Metodologías de Evaluación de Riesgos Informáticos.
Antes de entrar en materia con el objetivo del presente blogs, tengo el gusto de invitarlos a revisar el contenido de los siguientes videos que darán un mensaje preliminar a lo que se pretende abordar posteriormente.
Partiendo de lo anteriormente observado y siguiendo lo propuesto en una guía de actividades, se tiene lo siguiente:
OCTAVE
Una efectiva y apropiada evaluación
de riesgos en la seguridad de la información comprende dos puntos de vistas
esenciales: el organizacional y el técnico; además, sondea cómo las personas utilizan
las instalaciones diariamente. Cabe mencionar que la evaluación desde su
esencia ingenieril y práctica, se hace transcendental y cobra vital importancia
para cualquier iniciativa que involucre la mejora en seguridad, porque concibe
un enfoque al interior de la organización de los riesgos de seguridad de la
información, lo cual es un insumo de suministro base para corregir las
vulnerabilidades y mitigar los efectos que se lleguen a presentar.
Con el ánimo de contrarrestar los daños que se den a causa de situaciones mal intencionadas y promover un entorno seguro y protegido en el contexto organizacional, OCTAVE es una técnica de proyección y consultoría estratégica en seguridad basada en el riesgo que brindaría a la empresa como tal el conocimiento de las necesidades de seguridad de la información que ésta demanda resolver. El objetivo de OCTAVE radica en el riesgo organizacional y su punto central va relacionado a la estrategia y a la práctica.
El equipo de trabajo (conformado desde la parte operativa, administrativa, de tecnología y sistemas e inclusive la parte gerencial) cuando aplica la metodología en estudio, trabajan mancomunadamente enfocados a las necesidades de seguridad, equiparando tres aspectos o ejes claves a saber: Riesgos Operativos, Prácticas de seguridad y Tecnología.
La metodología OCTAVE la conforman tres fases o etapas, propuestas desde una “visión”, así:
Visión de organización: En esta fase es donde son precisados elementos como activos, vulnerabilidades de organización, amenazas, requerimientos de seguridad y normatividades existentes vigentes.
Visión tecnológica: Aquí son clasificados dos elementos: los componentes claves y vulnerabilidades técnicas.
Planificación de las medidas y reducción de los riesgos: En esta tercera fase o etapa, son categorizados elementos como la evaluación de los riesgos, las estrategias de protección, ponderación de los riesgos y finalmente, el plano de reducción de los riesgos.
Las fases del proceso OCTAVE pueden esquematizarse a través de la siguiente ilustración:
Con el ánimo de contrarrestar los daños que se den a causa de situaciones mal intencionadas y promover un entorno seguro y protegido en el contexto organizacional, OCTAVE es una técnica de proyección y consultoría estratégica en seguridad basada en el riesgo que brindaría a la empresa como tal el conocimiento de las necesidades de seguridad de la información que ésta demanda resolver. El objetivo de OCTAVE radica en el riesgo organizacional y su punto central va relacionado a la estrategia y a la práctica.
El equipo de trabajo (conformado desde la parte operativa, administrativa, de tecnología y sistemas e inclusive la parte gerencial) cuando aplica la metodología en estudio, trabajan mancomunadamente enfocados a las necesidades de seguridad, equiparando tres aspectos o ejes claves a saber: Riesgos Operativos, Prácticas de seguridad y Tecnología.
La metodología OCTAVE la conforman tres fases o etapas, propuestas desde una “visión”, así:
Visión de organización: En esta fase es donde son precisados elementos como activos, vulnerabilidades de organización, amenazas, requerimientos de seguridad y normatividades existentes vigentes.
Visión tecnológica: Aquí son clasificados dos elementos: los componentes claves y vulnerabilidades técnicas.
Planificación de las medidas y reducción de los riesgos: En esta tercera fase o etapa, son categorizados elementos como la evaluación de los riesgos, las estrategias de protección, ponderación de los riesgos y finalmente, el plano de reducción de los riesgos.
