Documente Academic
Documente Profesional
Documente Cultură
BORRADOR
AVISO LEGAL
http://creativecommons.org/licenses/by-nc-sa/2.5/
Para obtener más información sobre FAIR, licencias, etc ... Por favor ponerse en contacto con la Gestión de Riesgos Insight:
http://www.riskmanagementinsight.com
Jack Jones
en jonesj1@riskmanagementinsight.com
Tabla de contenido
Introducción 1
¿Qué está cubierto ... 2
Factoring riesgo 17
Riesgo de descomposición 17
La frecuencia de eventos de pérdida (LEF) 18
Frecuencia amenaza eventos (TEF) 18
Contacto 19
Acción 20
Vulnerabilidad 20
Capacidad de amenaza 21
Fuerza de Control 21
Magnitud pérdida probable (PLM) 22
Factores pérdida primaria 25
Factores de pérdidas secundarias 27
controles 31
dimensiones de control 31
Ciclo de vida de Control 33
Riesgo medir 34
Teoría de medición 34
La medición de los factores de riesgo 36
La medición de la frecuencia de eventos de amenaza (TEF) 36
La medición de la capacidad de amenaza (TCAP) 37
La medición de la fuerza de control (CS) 38
La vulnerabilidad se deriva 38
Derivado de frecuencia Pérdida de eventos (LEF) 39
La medición de la magnitud probable pérdida (PLM) 39
La estimación de la pérdida 41
La articulación de derivar y Riesgo 44
Apéndice B: Glosario 1
Sobre el Autor 1
Introducción
No se puede gestionar con eficacia y coherencia lo que no se puede medir, y no se puede medir
Hacer una docena de profesionales de la seguridad de la información para de fi nir el riesgo y que está seguro de obtener varias respuestas diferentes. Tomar cualquier libro de
seguridad de la información y es muy probable que nd fi que el autor ha utilizado los términos de riesgo, amenaza y vulnerabilidad intercambiable (que no son la misma cosa). El
simple hecho es que nuestra profesión no ha adoptado un léxico estándar o taxonomía. Las consecuencias no son favorables, y muchos dentro de la profesión de seguridad de la
Tal como lo veo, estas cuestiones prácticamente gritan “falta de credibilidad”, sin embargo, nuestra respuesta más común ha sido la de quejarse, “ellos (los ejecutivos)
simplemente no lo entienden.” Mis observaciones recientes sugieren lo contrario. En los últimos años se ha convertido en evidente para mí que, mucho más a menudo
que no, los ejecutivos lo entiendo. Estas son personas afilados que viven y respiran la gestión del riesgo como un signi fi cativo y el componente fundamental de su
trabajo. Parece, en cambio, que la desalineación se reduce a diferencias básicas en la definición y perspectiva. Los ejecutivos están pensando “riesgo”, y estamos
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 1
Una introducción a la FERIA - BORRADOR
pensar “seguridad” - dos cosas de manera sutil, pero críticamente diferentes, que se harán evidentes a medida que avanzamos a través de este documento.
La buena noticia es que algunos dentro de nuestra profesión han reconocido la necesidad de centrarse en el riesgo, y han desarrollado procesos y herramientas que nos llevan en
esa dirección de análisis. FRAP y OCTAVE® •• hay un par de los ejemplos más conocidos. El desafío sin respuesta, sin embargo, es que sin una sólida comprensión de lo que el
riesgo es, cuáles son los factores de riesgo que la unidad, y sin una nomenclatura estándar, que no pueden ser compatibles o realmente eficaz en el uso de cualquier método. Este
enfoque se pretende sentar estas bases, así como un marco para la realización de análisis de riesgo. Es importante tener en cuenta que gran parte del marco de la muestra se
puede utilizar para fortalecer, en lugar de reemplazar, los procesos de análisis de riesgo como los mencionados anteriormente existente.
Ser prevenido que algunas de las explicaciones y aproximaciones dentro del marco de la muestra pondrá a prueba las creencias y prácticas de larga data dentro de nuestra
profesión. Lo sé porque en varios momentos durante mi investigación me he visto obligado a confrontar y conciliar las diferencias entre lo que he creído y practicado durante
años, y las respuestas que fueron resultantes de la investigación. En pocas palabras - FAIR representa un cambio de paradigma, y los cambios de paradigma nunca son
fáciles.
Riesgos y análisis de riesgos están sujetos grandes y complejos. En consecuencia, en la redacción de este documento he tenido que equilibrar la necesidad
de proporcionar información suficiente para que los conceptos de riesgo y el marco de la muestra son claras y útiles, y sin embargo mantener la longitud
manejable. El resultado es lo que mejor se puede describir como una introducción y una imprimación. Por ejemplo, he limitado el alcance para incluir sólo el
panorama de las amenazas maliciosas humana, dejando de lado los eventos de amenazas asociadas con el error, el fracaso, o actos de Dios. Algunos de
los elementos más profundos y complejos del marco también se han quedado fuera, y otros elementos han sido cepillado más ligera. Por favor, acepte mis
disculpas de antemano por las inevitables preguntas de esta introducción dejará sin respuesta. Se está desarrollando más documentación exhaustiva. Por
otra parte,
La sección de Neumáticos Calvo Escenario ilustrará, a través de la metáfora, algunos de los retos fundamentales que enfrenta la profesión de seguridad de la información.
También introduce brevemente algunos de los conceptos que son fundamentales para superar nuestros retos.
Antes de que podamos discutir razonablemente los factores que impulsan el riesgo, primero tenemos que llegar a un entendimiento común de lo que es el riesgo. Riesgo y
Análisis de Riesgos discute los conceptos de riesgo y algunas de las realidades que rodean el análisis de riesgos y probabilidades. Esto proporciona una base común para la
Riesgo componentes del paisaje brevemente describe los cuatro componentes principales que componen cualquier escenario de riesgo. Estos componentes tienen características
Factoring riesgo comienza a descomponerse riesgos de la información en sus partes fundamentales. La taxonomía resultante se describe cómo los factores de riesgo se combinan para
conducir el riesgo, y establece una base para el resto del marco de la muestra. Tenga en cuenta que nos quedaremos relativamente alto nivel en nuestra factorización para mantener esta se
convierta en un libro.
los controles sección introduce brevemente las tres dimensiones de un paisaje controles.
Riesgo medir discute brevemente los conceptos y retos de medición y, a continuación, proporciona una discusión de alto nivel de las mediciones de los factores de riesgo.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 2
Una introducción a la FERIA - BORRADOR
A medida que avance a través de cada uno de los pasos dentro del escenario a continuación, preguntarse cuál es el riesgo asociado a lo que está siendo descrito.
‣ Imagen en su mente un neumático de coche calva. Imagine que es tan calvo apenas se puede decir que nunca había pisar. ¿Cuánto riesgo está ahí?
‣ Luego, imagine que el neumático desgastado está atado a una cuerda que cuelga de una rama de un árbol. ¿Cuánto riesgo está ahí?
‣ Luego, imagine que la cuerda está deshilachado a mitad de camino a través, justo debajo de donde está atada a la rama de un árbol. ¿Cuánto riesgo está ahí?
‣ Por último, imagina que el columpio está suspendido sobre un acantilado de 80 pies - con afiladas rocas de abajo. ¿Cuánto riesgo está ahí?
‣ amenazas
‣ vulnerabilidades
‣ riesgos
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 3
Una introducción a la FERIA - BORRADOR
Análisis de escenario
La mayoría de las personas creen que el riesgo es 'Alto' en la última etapa del escenario Calvo Tiro. La respuesta, sin embargo, es que hay muy poca probabilidad de pérdida significativa
dado el escenario exactamente como se describe. A quién le importa si un, viejo neumático desgastado vacío cae a las rocas de abajo?
Era mi pregunta sobre la cantidad de riesgo injusto? Tal vez, y he oído las protestas antes ... “Pero lo que si alguien sube en el columpio?” y, “El propósito de la
llanta es para ser girado en, por lo que, por supuesto, asumimos que alguien finalmente subir en él!” Ambos son argumentos razonables. Mi punto es que es fácil
de hacer suposiciones en el análisis de riesgos. De hecho, algunas suposiciones son inevitables porque es imposible conocer todos los factores concebibles
dentro de un escenario de riesgo. Sin embargo, los supuestos sobre los aspectos clave del entorno de riesgo pueden debilitar seriamente el análisis global.
El segundo punto que me gustaría hacer es que, de cualquier grupo que pasa por el escenario Calvo neumáticos, normalmente a conseguir varias descripciones diferentes de
lo que constituye la amenaza, vulnerabilidad y riesgo en el escenario. He oído la cuerda deshilachada descrito como una amenaza, vulnerabilidad y riesgo. También he oído el
acantilado y las rocas se describe como una amenaza, vulnerabilidad y riesgo. El simple hecho es que, como profesión, no hemos adoptado definiciones estándar de fi para
nuestros términos. En conversaciones informales entre nosotros mismos, esto no siempre puede ser un problema significativo, ya que normalmente entendemos lo que se
entiende por el contexto de la conversación. Considere, sin embargo, que los físicos no confunden términos como masa, peso y velocidad, y los profesionales financieros no
confunden de débito y de crédito - incluso en conversaciones informales - porque hacerlo significativamente aumenta la posibilidad de confusión y malos entendidos. Esto es
importante a tener en cuenta cuando estamos tratando de comunicarse a los que están fuera de nuestra profesión - en particular a los ejecutivos afilados que están muy
familiarizados con los conceptos fundamentales de riesgo - en donde el mal uso de términos y conceptos pueden dañar nuestra credibilidad como profesionales y reducir la
Un tercer punto es que no se puede tener riesgo significativo sin la posibilidad de pérdida significativa fi. En otras palabras, no importa la forma expuesta a daño
activo es, si el activo no vale mucho, el riesgo no es alto. Esto es porque riesgo siempre incluye un componente de valor. Si no fuera así, las apuestas de un millón de
Un punto final es que hay una tendencia a equiparar la vulnerabilidad al riesgo. Vemos una cuerda deshilachada (o un servidor que no es adecuadamente con fi gurada) y
concluir automáticamente que el riesgo es alto. ¿Existe una correlación entre la vulnerabilidad y el riesgo? Sí. Es la correlación lineal? No, porque la vulnerabilidad es sólo un
componente de riesgo. Amenaza frecuencia de eventos y la magnitud de pérdida también son partes clave de la ecuación de riesgo.
Así que, ¿cuáles son los activos, la amenaza, la vulnerabilidad y los componentes de riesgo dentro del escenario Calvo Tiro? La Definiciones y fundamentos de ficción se describen más
‣ La vulnerabilidad potencial es la cuerda deshilachada (haciendo caso omiso de la posibilidad de una rama de un árbol podrido, etc.)
¿Qué pasa con el riesgo? ¿Qué parte del escenario representa riesgo? Bueno, el hecho es que no hay un solo componente dentro del escenario que podemos señalar y
decir: “Aquí está el riesgo.” El riesgo no es una cosa. No podemos ver, tocar o medir directamente. Similar a la velocidad, que se deriva de distancia dividida por el
tiempo, el riesgo es un valor derivado. Se deriva de la combinación de las características de frecuencia de eventos amenaza, vulnerabilidad y valor de los activos y
pasivos.
Después de haber hecho una cuestión de terminología, los siguientes párrafos establecen y discutir brevemente algunas de fi niciones básicas.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 4
Una introducción a la FERIA - BORRADOR
Amenaza
Un razonable definición de Amenaza es cualquier cosa (por ejemplo, objeto, sustancia, humano, etc.) que es capaz de actuar contra un activo de una manera que puede resultar en daño. Un
tornado es una amenaza, ya que es una inundación, al igual que un hacker. La consideración clave es que las amenazas se aplican la fuerza (agua, viento, código de explotación, etc.) en
Vulnerabilidad
A pesar de que la vulnerabilidad es comúnmente reconocida como una “debilidad que puede ser explotado”, hay más que eso. Vamos a cavar en la vulnerabilidad más profundamente
más adelante, pero por ahora vamos a dejarlo como una condición en la que la capacidad de amenaza (fuerza) es mayor que la capacidad de resistir esa fuerza.
Es posible que haya preguntado por qué “potencial” se enfatiza cuando identi fi cados la cuerda deshilachada como una vulnerabilidad potencial. La razón es sólo una
vulnerabilidad potencial es que primero tiene que hacer la pregunta, “Vulnerable a qué?” Si nuestra cuerda deshilachada todavía tenía una resistencia a la tracción de 2.000 libras
por pulgada cuadrada, su vulnerabilidad al peso de un neumático lo haría, por todos los propósitos prácticos, será prácticamente cero. Si nuestro escenario había incluido una
ardilla roer la cuerda deshilachada, entonces él también sería considerado una amenaza, y la dureza de la cuerda determinaría su vulnerabilidad frente a esa amenaza. Un cable
de acero - incluso un deshilachado uno - no sería particularmente vulnerable a nuestro amigo peludo. El punto es que la vulnerabilidad es siempre depende del tipo y el nivel de
Activo
En el contexto de riesgos de la información, podemos de fi nir Activo como cualquier dato, dispositivo o otro componente del entorno que apoya las actividades relacionadas con la
información, que pueden ser ilícitamente accederse, utilizados, divulgados, alterado, destruido, y / o robados, lo que resulta en la pérdida. La pregunta se hace a menudo si la
reputación corporativa es un activo. Claramente, la reputación es un activo importante para una organización, sin embargo, no puede considerarse como un activo de información
dada nuestra de fi nición. Sí, la reputación puede ser dañada, sino que es un resultado de un evento aguas abajo en lugar de que el activo principal dentro de un evento. Por
ejemplo, daños a la reputación puede resultar de la divulgación pública de información confidencial de clientes, pero el principal activo en tal caso es la información de los clientes.
Riesgo
La siguiente definición se aplica independientemente de si se está hablando de riesgo de la inversión, el riesgo de mercado, riesgo de crédito, riesgo de la información, o
En otras palabras - la frecuencia con que algo malo es probable que suceda, y la cantidad de pérdida es probable que resulte. Como se indicó anteriormente, estas
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 5
Una introducción a la FERIA - BORRADOR
Otros factores
Entonces, ¿dónde hacer el acantilado y las rocas fi t en la ecuación de riesgo? No son agentes de amenaza, ya que no precipitan un evento y, claramente, no son vulnerabilidades
que permiten que un evento ocurra. En consecuencia, estos componentes pueden ser considerados factores de pérdidas secundarias porque su existencia contribuye a la magnitud
de la pérdida de un evento. Un ejemplo del mundo real sería las multas y sanciones impuestas por los organismos reguladores después de un evento de seguridad informática.
Las regulaciones y los reguladores no son los agentes que cometen una infracción, por lo que no son amenazas en el contexto del evento. Tampoco son una debilidad tecnológica,
de procedimiento, o de otro tipo que permitió que ocurriera la ruptura. Sin embargo, juegan un papel en la cantidad de pérdida que ocurre y por lo tanto deben ser incluidos en el
análisis de riesgos. (Tenga en cuenta, sin embargo, que hay escenarios en los que los reguladores pueden ser clasificados como agentes de amenaza -. Es decir, cuando se
gestión de riesgos de la información hoy en día se practica como un arte que una ciencia. ¿Cual es la diferencia? Ciencia comienza por analizar la naturaleza de
la materia - la formación de una definición de y determinar el alcance del problema. Una vez logrado esto, se puede empezar a formar y luego corroborar teorías
e hipótesis, que proporcionan una comprensión más profunda. Esta comprensión más profunda proporciona los medios para explicar y gestionar más
eficazmente el tema.
