CyTA

http://www.cyta.com.ar/ta1001/v10n1a3.htm

Technical note

Metodologa de Anlisis de Riesgos Informticos

Jorge Esteban Eterovic Universidad Nacional de La Matanza, San Justo,Argentina jorge_eterovic@yahoo.com.ar Gustavo A. Pagliari Universidad Nacional de Ro Negro, Ro Negro, Argentina gapagli@yahoo.com.ar

Resumen
En ste trabajo se presenta una metodologa de rpida aplicacin que implementa los pasos necesarios para analizar un sistema, identificar las amenazas, las vulnerabilidades asociadas, calcular la probabilidad de ocurrencia de esas amenazas, determinar del impacto en caso de su materializacin y por ultimo la obtencin del riesgo al que se est expuesto. As, esta metodologa sera una herramienta de fcil implementacin en una organizacin mediana pequea que le permitira identificar y gestionar los riesgos de tecnologa de la informacin. El anlisis de riesgos es el primer punto de la gestin de la seguridad de la informacin de una organizacin, y es necesario para realizar la gestin de los riesgos, es decir, tomar la decisin de eliminarlos, ignorarlos, transferirlos o mitigarlos y controlarlos, es decir realizar la gestin de riesgos.

Introduccin
El proceso para desarrollar la nueva metodologa comenz con la investigacin y el estudio pormenorizado de las principales metodologas existentes en el mercado para al anlisis de los riesgos informticos. En ste trabajo se presenta el anlisis de las tres metodologas mas usadas, con el fin de determinar en forma detallada sobre como es su funcionamiento y cules son sus fortalezas y debilidades. Las metodologas estudiadas son Magerit, Octave y Mehari. Como resultado de este anlisis se identificaron e incorporaron esas fortalezas en el diseo de la nueva metodologa de anlisis de riesgos informticos en cuestin. Los lmites en el alcance de este trabajo fueron no haber incorporado elementos de otras metodologas existentes, fuera de las que no se mencionaron anteriormente. Esto nos permiti obtener los mejores elementos de cada una de estas metodologas a fin de disear y obtener una nueva a partir de ellos.

2. Objetivos de las metodologas

Tanto las tres metodologas estudiadas como la que se desarrollar tienen por objetivo los siguientes puntos: Planificacin de la reduccin de riesgos Planificacin de la prevencin de accidentes Visualizacin y deteccin de las debilidades existentes en los sistemas Ayuda en la toma de las mejores decisiones en materia de seguridad de la informacin

1 of 5

10/07/2013 06:53 p.m.

CyTA

http://www.cyta.com.ar/ta1001/v10n1a3.htm

3.Enfoques del anlisis de riesgos

Existe una serie de diferentes enfoques para realizar el anlisis de riesgos pero, en esencia, suelen dividirse en dos tipos fundamentales: cuantitativos cualitativos. El enfoque utilizado para el desarrollo de esta metodologa es el cuantitativo. 3.1. Enfoque cuantitativo del anlisis de riesgos Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un evento y el impacto que ocasionara la probable prdida en caso de que ocurra el citado evento. El enfoque cuantitativo de anlisis de riesgos consiste en la obtencin de un valor a partir del producto de estos elementos. La forma de calcularlo, para un evento dado, es realizando la multiplicacin del valor de la prdida potencial por el valor de la probabilidad de ocurrencia. De esta manera es prcticamente concreto y posible valorar los eventos y calcular el riesgo a fin de tomar las decisiones correspondientes. Son numerosas las organizaciones que han adoptado y aplicado con xito el anlisis de riesgo cuantitativo. De hecho se recomienda fuertemente comenzar con un anlisis de riesgo cuantitativo y luego, si el negocio lo amerita, hacer un anlisis cualitativo.

4. Descripcin de la metodologa bsica

Para el diseo y desarrollo de la nueva metodologa de anlisis de riesgos informticos se parti de una metodologa base, de la cual se procede a continuacin a dar una breve descripcin de cada una de sus etapas: Caracterizacin del sistema Identificacin de amenazas Identificacin de vulnerabilidades Anlisis de controles Determinacin de la probabilidad de ocurrencia Anlisis de impacto Determinacin del riesgo Recomendaciones de control Documentacin de resultados

5.Lisis de la metodologa base

Se realiz un estudio detallado de cada uno de los elementos funcionales que intervienen en cada etapa de la metodologa a fin de determinar los puntos dbiles que la misma presenta. En sntesis se obtuvo como resultado lo siguiente: Escasez de material terico para cada una de las etapas. Ausencia de un procedimiento prctico que mida las debilidades y calidad de los servicios de seguridad. Las escalas de la probabilidad de ocurrencia, impacto y del riesgo presentan niveles simples de valoracin. Ausencia de un anlisis de la frecuencia de una amenaza. Ausencia de un mtodo que registre el nivel del impacto y del riesgo en sus reales dimensiones. Falta de un mecanismo o procedimiento prctico que permita la interpretacin de los resultados obtenidos.

6. Anlisis funcional de las metodologas Magerit, Octave y Mehari

2 of 5

10/07/2013 06:53 p.m.