Las fases del proceso OCTAVE pueden esquematizarse a través de la siguiente ilustración:
MAGERIT
Metodología de análisis y gestión de
riesgos elaborada como refutación al discernimiento de que la Alta gerencia en
conjunto con cada una de sus áreas dependientes organizacionales, y, comúnmente,
toda la sociedad, dependen valiosa y progresivamente de las tecnologías de la
información y la comunicación para la cabal y oportuna consecución de sus objetivos.
La función sustantiva de esta metodología va estrechamente relacionada con la divulgación del uso de las tecnologías de la información, que presume unos indudables beneficios para los usuarios; pero de igual modo genera la posibilidad de ciertas inseguridades que deben disminuirse con medidas de seguridad que transmitan un sentimiento de confianza. Magerit, como técnica de análisis y gestión de riesgos incumbe a todos los “actores” que trabajan con la manipulación de información digital y sistemas informáticos para tratarla y procesarla; si ésta o los servicios que se prestan gracias a ella, son valiosos, Magerit permitirá dar a conocer el tamaño de tal responsabilidad y les brindará el apoyo y respaldo necesario para protegerlo; el sistemático acercamiento no dejará espacio a la improvisación, ni mucho menos, a la arbitrariedad del analista.
Dentro de este marco de ideas, los objetivos perseguidos por Magerit se fundamentan en:
Concientizar a los responsables encargados de la administración de los sistemas de información de la existencia de riesgos y de la necesidad de impedir sus propósitos malintencionados de forma temprana y sin exposición alguna.
Brindar un procedimiento o técnica sistemática, ordenada y consecuente para estudiar tales peligros.
Proporcionar un tipo de ayuda para descubrir y planear las medidas pertinentes y acertadas para conservar los riesgos bajo control.
Disponer al contexto organizacional para procesos de evaluación, auditoría, certificación o acreditación, según el caso que respecte.
La metodología MAGERIT es una de las más usadas a nivel mundial, ya que se encuentra en español (y asimismo, en inglés) y se encuentra basada en tres “submodelos”, descritos así:
La función sustantiva de esta metodología va estrechamente relacionada con la divulgación del uso de las tecnologías de la información, que presume unos indudables beneficios para los usuarios; pero de igual modo genera la posibilidad de ciertas inseguridades que deben disminuirse con medidas de seguridad que transmitan un sentimiento de confianza. Magerit, como técnica de análisis y gestión de riesgos incumbe a todos los “actores” que trabajan con la manipulación de información digital y sistemas informáticos para tratarla y procesarla; si ésta o los servicios que se prestan gracias a ella, son valiosos, Magerit permitirá dar a conocer el tamaño de tal responsabilidad y les brindará el apoyo y respaldo necesario para protegerlo; el sistemático acercamiento no dejará espacio a la improvisación, ni mucho menos, a la arbitrariedad del analista.
Dentro de este marco de ideas, los objetivos perseguidos por Magerit se fundamentan en:
Concientizar a los responsables encargados de la administración de los sistemas de información de la existencia de riesgos y de la necesidad de impedir sus propósitos malintencionados de forma temprana y sin exposición alguna.
Brindar un procedimiento o técnica sistemática, ordenada y consecuente para estudiar tales peligros.
Proporcionar un tipo de ayuda para descubrir y planear las medidas pertinentes y acertadas para conservar los riesgos bajo control.
Disponer al contexto organizacional para procesos de evaluación, auditoría, certificación o acreditación, según el caso que respecte.
La metodología MAGERIT es una de las más usadas a nivel mundial, ya que se encuentra en español (y asimismo, en inglés) y se encuentra basada en tres “submodelos”, descritos así:
De elementos: Se catalogan un total de seis elementos fundamentales: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.
De eventos: Para esta categoría son clasificados los anteriores elementos en tres representaciones elementales: dinámico físico, dinámico organizativo y estático.