Arte, por otra parte, no operar dentro de un marco de fi nida claramente de o definición. En consecuencia, no es posible explicar consistentemente
o calcular en base a un enfoque artístico. Un ejemplo útil es chamanismo. El chamán pone los huesos o “confiere a los dioses.” A continuación,
prescribe un remedio en base a lo que sus antepasados han transmitido a él ( “mejores prácticas”). Ahora, algunos chamanes pueden ser
extremadamente intuitivo y sensible a las condiciones dentro de un escenario y pueden ser capaces de seleccionar una solución razonable en la
mayoría de las ocasiones. Pero el chamán no puede explicar racionalmente su análisis, ni puede explicar por qué funciona de manera creíble la
cura (o, a veces no funciona). Y, aunque nos gustaría creer que las mejores prácticas son generalmente eficaces (ya que se tiende a volver a
utilizar lo que ha tenido éxito en el pasado), esto puede ser una suposición peligrosa.
Hay, sin embargo, no hay duda de que la intuición y la experiencia son componentes esenciales de la forma en que hacemos nuestro trabajo. Lo mismo es cierto para cualquier
profesión. Sin embargo, estos solos no proporcionan mucha tracción en la cara de examen crítico, y no son fuertes fórmulas para consistencia.
Recientemente, nuestra profesión ha comenzado a pagar una cantidad significativa de atención a las métricas. Una palabra de advertencia - métricas y la ciencia no son
la misma cosa. Puedo medir algunos parámetros o contar los casos de algún evento, pero si no he desarrollado una comprensión lógica y racional del contexto más
amplio dentro del cual se aplica la métrica, todo lo que tengo es un número. Por otra parte, en ausencia de una comprensión fundamental de la materia, es demasiado
fácil malinterpretar y mal uso de los datos. A fin de que las métricas para ser verdaderamente útil, tenemos que entender nuestro tema.
No podemos coherente y eficaz gestionar lo que no podemos medir - y no podemos medir lo que tenemos no de fi nido. Lo primero que tenemos que hacer para cambiar
desde el arte a la ciencia es de fi ne nuestro tema. ¿Qué es exactamente riesgos de la información? Qué son
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 6
Una introducción a la FERIA - BORRADOR
los factores que lo componen, y cómo se relacionan entre sí? Después de que hemos de fi nido nuestro tema, ¿cómo lo medimos? ¿Cómo podemos modelar y evaluar
los escenarios de riesgo complejos que enfrentamos? Por último, si nos las hemos arreglado para llevar a cabo todas estas cosas, ¿cómo articulamos riesgo para los
‣ Una taxonomía de los factores que componen riesgos de la información. Esta taxonomía proporciona una comprensión básica de riesgos de la información, sin el cual
no podríamos razonablemente el resto. También proporciona un conjunto de estándares de fi niciones para nuestras condiciones.
‣ Un método para medir los factores que impulsan el riesgo de la información, incluida la frecuencia de eventos amenaza, la vulnerabilidad y la pérdida.
‣ Un motor computacional que deriva del riesgo mediante la simulación matemática de las relaciones entre los factores medidos.
‣ Un modelo de simulación que nos permite aplicar la taxonomía, método de medición, y el motor de cálculo para construir y analizar escenarios de riesgo de
prácticamente cualquier tamaño o complejidad.
Como se mencionó en la introducción, este documento será pincel sobre algunos componentes del marco, y no hablar de otros en absoluto. Por ejemplo, el
método de medición descrito en este documento ha sido significativamente simpli fi ed, el motor de cálculo no se discute en detalle, y el modelo de simulación,
no se examina en absoluto. No obstante, el material proporciona una base para un mejor análisis de riesgos, y prepara el escenario para la discusión, el
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 7
Una introducción a la FERIA - BORRADOR
Nuestro primer reto es para definir la naturaleza del problema que estamos tratando de resolver - es decir, ¿cuál es el riesgo? Esta sección brevemente la cubierta y la naturaleza del riesgo y
Riesgo de fi nido
Hay tres cosas importantes para reconocer a partir de esta definición. Primera y más obvia - riesgo es una cuestión de probabilidad. Vamos a cubrir esto con más detalle a lo largo del
documento, por lo que no voy a extenderme ahora. En segundo lugar - el riesgo tanto tiene una frecuencia y un componente de magnitud. Y en tercer lugar - el punto que me gustaría
centrarse en aquí - es que esta definición de riesgo se aplica igualmente bien independientemente de si estamos hablando de la inversión, mercado, crédito, servicios legales, seguros, o
cualquiera de los otros dominios de riesgo (incluyendo riesgos de la información) que son comúnmente tratada en los negocios, el gobierno y la vida. En otras palabras, la naturaleza
fundamental de riesgo es universal, independientemente del contexto. La buena noticia es que los conceptos de riesgo han sido estudiados para las generaciones dentro de otras
profesiones, por lo que una gran cantidad de buena información está disponible. La noticia no tan buena es que tenemos, mucho más a menudo que no, se acercó a riesgo de la
información como si fuera algo diferente de los otros dominios de riesgo. Este es uno de los primeros obstáculos que tienen que superar si queremos entender realmente nuestro problema
de espacio.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 8
Una introducción a la FERIA - BORRADOR
El propósito de cualquier análisis de riesgos es proporcionar a la toma de decisiones con la mejor información posible acerca de las probabilidades de pérdida. En consecuencia, es crucial
que los tomadores de decisiones aceptan la metodología de análisis de riesgo que se utiliza, y que la información resultante del análisis está en una forma que es útil para ellos. En este
sentido, las limitaciones de nuestro “análisis de riesgos” tradicionales métodos de seguridad de la información se pondrán de manifiesto a medida que avanzamos a través de este
documento.
El análisis de riesgo nunca es perfecta. El hecho es que todos los modelos de análisis de riesgo son aproximaciones a la realidad porque la realidad es demasiado compleja para siempre
modelar exactamente. No obstante, mediante la descomposición de un tema complejo en sus componentes más claras, analizados con mayor facilidad, podemos entender y hacer juicios
Cualquier modelo de análisis se verá limitada por la complejidad del tema, hasta qué punto entendemos el tema, y lo bien que el modelo incorpora esa
comprensión.
Justo es sólo una manera de desollar el gato análisis de riesgos. Hay muchas personas dedicadas que trabajan para desarrollar otros métodos con los mismos objetivos en
mente. Esta es Terri noticias fi ca a los que están tratando de ser lo más eficaz posible en la gestión de riesgos. Sin embargo, independientemente de los métodos que
considere el uso, le animo a evaluar cualquier método de análisis de riesgos en al menos tres puntos.
‣ ¿Es útil?
‣ ¿Es lógico?
‣ ¿Se pista con la realidad?
Una metodología es útil cuando se cumpla con las necesidades de las personas que toman las decisiones de riesgo. Si nuestro análisis proporciona información sobre la
eficacia de los controles en un entorno, sino que toman las decisiones están buscando información sobre la probabilidad de incidentes y las pérdidas, a continuación, la
metodología no es útil. Del mismo modo, si proporcionamos métricas “indicador clave del riesgo”, pero no existe una clara vinculación entre las condiciones descritas por las
métricas y la probabilidad de pérdida, a continuación, las métricas se convierten en poco más que un escaparate.
Existen métodos de “análisis de riesgo” en uso hoy en día cuya lógica se desmorona bajo examen minucioso. A menudo, estos métodos llaman a sí mismos el análisis de riesgos,
cuando lo que realmente están analizando es un subcomponente de riesgo (por ejemplo, la vulnerabilidad o controles). Tenga en cuenta, sin embargo, que estos métodos pueden ser
excelentes en lo que hacen en realidad, así que no pasar por alto su valor. Es simplemente una cuestión de reconocer lo que hacen y no proporcionan. Una forma sencilla de
identificar un método bona fi de análisis de riesgos es determinar si se incluye un análisis de frecuencia de amenaza, vulnerabilidad, y la magnitud de pérdida, y si se trata el
problema de manera probabilística. Si uno o más de estos componentes no se encuentra, o si el problema no es tratada como una probabilidad, a continuación, lógicamente, no es
El último punto de consideración - el seguimiento de la realidad - es especialmente crítica. Es también un punto que puede ser particularmente difícil para nuestra
profesión para llegar a un acuerdo con. Vamos a utilizar, como ejemplo, la condición de los controles de una red corporativa interna típica. Mi experiencia ha sido que la
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 9
Una introducción a la FERIA - BORRADOR
bien protegido (al menos en relación con las “mejores prácticas” teóricos), sin embargo, relativamente pocas organizaciones realmente han experimentado una pérdida severa asociada a
este hecho. eventos de pérdidas significativas se producen, no hay duda de eso, pero son asombrosamente poco frecuente dada la prevalencia de prácticas de seguridad malos. Un análisis
de riesgos realista debería reflejar este hecho. En otras palabras, un análisis de riesgos efectiva de un entorno de tecnología de la información corporativa interna promedio debe, en la
mayoría de los casos, identificar muy pocos temas verdaderamente de alto riesgo, a pesar del hecho de que los controles puedan no cumplir estándares de mejores prácticas.
Nuestra profesión ha llegado a ser muy bueno en la evaluación de los controles técnicos en un entorno - longitud de la contraseña / complejidad / historia, si los
privilegios de acceso apropiados están en su lugar, el número de capas de fi rewalls existen, cómo estrictas disponibles del producto antivirus es, si la detección de
intrusiones existe, etc. también saben lo que los controles no técnicos clave son - si existen políticas, el nivel de conocimiento del usuario, el patrocinio ejecutivo del
controles son sólo parte de la ecuación de riesgo. De hecho, los controles son sólo una parte de la ecuación de la vulnerabilidad. Vamos a cubrir la “ecuación” riesgo a medida
que avanzamos, pero, como he descrito en la introducción, la vulnerabilidad es siempre relativa al tipo y nivel de fuerza que se aplica. Si tan sólo medimos los controles, pero los
resultados llamamos “vulnerabilidad”, entonces hemos hecho suposiciones significativas en cuanto al nivel y tipo de amenazas involucradas. Con el fin de evaluar eficazmente el
Cuando usted está evaluando cualquier método de análisis de riesgos - FERIA incluido - hacer preguntas difíciles. Asegúrese de que cumple con las necesidades de los tomadores de
Posibilidad es una condición binaria - ya sea algo es posible, o no lo es - 100% o 0%. Probabilidad re fl eja el continuo entre la certeza
absoluta y la imposibilidad.
ejecutivos con demasiada frecuencia en mi carrera, me he encontrado y otros que ven la profesión seguridad de la información como paranoico y lleno de “Littles
pollo proclamando que el cielo se está cayendo”. Por desgracia, esta perspectiva es generalmente bien fundada. Hemos tendido a hablar en términos de “podría
suceder” (posibilidad) en lugar de en términos que describen la probabilidad de que ocurra algo.
El simple hecho es que riesgo es siempre una cuestión de probabilidad. Considere la diferencia entre jugar a la ruleta rusa con un revólver de seis
cilindros estándar versus un semi-automática. Las posibilidades son iguales, ya sea con arma de fuego - es decir, es 100% posible en ambos casos que el
jugador sufriría una de las probabilidades, sin embargo, son significativamente diferentes “resultado negativo.”. En el primer caso, suponiendo que el
revólver está cargado con una sola bala, la probabilidad de un resultado negativo es de aproximadamente 17%. En el segundo caso, suponiendo una sola
bala se carga y la recámara en el semi-automática, la probabilidad de un resultado negativo es de aproximadamente 100% (que podría, por supuesto, MIS
fi re). Está claro que prefiero no jugar el juego en absoluto, pero si tuviera que elegir entre las dos armas, yo preferiría basar mi elección en la comprensión
La preocupación natural, por supuesto, es cómo se supone que debemos determinar las probabilidades cuando hay pocos datos empíricos sobre el riesgo de la información. Voy a
ir más lejos que eso - no sólo hay muy pocos datos de riesgo de la información, la mayor parte de los datos que tienen no es creíble. Este es el por qué. Con el fin de establecer
conclusiones fiables a partir de datos, los datos tienen que ser razonablemente precisa, actual, y estadísticamente significativo como muestra. En el ámbito de riesgo de la
información, la exactitud de los datos existentes tiene que ser seriamente cuestionado porque no puede normalizarse contra una taxonomía estándar (es decir, a causa de nuestros
retos de terminología, de una persona “vulnerabilidad” es “amenaza” de otra persona, etc. ). Esta ausencia de un marco taxonómico también
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 10
Una introducción a la FERIA - BORRADOR
presenta un desafío significativo debido a la gran complejidad y variedad de nuestros paisajes de riesgo y el hecho de que los datos que tenemos hoy no incluye detalles con
respecto a los factores que contribuyen al riesgo. Por ejemplo, la encuesta anual de CSI / FBI no describe lo que existieran condiciones especí fi cos dentro de las empresas
que recibieron o no experimentan pérdida debido a la piratería. En consecuencia, no podemos saber si existen factores que contribuyen comunes en aquellas empresas que
experimentaron pérdidas, frente a los que no experimentan pérdida. Fomentar nuestro desafío, los componentes dentro de nuestro panorama de riesgos cambian con tanta
La ausencia de buenos datos no nos libera de la obligación de hacer frente a riesgos de la información como una cuestión de probabilidad. Vale la pena señalar que los análisis no
son de datos accionado se han adoptado con éxito para varias aplicaciones, incluyendo el diagnóstico médico, la orientación de misiles, cohetes de control del motor, y la
De ser “malo”
Muchas personas se sienten muy incómodos con la idea de las probabilidades de estimación, especialmente si creen que podrían ser percibidos como, y
responsables de, estar equivocado si el futuro se desarrolla de manera diferente de lo que parece que predijeron.
El análisis de riesgos es fundamentalmente trata de establecer las probabilidades, y puedo garantizar que si lo haces con la suficiente frecuencia, en algún momento del futuro se
desarrollará de una manera que deja abierta la posibilidad para que otros lo perciben que estabas equivocado. Ahora, siempre existe la posibilidad de que te has equivocado con
su análisis - somos humanos, después de todo. Pero incluso si su análisis era perfecto, el futuro es incierto. Un gran ejemplo está rodando un par de dados de seis caras.
Suponiendo que los dados y rollo no se fija de alguna manera, podemos establecer con un alto grado de confianza que hay sobre una probabilidad 2,7% de suaves ojos de
serpiente, o, en otras palabras, una vez cada treinta y seis rollos. Ahora bien, si los ojos de serpiente aparece en el primer rollo de ficción, ¿quiere decir que nuestras
probabilidades estaban equivocados? ¡No! No hay ninguna razón racional para esperar que los dados que esperar hasta el trigésimo sexto rollo para subir ojos de serpiente. La
clave a tener en cuenta es que el establecimiento de las probabilidades no es lo mismo que predecir el futuro.
En cualquier momento nos vemos obligados a tomar una decisión, que lo hacen sin conocimiento perfecto de lo que será el resultado. Podemos estar casi seguro, pero nada
proporciona certeza absoluta de lo que depara el futuro. Esta incertidumbre introduce riesgo - es decir, el resultado de cualquier decisión puede ser indeseable.
