Proceso de Administración de Riesgos
En el artículos anteriores establecimos las bases de una Arquitectura de Procesos de Seguridad de Información o Framework de Seguridad de Información, esta arquitectura que definimos consta de seis procesos básicos: Concientización, Administración de Riesgos, Manejo de Incidentes, Continuidad de Negocios, Control de Accesos y Monitoreo de Seguridad.
El pasado Artículo trató sobre el proceso de Concientización, ahora veremos el de Administración de Riesgos.
Pero, ¿Qué es un Riesgo?
En términos generales Riesgo es el daño potencial que puede surgir por un proceso presente o suceso futuro. Riesgo es la posibilidad de que un peligro pueda llegar a materializarse. Los Riesgos son una característica inevitable de la vida
En términos de Seguridad de Información iniciemos con las definiciones necesarias para entender los Riesgos.
Una Vulnerabilidad es una debilidad de un activo de información que puede ser explotada por una o más amenazas.
Una Amenaza es una causa potencial de un incidente no planeado, el cual puede resultar en daño a un activo de información.
Riesgo es la Consecuencia de una amenaza en relación al activo de información.
Bien Administrados son un buen Negocio
- Alinear las decisiones de inversiones y gastos en base al criterio aceptable de riesgos
- El hecho de basar decisiones en riesgos facilita la comunicación con la Alta Administración
- Facilita la identificación de activos críticos, sus vulnerabilidades y amenazas
- Apoya a cuantificar los impactos al negocio debido a las amenazas
- Facilita aceptar, reducir, transferir o evitar los riesgos tomando en cuenta los impactos en el negocio ($$)
- Ayuda a la implementación de controles que ayuden a mitigar los riesgos
- Apoya al monitoreo de la efectividad de los controles de Seguridad y su impacto (reducción) en los riesgos
- Proveer un balance económico entre el impacto del riesgo y el costo de los controles propuestos como contramedidas
Estructura del Modelo de Administración de Riesgos
Si consideramos de ahora en adelante Sistemas de Gestión que incluyan mejora continua quizá los más recurridos al momento relacionados a Seguridad son los que se basan en ISO27001 e ITIL v3.
El modelo recurrido en ambos es el PDCA (Plan Do Check Act)
Para el caso de un PDCA aplicado a riesgos sería:
Plan
- Definir metodología de riesgos
- Definir criterios de aceptación de riesgos
- Identificar y evaluar riesgos
- Identificar controles de seguridad
Do
- Formular Plan de Tratamiento de Riesgos
- Implementación del plan de tratamiento de riesgos
- Implementar controles de cada control objetivo
Ckeck
- Ejecutar procedimientos de monitoreo de controles de seguridad
- Medir la efectividad de controles
- Revisar el riesgo residual y aceptable
ACT
- Implementar mejoras a los controles de seguridad
- Re-evaluar análisis de riesgos
Enfoques de Análisis de Riesgos
Modelos Cuantitativos
Se basan en obtener medidas cuantitativas de los riesgos en base a mediciones o estimaciones. Los pasos que se toman son:
1- Asignar valor a los activos de Información
2- Estimar pérdida potencial por riesgo
Calcular SLE (single loss expectancy)
SLE = Valor del Activo * EF
(EF= % de pérdida de activo causada por identificar amenazas)
3- Ejecutar un análisis de amenazas
Calcular ARO (annualized rate of ocurrence)
Es la frecuencia esperada donde una amenaza pueda ocurrir en base anualizada
4- Derivar la pérdida potencial global por amenaza
Calcular ALE (annualized rate of ocurrence)
ALE = SLE * ARO
Modelos Cualitativos
No asigna números reales o valores monetarios a componentes y pérdidas
Analizan diversos escenarios de posibilidades de riesgo y “rankean” la seriedad de las amenazas y la validez de las diversas posibles contramedidas o controles de Seguridad.
Es necesario usar juicios, intuición y experiencia. Se usan técnicas como:
- Brainstorming
- Focus Groups
- Encuestas
- Cuestionarios
- Checklists
- Entrevistas
Metodología de evaluación de riesgos desarrollada por el Software Engineering Institute (SEI) de Carnegie Mellon University, ver http://www.cert.org/octave/
NIST (National Institue of Standards and Technology)
Publicación especial 800-30, Risk Management Guide for Information Technology Systems.
Ver http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
BS779-3
Documento de la serie British Standard, será reemplazado por el ISO 27005
ver http://www.27000.org/iso-27005.htm
Modelos de Administración de Riesgos básicos
Los modelos de Administración de riesgos considerados como básicos, son los que usan fórmulas muy sencillas tales como Riesgo = Vulnerabilidad x Impacto.