De procesos: Son definidas en cuatro etapas: análisis de riesgo, planificación, gestión de riesgo y selección de salvaguardas.
CRAMM
Metodología de análisis de riesgos desarrollado
por el gobierno del Reino Unido a través del Centro de Informática y la Agencia
Nacional de Telecomunicaciones (CCTA) y cuyo significado
del acrónimo se deriva de CCTARisk Analysis and Management Method. La Cramm, como
metodología es posible describirla de la siguiente forma:
Para el análisis y gestión de riesgos.
Para el análisis y gestión de riesgos.
Emplea sus percepciones de una forma consecuente,
disciplinada y organizada.
Se encuentra enfocada a preservar la confidencialidad,
integridad y disponibilidad de un sistema y de sus activos correspondientes.
A pesar de ser considerada como “cuantitativa”,
utiliza evaluaciones cuantitativas y cualitativas, lo que consecuentemente
propicia que sea considerada como mixta.
Incluye
una extensa escala de herramientas de evaluación de riesgo, compatibles
íntegramente con normas estándares como 27001 e ISO al ocuparse de tareas como:
- Activos de modelado de dependencia
- Evaluación de impacto empresarial
- Identificación y evaluación de amenazas y vulnerabilidades
- Evaluar los niveles de riesgo
- La identificación de los controles necesarios y justificados sobre la base de la evaluación del riesgo.
- Un enfoque flexible para la evaluación de riesgos.
En lo que respecta abordar en cuanto a su “Alcance”, es propio mencionar
que CRAMM es ajustable a todo tipo de redes y sistemas de información y es posible
aplicar en todas las etapas del ciclo de vida de éstos, desde su fase planificadora y viabilidad, mediante el
desarrollo e implementación del mismo; se puede utilizar siempre que sea
necesario para identificar la seguridad y/o requisitos de contingencia para un sistema
de información o de la red, lo cual puede involucrar que:
Durante la etapa de planificación de la estrategia se desarrollen análisis de riesgos de alto nivel necesarios para identificar los menesteres de seguridad general o de incidencia en el contexto organizacional, así como también los costos respectivos y las consecuencias directas de su ejecución.
En la fase de estudio de factibilidad, en la que el alto nivel del riesgo es posible sea exhortado con fines identificatorios de las exigencias de seguridad general, la contingencia y los costos relacionados de las diferentes expectativas.
Durante el análisis minucioso del contexto organizacional y de entornos técnicos donde los problemas de seguridad o contingencia inscritos con la iniciativa tomada pueden ser debidamente investigados o refinados.
Antes de la ejecución, para garantizar que todos los requerimientos físicos, el personal, técnicas y contramedidas de seguridad se han identificado e implementado.
Durante la etapa de planificación de la estrategia se desarrollen análisis de riesgos de alto nivel necesarios para identificar los menesteres de seguridad general o de incidencia en el contexto organizacional, así como también los costos respectivos y las consecuencias directas de su ejecución.
En la fase de estudio de factibilidad, en la que el alto nivel del riesgo es posible sea exhortado con fines identificatorios de las exigencias de seguridad general, la contingencia y los costos relacionados de las diferentes expectativas.
Durante el análisis minucioso del contexto organizacional y de entornos técnicos donde los problemas de seguridad o contingencia inscritos con la iniciativa tomada pueden ser debidamente investigados o refinados.
Antes de la ejecución, para garantizar que todos los requerimientos físicos, el personal, técnicas y contramedidas de seguridad se han identificado e implementado.
En cualquier momento
durante la ejecución, donde existe preocupación por los problemas de seguridad
o contingencia, por ejemplo, en respuesta a una amenaza nueva, mayor o después
de un fallo de seguridad.
La metodología descrita puede ilustrarse a través del siguiente esquema:
La metodología descrita puede ilustrarse a través del siguiente esquema:
Las
actividades principales del proceso de análisis y gestión de riesgos de CRAMM
se resumen en la siguiente ilustración:
MEHARI.
