ser propio o acumulado.

Si un activo A depende de otro activo B, el valor de B se incrementa.

La valoracin es la determinacin del coste que supondra salir de una incidencia que degradara el activo.

Hay muchos factores a considerar:

coste de reposicin: adquisicin e instalacin

coste de mano de obra (especializada) invertida en recuperar (el valor) del activo

lucro cesante: prdida de ingresos

capacidad de operar: confianza de los usuarios y proveedores que se traduce en una prdida de actividad o en peores condiciones econmicas

sanciones por incumplimiento de la ley u obligaciones contractuales

dao a otros activos, propios o ajenos

dao a personas

daos medioambientales.

La valoracin puede ser cuantitativa (con una cantidad numrica) o cualitativa (en alguna escala de niveles). Los criterios ms importantes a respetar son:

la homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, as como poder determinar si es ms grave el dao en una dimensin o en otra

la relatividad: es importante poder relativizar el valor de un activo en comparacin con otros activos

D disponibilidad

Qu importancia tendra que el activo no estuviera disponible?

I integridad

Qu importancia tendra que el activo fuera modificado fuera de control?

C confidencialidad

Qu importancia tendra que el activo fuera conocido por personas no autorizadas?

A autenticidad

Qu importancia tendra que quien accede al activo no sea realmente quien se cree?

T trazabilidad (accountability)

Qu importancia tendra que no quedara constancia del uso del activo?

1.El servidor proporciona una funcionalidad bsica pero no tiene un impacto financiero en el negocio.3.El servidor contiene informacin importante,
pero los datos se pueden recuperar rpida y fcilmente.5.El servidor contiene datos importantes
que llevara algn tiempo recuperar.8.El servidor contiene informacin importante para los objetivos empresariales de la compaa. La prdida de este equipamiento
tendra un efecto considerable en la
productividad de todos los usuarios.10.El servidor tiene un efecto considerable en el negocio de la compaa. La prdida de este equipamiento resultara en una desventaja con respecto a la competencia.

Tipos de amenazasEjemplos

SuplantacinFalsificar mensajes de correo electrnico

Reproducir paquetes de autenticacin

AlteracinAlterar datos durante la transmisin

Cambiar datos en archivos

RepudioEliminar un archivo esencial y denegar este hecho

Adquirir un producto y negar posteriormente que se ha adquirido

Divulgacin de informacinExponer la informacin en mensajes de error

Exponer el cdigo de los sitios Web

Denegacin de servicioInundar una red con paquetes de sincronizacin

Inundar una red con paquetes ICMP falsificados

Elevacin de privilegiosExplotar la saturacin de un bfer para obtener privilegios en el sistema

Obtener privilegios de administrador de forma ilegtima

Cuando un activo es vctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuanta.

Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cun vulnerable es el activo, en dos sentidos:

degradacin: cun perjudicado resultara el activo

frecuencia: cada cunto se materializa la amenaza

Se denomina impacto a la medida del dao sobre el activo derivado de la materializacin de una amenaza.

DREAD

Dao

Capacidad de reproduccin

Capacidad de explotacin

Usuarios afectados

Capacidad de descubrimiento

Las salvaguardas entran en el clculo del riesgo de dos formas:

Reduciendo la frecuencia de las amenazas. Se llaman salvaguardas preventivas. Las ideales llegan a impedir completamente que la amenaza se materialice.

Limitando el dao causado. Hay salvaguardas que directamente limitan la posible degradacin, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradacin avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperacin del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan.

Las salvaguardas se caracterizan, adems de por su existencia, por su eficacia frente al riesgo que pretenden conjurar.

La salvaguarda ideal es 100% eficaz, lo que implica que:

es tericamente idnea

est perfectamente desplegada, configurada y mantenida

se emplea siempre

existen procedimientos claros de uso normal y en caso de incidencias los usuarios estn formados y concienciados

existen controles que avisan de posibles fallos

Entre una eficacia del 0% para aquellas que estn de adorno y el 100% para aquellas que son perfectas, se estimar un grado de eficacia real en cada caso concreto.

Algunas salvaguardas, notablemente las de tipo tcnico, se traducen en el despliegue de ms Equipamiento que se convierte a su vez en un activo del sistema.

Estos activos soportan parte del valor del sistema y estn a su vez sujetos a amenazas que pueden perjudicar a los activos de valor.

Hay que repetir el anlisis de riesgos, amplindolo con el nuevo despliegue de medios y, por supuesto, cerciorarse de que el riesgo del sistema ampliado es menor que el del sistema original; es decir, que las salvaguardas efectivamente disminuyen el estado de riesgo de la Organizacin.

Si se puede, se evita

Si no, hay que plantear una estrategia

hay que tener medidas preventivas

hay que tener un plan de emergencia

hay que tener un plan de recuperacin

Controles disuasorios: reducen la posibilidad de incidente (cmaras de vigilancia).

Controles preventivos: reduce la vulnerabilidad (ej. Parches en los Sistemas operativos)

Controles detectores: detectan incidente en curso (sensores IDS en las redes).

Controles correctivos: posterior al incidente (copias de seguridad).

Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.

Promovido por CSAE: Consejo Superior de Administracin Electrnica.

Directos:

concienciar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de atajarlos a tiempo

ofrecer un mtodo sistemtico para analizar tales riesgos

ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.

Indirectos:

preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso

Ejemplo prctico incluido en el documento mtodo

Dimensiones de valoracin incluido en el catalogo de elementos de Margerit.

The Security Risk Management Guide.

Microsoft.

MAGERIT versin 2 Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.

Ministerio espaol de Administraciones Pblicas

Fundamentos de seguridad Microsoft Technet.