CyTA

http://www.cyta.com.ar/ta1001/v10n1a3.htm

Magerit Anlisis de Riesgos Gestin de Riesgos Octave Construccin de los Perfiles de Amenazas Basados en Activos Identificacin de la Infraestructura de Vulnerabilidades Desarrollo de Planes y Estrategias de Seguridad Mehari Diagnstico de Seguridad Anlisis de los Intereses Implicados por la Seguridad Anlisis de Riesgos Del anlisis de cada una de ellas se identific como elementos funcionales importantes a incorporar en la metodologa bsica los siguientes: 6.1. Principales elementos de Magerit Escalas de valores cualitativos, cuantitativos y de indisponibilidad del servicio. Modelo de frecuencia de una amenaza como una tasa anual de ocurrencia. Escala alternativa de estimacin del riesgo. Catlogos de amenazas Catlogos de medidas de control 6.2. Principales elementos de Octave Medidas de probabilidad considerando un rango de frecuencias. Anlisis del lmite entre niveles de probabilidad. 6.3. Principales elementos de Mehari Niveles de categoras de controles Niveles de calidad de los servicios de seguridad Evaluacin de la calidad del servicio por medio de cuestionarios Tabla modelo de impactos 6.4. Aportes seleccionados para agregar a la nueva metodologa base Reestructuracin amenaza. Reestructuracin Reestructuracin Incorporacin de investigadas. de escala de niveles de probabilidad de ocurrencia de una de escala de niveles de valoracin del impacto. de escala de niveles de determinacin del riesgo. nuevo material bibliogrfico aportado por las metodologas

7. Diseo de fases y procesos de la nueva metodologa de anlisis de riesgos informticos

En este punto de desarrollo, se procedi a redisear la metodologa base modificando e incorporando nuevos elementos y valores que nos proporcionen una metodologa nueva y consistente y que a su vez nos permita aplicarla a la realidad organizacional en cuanto a riesgos informticos se trate. El procedimiento se llev a cabo a travs de unificar etapas de la metodologa bsica con

3 of 5

10/07/2013 06:53 p.m.

CyTA

http://www.cyta.com.ar/ta1001/v10n1a3.htm

similitudes y caractersticas propias de cada una de ellas, logrando obtener como resultado cuatros fases y con procedimientos implementados en cada uno de ellos. A continuacin se detalla una breve descripcin de cmo se abord el diseo de estas cuatro fases mencionadas: a) Caracterizacin del sistema c) Identificacin de vulnerabilidades d) Anlisis de controles etapas de la metodologa base

De las etapas anteriores se obtiene la Fase I de la siguiente manera: Fase I: identificacin y evaluacin de los elementos crticos de la organizacin Esta fase contempla 2 procesos: 1. Identificar, Analizar y Valorar los Activos de la Organizacin. 2. Analizar la Vulnerabilidad y Determinar la Calidad de los Controles o Servicios de Seguridad Continuando de igual manera con otras dos etapas de la metodologa base, tenemos: b) Identificacin de amenazas e) Determinacin ocurrencia de la probabilidad de Etapas base de la metodologa

De las etapas anteriores se obtiene la Fase II de la siguiente manera: Fase II: determinacin de las amenazas e impactos sobre los activos relacionados Esta fase contempla 2 procesos: 1. Identificar y Determinar las Amenazas en Relacin a los Activos Crticos. 2. Definir la Probabilidad de ocurrencia de una amenaza. Seguimos con otras dos etapas de la metodologa base: f) Anlisis del impacto g) Determinacin del Riesgo Etapas de la metodologa base

De las etapas anteriores se obtiene la Fase III de la siguiente manera: Fase III: anlisis del impacto y del riesgo Esta fase contempla 2 procesos: 1. Valorizar y Estimar el Impacto sobre los Activos Crticos. 2. Analizar y Estimar el Riesgo Finalmente tomamos las dos ltimas etapas de la metodologa base: h) Recomendaciones de Control i) Documentacin de resultados Etapas de la metodologa base

De las etapas anteriores se obtiene la Fase IV de la siguiente manera: Fase IV: gestin de riesgos Esta fase contempla 3 procesos:

4 of 5

10/07/2013 06:53 p.m.

CyTA

http://www.cyta.com.ar/ta1001/v10n1a3.htm

1. Interpretacin de los Resultados 2. Determinar Medidas de Seguridad 3. Documentacin del Proceso de Anlisis de los Riesgos

8. Conclusiones
De esta manera hemos logrado implementar un procedimiento que evale las distintas situaciones de riesgos. La nueva metodologa permitir analizar y administrar riesgos en los siguientes niveles: Evaluacin de los activos informticos sujetos a riesgos. Evaluacin de los servicios de seguridad o controles existentes. Evaluacin de amenazas o causas de riesgos. Determinacin y valoracin del dao causado. Estimacin del nivel de riesgo y determinacin de controles. Es as que pasamos a tener en un esquema mas concentrado de solo 5 etapas tomando las mejores combinaciones de los elementos que manejan las tres metodologas mas difundidas de la administracin de los riesgos informticos. Se ha verificado en distintos escenarios de estudio que esta simplificacin favorece la implementacin de la misma en las organizaciones y permite lograr un cambio de paradigma en la toma de decisiones cuando se deben gestionar los riesgos.

9. Bibliografa
Norma IRAM-ISO/IEC 27005 - Tecnologa de la informacin. Tcnicas de seguridad. Gestin del riesgo de seguridad en la informacin, 2008, Instituto Argentino de Normalizacin y Certificacin Maas. Jos Antonio, 2006, MAGERIT versin 2. Metodologa de anlisis y Gestin de Riesgos de los Sistemas de Informacin. Ministerio de Administraciones Pblicas. Espaa. Mehari 2010, Club de la Securite de lnformation Franais CLUSIF, Francia Christopher J. Alberts; Audrey J. Dorofee y Julia H. Allen, 2001, OCTAVE catalogue of practices, version 2.0, Carnegie Mellon, Software Engineering Institute, USA.
Recibido el: 25-01-2011; Aprobado el: 03-01-2011 Tcnica Administrativa ISSN 1666-1680 http://www.cyta.com.ar URL http://www.cyta.com.ar/ta1001/v10n1a3.htm Vol.:10 Nro.:01 Buenos Aires, 15-01-2011

5 of 5

10/07/2013 06:53 p.m.