Anlisis de riesgo

Asegurar un sistema supone realizar un anlisis de riesgo adecuado y desplegar los

mecanismos, contramedidas y controles necesarios para alcanzar el mximo nivel de
seguridad posible. En la siguiente figura se presenta un proceso tpico de anlisis del
riesgo:

Proceso de anlisis de riesgo.

El anlisis del riesgo debe ser un ciclo continuo debido al rpido avance de las TIC.

Existen multitud de herramientas y metodologas para realizar estos procesos de anlisis

de riesgo, cada organizacin o compaa debe seleccionar el ms adecuado para su
tamao, sector de actividad, regulacin que le afecta, etc. Para que te hagas una idea de
cmo se llevan a cabo estos anlisis a continuacin te presentamos un sencillo ejemplo
de anlisis del riesgo con CRAMM (CCTA Risk Analysis and Management
Method). Los tres pasos del anlisis son:

Paso 1. Establecimiento de objetivos.

Paso 2. Evaluacin del riesgo.

Paso 3. Seleccin de contramedidas.

Paso 1.Establecimiento de objetivos.

Se define el alcance del sistema evaluado. En este paso se identifican:

Activos fsicos del sistema (hardware, redes).

Software, aplicaciones y servicios.

Datos e informacin.

Y se valora el impacto econmico para el negocio que tendra que no estuvieran

disponibles, que se destruyeran, que se revelaran o que se accediera a ellos sin
autorizacin (para tener en cuenta amenazas a la disponibilidad, a la integridad, a la
confidencialidad, al control de acceso, etc.).

Paso 2. Evaluacin del riesgo.

Se enumeran las amenazas que puede sufrir el sistema y a continuacin se estima la
frecuencia esperada para estas amenazas. Por ejemplo, con una escala del 1 al 10,
(donde Impacto 1 implica menos de una vez cada 10 aos y en el otro extremo el
impacto 10 implica al menos una vez al mes).

Tambin se analizan las principales vulnerabilidades asociadas a los activos

identificados. Y se estima en qu grado es vulnerable cada activo. En este caso, la
calificacin tiene que ver con la probabilidad de que nuestro sistema sufra la peor de las
consecuencias ante una determinada amenaza. Por ejemplo: vulnerabilidad 1 implica
que hay menos de un 10% de probabilidad de ver el peor escenario mientras que
vulnerabilidad 10 implica una probabilidad de entre un 90 y un 100% de ver el peor
escenario.

Si se combina la frecuencia esperada con este grado de vulnerabilidad mediante una

sencilla multiplicacin es posible cuantificar el riesgo.

Paso 3. Seleccin de contramedidas.

Supongamos que tras el paso 2 del anlisis del riesgo hemos identificado tres amenazas
para un determinado activo que es crtico para la organizacin. Y que hemos
cuantificado el riesgo de estas tres amenazas como 90, 64 y 56. Con las siguiente tabla
podramos priorizar las contramedidas y saber cul es la inversin mxima
recomendada en cada una de ellas. Recuerda siempre que si estimas los impactos
econmicos por ao, tienes que tener en cuenta la vida media de las contramedidas
(puedes invertir 100.000 euros un ao pero que la contramedida te dure 10 aos, por
ejemplo, y eso hay que tenerlo en cuenta).

Impacto econmico en el
Inversin mxima
Riesgos Tipo de amenaza peor escenario (prdidas
recomendada (anual)
anuales)
Por parada en el servicio
90 Destruccin fsica/lgica 90% de X
y/o prdida de imagen: X
Incapacidad de acceder a la
Por descontrol de los
64 informacin acerca de los 64% de Y
procesos de venta: Y
clientes
Por daos al cliente y/o
56 Actuacin maliciosa 56 % de Z
prdida de imagen: Z
El anlisis de vulnerabilidades pasa por ser uno de los pasos crticos para la
evaluacin del riesgo, se utilice la metodologa que se utilice siempre es necesario. De
hecho para cualquier plan director de seguridad o iniciativa de fortificacin, se trata
del punto de partida, hay que saber qu vulnerabilidades presentan nuestros activos en el
presente. Dado lo rpido que caducan estos procesos, debemos hablar de un ciclo
continuo de anlisis. Podemos clasificar los diferentes anlisis en tres grandes bloques:

Caja negra: El auditor o analista trabaja sin conocimiento previo del objetivo,
se simula un ataque real y se evala el comportamiento del sistema desde fuera. Es
posible identificar sntomas, pero no causas, dando lugar a un gran nmero de
falsos negativos (no detectar como un problema algo que realmente s lo es).

Caja blanca: Se basa en un conocimiento completo del objetivo por parte del
auditor o analista. En este caso, se identifican los orgenes de posibles
vulnerabilidades (debilidades), si bien es posible que se generen gran nmero de
falsos positivos (detectar como un problema algo que realmente no lo es).

Caja gris: Se trata de una solucin intermedia que intenta combinar los
beneficios de los dos mtodos anteriores, el auditor o analista no trabaja a ciegas
pero tampoco con el 100% de la informacin acerca de los activos analizados.