Estimación del grado de exposición de una amenaza sobre uno o más activos causando daños o perjuicios a la Organización.

El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.

Las amenazas son eventos que pueden producir daños materiales o inmateriales en los activos. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.

Hay amenazas naturales (terremotos, inundaciones, ...) y desastres industriales o servicios (contaminación, fallos eléctricos, ...) ante los cuales el sistema de información es víctima.

También hay amenazas causadas por las personas, bien errores o bien ataques intencionados.

Las políticas de seguridad son las prácticas, procedimientos o mecanismos que ayudan a reducir el riesgo.

Políticas de seguridad

Gracias a este análisis de riesgos conoceremos el impacto económico de un fallo de seguridad y la probabilidad realista de que este ocurra .

Por ejemplo, imaginemos que una organización tiene un servidor que contiene información definida como de bajo valor.

Servidor

El objetivo principal de este proceso es establecer el marco general de referencia para todo el análisis. Esta etapa incluye la estimación de:

Personal técnico: Personas cuya función es recabar la información y establecer las medidas necesarias para cumplir con el análisis. Usuarios: Son aquellas de quienes se recogerá la información dentro de la organización

Recursos económicos necesarios para la ejecución.

Definir los objetivos del proceso de análisis de riesgos.

Tiempo estimado para realizar el análisis y elaborar las políticas. Podría ser con un diagrama de Gantt

Estimación del tiempo: debe ser realizado utilizando el Diagrama de Gantt, definiendo el tiempo necesario que se tomara el equipo en cada etapa o fase.

El entregable de esta etapa será un documento que describa a profundidad los aspectos antes mencionados, para tal fin se ofrece un modelo como ejemplo.

Análisis y gestión de riesgos

Etapa 1: Planificación Fecha:

Objetivos:

Personal:

Técnico: Usuarios:

Programador(es):______ Gerente:_____

Entrevistador(es):______ Secretaria:____

Entre otros:_____ Docentes: ____

Recursos

Se denomina activos a los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.

Conviene repetir que sólo interesan los recursos de los sistemas de información que tienen un valor para la Organización. A título de ejemplo, un servidor donde se encuentre almacenada toda información es un activo de mucho valor. Todo su valor es imputado:• la indisponibilidad, la interrupción del servicio es el valor de disponibilidad que se le imputará al servidor• el acceso no controlado al servidor pone en riesgo el secreto de los datos que presenta.• el coste que suponga la pérdida de confidencialidad de los datos es el valor de confidencialidad que se le imputará al servidor.

Quizás la mejor aproximación para identificar los activos sea preguntar directamente:• ¿Qué activos son fundamentales para que la organización consiga sus objetivos?•¿Hay más activos que se tengan que proteger por obligación ?• ¿Hay activos relacionados con los anteriores?

No siempre es evidente identificar un activo. Si por ejemplo se tienen 300 puestos de trabajo o PC, todos idénticos a efectos de configuración y datos que manejan, no es conveniente analizar 300 activos idénticos. Basta analizar un PC genérico que cuya problemática representa la de todos. Agrupar simplifica el análisis. Otras veces se presenta el caso contrario, un servidor central que se encarga de varias funciones: servidor de archivos, de mensajería, de la intranet, del sistema de gestión documental y ... En este caso conviene segregar los servicios prestados y analizarlos por separado.

El entregable de esta etapa es la descripción de cada tipo de activo con su respectiva , función dentro de la organización entre algunos otros aspectos que sean importantes describir. Para ello se puede utilizar el siguiente formato:

Análisis de riesgos

Etapa 2: Identificación de activos Activo #: _____

Tipo de activo

Físico: ____ Lógico:____

Nombre:

Descripción:

Tipo de amenaza:

Tipos de activos: Dimensiones:

Descripción:

Tipo de activo:

Amenazas: Dimensiones:

Descripción:

Cuando hablamos de las dimensiones, hacemos memoria y recordamos los principios de la seguridad de la información.

Ellas son características o atributos que hacen valioso un activo. Las dimensiones se utilizan para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la organización si el activo se ve dañado en dicha dimensión. Ellas son:

AutenticidadConfidencialidad A ellos agregamos : Trazabilidad del servicio Integridad Trazabilidad de los datos. Disponibilidad

Llevándolas a la realidad, las dimensiones en un activo, las podemos definir así:

• su autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar)

• su confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es típica de datos.

• su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos.

• su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es típica de los servicios.

Ahora bien, en sistemas dedicados a la administración electrónica o al comercio electrónico, el conocimiento de los usuarios es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos activos, además de la autenticidad, interesa calibrar la:

• la trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O sea, ¿quién hace qué y cuándo?

• la trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y qué hace con ellos?

A continuación vemos un ejemplo sobre la determinación de las amenazas:

Desastres naturales: Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta.

Tipo de amenaza: FuegoTipos de activos:ComputadorasRedes de comunicaciónSoportes de informaciónEquipamiento auxiliar Instalaciones

Dimensiones: Disponibilidad

Descripción: Incendio: Posibilidad de que el fuego acabe con los recursos del sistema.

En el material de apoyo encontrarán ejemplos sobre las amenazas más comunes y las dimensiones afectadas

Amenaza: Fallas no intencionales causados por los usuariosTipos de activos:Datos/informaciónAplicaciones

Dimensiones: DisponibilidadIntegridad

Riesgo :•Pérdida de la información.•Modificación de los datos a ser procesados. •Desconfiguración de alguna aplicación.

Valor: 9Daño grave para la organización, ya que implica pérdida de datos/información importantes para la organización.

Descripción: Equivocaciones de las personas cuando usan los servicios, datos, etc.

Estimación de los riesgos:

En el material de apoyo se describe la escala y los criterios los criterios asociados.

Valor Criterio10 Muy alto Daño muy grave a la organización

7-9 alto Daño grave

4-6 medio Daño importante

1-3 bajo Daño menor

0 despreciable irrelevante

Escala de valoración de riesgos:

El análisis de los riesgos es un paso importante para implementar la seguridad de la información.

Se realiza para detectar los riesgos a los cuales están sometidos los activos en una organización, para saber cuál es la probabilidad de que una amenaza se concrete.

La relación que existe entre la amenaza y el valor del riesgo, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.

A continuación se les hará entrega de un material, contentivo de casos de estudios con el objetivo de que sea analizados y se realicen algunas reflexiones.