La buena noticia es que la mayoría de los hombres de negocios y líderes son muy conscientes de que no existen garantías y que la naturaleza del negocio implica
incertidumbre y el riesgo. También entienden la noción de probabilidades y apreciar un análisis que articula riesgo en esos términos en lugar de en términos de “que podría
suceder.” La “Te puede pasar” el análisis es generalmente visto como una posición “Chicken Little” y es de poca valor a la persona tomar la decisión. Ellos necesitan
entender las probabilidades de pérdida (es decir, el riesgo) para que puedan equilibrar aquellos en contra de las probabilidades de recompensa.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 11
Una introducción a la FERIA - BORRADOR
Tolerancia al riesgo
Una de las preguntas que FAIR y otros métodos de análisis de riesgo nunca respuesta es si un determinado nivel de riesgo es aceptable. El análisis de riesgos sólo se
identi fi ca cómo existe mucho riesgo. Podemos dibujar líneas en tablas y establecer diversos criterios que tratan de delimitar entre lo que es aceptable y lo inaceptable,
pero, al fin y al cabo, la aceptabilidad es un tema muy humano y personal. Un tomador de decisiones siempre elige entre el riesgo y la recompensa, o entre diversos
riesgos. Eso es lo que las decisiones de riesgo son - la elección entre la probabilidad de pérdida (riesgo) y la probabilidad de recompensa. El análisis de riesgos
Otra cosa a tener en cuenta es que la tolerancia al riesgo es única para cada individuo. Cada uno tiene diferentes niveles de tolerancia de pérdida, y nuestra tolerancia para la
pérdida varía de un tema a otro. Por ejemplo, puede haber una tolerancia muy baja para la pérdida financiera, pero estar totalmente dispuesto a tomar el paracaidismo. Como
resultado de ello, no hay que ser demasiado preocupado cuando otros tienen una perspectiva muy diferente de lo que representa un riesgo aceptable. Esas diferencias son
Resumen
Todo lo que hemos cubierto hasta ahora pone de relieve el hecho de que el riesgo de la información es un tema complejo, y que nuestra profesión ha sido desafiado para
hacer frente con eficacia. En este punto voy a añadir que lo justo no es una solución perfecta; no existen soluciones perfectas. FAIR, sin embargo, proporcionan una
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 12
Una introducción a la FERIA - BORRADOR
contiene cuatro componentes principales - las amenazas, los activos, la propia organización, y el ambiente externo. Todo dentro de un escenario cae en una de estas
categorías, y cada uno tiene atributos, o factores, que contribuyen positivamente o negativamente al riesgo.
En esta sección, vamos a pasar la mayor parte de nuestro tiempo que cubre el componente de amenaza porque los análisis FAIR incluso simples confiar en el analista de tener una sólida
amenazas
Como ya he mencionado en la sección Bald Tiro, amenazas son algo (por ejemplo, objeto, sustancia, humano, etc.) que son capaces de actuar contra un activo de una manera que puede
resultar en daño. Un tornado es una amenaza, ya que es una inundación, al igual que un hacker. La consideración clave es que las amenazas se aplican la fuerza (agua, viento, código de
explotación, etc.) en contra de un activo que puede causar un evento de pérdida que se produzca.
A medida que avanzamos a través de este documento, veremos que los factores de amenaza juegan un papel importante en nuestras probabilidades de pérdida. El reto es que no
podemos saber quién será el próximo atacante será más de lo que podemos saber si el siguiente lanzamiento de la moneda a su vez a la cabeza. Sin embargo, porque entendemos las
características fundamentales de la moneda y el sorteo, se puede predecir razonablemente que de los próximos 500 lanzamientos, aproximadamente (pero probablemente no
precisamente) 50% a su vez a la cabeza. De la misma manera, podemos de fi nir y caracterizar el panorama de las amenazas, y luego establecer probabilidades razonadas relativas a
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 13
Una introducción a la FERIA - BORRADOR
Agentes de amenaza
Prácticamente cualquier persona y cualquier cosa puede, en las circunstancias adecuadas, ser un agente de amenaza - la, operador bien intencionado, pero inepto equipo que destroza
un trabajo por lotes todos los días escribiendo el comando erróneo, el regulador de la realización de una auditoría, o la ardilla que mastica a través un cable de datos.
Comunidades de amenaza
Los subgrupos de la población total de agente de amenaza que comparten características clave
La noción de comunidades de amenaza es una poderosa herramienta para entender quién y qué nos enfrentamos al tratar de manejar el riesgo. Por ejemplo,
‣ El motivo: la ideología
‣ características generales de destino preferidos: entidades o personas que representan claramente una ideología conflictivos
Un agente de amenaza de estas características podría decirse que caen en la comunidad amenaza terrorista.
La probabilidad de que su organización estaría sujeta a un ataque de la comunidad amenaza terrorista dependería en gran medida de las características de su
organización en relación con los motivos, intenciones y capacidades de los terroristas. ¿Su organización está estrechamente fi af liated con la ideología que los
conflictos con conocidos, grupos terroristas activos? ¿Su organización representa un archivo, es objetivo de alto impacto alta pro? Es su organización un blanco
fácil? ¿Cómo se compara su organización con otros objetivos potenciales? Si su organización llegara a estar bajo ataque, lo que los componentes de su organización
habría objetivos probables? Por ejemplo, ¿qué probabilidades hay de que los terroristas orientar su información o sistemas?
Las siguientes comunidades de amenazas son ejemplos del panorama de las amenazas maliciosas humana se enfrentan muchas organizaciones:
‣ Interno
- Empleados
- Contratistas (y proveedores)
- Fogonadura
‣ Externo
- Los ciberdelincuentes (hackers profesionales)
- Spies
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 14
Una introducción a la FERIA - BORRADOR
- activistas
- servicios de inteligencia estatales Nation (por ejemplo, homólogos a la CIA, etc.)
Tenga en cuenta que se puede subdividir la población amenaza adicional, o de otra manera, como se adapte a sus necesidades. Por ejemplo, en muchos análisis de riesgo
que tiene perfecto sentido para subdividir los empleados en los que se han elevado los privilegios de acceso y una mayor experiencia técnica (por ejemplo, el sistema y los
administradores de red), y los que no tienen privilegios elevados o altos niveles de experiencia (por ejemplo, , la población empleado general). Al subdividir las comunidades o
identificar nuevas comunidades, es importante tener claro lo que diferencia a las nuevas comunidades de los ya existentes.
También es importante reconocer que la pertenencia a la comunidad amenaza no es mutuamente excluyente. En otras palabras, un agente de amenaza
puede ser miembro de más de una comunidad amenaza - por ejemplo, un hacker no profesionales también podría ser un empleado o contratista. Del mismo
modo, las características de los agentes de amenaza individuales no siempre pueden alinear perfectamente con cualquier comunidad amenaza individual. En
otras palabras, las características de un agente de amenaza individual no pueden alinearse con todas las características de la comunidad terrorista. Es
posible, por ejemplo, tener un “terrorista” con una baja tolerancia al riesgo personal. Recuerde, el punto no es desarrollar una caracterización perfecta del
panorama de amenazas, ya que eso no es posible. El punto es desarrollar una comprensión razonada y más completa del panorama de amenazas.
características de la amenaza
Podemos identificar cualquier número y variedad de características de los agentes con los que amenaza a per fi l de las comunidades de amenazas. Bajo la mayoría de
circunstancias, hay relativamente pocas características signi fi cativas de verdad. Incluyendo muchas características en nuestro análisis hace que el modelo mucho más di fi culto de
usar, con relativamente poca mejora en los resultados. Este es un ejemplo de que los modelos de riesgo normalmente será el comercio de precisión para una mayor practicidad.
Hay cuatro componentes principales de nuestra taxonomía riesgo de que se quiere identificar características de los agentes de amenaza - esas características que afectan a:
‣ La frecuencia con la que la amenaza de agentes entran en contacto con nuestras organizaciones o activos
‣ La probabilidad de que la amenaza de agentes actuarán contra nuestras organizaciones o activos
‣ La probabilidad de acciones de los agentes de amenaza de tener éxito en la superación de los controles de protección
Es importante para nosotros comprender los factores que impulsan estas características diferenciadoras con el fin de evaluar efectivamente la probabilidad de ser
objeto de ataque y, si se somete a atacar, la probable naturaleza, objetivo y resultado del ataque. Vamos a examinar estos factores un poco más a medida que
avanzamos.
Bienes
Dentro del panorama de riesgos de la información, podemos de fi nir Activo como cualquier datos, dispositivo, o de otro componente del medio ambiente que apoya las actividades relacionadas
con la información, y que puede verse afectada de una manera que resulta en la pérdida. Activos tienen características relacionadas con el valor, la responsabilidad, y los controles de la fuerza
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 15
Una introducción a la FERIA - BORRADOR
Para que un activo para introducir cualquier posibilidad de pérdida, que tiene que tener una o más características que representan el valor o pasivo. Por ejemplo, la productividad de una
organización tiene que depender de un activo antes de daño a ese activo puede resultar en pérdida de productividad. De la misma manera, independientemente de la sensibilidad de un
activo, una organización tiene que tener una obligación legal de proteger el activo para el activo para representar una responsabilidad legal potencial.
Para esta introducción a FAIR, nos limitaremos nuestro valor de activos y pasivos a consideraciones:
‣ criticidad - esa característica de un activo que tiene que ver con el impacto en la productividad de una organización. Por ejemplo, el impacto de una
base de datos dañada tendría en la capacidad de la organización para generar ingresos
‣ Costo - los costes asociados a la sustitución de un activo que ha sido robado o destruido. Los ejemplos incluyen el costo de reemplazar un ordenador portátil
robado o la reconstrucción de un edificio bombardeado
La organización
El riesgo existe en el contexto de una organización o entidad. En otras palabras, el daño a los activos afecta a una o más de las propuestas de valor de la organización
(más sobre esto más adelante). Es la organización que pierde los recursos o la capacidad de operar. Características de la organización también pueden servir para atraer
El entorno externo
El entorno en el que opera una organización juega un papel significativo en el riesgo. Varias características externas, tales como el panorama de la regulación, la
Vamos a cubrir los factores del entorno de la organización y externas con mayor detalle en el Factorización y Medición secciones.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados dieciséis
Una introducción a la FERIA - BORRADOR
Factoring riesgo
En esta sección, vamos a empezar para definir y desarrollar una taxonomía de riesgos de la información mediante la descomposición en sus componentes fundamentales. La
estructura resultante proporciona una base sólida para el análisis de riesgos y una base eficaz para explicar los resultados del análisis.
Tenga en cuenta que no vamos a entrar en detalles sobre cualquiera de los factores, ni vamos a discutir la medición de los diversos factores. Vamos a cubrir la medición en una sección
posterior.
Riesgo de descomposición
Riesgo
Figura 1
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 17
Una introducción a la FERIA - BORRADOR
Con esto como punto de partida, los dos primeros componentes obvios de riesgo son la frecuencia y magnitud de pérdida de pérdida. En FAIR, éstos se denominan Pérdida
Vamos a descomponer los factores que impulsan la pérdida de frecuencias primer evento, y luego examinar los factores que impulsan la pérdida de magnitud.
La frecuencia probable, en un plazo determinado, que un agente de amenaza in fl icto daño a una
activo.
Para que un evento de pérdida que se produzca, un agente de amenaza tiene que actuar contra un activo, y que la acción tiene que resultar en la pérdida. Esto nos lleva a nuestros
Riesgo
Amenaza de frecuencia
Vulnerabilidad
de eventos
Figura 2
Tenga en cuenta que el tiempo-marco es clave para diferenciar entre la posibilidad y probabilidad, ya que, dado el tiempo suficiente, casi cualquier evento es posible. A la hora de
enmarcar nuestro análisis, estamos más o menos obligados a tratar el tema como una probabilidad.
La frecuencia probable, en un plazo determinado, que un agente de amenaza actuará contra un activo.
Es probable que vea la similitud entre esta definición y la definición de la LEF. La única diferencia es que la definición para la frecuencia de eventos de amenaza
si no incluye acciones de los agentes amenaza tienen éxito. En otras palabras, la amenaza de agentes pueden actuar en contra de los activos, pero tenga éxito
en afectar el activo. Un ejemplo común sería el hacker que ataca sin éxito un servidor web. tal ataque sería considerado un evento de amenaza, pero no es un
evento de pérdida.
Esta definición también nos proporciona los dos factores que impulsan la frecuencia de eventos amenaza; Contacto y Acción. Tenga en cuenta que la acción se basa en el
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 18
Una introducción a la FERIA - BORRADOR
Riesgo
Amenaza de frecuencia
Vulnerabilidad
de eventos
Contacto Acción
figura 3
Contacto
La frecuencia probable, en un plazo determinado, que un agente de amenaza entrará en contacto con
un activo.
El contacto puede ser física o “lógico” (por ejemplo, por la red). Independientemente del modo de contacto, tres tipos de contacto puede tener lugar; al azar,
regular e intencional.
‣ Aleatorio - el agente amenaza “se topa con” el activo durante el curso de la actividad fuera de foco o no dirigido
‣ Regular - el contacto se produce a causa de las acciones ordinarias del agente de amenaza. Por ejemplo, si el equipo de limpieza viene regularmente a las 5:15,
dejando dinero en la parte superior de la mesa durante ese período de tiempo prepara el escenario para el contacto
Cada uno de estos tipos de contacto es impulsado por varios factores. Debido a que esta es sólo una introducción, no vamos a entrar en los detalles en este momento. Una
analogía útil, sin embargo, es considerar un recipiente de líquido que contienen dos tipos de partículas en suspensión - partículas de amenaza y partículas de activos. La
probabilidad de contacto entre los miembros de estos dos conjuntos de partículas es impulsado por varios factores, incluyendo:
‣ El número de partículas
‣ Volumen del recipiente
‣ ¿Cómo activo las partículas son
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 19
Una introducción a la FERIA - BORRADOR
Acción
La probabilidad de que un agente de amenaza actuará contra un activo una vez que se produce el contacto.
Una vez se produce el contacto entre un agente de amenaza y un activo, la acción contra el activo puede o no puede tener lugar. Para algunos tipos de agente amenaza, la acción
tiene lugar siempre. Por ejemplo, si un tornado entra en contacto con una casa, la acción es una conclusión inevitable. Acción sólo está en cuestión cuando estamos hablando de
“pensar” la amenaza de agentes tales como los seres humanos y otros animales, y la amenaza de agentes inteligentes artificialmente como programas maliciosos (que son
La probabilidad de que un acto malicioso intencional se llevará a cabo es impulsado por tres factores principales:
‣ Nivel de esfuerzo - la expectativa del agente de amenaza de la cantidad de esfuerzo que se necesita para poner en peligro el activo
‣ Riesgo - la probabilidad de consecuencias negativas para el agente de amenaza - es decir, la probabilidad de ser atrapado y sufrir
consecuencias inaceptables.
Vulnerabilidad
Después de haber cubierto los factores de alto nivel que impulsan si los eventos de amenaza se llevan a cabo, ahora nuestra atención a los factores que determinan si el activo es
La probabilidad de que un activo no será capaz de resistir las acciones de un agente de amenaza.
Como se recordará de la introducción, existe vulnerabilidad cuando hay una diferencia entre la fuerza aplicada por el agente de amenaza, y la capacidad de un objeto para
resistir esa fuerza. Este simple análisis nos proporciona los dos factores principales que impulsan la vulnerabilidad; Capacidad de amenaza y Control de la fuerza. La figura 4, a
Riesgo
Amenaza de frecuencia
Vulnerabilidad
de eventos
Fuerza de Capacidad de
Contacto Acción
Control amenaza
Figura 4
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 20
Una introducción a la FERIA - BORRADOR
La vulnerabilidad es siempre relativa al tipo de fuerza involucrada. En otras palabras, la resistencia a la tracción de una cuerda es pertinente sólo si la fuerza de agente de amenaza
es un peso aplicado a lo largo de la longitud de la cuerda. resistencia a la tracción no se aplica generalmente a un escenario en el que el agente de amenaza es fuego, erosión
química, etc. Del mismo modo, un producto antivirus no ofrece mucho en el camino de la protección del empleado interno tratando de perpetrar un fraude. La clave, entonces, es la
Un punto fi nal con respecto a la vulnerabilidad - no hay tal cosa como ser más de 100% vulnerable a cualquier amenaza fi co combinación de agentes / vector de ataque
específico. La vulnerabilidad puede existir tal que el daño puede ocurrir desde más de un agente de amenaza a través de más de un vector de ataque, pero cada uno de
aquellos representa un evento de amenaza potencial diferente. Por ejemplo, si estoy caminando por la calle por la noche en una parte peligrosa de la ciudad, soy vulnerable a
múltiples eventos de amenazas potenciales, por ejemplo - de ser atropellado por un coche, ser asaltado, o ser víctima de una tiroteo. Mi vulnerabilidad a cualquiera de estos
eventos no puede superar el 100%, sin embargo, mi riesgo agregado es obviamente mayor como resultado de los múltiples escenarios de amenaza.
