Ad Clicks :Ad Views : Ad Clicks :Ad Views :
img

Método Análisis de Riesgos de Seguridad

/

Implantar la ISO27001 requiere realizar un Análisis de Riesgos. En la entrada sobre el riesgo de sufrir un accidente en un avión, adelantamos varios conceptos interesantes al respecto, pero hoy planteamos un método específico partiendo de lo que establece la propia ISO de Seguridad.

El objetivo de realizar un Análisis de Riesgos es conocer el nivel de riesgo de los Sistemas de Información para ser por lo menos conscientes de lo que hay. De hecho, el certificarse en ISO27001 no dice que eres más seguro, dice que sabes lo seguro que eres y donde tienes los riesgos. Será responsabilidad de la organización establecer y priorizar las acciones adecuadas para que esos Riesgos sean los adecuados.

Así que para que lo tengamos todos claro, el Análisis de Riesgos es una herramienta de gestión para identificar el estado de la seguridad y priorizar (está en negrita porque es importante) las mejoras oportunas.

Metodología Análisis de Riesgos

Identificación y Valoración de Activos

Método Análisis de Riesgo - Relación de Activos

El primer paso del Análisis de Riesgos es el establecer qué es lo que tenemos dentro del alcance. Como consultor, me he dado cuenta que en un primer intento, tratar de abarcar toda la organización puede ser excesivo, así que limitar a un área o departamento es una buena idea.

A la hora de identificar activos, podemos hacerlo siguiendo dos principios:

  1. Identificando cada elemento como un activo: Cada Firewall, Switch, PC, Servidor, Servidor virtual, Aplicación, …. lo podemos considerar como activo y establecer relaciones de dependencia entre cada uno de ellos.
  2. Identificando los servicios TI como activos: Identificar conceptos como Comunicaciones internas (en vez de Firewall, Switches, etc.) , servicio de correo electrónico (en vez de Servidor de Correo, Exchange, Servidor físico, etc.) puede resultar mucho más libiano.

Cada método tiene sus ventajas y sus desventajas. Inicialmente, en la consultoría, es aconsejable utilizar la segunda opción. Perderemos detalle de los riesgos, pero recuerda, lo que buscamos es ser consciente de donde tenemos que priorizar.

Además, la segunda opción facilita mucho al negocio la valoración de cada activo. Resulta más fácil valorar cuanto vale el Servicio de Correo que valorar por separado cada uno de los elementos que lo componen. Como recomendación (y obligación si estas en proceso de certificación) es la de establecer una relación entre Activos y los elementos que lo componen. (Algo semejante al dibujo de la derecha)

Identificación de Amenazas y Vulnerabilidades

El siguiente paso en el Análisis de Riesgos es identificar las Amenazas (eventos que pueden pasar al activo) y las Vulnerabilidades (estado en el que está que hace que ocurra la amenaza).

Para ello aconsejo acudir a MAGERIT, Metodología de Análisis de Riesgos desarrollada por la Administración Pública Española. Completa y exhaustiva establece todos los pasos para hacer un Análisis de Riesgos al detalle. Además, la Administración pone a disposición la herramienta PILAR para facilitar el proceso.

La propuesta que hago es utilizar las Amenazas y Vulnerabilidades que identifica en su libro 2 – Catálogo de Elementos. Ahora solo nos falta relacionar estas Amenazas-Vulnerabilidades con los activos definidos. MAGERIT, identifica Amenazas por cada tipo de Activo,  ahorrando gran parte de la labor:

[S]Servicios
[D]Datos/información
[SW]Aplicaciones
[HW]HardWare
[COM]Redes de Comunicaciones
[SI]Soportes de información
[AUX]Equipamiento Auxiliar
[L]Instalaciones
[P]Personal

Podemos hacer un cruce de la tabla de tipo de Activo con nuestros Activos definidos de forma que los entienda el negocio:

Método Análisis de Riesgo - Valor de Activo

Con toda esta información ya podemos hacer el cruce y tendremos por cada Activo, sus Amenazas y Vulnerabilidades. Una tabla con bastantes filas pero que debería de ser algo parecido a esto:

 Método Análisis de Riesgo

Valoración del Riesgo

Para conocer cual es el nivel de riesgo, deberemos establecer por cada línea el nivel de probabilidad de  ocurra la amenaza (por estar como está) y el nivel de impacto en caso de que ocurra la amenaza.

Es recomendable establecer criterios que sirvan de orientación y sobretodo valerse de la experiencia. Si mantenemos un registro de incidencias, tendremos mucho conocimiento almacenado.

La recomendación de la experiencia y recordando que el objetivo del Análisis de Riesgos es priorizar,  a la hora de valorar lo más sencillo es de la siguiente manera:

  • Valor del Activo: Hablando de seguridad, solemos utilizar tres dimensiones. Confindecialidad, Integridad y Disponibilidad (Valores CIA). Cada uno de estos tres se puede valorar del 1 al 5. Y si multiplicamos el valor de los tres, tendremos una puntuación entre 1 y 125.
  • Probabilidad e Impacto: Utilizando la experiencia y el conocimiento, podremos valorar cada uno otra vez del 1 al 5.

Una vez que tenemos todos esos valores numéricos, la fórmula más sencilla a aplicar es la siguiente:

Riesgo = Valor de Activo x (Probabilidad x Impacto)

Siendo el valor mínimo 1 y el máximo 3125.

Método Análisis de Riesgo

Resultados

Repito. Hay que tener claro que el Método Análisis de Riesgos es una herramienta de gestión y sirve para priorizar actividades. Así que aquellos valores más altos (se suele establecer un umbral de riesgo) son los que deberemos corregir. Pero eso ya os lo cuento en otra ocasión.

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

This div height required for enabling the sticky sidebar