Diseñado para apoyar primeramente, a los Responsables de Seguridad en
sus ocupaciones de gestión de la seguridad de los sistemas de información y que
se encuentra en evolución permanente con el objetivo de satisfacer la
naturaleza cambiante del contexto organizacional y empresarial. Mehari tiene
como una característica adicional que se encarga de proveer un grupo de instrumentos
taxativamente planteados para la gestión de la seguridad, que vislumbra un conjunto
de acciones de gestión, y que cada una de éstas tiene un objetivo específico,
como por ejemplo:
- Desarrollar planes de seguridad, o planes estratégicos;
- Implementar políticas o normas de seguridad, las cuales se agruparán bajo el término “marco de referencia de seguridad”, Estado de situación o evaluaciones detalladas del estado de la seguridad, Evaluación y gestión del riesgo.
- Asegurar la inclusión de la seguridad en la gestión de proyectos de desarrollo,Sensibilización sobre la seguridad y sesiones de formación,
Gestión operativa de la seguridad y control/monitorización de las acciones ejecutadas.Dichas acciones de gestión y similares, es posible establecerse continuamente o paralelamente, por una o varios entes, y en función de permanentes y específicas exigencias.
Además, estas acciones pueden ser ejecutadas de forma independiente o como parte de un programa global. Estas mismas acciones se pueden llevar a cabo de diferentes formas, según diferentes factores:
La madurez, en términos de seguridad, de la
organización y su personal,
El nivel de implicación de la dirección en la toma de decisiones relativas a la seguridad de la información,
La cultura de la empresa: jerárquica y tecnocrática (las normas existen y se aplican), o por el contrario, descentralizada.
Mehari es principalmente un método para el análisis y gestión del riesgo. En la práctica, esto significa que Mehari y sus bases de conocimiento han sido diseñadas para un análisis de riesgos preciso, cuando sea necesario, sin imponer el análisis de riesgo como una política de gestión prioritaria. En realidad, la gestión de la seguridad es una función o actividad que evoluciona con el tiempo. La naturaleza de las acciones de gestión de la seguridad depende de los esfuerzos realizados por la organización.
Esta metodología se fundamenta en una base de conocimientos de situación de riesgos y en procedimientos automatizados para la evaluación de los factores de reducción de riesgo. Este empleo de Mehari tiene como objetivo la optimización global de las medidas de seguridad para reducir los riesgos.
El nivel de implicación de la dirección en la toma de decisiones relativas a la seguridad de la información,
La cultura de la empresa: jerárquica y tecnocrática (las normas existen y se aplican), o por el contrario, descentralizada.
Mehari es principalmente un método para el análisis y gestión del riesgo. En la práctica, esto significa que Mehari y sus bases de conocimiento han sido diseñadas para un análisis de riesgos preciso, cuando sea necesario, sin imponer el análisis de riesgo como una política de gestión prioritaria. En realidad, la gestión de la seguridad es una función o actividad que evoluciona con el tiempo. La naturaleza de las acciones de gestión de la seguridad depende de los esfuerzos realizados por la organización.
Esta metodología se fundamenta en una base de conocimientos de situación de riesgos y en procedimientos automatizados para la evaluación de los factores de reducción de riesgo. Este empleo de Mehari tiene como objetivo la optimización global de las medidas de seguridad para reducir los riesgos.
Metodología NIST SP 800 – 30 (National Institute of
Standards and Technology)
Incluye una metodología
para el análisis y gestión de riesgos de seguridad de la información, ordenada
y suplementaria con el resto de documentos de la serie.
El proceso de análisis de riesgos definido en la metodología como tal, puede esquematizarse de la siguiente forma:
El proceso de análisis de riesgos definido en la metodología como tal, puede esquematizarse de la siguiente forma:
El proceso de gestión de
riesgos definido en la metodología objeto de estudio de este aparte, puede
ilustrase mediante el siguiente gráfico:
Nueve pasos básicos para el Análisis de Riesgo.