Capacidad de amenaza
El nivel probable de la fuerza que un agente de amenaza es capaz de aplicar contra un activo.
No todos los agentes de amenaza son iguales. De hecho, la amenaza de agentes dentro de una única comunidad amenaza no todos van a tener las mismas
capacidades. Lo que esto nos debe decir es que la probabilidad de que el agente de amenaza más capaces que actúa en contra de un activo es algo inferior al 100%.
De hecho, dependiendo de la comunidad amenaza bajo análisis y otras condiciones dentro del escenario, la probabilidad de encontrar un agente de amenaza muy
Como profesionales de la seguridad de la información que a menudo tienen dificultades con la idea de tener en cuenta la capacidad de amenaza agente como una probabilidad. Tenemos
la tendencia, en cambio, a gravitar hacia centrándose en el peor de los casos. Pero si nos fijamos bien en el tema, está claro que centrarse únicamente en peor de los casos es pensar en
Otra consideración importante es que algunos agentes de amenaza pueden ser muy pro fi ciente en la aplicación de un tipo de fuerza, y incompetente en otros. Por
ejemplo, un ingeniero de la red es probable que sea pro fi ciente en la aplicación de las formas tecnológicas de ataque, pero puede ser relativamente incapaces de ejecutar
Fuerza de Control
calificación resistencia a la tracción de una cuerda proporciona una indicación de la cantidad de fuerza que es capaz de resistir. La medida de la línea de base (CS) para esta
calificación es libras por pulgada cuadrada (PSI), que está determinada por el diseño y la construcción de la cuerda. Esta calificación CS no cambia cuando la cuerda se pone
en uso. Independientemente de si usted tiene un peso de 10 libras en el extremo de la cuerda de 500 PSI, o un peso de 2.000 libras, el CS no cambia.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 21
Una introducción a la FERIA - BORRADOR
Por desgracia, el reino de riesgos de información no tiene una escala de referencia para la fuerza que es tan bien definida como la ISP. Una discusión más profunda de cómo
podemos hacer frente a esto vendrá más tarde. Por ahora, tenga en cuenta de la contraseña como un ejemplo sencillo. Se puede estimar que una contraseña de ocho
caracteres de longitud, compuesto por una mezcla de letras mayúsculas y minúsculas, números y caracteres especiales resistirá los intentos de craqueo de un porcentaje de la
población en general agente de amenaza. La fuerza de control de contraseña (CS) se puede representar como este porcentaje. (Recordemos que CS es relativa a un tipo
particular de la fuerza -. En este caso formación de grietas) vulnerabilidad se determina comparando CS en contra de la capacidad de la comunidad amenaza fi específica bajo
análisis. Por ejemplo, la contraseña CS puede estimarse en un 80%, sin embargo, la comunidad de amenaza dentro de un escenario podría ser estima que tienen capacidades
mejor que la media - digamos que en el rango de 90%. La diferencia representa la vulnerabilidad.
Claramente, la realidad es más compleja que esto, y una discusión completa de FAIR abordará esta mayor complejidad. Por ahora, vamos a mantener las cosas relativamente simple.
La sección anterior presentó a los factores que conducen a la probabilidad de eventos de pérdida que se producen. En esta sección se describe la otra mitad de la ecuación de riesgo - los
Por desgracia, la pérdida es uno de los frutos secos más difícil de romper en el análisis de riesgo. Diversos enfoques se han intentado, con diversos grados de éxito,
pero ninguno ha conseguido un uso generalizado o aceptación. Como resultado, a menudo se excluye consideraciones de pérdida total, sólo se citan las posibilidades
peor de los casos, o tratamos de ser precisos en nuestros cálculos. Excluyendo la pérdida de un análisis significa que no estamos analizando los riesgos (por
definición, el riesgo siempre tiene un componente de pérdida). Citando posibilidades peor caso solo elimina el elemento probabilístico de nuestro análisis (por
definición, el riesgo es una cuestión de probabilidad). Tratando de ser precisa es generalmente una pérdida de tiempo debido a la complejidad inherente a la pérdida, y
debido a los tomadores de decisiones en general, sólo necesitan una idea aproximada de las probabilidades de pérdida. Su experiencia con otras formas de riesgo
Hay una serie de razones por las que es difícil evaluar la probabilidad de pérdida, por ejemplo:
Hacer las cosas aún más dif fi cil en el entorno de riesgos de la información es el hecho de que tenemos muy pocos buenos datos con respecto a la pérdida de magnitud. Muchas
organizaciones no realizan análisis de pérdidas cuando se producen eventos, y los que lo hacen un seguimiento de la pérdida a menudo limitan sus análisis a la 'materia fácil' (por
ejemplo, horas-hombre, reemplazo de equipo, etc.). Además, sin una taxonomía estándar que es muy difícil de normalizar los datos a través de las organizaciones.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 22
Una introducción a la FERIA - BORRADOR
Antes de ir más lejos, mi experiencia ha sido que la pérdida de los incidentes de seguridad de la información en general, tiene una distribución que se
Magnitud
Figura 5
En otras palabras, hay muchos más eventos que resultan en la pérdida en el extremo inferior del espectro de magnitud que los que hay en el extremo superior del espectro. Por
ejemplo, los incidentes de virus individuales, el uso no autorizado de los sistemas para servir archivos MP3, incluso agrietamiento contraseña y la desfiguración sitio web, rara vez
resultan en la pérdida significativa. La pregunta que tenemos que hacernos es: “¿Por qué?” ¿Qué factores son responsables de esto? Es evidente que algunos de estos eventos
tienen potencial signi fi cativa de los daños, pero si comparamos la pérdida real de dos eventos similares - una en la que se produjo una pérdida mínima, y otro donde se ha
producido una pérdida sustancial - los factores que determinan la diferencia? Con el fin para nosotros hacer estimaciones razonadas de pérdida, tenemos que entender estos
factores.
Formas de Pérdida
la posible pérdida de un activo se deriva del valor que representa y / o el pasivo se introduce en una organización. Por ejemplo, la información del cliente proporciona valor
a través de su papel en la generación de ingresos para una organización comercial. Esa misma información también se puede introducir la responsabilidad a la
organización si existe una obligación legal de proteger, o si los clientes tienen la expectativa de que la información acerca de ellos será debidamente protegido.
Seis formas de pérdida se definen dentro de FAIR - la productividad, la respuesta, la sustitución, multas / fallos (F / J), la ventaja competitiva (CA), y la
reputación.
‣ Productividad - la reducción de la capacidad de una organización para generar su propuesta de valor primario (por ejemplo, ingresos, bienes, servicios,
etc.)
‣ Respuesta - los gastos asociados con la gestión de un evento de pérdida (por ejemplo, horas-persona internos o externos, los gastos logísticos, etc.)
‣ Reemplazo - el valor intrínseco de un activo. Típicamente representado como el gasto de capital asociado a la sustitución de los activos perdidos o dañados (por ejemplo, la
‣ Las multas y juicios (F / J) - acciones legales o reglamentarias impuestas en contra de una organización. Tenga en cuenta que esto incluye la fianza para los
‣ ventaja competitiva (CA) - pérdidas asociadas con la disminución de la ventaja competitiva. Dentro de este marco, la pérdida de CA está
específicamente asociado a los activos que proporcionan una diferenciación competitiva entre el
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 23
Una introducción a la FERIA - BORRADOR
organización y su competencia. En el mundo comercial, ejemplos incluirían los secretos comerciales, planes de fusión y adquisición,
etc. Fuera del mundo comercial, ejemplos incluirían secretos militares, alianzas secretas, etc.
‣ Reputación - las pérdidas asociadas a una percepción externa de que el liderazgo de una organización es incompetente, penal, o poco ético
Tenga en cuenta que la pérdida siempre se evalúa desde una sola perspectiva - típicamente la de la organización bajo análisis. Por ejemplo, aunque los clientes
podrían ser perjudicados si su información personal es robada, nuestro análisis de riesgo debería evaluar las pérdidas sufridas por la organización en lugar de
Todos los factores de pérdida caen dentro de una de las siguientes cuatro categorías - activo, la amenaza, la organización y externa. Por razones que serán evidentes a medida que avanzamos,
los factores de pérdida de activos y la amenaza se denominan factores de pérdida tan primarios, mientras que los factores de pérdida de organización y externos se denominan factores de
pérdidas secundarias.
Riesgo
Figura 6
Para que podamos hacer juicios razonados sobre la forma y magnitud de la pérdida dentro de cualquier escenario dado, tenemos que evaluar los factores dentro de los
cuatro de estas categorías. Dentro de esta introducción, nos limitaremos nuestra discusión a algunos de los factores de pérdidas más comunes y más importantes.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 24
Una introducción a la FERIA - BORRADOR
Hay dos factores de pérdida de activos que tienen que ver con - / valor de la responsabilidad, y el volumen.
Como ya he aludido anteriormente, y como veremos cuando cubramos la medición, el / valor de la responsabilidad características de un activo juegan un papel clave tanto en la naturaleza y la
‣ criticidad - características de un activo que tienen que ver con el impacto en la productividad de una organización. Por ejemplo, el impacto de una base
de datos dañada tendría en la capacidad de la organización para generar ingresos
‣ Costo - se refiere al valor intrínseco del activo - es decir, el coste asociado a su sustitución si se ha hecho disponible (por ejemplo, robado, destruido, etc.). Los
ejemplos incluyen el costo de reemplazar un ordenador portátil robado o la reconstrucción de un edificio bombardeado
‣ Sensibilidad - el daño que puede ocurrir a partir de la divulgación no intencional. La sensibilidad se subdivide en cuatro sub-categorías:
- Vergüenza / reputación - la información proporciona evidencia de la gestión incompetente, penal, o poco ético. Tenga en cuenta que esto se
refiere a daños a la reputación que resulta de la naturaleza de la información en sí misma, en lugar de daños a la reputación que pueden resultar
- Ventaja competitiva - la información proporciona una ventaja competitiva (por ejemplo, estrategias claves, secretos comerciales, etc.). De las categorías de
sensibilidad, este es el único en el que la sensibilidad representa un valor. En todos los demás casos, la sensibilidad representa la responsabilidad.
Factores de pérdida
de activos
Valor Volumen
Ventaja Legal /
Vergüenza General
competitiva regulatorio
Figura 7
volumen de activos simplemente reconoce que más activos en magnitud mayor pérdida igual riesgo si se produce un evento - por ejemplo, dos niños en un columpio de
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 25
Una introducción a la FERIA - BORRADOR
Dentro de este documento, nos limitaremos nuestras consideraciones de amenazas a tres factores de pérdida de - acción, competencia y si el agente de amenaza es interno
o externo a la organización.
agentes de amenaza pueden tomar una o más de las siguientes acciones en contra de un activo:
‣ Mal uso - el uso no autorizado de los activos (por ejemplo, el robo de identidad, la creación de un servicio de distribución de pornografía en un servidor
comprometido, etc.)
Es importante reconocer que cada una de estas acciones afecta a diferentes activos de manera diferente, lo que impulsa el grado y la naturaleza de la pérdida. Por ejemplo, el
potencial para la pérdida de productividad resultante de un activo destruidos o robados depende de lo crítico que es activo a la productividad de la organización. Si simplemente
se accede de forma ilícita un activo crítico, no hay ninguna pérdida directa de la productividad. Del mismo modo, la destrucción de un activo altamente sensible que no juega un
papel crítico en la productividad no se traducirá directamente en una pérdida de la productividad no puede signi fi. Sin embargo, ese mismo activo, si se revela, puede resultar en
la pérdida significativa de la ventaja competitiva o la reputación, y generar costos legales. El punto es que es la combinación del activo y el tipo de acción contra el activo que
¿Qué acción (s) un agente de amenaza toma será impulsado principalmente por el motivo de que el agente (por ejemplo, aumento de fi nanciera, la venganza, la recreación, etc.) y la naturaleza
del activo. Por ejemplo, un agente de amenaza se inclinó sobre la ganancia financiera es menos probable que destruir un servidor más importante de lo que son para robar un activo fácilmente
empeñado como un ordenador portátil. Como veremos cuando cubramos la medición, es fundamental contar con una clara de fi nición de su comunidad amenaza con el fin de evaluar de
Competencia amenaza es similar al factor de capacidad de amenaza que contribuye a la vulnerabilidad. La diferencia es sutil pero importante. Competencia amenaza tiene que
ver con la cantidad de daño que un agente de amenaza es capaz de infligir, mientras Capacidad de amenaza tiene que ver con la capacidad del agente amenaza para ponerse
en condiciones de in fl icto daño. Un ejemplo puede ayudar a aclarar este punto. Un agente de amenaza terrorista tiene capacidades que emplearían en un intento de acceder a
los secretos nucleares. Estas capacidades desempeñan un papel en la probabilidad de que van a tener éxito en la obtención de acceso. Su capacidad de daño infligir una vez
que han adquirido los secretos (por ejemplo, construir una bomba) es, sin embargo, depende de un conjunto diferente de competencias. En FAIR, las características que
permiten a los terroristas que ponen en peligro las defensas y estar en condiciones de adquirir los secretos se llaman Capacidades amenaza. Las características que les
permitan in fl icto daño (por ejemplo, crear una bomba) se denominan Competencia Amenaza. No vamos a insistir en la competencia Amenaza en este documento. Sin
embargo, es útil reconocer que existe este factor con el fin de tener una comprensión más completa de riesgo.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 26
Una introducción a la FERIA - BORRADOR
Pérdida amenaza
factores
Interna frente
Competencia Acción
externo
Figura 8
La consideración de si un agente de amenaza es externo o interno a la organización puede desempeñar un papel fundamental en cómo se produce mucha pérdida. Específicamente, los
eventos de pérdidas generadas por la amenaza de agentes internos maliciosos (incluyendo a los empleados, contratistas, etc.) por lo general no se han traducido en pérdidas signi fi cativas
de regulación o de reputación porque se reconoció que los iniciados de confianza son muy difíciles de proteger. Ya veremos en la siguiente sección que otros factores contribuyen a la
factores de pérdidas secundarias son aquellas características de organización y externos del entorno que influyen en la naturaleza y el grado de pérdida.
Hay muchos factores de pérdida de organización. Dentro de este documento, nos limitaremos nuestra discusión a cuatro - tiempo, debida diligencia, la respuesta y la
detección.
los sincronización de un evento puede tener un tremendo impacto en la pérdida. Por ejemplo, un evento que ocurre en medio de una gran campaña de publicidad puede crear
significativamente mayor que la pérdida de un evento similar en algún otro momento del año.
Debido diligencia puede desempeñar un papel significativo en el grado de responsabilidad de una organización se enfrenta a partir de un evento. Si las medidas preventivas razonables
no estaban en su lugar (dado el entorno de las amenazas y el valor del activo), entonces el daño a la reputación legal y puede ser mucho más grave. El reto es que 'las medidas
preventivas razonables no son universalmente de fi nido o acordados. A menudo, los estándares de la industria '' o '' mejores prácticas teóricas son considerados como directrices para la
debida diligencia. Por desgracia, estas directrices no suelen tener en cuenta el entorno de las amenazas o la magnitud de pérdida. En consecuencia, las normas de la industria y las
mejores prácticas pueden ser insu fi ciente (es decir, no es verdaderamente representativo de la debida diligencia) o demasiado conservadora (es decir, un coste prohibitivo debido al
riesgo real).
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 27
Una introducción a la FERIA - BORRADOR
La eficacia con una organización responde a un evento puede significar la diferencia entre un evento que nadie se acuerda de un año después, y uno que se
destaca como un ejemplo (bueno o malo) en los anales de la historia. Hay tres componentes en la respuesta:
‣ Contención - tiene que ver con la capacidad de una organización para limitar la amplitud y profundidad de un evento - por ejemplo, acordonando
la red para contener la propagación de un gusano
‣ remediación - tiene que ver con la capacidad de una organización para eliminar el agente de amenaza - por ejemplo, la erradicación del gusano
Los tres de estos componentes de la respuesta debe existir, y el grado en que cualquiera de ellos es de fi ciente puede tener un impacto significativo en la magnitud
de pérdida.