De esta forma realizan un análisis de Riesgos a los Activos de Información, este proceso tiene como objetivo solo calcular el nivel de riesgo.
Los valores que le asignan a los Riesgos, vulnerabilidades e impactos son típicamente Alto, Medio o bajo.
Generalmente estos modelos los adoptan las organizaciones cuando es necesario contar con un modelo inicial, el resultado tiene una gran dosis de subjetividad dado que normalmente son cualitativos puros y se basan en opiniones de personas con experiencia en Seguridad.
Modelos de Administración de Riesgos avanzados
Hay organizaciones que en el otro extremo, adoptan medidas que implican mucho mayor esfuerzo que los modelos básicos, estos modelos combinan modelos cuantitativos y cualitativos, por lo que requieren de una mayor madurez por parte de la organización en relación a la Seguridad de la Información. Al tener estos niveles estos modelos son adaptados fácilmente por las organizaciones e inclusive se extienden a otras áreas fuera de Seguridad de Información como Seguridad Industrial, etc.
A continuación mostraré cuales elementos son esenciales considerar para este tipo de modelos avanzados.
Activo de Información, se debe de tener mucha claridad que es un activo de Información:
Es cualquier recurso que tiene un valor para la organización, en donde se puede considerar las siguientes categorías:
Información (base de datos, archivos de datos, contratos & acuerdos, documentación de sistemas, información de investigación, manuales de usuario, material de entrenamiento, procedimientos, operacionales o de soporte, planes de continuidad , arreglos de contingencia, evidencia de auditoria, información archivada)
Software (aplicaciones, sistema operativo, herramientas de desarrollo, utilerías)
Elementos Físicos (equipo de computo y comunicaciones , medios removibles o otros equipos)
Sistema de información: compuesto por información, software y elementos físicos.
Servicios (servicios de computo y comunicaciones, servicios de apoyo – Aire acondicionado, alumbrado, energía)
Recursos Humanos (Credenciales, conocimiento y experiencia del Personal)
Intangibles (Imagen y reputación de la organización)
Dueños
Son los responsable finales de los activos de información y por lo tanto responsables de la Seguridad de Información del mismo.
Custodios
Individuos o “Áreas Funcionales” a cargo de la operación, mantenimiento y protección de los Activos de Información.
Escenarios de Riesgos
Se analiza el riesgo de un Activo de Información en conjunto con una serie de vulnerabilidades, amenazas e impactos
Riesgo Inicial
Es el riesgo que corre la organización sin considerar controles de seguridad y es calculado la primera vez que se ejecuta un análisis de riesgo a un activo de información.
Niveles Aceptables de Riesgos
Es el nivel de riesgo que la Alta Administración acepta, también se le conoce como el apetito de Riesgo.
Aquellos riesgos iniciales que estén fuera del nivel aceptable de riesgos deberán ser mitigados mediante el proceso de Tratamiento de riesgos, para esto es necesario contar con una Política de Riesgos adecuada.
Tratamiento de Riesgos
Es el Proceso de selección e implementación de controles para modificar el riesgo.
Una vez que se ejecuta el análisis de riesgo y obtenemos los riesgos iniciales será necesario establecer los controles que mitigan los riesgos.
Efectividad de controles
Se deben de asignar controles de Seguridad de Información (técnicos, físicos, humanos) para mitigar los riesgos de los escenarios descritos, un control puede tener atributos como ser de tipo detectivos, correctivos, disuasivos, etc., en la medida que un control tiene más atributos se pude volver más efectivo, pero como sea, será necesario que un experto asigne estos controles en forma adecuada, para un escenario de riesgo como un servidor WEB con la amenaza de Software Malicioso y un riesgo de perder sus contenido no se va a asignar a un guardia de Seguridad.
Riesgos Residuales
Es el riesgo que permanece después de implementar controles de seguridad.
Sitios interesantes relacionados a la Administración de Riesgos
www.cccure.org/Documents/HISM/223-228.html
www.cse-cst.gc.ca/en/documents/publications/gov_pubs/itsg/itsg04.pdf
Ricardo Morales está a cargo del área de Seguridad de Información de Alestra, es presidente de ALAPSI Noreste. Alestra es el primer prestador de Servicios en Telecomunicaciones en México y otros países en obtener el certificado ISO27001. rmoralesg @ alestra.com.mx
Fuente: http://bsecure.com.mx/articulos.php?id_art=6650&id_sec=59
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!