Caracterización
del sistema.
Identificación
de amenazas.
Identificación
de vulnerabilidades.
Control
de análisis.
Determinación
del riesgo.
Análisis
de impacto.
Determinación
del riesgo.
Recomendaciones
de control.
Resultado de la implementación o documentación.
Ahora bien, con el ánimo de profundizar más en los temas abordados anteriormente, se proponen unos recursos multimediales (vídeos) para despejar cualquier duda presentada tener una idea mucho más clara de las mismas. En efecto, se presentan lo siguiente:
Metodología MAGERIT
Para observar los demás videos propuestos y evitar la demora en la carga de este recurso, te invito a que hagas click sobre el nombre de cada elemento mostrado:
--------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------
REFERENCIAS BIBLIOGRÁFICAS
Eterovic, J; Pagliari, G. “Metodología
de Análisis de Riesgos Informáticos”. Tomado de http://www.cyta.com.ar/ta1001/v10n1a3.htm el
14 de Marzo de 2014.
Seguridad en Redes de Computadores. Tomado de http://seguridadenlasredes.wordpress.com/2010/08/12/metodologias-de-analisis-de-riesgos-magerit-y-octave/ el 14 de Marzo de 2014.
Cárdenas, E. “Metodologías para el análisis de riesgos en Seguridad Informática”. Tomado de http://msnseguridad.blogspot.com/2012/08/seguridad-informatica-la-seguridad.html el 15 de Marzo de 2014.
Seguridad en Redes de Computadores. Tomado de http://seguridadenlasredes.wordpress.com/2010/08/12/metodologias-de-analisis-de-riesgos-magerit-y-octave/ el 14 de Marzo de 2014.
Cárdenas, E. “Metodologías para el análisis de riesgos en Seguridad Informática”. Tomado de http://msnseguridad.blogspot.com/2012/08/seguridad-informatica-la-seguridad.html el 15 de Marzo de 2014.
DUQUE, B. “Metodologías
de Gestión de Riesgos (OCTAVE, MAGERIT, DAFP)”. Tomado de http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf el 14 de Marzo de 2014.
Seguridad Informática: Herramienta de Evaluación de Riesgo-CRAMM. Tomado de http://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+Riesgo-CRAMM el 17 de Marzo de 2014.
Poveda, J. “Módulo 8: Análisis y valoración de los riesgos. Metodologías”. Tomado de http://jmpovedar.files.wordpress.com/2011/03/mc3b3dulo-8.pdf el 17 de Marzo de 2014.
CLUSIF. “Mehari 2007”. Tomado de http://www.clusif.fr/fr/production/ouvrages/pdf/MEHARI-2007-Introduccion.pdf el 17 de Marzo de 2014.
Mera, D; Arteaga, L; Villamarin, C; Sosa; R; “Metodologías de la Seguridad Informática”. Tomado de http://seguridadinformatica.bligoo.ec/media/users/22/1142179/files/312461/Metodologia_de_la_Seguridad_Ing.pdf el 18 de Marzo de 2014.
Seguridad Informática: Herramienta de Evaluación de Riesgo-CRAMM. Tomado de http://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+Riesgo-CRAMM el 17 de Marzo de 2014.
Poveda, J. “Módulo 8: Análisis y valoración de los riesgos. Metodologías”. Tomado de http://jmpovedar.files.wordpress.com/2011/03/mc3b3dulo-8.pdf el 17 de Marzo de 2014.
CLUSIF. “Mehari 2007”. Tomado de http://www.clusif.fr/fr/production/ouvrages/pdf/MEHARI-2007-Introduccion.pdf el 17 de Marzo de 2014.
Mera, D; Arteaga, L; Villamarin, C; Sosa; R; “Metodologías de la Seguridad Informática”. Tomado de http://seguridadinformatica.bligoo.ec/media/users/22/1142179/files/312461/Metodologia_de_la_Seguridad_Ing.pdf el 18 de Marzo de 2014.