Tenemos la tendencia a pensar en la capacidad de respuesta únicamente dentro del contexto de la criticidad - es decir, la capacidad de volver a la normalidad la productividad. Es crítico
reconocer, sin embargo, que la capacidad de respuesta también pueden afectar significativamente las pérdidas resultantes de la divulgación de información sensible. Por ejemplo, una
organización que experimenta una violación revelado públicamente de información con fi cliente confidencial en general, puede reducir significativamente sus pérdidas por ser directo en sus
admisiones, y mediante la compensación completamente partes perjudicadas. Por el contrario, una organización que niega y refleja de responsabilidad es mucho más probable que se convierta
Los factores de
pérdida de Organización
Figura 9
No se puede responder a algo que no se ha detectado - es decir, la respuesta se basa en la detección. En las sesiones de entrenamiento, la
pregunta surge con frecuencia, “¿Qué pasa con aquellos acontecimientos que quizá no conozca -? Los espías corporativos, etc.” Está claro que los
incidentes tienen lugar que no aparece en el radar. Sin embargo, también es razonable creer que este tipo de eventos - si resultan en la pérdida de
material - casi siempre ser detectada con el tiempo. Por ejemplo, el daño de la información sensible ventaja competitiva que se abre paso a un
competidor se materialice y es casi seguro que ser reconocido. Fue la detección oportuna? Talvez no. Sin embargo, una vez detectada, la
organización puede todavía tener la oportunidad de responder y reducir sus pérdidas. Por ejemplo, una acción legal contra un competidor que robó
información de propiedad podría ser apropiada.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 28
Una introducción a la FERIA - BORRADOR
factores de pérdidas externas generalmente caen en una de las siguientes cuatro categorías - el marco jurídico y normativo, el panorama de la competencia, los medios de comunicación,
y las partes interesadas externas (por ejemplo, clientes, socios, accionistas, etc.). Un par de cosas importantes para reconocer acerca de los factores externos sobre pérdidas incluyen:
‣ Estas cuatro categorías representan entidades que pueden in fl icto una forma secundaria de daño a la organización como consecuencia de un evento. En otras
palabras, los acontecimientos a menudo resultar en formas directas de la pérdida (por ejemplo, la productividad, la respuesta, la sustitución) debido a las características
de la criticidad y valor inherente de los activos. Las pérdidas secundarias también pueden ocurrir en base a la reacción externa a un evento de pérdida (por ejemplo,
‣ Todos los factores dentro de estas categorías externos puede ser descrito como “reactivo a un evento”. En otras palabras, para que un factor externo a
afectar magnitud pérdida, el evento tiene que ser detectado por una entidad externa. Por ejemplo, si un empleado ejecuta el robo de identidad por el
mal uso de su acceso legítimo a la información del cliente, el cliente (s), reguladores, y los abogados pueden no en conflicto daño a la organización a
menos que el robo de identidad está ligada a la organización. Del mismo modo, si se produce un corte de la productividad, pero no se detecta por los
clientes, socios, etc., entonces la organización no ser objeto de una respuesta negativa por parte de los interesados.
Este último punto nos lleva a nuestro primer factor de pérdida externa fi - detección. Sobre la base de la premisa anterior, podemos pensar en la detección como un factor binario
que todos los demás factores externos se basan en. detección externa de un evento puede ocurrir como consecuencia de la gravedad del evento, a través de acciones
intencionales por parte del agente de amenaza, a través de la divulgación no autorizada por alguien en el interior que está familiarizado con el caso, la divulgación intencional por
parte de la organización (ya sea fuera del sentido de deber, o porque es requerido por la ley), o por accidente.
El panorama regulatorio y legal se compone sobre todo de tres partes - Reglamentos (locales, estatales, federales e internacionales), derecho
contractual, y la jurisprudencia. No soy un abogado, y no soy cali fi cado para discutir estas cuestiones en profundidad. Además, este
componente del paisaje externo está evolucionando rápidamente, y así ninguna conclusión pudiese atraer aquí podría ser obsoleta por el
momento de leer esto. Por ahora, Baste decir que las multas y sanciones pueden ser significativos para las organizaciones dentro de las
industrias reguladas. En teoría, sin embargo, fi ne y juicios son impulsados en parte por la cantidad de daño que ocurre en realidad de un evento
y el nivel de diligencia debida ejercida para evitar que se produzcan en el primer lugar. En otras palabras, si se produce un evento que
representa una infracción legal o normativo,
Las pérdidas asociadas con el panorama competitivo normalmente tienen que ver con la capacidad de la competencia para tomar ventaja de la situación. Por ejemplo, si una
organización experimenta un evento que causa sus grupos de interés a considerar la adopción de su negocio a otra parte, la capacidad de un competidor para aprovechar esa
reacción de los medios puede tener un poderoso efecto en cómo las partes interesadas, abogados, e incluso los reguladores y los competidores ver el evento. Si los medios de
comunicación opta por vilipendiar a la organización, y mantenerlo en los titulares por un período prolongado, el resultado puede ser devastador. Por el contrario, si los medios pinta la
organización como una víctima bien intencionado que actuó con la debida diligencia, pero todavía sufrió el evento a manos de un criminal, entonces el daño jurídico y reputación
puede ser minimizado. Esto es por qué las organizaciones deben tener los procesos de comunicación de crisis eficaces en su lugar.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 29
Una introducción a la FERIA - BORRADOR
Los interesados externos en general fl icto daño por tomar su negocio a otra parte - es decir, el apoyo a un rival. Esto sucede cuando:
‣ Han sido dañados como consecuencia directa de un incidente. La respuesta de la organización del evento es crucial para mitigar dicha exposición
‣ Perciben que sus intereses se satisfacen mejor en otro lugar (propuesta de valor de la organización se ve disminuida). Una vez más, una organización
generalmente tiene alguna oportunidad de mitigar esta exposición a través de una acción rápida y eficaz
‣ Ver la organización (o, más exactamente, su liderazgo) como incompetente, poco fiable, y / o criminal. Esto puede ser una exposición
mucho más dura para mitigar
Pérdida externa
factores
Legal y
Detección Competidores Medios de comunicación Las partes interesadas
Regulatorio
Figura 10
Como se puede ver, la naturaleza compleja de la pérdida no se presta a un análisis simple. Tenga la seguridad, no vamos a medir todos los factores discreta dentro de un escenario.
En su lugar, vamos a realizar nuestra evaluación a un nivel más alto de abstracción, pero con el beneficio de saber cuáles son los factores que contribuyen a que existen dentro de
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 30
Una introducción a la FERIA - BORRADOR
controles
Debido a que nuestra profesión ha tendido a centrarse en los controles, mucha de la información en esta sección debería ser familiar para la mayoría de ustedes. Dicho
esto, hay más complejidad a los controles de lo que parece, y un informe técnico independiente se justifica con el fin de cubrir el tema a fondo. No obstante, vamos a
cubrir algunos de los conceptos de alto nivel con el fin de carne de salida del marco. Específicamente, esta sección presentará:
- Formulario
- Propósito
- Categoría
‣ El ciclo de vida de control
dimensiones de control
Todos los controles se pueden caracterizar a través de tres dimensiones. Estas caracterizaciones pueden ayudarnos a entender en un control fi cios dentro del marco de
riesgo, nos permite evaluar mejor las capacidades de control, y ayuda a eliminar las brechas en el programa de gestión de riesgos de nuestra organización.
formas
Los controles tienen una de tres formas - la política, proceso o tecnología. Una cosa importante a tener en cuenta es que relativamente pocos controles están solos. Por ejemplo, un
control de la tecnología, como por ejemplo un cortafuego, tendrá políticas asociadas con la forma en que
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 31
Una introducción a la FERIA - BORRADOR
debe ser con fi gurado y usada, y los procesos que determinan cómo se maneje. Del mismo modo, el cortafuego se puede considerar una ejemplificación de una política de control de
“menor privilegio”. En pocas palabras - controles interactúan a través de un complejo conjunto de dependencias. Mediante la comprensión de estas interdependencias sistémicas,
podemos identificar las palancas que nos permiten tener un mayor efecto con menos esfuerzo.
Propósito
fines de control se refiere a si los controles son principalmente preventiva, detective, o sensible en la naturaleza. La cali fi cador “principalmente” Es importante tener en cuenta,
ya que algunos controles pueden servir a más de un propósito - matando a más de uno de los pájaros de un tiro. El software antivirus es un ejemplo terri fi co, ya que sirve las
tres propósitos en algún grado. Esta característica de usos múltiples es importante cuando se evalúa posibles soluciones de control, como por lo general es una ventaja para
categorías
A diferencia de la forma y el propósito, la categoría de control dimensión puede no ser familiar para usted. Esta dimensión proporciona una taxonomía explícita para los controles, lo
que ayuda a garantizar que las brechas no existen en el entorno de los controles.
‣ controles de vulnerabilidad
Prevención
Respuesta
Prevención
Prevención
Amenaza Detección
Evento pérdida
Respuesta
Detección
Respuesta
Figura 11
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 32
Una introducción a la FERIA - BORRADOR
Cada uno de los detectives, y los controles de respuesta preventivas que estamos familiarizados, caen en una de estas categorías. Ejemplos incluyen:
‣ controles de vulnerabilidad / Prevención consistir en medidas que hacen que el compromiso más difícil. El ejemplo más común sería
la autenticación.
‣ controles de vulnerabilidad / Detección identificar las vulnerabilidades existentes. Ataque y penetración de ejercicios y análisis del sistema son
ejemplos.
‣ controles Evento / Respuesta de pérdida ayudar a reducir la magnitud de la pérdida cuando se produce un evento. procesos de recuperación de desastres y
‣ Amenaza de eventos controles / Prevención principalmente se encargan de limitar la amenaza de contactos agente o acción. Un ejemplo común sería
una arquitectura multicapa de Internet DMZ.
Como he mencionado anteriormente, algunos controles desempeñan un papel en más de una categoría de control. En esta introducción a FAIR, y en el escenario de análisis de riesgos
presentado más adelante, la mayor parte de nuestra atención estará en los controles de eventos / prevención de amenazas.
Todos los controles tienen un ciclo de vida de cuatro etapas - diseño, implementación, uso / mantenimiento y eliminación. No vamos a ahondar en estas etapas en este momento, pero
hay que reconocer que la vulnerabilidad puede y suele fluctuar o aumentar con el tiempo debido a cualquiera de las dos condiciones:
Por ejemplo, durante el mantenimiento, un administrador de sistemas puede intencionada o inadvertidamente reducir la fuerza de control de un servidor cambiando un
parámetro del sistema. En este caso, se ha producido un cambio en el control de sí mismo. Igualmente,
vulnerabilidad se puede aumentar si una nueva capacidad se introduce en la población amenaza que potencialmente permitiría a un atacante eludir o derrotar al control (por
ejemplo, una nueva contraseña agrietamiento de la herramienta). En este caso, el panorama de las amenazas ha cambiado.
Debido a esta variabilidad, es fundamental que tenemos la capacidad de detectar y responder de manera oportuna a cualquier tipo de cambio con el fin de mantener
el nivel deseado de vulnerabilidad. La latencia entre cuando se produce un cambio, y cuando nos detectar y mitigar el cambio, a menudo representa una parte
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 33
Una introducción a la FERIA - BORRADOR
Riesgo medir
Esta sección comenzará a responder a la pregunta razonable, “¿Cómo podemos medir de manera creíble los diversos factores de riesgo?” Antes de responder a esta
Teoría de medición
Una preocupación expresada comúnmente ha sido - “Sin datos que estamos confiando en la subjetividad!” Esto es cierto, al menos en cierto grado. Sin embargo,
la subjetividad es también una parte de cada otro método de análisis conocido por el hombre - incluso aquellos que se benefician de grandes cantidades de
datos. ¿Quién cree usted que establece los criterios para la recopilación de datos, recopila y fi ltros de los datos, procesa los datos y extrae conclusiones de los
datos? Eternamente fl impresionado, los seres humanos altamente subjetivos, lo hacen. Mis colegas actuariales señalamos a mí cuando primero les pidió que
criticar FAIR. El simple hecho es que cualquier cosa hecha por el hombre incluye intrínsecamente cierto grado de subjetividad. Por lo tanto, no es una cuestión de
si la subjetividad es complicado, porque esa es una conclusión inevitable. Es una cuestión de cuánto. Nuestro objetivo, entonces, es traer la mayor objetividad
posible en el proceso. El marco FAIR va un largo camino hacia la conducción más objetividad en un análisis,
Siempre habrá aquellos que rechazan cualquier análisis cuantitativo que no está fundada en datos empíricos. Que así sea. Eso es una guerra religiosa que se extendió durante
décadas en diversas científica, social y dominios filosóficas, y es un argumento que no va a ser ganado o perdido sobre la base de cualquier reclamación que presento. Una vez más,
el simple hecho es que no tenemos mucha buenos datos de hoy y sin embargo tenemos que tratar el riesgo de la información como una probabilidad, si esperamos a gestionar de
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 34
Una introducción a la FERIA - BORRADOR
difícil argumentar en contra de cualquier marco lógico que aborda razonablemente nuestro problema y empuja el “subjetividad-
> metros objetividad”hacia la derecha, especialmente teniendo en cuenta nuestras alternativas existentes.
No hay duda, sin embargo, que los buenos datos pueden ser muy útiles en la elaboración y el apoyo a conclusiones acerca de lo que podría suceder en el futuro. Uno de
los beneficios de la feria es que la taxonomía establece una base para los criterios de recopilación de datos, proporciona un contexto para la categorización de los datos,
así como un marco para analizar los datos. En todo caso, esto debería ayudar a desarrollar nuestra profesión los datos necesarios para apoyar aún más nuestros análisis.
Las discusiones sobre el análisis de riesgos a menudo vienen a la cuestión de qué es mejor análisis cualitativo o cuantitativo. Los tomadores de decisiones en general,
prefieren medidas cuantitativas si el método es creíble. Sin embargo, en ausencia de la taxonomía, las escalas de medición razonables, y un motor de cálculo que
efectivamente re fl eje las relaciones entre los factores de riesgo, un método cuantitativo no es probable que sea creíble. La decisión de utilizar medidas cuantitativas o
‣ Las necesidades de los tomadores de decisiones que van a utilizar los resultados del análisis
FAIR se puede usar para realizar análisis cualitativos o cuantitativos. La única diferencia está en las escalas de medición utilizados. En otras palabras, si se miden los
factores de riesgo utilizando una escala cualitativa como alta, media o baja, entonces el resultado será cualitativa. Nótese, sin embargo, que si las etiquetas cualitativas
en realidad se refieren a los rangos cuantitativos (por ejemplo, “ 'Alto' es mayor que diez”), entonces usted está utilizando una escala cuantitativa - aunque con una
Para aquellos que son reacios a realizar el análisis cuantitativo sin datos empíricos, recomiendo encarecidamente el uso de FAIR cualitativamente de manera que los
Cada medición es, hasta cierto punto, una estimación. precisión de medición siempre será limitado por las características de la herramienta de medición o de
Muchos de nosotros en la seguridad de la información fi eld provienen de tecnología e ingeniería fondos, y si le preguntas a una persona
técnicamente inclinado a medir algo, él o ella a menudo se va a querer darle una respuesta a dentro de varios puntos decimales de precisión. Por
desgracia, el riesgo no funciona de esa manera. Es poco realista creer que podemos establecer de manera creíble estimaciones precisas de la
probabilidad de algo tan complejo como riesgos de la información. Aunque la precisión sería bueno, no es necesario (ni debe esperarse) en el análisis
de riesgos. Recuerde - el análisis del riesgo no es lo mismo que predecir el futuro. Se trata de proporcionar estimaciones racionales de probabilidades
de pérdida. El mejor analizamos y entendemos nuestro tema, lo más probable es que nuestras estimaciones van a ser razonable y útil.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 35
Una introducción a la FERIA - BORRADOR
Uno de los criterios clave para cualquier buen método de medición es la consistencia. En otras palabras, si tengo varios analistas evaluar el
mismo escenario, que debería obtener resultados razonablemente consistentes. Lograr esto requiere escalas de medición nidas bien de fi y
analistas bien entrenados. Aún así, un cierto grado de inconsistencia es natural, dado que la experiencia y el juicio siempre variarán, y no hay dos
seres humanos evaluará un tema complejo exactamente de la misma manera. Esto es tan cierto para FAIR como lo es para cualquier otra
actividad medición compleja. Por lo tanto, la cuestión pertinente no es si existe error o inconsistencia, pero si el grado de error o inconsistencia es
aceptable. Debido a que el análisis de riesgos no es una tarea precisa,
En esta sección, vamos a revisar algunos de los desafíos que enfrentamos al tratar de medir los factores de riesgo de información. También voy a presentar el método de
medición simplificada que se utiliza en todo el resto de este documento. Por favor, tenga en cuenta que una sólida comprensión de los fundamentos y los factores de riesgo es
mucho más importante que el método especí fi co utilizado para medir el riesgo.
retos de medición
escalas de medición ya existen para algunos factores de riesgo - de dólares, por ejemplo, o la frecuencia de los eventos dentro de un plazo determinado. Para otros factores -
tales como la capacidad de un ser humano para comprometer un ordenador - existen escalas no establecidas. Ninguno de los dos, por lo tanto, tenemos una forma fácilmente
obvia de medir la capacidad de resistir ese tipo de fuerza. Esta di fi cultad no altera el hecho de que tenemos que ser capaces de estimar estos factores tan creíble como sea
posible.
Los párrafos siguientes describen un enfoque ed simplifica a la medición de los factores justo. El apéndice A proporciona una forma que puede ser utilizado para análisis
similares.
Recordemos que TEF representa el número de veces que, en un plazo determinado, que esperamos una comunidad especial amenaza para actuar en contra de un activo.
Tenga en cuenta que esto es diferente de simplemente entrar en contacto con el activo. Por ejemplo, los sistemas y los ingenieros de redes / administradores pueden venir
regularmente en contacto con información confidencial durante el curso normal de su trabajo. De hecho, la propia naturaleza de su trabajo requiere que vienen continuamente
en contacto con los sistemas críticos. Afortunadamente, signi fi cativas actos no autorizados o maliciosos son relativamente raros. Es estos actos que queremos estimar.
La siguiente escala proporciona un medio sencillo para estimar la probable TEF dentro de un año. Se dará cuenta de que no es precisa, y que utiliza etiquetas
cualitativos para rangos cuantitativos (haciendo posiblemente la escala cuantitativa). No hay nada sagrado o místico acerca de cómo se desarrolló esta escala, y usted
es libre de crear su propia escala. Dicho esto, nuestra profesión se beneficiaría significativamente signi fi mediante la adopción de una escala de medida estándar. Si
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 36
Una introducción a la FERIA - BORRADOR
de escalas, cambiar sólo si es absolutamente necesario. Cualquier cambio se crean inconsistencia entre los análisis realizados usando una
Clasificación Descripción
Muy Baja (VL) <.1 veces al año (menos de una vez cada diez años)
Para algunos tipos de amenazas, ya existen escalas de fuerza - por ejemplo; peso, calor, presión, etc. Para otros tipos de amenazas, como la capacidad de un ser humano
para comprometer un ordenador, existen escalas no establecidas. Además, debido a la capacidad se deriva de una combinación de factores imprecisos (por ejemplo, de
En ausencia de una escala de medición absoluta, el simplifica ed enfoque razonable utiliza ratios. La idea es que la capacidad de cualquier población amenaza puede
ser descrito como una distribución. Una parte de la población amenaza será más capaz que el resto, y otra parte será menos capaz. Pensar 'curva de campana'. Es
este enfoque va a ajustar con precisión las capacidades de cualquier población dada la amenaza? No. Sin embargo, es mucho más preciso que el supuesto de que
todos los agentes de amenaza dentro de una población tienen capacidades iguales.
La siguiente escala proporciona un medio sencillo para estimar la TCAP de una comunidad amenazada. Aquellos de ustedes con un fondo estadístico puede reconocer
que los niveles H y VH son uno aproximadamente más y dos desviaciones estándar (respectivamente) de la media, y la L y los niveles de VL son uno menos y dos
desviaciones estándar. Una vez más, estamos usando etiquetas cualitativos para representar rangos cuantitativos.
Clasificación Descripción
Moderado (M) habilidad media y recursos (entre la parte inferior 16% y 16% superior)
Baja (L) Inferior al 16% cuando se compara con la población general de amenazas
Muy Baja (VL) Inferior al 2% cuando se compara con la población general de amenazas
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 37
Una introducción a la FERIA - BORRADOR
La fuerza de cualquier control preventivo tiene que ser medida en contra de un nivel de línea base de la fuerza. Por desgracia, al igual que con TCAP, existe ninguna escala bien
establecida. La buena noticia es que podemos aprovechar la escala TCAP como referencia la línea de base.
Para utilizar esta escala, simplemente estimar la fuerza del control medido frente a una comunidad amenaza de capacidad media. Por ejemplo, si nos la estimación
de la CS de cuatro caracteres, solamente alfabético, contraseña (contra un ataque de craqueo), que probablemente le daría como 'Bajo'. Esta estimación se basa
en el hecho de que las herramientas de cracking simples son fácilmente disponibles, y que sólo los atacantes serían relativamente ineptos o no tienen acceso o no
Clasificación Descripción
Muy Alta (VH) Protege contra todos, pero el 2% superior de un promedio. población amenaza
Alta (H) Protege contra todo pero la parte superior 16% de un promedio. población amenaza
Baja (L) Sólo protege contra la parte inferior 16% de un promedio. población amenaza
Muy Baja (VL) Sólo protege contra la parte inferior 2% de un promedio. población amenaza
La vulnerabilidad se deriva
La determinación de la vulnerabilidad es sencillo una vez que haya establecido su TCAP y CS. Recordemos de la sección de Factoring que la vulnerabilidad es la diferencia entre
la fuerza que es probable que se aplique, y la capacidad del activo para resistir esa fuerza. Uso de la matriz a continuación, simplemente hallar la TCAP a lo largo del lado
Vulnerabilidad
VH VH VH VH H METRO
H VH VH H METRO L
L H METRO L VL VL
VL METRO L VL VL VL
VL L METRO H VH
Fuerza de Control
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 38
Una introducción a la FERIA - BORRADOR
Similar a la vulnerabilidad, LEF es un valor derivado. LEF se determina por la intersección de TEF y la vulnerabilidad dentro de la matriz a continuación. Recordemos que
la vulnerabilidad es siempre un porcentaje y que no es posible ser más de 100% vulnerable. Como resultado, LEF nunca excederá TEF.
VH METRO H VH VH VH
H L METRO H H H
L VL VL L L L
VL VL VL VL VL VL
VL L METRO H VH
Vulnerabilidad
Por lo general es una pérdida de tiempo para establecer estimaciones precisas de pérdida. La mayoría de los escenarios son demasiado complejas para permitir estimaciones precisas, y que
toman las decisiones por lo general no necesitan o esperan precisión. En consecuencia, todo lo que necesitamos para proporcionar cálculos aproximados son razonables. Dentro de este
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 39
Una introducción a la FERIA - BORRADOR
Tenga en cuenta que esta escala se 'sintonizado' para la capacidad de una organización específica de fi c para la pérdida. Organizaciones de diferentes tamaños o con fundamentalmente
diferentes (por ejemplo, la no financiera) propuestas de valor / pérdida querrán crear sus propias escalas. Por ejemplo, una empresa más pequeña puede ver una pérdida de $ 1M como grave,
Recordemos una declaración anterior que no todos los agentes de amenaza son iguales. Dentro del contexto del análisis de la pérdida de magnitud, esto significa que el mundo tiene un menor
número de asesinos en masa en ella que los peatones imprudentes - afortunadamente. En consecuencia, no podemos asumir que todos los eventos de pérdida van a involucrar a la malicia
bruto. Hay un par de maneras de hacer frente a este mientras llevamos a cabo nuestros análisis:
‣ Ser muy generales en la forma en que de fi ne la comunidad amenaza bajo análisis (por ejemplo, “empleados”), reconociendo la probabilidad de
malicia bruto dentro de esa población es baja, o
‣ Ser más específico en la forma en que definen la comunidad amenaza bajo análisis (por ejemplo, “empleados descontentos”), y reconocer que esta mayor
especificidad proporciona una mejor comprensión de los motivos (en este caso, la venganza), y una oportunidad para ser más precisos en la caracterización de sus
acciones probables (en este caso, una mucho mayor probabilidad de signi fi cativamente acciones maliciosas). Tenga en cuenta, sin embargo, que las comunidades
de amenazas con mayor propensión para la malicia bruto suelen ser mucho más pequeño, que afecta a la frecuencia de contacto.
La conclusión es que cuanto mejor entendemos la comunidad amenaza bajo análisis, más eficaz que podemos estar en la estimación de la pérdida.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 40
Una introducción a la FERIA - BORRADOR
La estimación de la pérdida
Otras ciencias riesgo a menudo utilizan fórmulas muy complejas para estimar las probabilidades de pérdida. Vamos a mantener nuestro proceso relativamente simple por ahora:
A pesar de que no queremos para centrarse exclusivamente en el peor caso de pérdida, los tomadores de decisiones necesitan saber lo que el peor de los casos podría ser similar.
También es importante identificar por los que serían factores clave conducir una pérdida peor de los casos, así como la probabilidad de un resultado así.
pérdida peor de los casos se produce cuando un fi c conjunto específico de factores convergen. Debido a que cada uno de estos factores tiene menos de 100% de probabilidad de
que se produzca, la probabilidad de un resultado peor de los casos es el producto de estas probabilidades. Por ejemplo, si tres factores eran necesarias con el fin de experimentar un
resultado peor de los casos, y las probabilidades individuales para estos factores fueron 25%, 50% y 10%, entonces el peor de los casos probabilidad sería: 0,25 x 0,5 x 0,1 = 0,0125
(poco más de 1%), suponiendo que estos factores varían independientes uno de otro. Generalmente, mientras más factores necesarios para la peor de los casos, menor es la
probabilidad.
No es necesario identificar y estimar la probabilidad de que todos los factores posibles. Es sólo importante reconocer cómo los factores pocas necesita estar en la mezcla con
el fin de impulsar la probabilidad de un resultado peor de los casos a una fracción de un por ciento.
Vamos a seguir tres pasos para estimar la magnitud del peor caso:
1) Determinar la acción amenaza que daría lugar muy probablemente en el peor de los casos
2) Estimar la magnitud para cada forma pérdida asociada con esa acción amenaza
Por ejemplo, si nuestro escenario tratarse de información delicada, un resultado peor de los casos podría ocurrir si la información se dio a conocer al público. Hacer
referencia a los factores de pérdida que cubrimos anteriormente, se evalúa el resultado peor de los casos mediante la estimación de la magnitud para cada tipo de pérdida
asociada a la divulgación.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 41
Una introducción a la FERIA - BORRADOR
Formas de pérdida
acciones de amenaza Productividad reemplazo respuesta Fina / Sentencias Comp. Adv. Reputación
Acceso
Mal uso
Revelación METRO H VL H H SV
Modificación
Acceso denegado
A continuación, la “suma” las magnitudes para llegar a un resultado peor de los casos. En este caso, la medida de resultado peor de los casos es grave. Esto puede parecer como un
montón de trabajo para una estimación que podría ser capaz de llegar a intuitivamente. Hay, sin embargo, varias ventajas para este proceso:
‣ mejora la consistencia
Si nuestro análisis de identi fi cado cuatro factores clave que se requieren con el fin de experimentar un resultado peor de los casos, se podría estimar la probabilidad de
que esos factores convergentes, y tener una mejor comprensión de la probabilidad del peor caso.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 42
Una introducción a la FERIA - BORRADOR
Cuando evaluamos peor de los casos, seleccionamos la acción amenaza de que era probable que resulte en la pérdida máxima. En este caso, seleccionamos la acción (s) es
más probable que tome la comunidad amenaza. En algunos casos, la acción y la amenaza peor de los casos la acción más probable será la misma. En otros escenarios que van
a ser diferentes. También puede no ser siempre capaz de precisar nuestra comunidad amenaza a una sola acción más probable. Por ejemplo, si nuestra comunidad de amenaza
se definió como “empleados contrarie”, podríamos razonablemente esperar las acciones más probable que se denegar el acceso (por ejemplo, destruir) con el fin de afectar a la
Hacer referencia a los factores de pérdida se muestran a continuación, se estima la magnitud de la pérdida probable de cada forma de pérdida asociada a la acción (s) amenaza que
Formas de pérdida
acciones de amenaza Productividad reemplazo respuesta Fina / Sentencias Comp. Adv. Reputación
Acceso
Mal uso
Revelación
Modificación
Acceso denegado
NOTA: Incluyendo expertos en la materia a partir de la organización (por ejemplo, abogados, analistas de negocios, operaciones de tecnología, etc.) se forma significativa
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 43
Una introducción a la FERIA - BORRADOR
Con todo lo que hemos cubierto hasta ahora, es posible que cree que se deriva de riesgo sería difícil. Recordemos que el riesgo es simplemente la unión de la frecuencia de eventos de
Riesgo
Figura 12
Una vez que hemos establecido los, tenemos riesgo. El verdadero desafío tiene que ver con la articulación de riesgo para nuestros tomadores de decisiones.
Pocos de los que toman las decisiones que conozco se sienten como si una simple etiqueta adjetivo-sustantivo (por ejemplo, de alto riesgo) proporciona suficiente información para
tomar una decisión bien informada. Hay demasiada ambigüedad. Esto es especialmente cierto si creen que poca o ninguna profundidad de análisis existe debajo de esa etiqueta.
Estos mismos ejecutivos generalmente no tolerarían una simple etiqueta de “alto riesgo” para el producto, mercado, o riesgo de inversión. riesgos de la información no debe ser
diferente.
Otro de los retos asociados con el etiquetado cualitativa simple es que hay una tendencia a equiparar “alto riesgo” con “bajo riesgo” de “inaceptable”, y con “aceptable”. El
hecho es que, en algunas circunstancias de alto riesgo es totalmente aceptable (por ejemplo, en los casos en donde el potencial de recompensa mayor que el riesgo). En
otras situaciones, una condición de riesgo relativamente bajo puede ser inaceptable, especialmente si la exposición es sistémica dentro de una organización. Incluyendo más
información específico con respecto a la LEF y PLM puede ayudar a reducir los sesgos asociados con las etiquetas de riesgo cualitativos.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 44
Una introducción a la FERIA - BORRADOR
La conclusión es que nuestra articulación riesgo debe satisfacer las necesidades de los tomadores de decisiones. Si se sienten a gusto con una etiqueta cualitativa sencilla, que así
sea. El reto se convierte entonces en asegurándose de que están de acuerdo con los criterios para cada nivel. La siguiente matriz contiene las etiquetas de riesgo cualitativos que
Riesgo
Grave H H do do do
Alto METRO H H do do
VL L METRO H VH
LEF
do Crítico
H Alto
METRO Medio
L Bajo
Por ejemplo, algunos tomadores de decisiones pueden sentir que una combinación de PLM LEF y alta Muy baja representa alto riesgo, en comparación con el riesgo medio
derivado anterior. Las líneas que diferencian a los niveles de riesgo pueden variar de una organización a otra.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 45
Una introducción a la FERIA - BORRADOR
Hemos cubierto mucho terreno, y puede ser difícil de sacar todos estos conceptos juntos hasta que haya tenido la oportunidad de utilizarlos. Esta sección nos lleva a través
de un simple escenario de riesgo - proporcionando una oportunidad de patear los neumáticos, así tospeak.
El escenario
Una Recursos Humanos (HR) ejecutivo dentro de un banco grande tiene su nombre de usuario y la contraseña escrita en una nota adhesiva pegada a su monitor de la computadora. Estas
credenciales de autenticación le permiten iniciar sesión en la red y acceder a las aplicaciones de recursos humanos que tiene derecho a utilizar.
Antes de empezar, piensa a sí mismo cómo te califica el nivel de riesgo dentro de este escenario basado en las evaluaciones que haya visto o hecho en el
pasado.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 46
Una introducción a la FERIA - BORRADOR
El analisis
El proceso simplificada que utilizaremos en este ejemplo se compone de diez pasos en cuatro etapas:
(Apéndice A de este documento contiene una Guía de Evaluación de Riesgos básicos que documenta estos
pasos.)
La primera pregunta que tenemos que responder es: “¿Qué es activo en riesgo?” Otra forma de pensar acerca de esto es para determinar dónde existe valor o pasivo. Yo
normalmente me preguntan cuando presente este escenario si las credenciales son el activo, o si se trata de las aplicaciones, sistemas, y la información que proporcionan
las credenciales de acceso. La respuesta corta es “sí” - son todos los activos. En este caso, sin embargo, nos centraremos en las credenciales, reconociendo que su valor
La segunda pregunta que tenemos que responder es: “El riesgo asociado con lo amenaza?” Si examinamos la naturaleza de la organización (por ejemplo, la industria que se
encuentra, etc.), y las condiciones que rodean al activo (por ejemplo, la o fi cina de un ejecutivo de recursos humanos ), podemos empezar a analizar la población global amenaza a
las comunidades que podrían aplicarse razonablemente. ¿Cuántas comunidades amenaza que elegimos para analizar, y cómo los subdividimos depende de nosotros.
Probablemente no sea un buen uso del tiempo para incluir todas las comunidades amenaza concebible en nuestro análisis. Por ejemplo, dada esta situación, es probable que no sea
la pena analizar el riesgo asociado con los servicios de inteligencia del Estado-nación como la DGSE francesa. Estamos diciendo
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 47
Una introducción a la FERIA - BORRADOR
que no es posible que un espía Estado-nación para atacar este banco a través de esta exposición? No. Pero teniendo en cuenta la naturaleza de las comunidades de amenazas
en relación con la industria, la organización y activo, podemos llegar a conclusiones razonables sin ser víctimas de la parálisis de análisis o “probabilidades de la lotería
puntillosa”.
Dentro de este escenario, parece razonable considerar el riesgo asociado con las siguientes comunidades de amenazas:
‣ El equipo de limpieza
‣ Otros trabajadores de recursos humanos con acceso regular a los ejecutivos de la oficina, y
‣ Los huéspedes
Con la experiencia se hace más fácil determinar qué comunidades son de mérito para incluir y excluir, y si tiene sentido para combinar las comunidades
como los que caen bajo 'Visitantes'. Para este ejemplo, vamos a concentrarnos en el equipo de limpieza.
Muchas personas exigen grandes cantidades de datos duros antes de que se sienta cómodo estimar la frecuencia de ataques. Desafortunadamente, debido a que no tenemos mucho
(si lo hay) Realmente datos útiles o creíbles para muchos escenarios, TEF es a menudo ignorado por completo. El momento en que ignore este componente de riesgo, sin embargo, ya
no estamos hablando de riesgo. Por lo tanto, en ausencia de datos concretos, ¿qué queda? Una respuesta es utilizar una escala cualitativa, tales como Baja, Media o Alta. Y, aunque no
hay nada inherentemente malo con un enfoque cualitativo en muchas circunstancias, un enfoque cuantitativo proporciona una mayor claridad y es más útil para la mayoría de los
tomadores de decisiones - incluso si es imprecisa. Por ejemplo, puedo no tener años de datos empíricos que documentan la frecuencia con la limpieza de la tripulación empleados
abusan de nombres de usuario y contraseñas en notas adhesivas, pero puedo hacer una estimación razonable dentro de un conjunto de rangos.
Como se discutió en la sección de Factoring, una estimación TEF se basa en cómo contactar con frecuencia entre esta comunidad amenaza (el equipo de limpieza) y
las credenciales que se dé y la probabilidad de que iban a actuar en contra de las credenciales. Si el equipo de limpieza viene por una vez por día de trabajo, se
produce el contacto razonablemente un par de cientos de veces al año. La probabilidad de que actuarían es impulsado por tres factores principales:
‣ El valor del activo a ellos (en base a sus motivos - ganancia financiera, venganza, etc.),
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 48
Una introducción a la FERIA - BORRADOR
Reconociendo que los equipos de limpieza están compuestos generalmente de gente honesta, que las credenciales de un ejecutivo de recursos humanos por lo general no se
pueden ver o se reconocen como especialmente valioso para ellos, y que el riesgo percibido asociado con el uso ilícito podrían ser altos, entonces parece razonable estimar una Bajo
Clasificación • Descripción
Muy Baja (VL) <.1 veces al año (menos de una vez cada diez años)
¿Es posible que un equipo de limpieza que tiene un empleado con el motivo, suf experiencia deficiente de computación para reconocer el valor potencial de estas credenciales,
y con una tolerancia al riesgo suficientemente alto como para probar suerte en el uso ilícito? ¡Absolutamente! Cómo sucede? Indudablemente. Podría ser esa persona en el
equipo que limpia esta o fi cina? Seguro - es posible. No obstante, la frecuencia probable es relativamente baja.
TCAP se refiere a la habilidad del agente de amenaza (conocimientos y experiencia) y los recursos (tiempo y materiales) que puede ser ejercida contra el activo. Un escenario
diferente podría proporcionar una mejor ilustración de esta etapa del análisis - algo así como una aplicación web con una debilidad de inyección SQL - pero situaciones como
que no se prestan a un documento introductorio. En este caso, todo lo que estamos hablando es de la estimación de la habilidad (en este caso, la capacidad de lectura) y los
recursos (tiempo) del miembro medio de esta comunidad amenaza puede usar en contra de una contraseña escrita en una nota adhesiva. Es razonable para calificar el TCAP
equipo de limpieza como Medio, en comparación con la población general de amenazas. Tenga en cuenta que siempre TCAP se calcula en relación con el escenario. Si nuestro
escenario era diferente, y que estaban evaluando la capacidad del equipo de limpieza para ejecutar un ataque de inyección SQL, tendríamos probablemente la tasa de ellos
menor.
Clasificación • Descripción
Moderado (M) • habilidad media y recursos (entre la parte inferior 16% y 16% superior)
Baja (L) Inferior al 16% cuando se compara con la población general de amenazas
Muy Baja (VL) Inferior al 2% cuando se compara con la población general de amenazas
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 49
Una introducción a la FERIA - BORRADOR
la fuerza de control tiene que ver con la capacidad de un activo para resistir compromiso. En nuestro escenario, porque las credenciales están a la vista y en
texto plano, el CS es Muy bajo. Si están escritas, pero codificadas, el CS sería diferente - probablemente mucho mayor.
Clasificación • Descripción
Muy Alta (VH) Protege contra todos, pero el 2% superior de un promedio. población amenaza
Alta (H) Protege contra todo pero la parte superior 16% de un promedio. población amenaza
Baja (L) Sólo protege contra la parte inferior 16% de un promedio. población amenaza
Muy Baja (VL) • Sólo protege contra la parte inferior 2% de un promedio. población amenaza
La pregunta a veces aparece, “no son buenas prácticas de contratación un control para los activos internos?” Y “¿No es la cerradura de la puerta del ejecutivo de un control?”
Absolutamente, lo son. Pero estos controles factor en la frecuencia del contacto, en contraposición a la eficacia de los controles están en el punto de ataque. Vamos a cubrir
Derivación de la vulnerabilidad es fácil una vez que haya establecido su TCAP y CS. Recordemos de la sección de Factoring que la vulnerabilidad es la diferencia entre la
fuerza que es probable que se aplique, y la capacidad del activo para resistir esa fuerza. Uso de la matriz a continuación, simplemente hallar la TCAP a lo largo del lado
Vulnerabilidad
VH VH VH VH H METRO
H VH VH H METRO L
L H METRO L VL VL
VL METRO L VL VL VL
VL L METRO H VH
Fuerza de Control
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 50
Una introducción a la FERIA - BORRADOR
Similar a la vulnerabilidad, LEF se deriva por la intersección de TEF y la vulnerabilidad dentro de una matriz.
VH METRO H VH VH VH
H L METRO H H H
L VL VL L L L
VL VL VL VL VL VL
VL L METRO H VH
Vulnerabilidad
En nuestro escenario, dado un FET de baja y una Vuln de VH, la LEF es Bajo. Tenga en cuenta que la vulnerabilidad es un porcentaje, lo que significa que nunca
puede ser superior al 100% vulnerable. En consecuencia, LEF nunca será mayor que TEF.
Alrededor de este momento, puede comenzar a sentirse incómodos con la idea de clasificar este escenario como una “baja” cualquier cosa - incluso si está de acuerdo con la
lógica detrás del análisis. Va en contra de gran parte de lo que nos han enseñado y practicado. Las preguntas relacionadas con el riesgo agregado, y la debida diligencia
comienzan a surgir - y por una buena razón. Vamos a tocar de nuevo más adelante, pero puede estar seguro de que “baja” LEF no es necesariamente lo mismo que “no es un
problema”.
Como se mencionó anteriormente, las credenciales de usuario y contraseña heredan el valor y la responsabilidad asociada con los recursos que proporcionan acceso a. Para un ejecutivo de
recursos humanos, podemos esperar razonablemente que estas credenciales para proporcionar acceso a la información de la organización de recursos humanos (org. Gráficos, etc.), así como
la información personal y el empleo de los empleados (datos de rendimiento, datos médicos y de salud, dirección, número de seguro social, salario, etc.). En algunas organizaciones,
dependiendo de donde se encuentra el ejecutivo de recursos humanos en la jerarquía corporativa, él / ella puede también tener acceso a los datos de estrategia corporativa. Para nuestro
caso, vamos a suponer que este ejecutivo no tiene acceso a las estrategias empresariales confidenciales clave.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 51
Una introducción a la FERIA - BORRADOR
Dentro de este escenario, tres acciones posibles amenazas destacan por tener fi pérdida potencial significativo - el mal uso, divulgación y destrucción.
‣ Mal uso - Registros de empleados normalmente tienen información que puede ser utilizada para ejecutar el robo de identidad, que introduce pérdida
potencial legal y reputacional
‣ Revelación - Registros de empleados a menudo tienen la información personal relacionada con problemas médicos o de rendimiento, lo que introduce
riesgos legales y de reputación
‣ Denegar el acceso (destrucción) - Registros de empleados son una parte necesaria del funcionamiento de cualquier negocio. En consecuencia, su
En algunos casos es necesario evaluar la pérdida asociada a más de una acción amenaza con el fin de decidir cuál de ellos tiene el potencial de pérdida de fi cante más
significativo. Para este ejercicio, vamos a seleccionar la divulgación como nuestra acción amenaza peor de los casos.
Nuestro siguiente paso es estimar la magnitud de pérdida peor de los casos para cada forma de pérdida.
Formas de pérdida
acciones de amenaza Productividad reemplazo respuesta Fina / Sentencias Comp. Adv. Reputación
Acceso
Mal uso
Revelación H H -- SV H SV
Modificación
Acceso denegado
Tenga en cuenta que no estimó la magnitud de pérdida para el reemplazo. Cada vez que usted está evaluando las pérdidas y una o más de las formas tiene una magnitud de la
pérdida severa (Sv), no vale la pena dar mucha importancia a las formas de pérdida que tienen una, o ninguna, de magnitud mucho menor pérdida. En este caso, reemplazo no
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 52
Una introducción a la FERIA - BORRADOR
‣ Productividad
- Es concebible que las pérdidas de productividad podrían ser alta como se desvía la atención de los empleados de este evento
‣ Respuesta
- gastos legales asociados con el interior y la asesoría jurídica externa podría ser alta, sobre todo si las demandas colectivas fueron conducidos fi
‣ Multas / Sentencias
- Si la información divulgada incluye detalles relacionados con enfermedades psicológicas o de otros problemas de salud sensibles, a continuación,
juicios legales en nombre de los empleados afectados podrían ser graves, sobre todo si se vieron afectados un gran número de empleados
- Si la información incluida evidencia de actividad criminal o incompetencia por parte de la administración, a continuación, fi nes legales y
reglamentarias y las sanciones podrían ser graves
‣ Ventaja competitiva
- Si la información declarada proporcionó evidencia de la incompetencia o actividad criminal, los competidores podrían, en teoría, que aprovechar para obtener
una ventaja. En su mayor parte, sin embargo, podemos esperar que los competidores simplemente sentarse y rastrillo de cualquier clientes descontentos (caen
‣ Reputación
- Si la información era lo suficientemente sensible, era debida diligencia, acciones legales seriamente ausentes eran lo suficientemente grandes, y la
respuesta de los medios fue negativo y penetrante, entonces la pérdida de reputación asociado con fl ight al cliente y valor de las acciones podrían ser
graves.
No vamos a documentar toda nuestra razón de ser en la mayoría de los análisis de riesgo. La mayoría de las veces nos internalizar todos pero los factores más significativos. Sin
embargo, tener una comprensión más profunda de lo que estos factores son y cómo funcionan aumenta la calidad de nuestros análisis.
Tenga en cuenta que la razón anterior se basa en lo que podría suceder. Esto pone de relieve el hecho de que analiza peor de los casos tienden a basarse en las posibilidades en
lugar de probabilidades. Con el fin de hacer que esta información significativa peor de los casos, tenemos que tener una idea de cómo resultado un peor de los casos probables es.
Un gran número de factores que afectan la probabilidad de un resultado peor de los casos. En este escenario, se seleccionaron divulgación como nuestra acción amenaza peor de
los casos, sin embargo, no hemos considerado la posibilidad de que un agente de amenaza de esta comunidad amenaza podría revelar la información intencionalmente. Otras
acciones podrían ser mucho más probable. divulgación accidental podría dar como resultado, por supuesto, si el agente amenaza cabo el robo de identidad, fue capturado, y la
información se remonta a esta organización y este evento. Una serie de 'si' - cada uno con una probabilidad de menos del 100%. Además, incluso si se ha producido la divulgación, la
organización tiene una oportunidad para mitigar la pérdida de magnitud a través de su respuesta. ¿Se coloca fuera de su camino para rectificar la situación? ¿Tiene una capacidad de
relaciones públicas eficaces y una buena relación con los medios de comunicación? Cada uno de estos factores reducen la probabilidad de un resultado peor de los casos.
En la mayoría de los casos no vale la pena gastar mucho tiempo y esfuerzo evaluar la probabilidad de un resultado peor de los casos. Pasar el tiempo suficiente para
tener una idea de cuáles son los factores clave son, y más o menos donde en el resultado continuo peor de los casos se sitúa entre casi seguro y casi imposible.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 53
Una introducción a la FERIA - BORRADOR
Para nuestro caso, vamos a determinar que el peor caso es grave magnitud (decenas de millones de dólares), pero con una muy baja probabilidad de ocurrencia.
El primer paso en la estimación de PLM es determinar qué acción amenaza es más probable. Recuerda; acciones son impulsadas por motivo y el motivo más común para la acción
ilícita es la ganancia fi nanciera. Dada esta comunidad amenaza, el tipo de activo (información personal), y las acciones de amenaza disponibles, es razonable para seleccionar mal
uso como el más probable de acción - por ejemplo, para el robo de identidad.
Nuestro siguiente paso es estimar la magnitud de pérdida muy probablemente como resultado de un mal uso para cada forma de pérdida.
Formas de pérdida
acciones de amenaza Productividad reemplazo respuesta Fina / Sentencias Comp. Adv. Reputación
Acceso
Revelación
Modificación
Acceso denegado
‣ los gastos de sustitución simplemente implican el costo de cambiar la contraseña del ejecutivo
‣ Ninguna acción legal o reglamentaria se debe a que el incidente no se toma a la corte o informó a los reguladores
‣ No hay pérdida de ventaja competitiva se produce debido a la naturaleza relativamente intrascendente del evento
‣ No hay daño a la reputación de material se produce porque era un evento interno, no hay clientes se vieron afectados, y la organización tenía un
programa de seguridad en el lugar que incluye políticas y la educación
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 54
Una introducción a la FERIA - BORRADOR
‣ La organización se dio cuenta del incidente. Es perfectamente posible que este tipo de evento para pasar desapercibido. Hasta detectado, no hay
pérdida de material a la organización.
Ya hemos hecho la parte más difícil, ya que el riesgo se deriva simplemente de la LEF y PLM. La cuestión es si para articular riesgo cualitativamente utilizando una matriz como la de
abajo, o el riesgo articulado como LEF, PLM, y peor de los casos. Para este ejercicio, vamos a hacer ambas cosas.
Si se asume que la matriz de abajo es 'aprobado' por el liderazgo de nuestro banco ficticio, podemos informar que el riesgo asociado a esta comunidad de
amenaza se basa Medio en una LEF baja (entre 1 y .1 veces al año) y un PLM moderada ( entre $ 10K y $ 100K). Por otra parte, podemos comunicar a nuestros
tomadores de decisiones que la pérdida peor de los casos podría ser grave, pero que la probabilidad de un resultado peor de los casos es muy baja.
Riesgo
Grave H H do do do
Alto METRO H H do do
VL L METRO H VH
LEF
do Crítico
H Alto
METRO Medio
L Bajo
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 55
Una introducción a la FERIA - BORRADOR
En un análisis real, lo más probable es que nos gustaría evaluar e informar sobre más de una comunidad amenazada.
Una palabra de precaución: Aunque el riesgo asociado con cualquier sola exposición puede ser relativamente baja, la misma exposición existente en muchos casos a través
de una organización puede representar un riesgo agregado más alto. Bajo ciertas condiciones, el riesgo agregado puede aumentar geométricamente en lugar de lineal. Por otra
parte, los problemas de bajo riesgo, de los tipos incorrectos y en las combinaciones equivocadas, pueden crear un ambiente en un solo evento puede conectar en cascada en
un resultado catastrófico - un efecto avalancha. Es importante tener en cuenta estas consideraciones en la evaluación de riesgos y la comunicación de los resultados a los
tomadores de decisiones. Con posterioridad documentación y formación JUSTO cubrirán estos temas en detalle.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 56
Una introducción a la FERIA - BORRADOR
conclusiones
Nuestra profesión ha reconocido desde el principio que la seguridad perfecta no es posible, ni sería práctico si era posible. Nuestro propósito fundamental como profesionales es
ayudar a nuestros empresarios a gestionar la frecuencia y la magnitud de la pérdida. Desafortunadamente, los métodos y conceptos Muchos de nosotros hemos seguido durante
años no reflejar la verdadera naturaleza del riesgo y han limitado nuestra capacidad para ser eficaz. No hemos sido capaces de responder de manera creíble algunas preguntas
muy básicas:
Cada una de estas preguntas implica la capacidad de medir el riesgo. Sin embargo, sin una sólida comprensión de los conceptos fundamentales de riesgo y los factores, no
podemos empezar a medir la credibilidad ella. FAIR busca proporcionar la base necesaria a través de su taxonomía, de fi niciones, y métodos de análisis.
Como he incubó y se aplican estos conceptos y procesos para escenarios de riesgo en el mundo real donde trabajo, y como he empezado a entrenar a otros dentro
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 57
Una introducción a la FERIA - BORRADOR
De los que se han introducido para FAIR y han tenido la oportunidad de ver lo que solía, la mayoría son muy entusiasta en su apoyo. Es natural, sin embargo, que la
gente acepte el cambio a diferentes velocidades. Algunos de nosotros tenemos nuestras creencias muy firmemente, y puede ser difícil e incómodo para adoptar un
nuevo enfoque. En última instancia, no todos van a estar de acuerdo con los principios y métodos que subyacen FAIR. Algunos lo han llamado sin sentido. Otros
parecen sentirse amenazados por ella. Sus preocupaciones tienden a girar en torno a uno o más de los siguientes temas:
‣ La ausencia de datos concretos. No hay duda de que una gran cantidad de buenos datos sería útil. Por desgracia, eso no es nuestra
realidad actual. En consecuencia, tenemos que hallar otra manera de abordar el problema, y justo es una solución.
‣ La falta de precisión. Una vez más, la precisión es agradable cuando es posible, pero no es realista dentro de este espacio del problema. La realidad
es demasiado compleja. Considere los siguientes ejemplos:
El objetivo de la izquierda tiene un patrón de disparo relativamente precisa, pero la colocación no es exacta. El objetivo de la derecha tiene una configuración
de disparos menos precisa, pero la colocación re fl eja mucho mejor precisión. Muchos de los métodos de evaluación y mejores prácticas utilizadas hoy en día
proporcionan un grado relativamente alto de precisión, pero sólo se refieren estado de control. Por desgracia, el estado de control a menudo no vuelve con
precisión el riesgo reflejar. FAIR representa un intento de obtener una exactitud mucho mejor, al tiempo que reconoce que la naturaleza fundamental
del problema no permite un alto grado de precisión. Mi experiencia ha sido que los tomadores de decisiones prefieren claramente la precisión.
‣ Se necesita algo del misterio de la profesión. El hecho es que hay quienes prefieren ser artistas
- en algunos casos debido a que un artista no puede ser juzgada como “malo”.
‣ análisis objetivo parece ser un trabajo duro. La buena noticia es que se hace más fácil con la práctica. Después de un tiempo, nuestra rápida, “intuitivamente
guiados” fallos de riesgo se vuelven mucho más alta calidad debido a nuestra comprensión más profunda. Estamos mejor calibrado. Es también digno de mención
que incluso las aplicaciones sencillas de software prototipo FAIR hacen análisis complejos significativamente más fácil.
‣ FERIA parece complicado. No hay duda de que la mayoría de nosotros como soluciones simples cuando podemos hallar ellos. De hecho, las soluciones
simples son más eficaces que las soluciones complejas en muchos casos. Afortunadamente, podemos optar por utilizar el marco en cualquier nivel de
abstracción se adapte a nuestras necesidades. La ventaja viene de saber más acerca de los factores que existen en los niveles más bajos de abstracción, lo que
nos permite tomar mejores decisiones en los niveles más altos de abstracción.
‣ Algunas personas simplemente no les gusta el cambio - en particular el cambio tan profundo como esto representa.
No es de extrañar que algunas personas reaccionan de forma negativa, porque justo representa una perturbadora influencia dentro de nuestra profesión. Mi única petición de
aquellos que ofrecen la crítica es que también ofrecen razones racionales y alternativas. De hecho, animo a preguntas difíciles y críticas constructivas porque:
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 58
Una introducción a la FERIA - BORRADOR
Este documento apenas rasca la superficie del desarrollo y la investigación que abarca cuatro años. documentación más detallada, prototipos de herramientas y análisis de
riesgos materiales de formación están siendo desarrollados de manera que el marco se puede aplicar contra los problemas complejos del mundo real que nos enfrentamos
‣ Una inmersión más profunda en los controles, las comunidades de amenazas y la pérdida de
‣ El uso de conceptos justo para evaluar otros tipos de riesgo (por ejemplo, el riesgo de mercado, riesgo de la inversión, el riesgo legal, etc.)
Sus comentarios, preguntas e ideas son bienvenidos, y voy a responder de la manera más oportuna como lo permita la carga de trabajo. Por favor, enviar mensajes de correo electrónico a:
jonesj1@riskmanagementinsight.com
“... y el final de toda nuestra exploración será llegar a donde empezamos y conocer el lugar por primera vez.”
- TS Eliot
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 59
Una introducción a la FERIA - BORRADOR
El uso de esta guía eficaz requiere una sólida comprensión de los conceptos FAIR
‣ Al igual que con cualquier método de análisis de alto nivel, los resultados pueden depender de variables que no pueden ser explicados en este nivel de abstracción
‣ La escala de magnitud pérdida descrito en esta sección se ajusta para una especificidad c tamaño de la organización y la capacidad de riesgo. Las etiquetas utilizadas
en la escala (por ejemplo, “grave”, “Bajo”, etc.) pueden necesitar ser ajustado en el análisis de las organizaciones de diferentes tamaños
‣ Este proceso es un ed simplifica, versión de introducción que puede no ser apropiado para algunos análisis
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 1
Una introducción a la FERIA - BORRADOR
Riesgo
Fuerza de Capacidad de Factores de pérdida Pérdida amenaza Factores de pérdida de Pérdida externa
Contacto Acción
Control amenaza de activos factores organización factores
Para estimar las características de control y de valor dentro de un análisis de riesgos, el analista debe primero identificar el activo (objeto) en evaluación. Si se está
realizando un análisis multinivel, será necesario que el analista para identificar y evaluar el activo primario (objeto) en situación de riesgo y todos los meta-objetos que
existen entre el principal activo y la comunidad amenaza. Esta guía está pensada para su uso en el análisis de riesgos de nivel simple, solo, y no describe los pasos
Con el fin de estimar la frecuencia de eventos de amenaza (TEF) y Capacidad de Amenazas (TCAP), una comunidad amenaza fi ca primero debe ser identi fi cado. Como
mínimo, al evaluar el riesgo asociado a los actos maliciosos, el analista tiene que decidir si la comunidad es la amenaza humana o malware, e interna o externa. En la
mayoría de las circunstancias, es apropiado para definir la comunidad amenaza más específicamente - por ejemplo, los ingenieros de red, equipo de limpieza, etc., y
caracterizar la naturaleza esperada de la comunidad. Este documento no incluye orientación sobre la manera de realizar de amplio espectro (es decir, comunidad
multi-amenaza) analiza.
Caracterización
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 2
Una introducción a la FERIA - BORRADOR
La frecuencia probable, en un plazo determinado, que un agente de amenaza actuará contra un activo
Clasificación • Descripción
Muy Baja (VL) <.1 veces al año (menos de una vez cada diez años)
Razón fundamental
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 3
Una introducción a la FERIA - BORRADOR
El nivel probable de fuerza que un agente de amenaza es capaz de aplicar contra un activo
Clasificación • Descripción
Moderado (M) habilidad media y recursos (entre la parte inferior 16% y 16% superior)
Baja (L) Inferior al 16% cuando se compara con la población general de amenazas
Muy Baja (VL) Inferior al 2% cuando se compara con la población general de amenazas
Razón fundamental
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 4
Una introducción a la FERIA - BORRADOR
La eficacia esperada de los controles, durante un período de tiempo dado, tal como se mide contra una línea de base
nivel de fuerza
Clasificación • Descripción
Muy Alta (VH) Protege contra todos, pero el 2% superior de un promedio. población amenaza
Alta (H) Protege contra todo pero la parte superior 16% de un promedio. población amenaza
Baja (L) Sólo protege contra la parte inferior 16% de un promedio. población amenaza
Muy Baja (VL) Sólo protege contra la parte inferior 2% de un promedio. población amenaza
Razón fundamental
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 5
Una introducción a la FERIA - BORRADOR
La probabilidad de que un activo no será capaz de resistir las acciones de un agente de amenaza
Vulnerabilidad
VH VH VH VH H METRO
H VH VH H METRO L
L H METRO L VL VL
VL METRO L VL VL VL
VL L METRO H VH
Fuerza de Control
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 6
Una introducción a la FERIA - BORRADOR
La frecuencia probable, en un plazo determinado, que un agente de amenaza in fl icto daño a una
activo
VH METRO H VH VH VH
H L METRO H H H
L VL VL L L L
VL VL VL VL VL VL
VL L METRO H VH
Vulnerabilidad
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 7
Una introducción a la FERIA - BORRADOR
Estimar la magnitud peor de los casos el uso de los tres pasos siguientes:
‣ Determinar la acción amenaza que probablemente resultaría en un resultado peor de los casos
‣ Estimar la magnitud de cada forma de pérdida asociada con esa acción amenaza
‣ “Sum” los formularios pérdida de magnitudes
Formas de pérdida
acciones de amenaza Productividad reemplazo respuesta Fina / Sentencias Comp. Adv. Reputación
Acceso
Mal uso
Revelación
Modificación
Acceso denegado
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 8
Una introducción a la FERIA - BORRADOR
Formas de pérdida
acciones de amenaza Productividad reemplazo respuesta Fina / Sentencias Comp. Adv. Reputación
Acceso
Mal uso
Revelación
Modificación
Acceso denegado
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 9
Una introducción a la FERIA - BORRADOR
riesgo articulado bien analiza los decisores con al menos dos piezas clave de información:
Esta información puede ser transmitida a través de texto, gráficos, o ambos. En la mayoría de las circunstancias, es aconsejable que también proporcionan el potencial estimado de
pérdida de gama alta para que el tomador de decisiones es consciente de lo que el peor de los casos podría ser similar. Dependiendo del escenario, la información adicional fi
Riesgo
Grave H H do do do
Alto METRO H H do do
VL L METRO H VH
LEF
do Crítico
H Alto
METRO Medio
L Bajo
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 10
Una introducción a la FERIA - BORRADOR
Apéndice B: Glosario
Apéndice B: Glosario
Plazo De fi nición
Acción Un acto tomada en contra de un activo por un agente de amenaza. Requiere primero que hay contacto entre el
análisis de riesgos de amplio espectro Cualquier análisis que tiene en cuenta el riesgo de múltiples comunidades de amenazas en contra de un solo
activo
Contacto Se produce cuando un agente de amenaza establece un (por ejemplo, red,) conexión física o virtual a un
activo
la fuerza de control (CS) La fuerza de un control en comparación con una medida estándar de la fuerza
evento de pérdida Se produce cuando la acción de un agente de amenaza (amenaza caso) tiene éxito en afectar negativamente a un activo
la frecuencia de eventos de pérdida (LEF) La frecuencia probable, en un plazo determinado, que un agente de amenaza será un daño fl icto sobre
un activo
análisis de riesgo de niveles múltiples Cualquier análisis que explica el riesgo de una única comunidad amenaza contra un conjunto de capas de los activos (por
magnitud probable pérdida (PLM) La magnitud probable de la pérdida resultante de un evento de pérdida
agente de amenaza Cualquier agente (por ejemplo, objeto, sustancia, humano, etc.) que es capaz de actuar contra un activo de
capacidad de amenaza (TCAP) El nivel probable de fuerza que un agente de amenaza es capaz de aplicar contra un activo
comunidad de amenaza Un subconjunto de la población total de agente de amenaza que comparte características clave
evento de amenaza Se produce cuando un agente de amenaza que actúa contra un activo
frecuencia de eventos de amenaza (TEF) La frecuencia probable, en un plazo determinado, que un agente de amenaza actuará contra un activo
Vulnerabilidad La probabilidad de que un activo no será capaz de resistir las acciones de un agente de amenaza
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 1
Una introducción a la FERIA - PROYECTO
Riesgo
Fuerza de Capacidad de Factores de pérdida Pérdida amenaza Factores de pérdida de Pérdida externa
Contacto Acción
Control amenaza de activos factores organización factores
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 1
Una introducción a la FERIA - BORRADOR
Sobre el Autor
Jack ha sido empleado en la tecnología de la información desde 1983, y se ha especializado en la gestión de seguridad de la información, consultoría y evaluación
desde 1991. Su experiencia abarca los militares, de inteligencia del gobierno, consultoría, así como las industrias de seguros y las finanzas comerciales. En 2006
Jack tuvo el honor de recibir la AISS La excelencia en el campo de la seguridad de la información Practices Award, y en 2007 fue seleccionado como finalista fi para
la Seguridad de la Información ejecutivo del año, Central de Estados Unidos. Él ha contribuido a diversas publicaciones, y es un orador codiciado para las
conferencias nacionales.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 1