Anlisisderiesgos

Tcnicas,metodologasy herramientasparaeldesarrollo deunanlisisderiesgos.

Laseguridadencualquierorganizacindebeestarenconsonanciaconsusriesgos.Sinembargo,el proceso para determinar qu controles de seguridad son adecuados y rentables, es a menudo complejoyrespondeengranmedidaacuestionessubjetivas.Unadelasprincipalesfuncionesde anlisisderiesgosdeseguridadesponeresteprocesoenunabasemsobjetivabrindandotcnicasy herramientasqueayudenadichoproceso.Cuandoelplandeinvestigacinutilizadopermitecumplir losobjetivosdentrodelmarcodeunacienciaestamosfrenteunametodologa. Eneltrabajodescriptoenlassiguientespginassedefinenunaseriedeconceptoscomunesatodas lasmetodologasexistentesparalaevaluacinderiesgos.Tambinseproporcionaunaintroduccin aaquellasquehansidomsutilizadasporlasdiferentesorganizacionesanivelmundial.

FannyCuriman fanny_curiman@hotmail.com GastnToth gastontoth@hotmail.com

Pgina 1

INDICE
INTRODUCCIN................................................................................................................................3 ANLISIS DE RIESGOS ...................................................................................................................4 Consideracin del riesgo..................................................................................................................5 Motivaciones para un anlisis de riesgo..........................................................................................6 METODOLOGAS DE ANLISIS DE RIESGOS.............................................................................6 Conceptos generales........................................................................................................................6 Elementos del modelo......................................................................................................................6 Mtodos cualitativos........................................................................................................................8 Mtodos mixtos................................................................................................................................9 ISO/IEC 27005:2008.....................................................................................................................10 AS/NZS 4360:2004........................................................................................................................10 MAGERIT.....................................................................................................................................11 OCTAVE........................................................................................................................................12 Otras metodologas y normas existentes........................................................................................13 Algunas herramientas para el anlisis de riesgos...........................................................................14 EJEMPLO...........................................................................................................................................15 CONCLUSION..................................................................................................................................19 REFERENCIAS.................................................................................................................................19 GLOSARIO........................................................................................................................................20

Pgina 2

INTRODUCCIN
Lainformacinesunodelosprincipalesactivosdetodaorganizacin,necesarioparaelnormal funcionamientoyellogrodesusobjetivos.Esporelloquelasorganizacionesnecesitanprotegersu informacin para asegurar que est disponible cuando se necesite, que sea confiable y que su distribucinestcontrolada. Lagestindelaseguridaddelainformacines elprocesoporelcuallaorganizacindefine, alcanza y mantiene unos niveles apropiados de confidencialidad, integridad, disponibilidad, trazabilidadyautenticidadparalainformacinquenecesitaparaoperar. Elprocesodegestindelaseguridaddelainformacinincluyelossiguientesaspectosprincipales: Determinarlosobjetivos,estrategiasypolticasdeseguridaddelainformacin. Determinarlosrequerimientosdeseguridaddelainformacin. Identificaryanalizarlasamenazasylasvulnerabilidadesdelosactivosdeinformacin. Identificaryanalizarlosriesgosdeseguridad. Especificarcontrolesadecuadosteniendoencuentalasamenazas,vulnerabilidadesyriesgos identificados. Supervisarlaimplementacinyelfuncionamientodeloscontrolesespecificados. Asegurarlaconcientizacindetodoelpersonalenmateriadeseguridaddelainformacin. Detectarlosposiblesincidentesdeseguridadyreaccionaranteellos. Las tendencias en materia de seguridad de la informacin muestran datos relevantes sobre la complejidad que alcanza el proceso de gestin de la seguridad de la informacin en las organizacionesactualmente: Crecimientodelosincidentesprovocadosporelpropiopersonaldelaorganizacin,que hacenineficaceslasmedidasestablecidasparaprotegerdelosataquesexternos. Crecimiento de los ataques con motivacin puramente econmica, debido a la profesionalizacindelosatacantes,yasociacinconpersonasespecializadasenlaejecucin delasdiferentesfasesytareas. Los ataques son ms complejos aprovechando las debilidades tecnolgicas, operativas, ingenierasocial,etc. Crecimiento de los ataques diseados especficamente para objetivos determinados. Difusindekitsparaataquessofisticados. Aumentodelasprdidasarazdedebilidadesnotecnolgicas,comoelroboolaprdidade soportesdeinformacinoelabusodeprivilegiosporpartedeusuariosdelsistema. Lamayoradelasorganizaciones hansufridoalmenosunincidentedeseguridaddela informacinduranteelltimoao. Aumenta el nmero de ataques de da 0, que se producen antes de que se publique la existenciadeladebilidadexplotada.Necesidaddeunadisciplinadeseguridadqueprotejade lasdebilidadesconocidas,ydelasquepuedanexistirsinconocerse.Ademsdelanecesidad dereaccionarconceleridadantelapublicacindenuevasdebilidades. Ladisciplinadelaseguridaddelainformacinsehadesarrolladorpidamente,impulsadaporla necesidaddeformalizartodaslasmedidasdeseguridadnecesariasparaprotegerlainformacin. Con un enfoque de la seguridad ms global (abarcando aspectos tecnolgicos, legales,
Pgina 3

organizativos,culturales,etc.),planteadacomounproblemadenegocio. Elenfoqueglobalydenegociodelaseguridaddelainformacinrequieredeherramientasde gestincapacesdefacilitaralosresponsableslatomadedecisiones.Entreestasherramientasde gestin, el anlisis de riesgos permite identificar y valorar cules son aquellas amenazas ms relevantesparalaseguridaddelainformacindesdeunpuntodevistadenegocioylaeficaciade loscontrolesestablecidasparamitigarlosriesgosasociados.

ANLISISDERIESGOS
Todaslasorganizacionessecreanymantienenconelfindecumplirobjetivosdeterminados. Soninfinitoslosposibleseventosquepuedenafectardeformanegativaalcumplimientodelos objetivos establecidos. Estos eventos pueden tener origen interno o externo, ser fortuitos o intencionalesydedistintasnaturalezas:riesgofinanciero,operativo,tecnolgico,demercado,legal, deseguridaddelainformacin,etc.Asimismolasmedidasdeproteccincontradichoseventosson inabarcablesporrazonesdecosto. Elanlisisderiesgosesunaherramientaquepermiteidentificar,clasificaryvalorarloseventosque pueden amenazar la consecucin de los objetivos de la organizacin y establecer las medidas oportunasparareducirelimpactoesperablehastaunniveltolerable. Elejerciciodeanlisisderiesgosnodebeentenderseaisladodelrestodeiniciativasconducentesa asegurar un nivel de seguridad acorde con los requerimientos de la organizacin. Se debe especificarunconjuntodemedidasbsicasdeseguridadquedebencumplirseentodoslosentornos delaorganizacinloquepermiteatenuarunelevadovolumenderiesgoscuyoanlisisindividual seraexcesivamentecomplejo.Loqueimplicaraqueelanlisisderiesgossecentreenanalizar aquellosriesgosquenecesitanunaatencinyunasmedidasdeseguridadespeciales. Elanlisisderiesgospuedetenerdistintosdestinatariosdentrodelaorganizacin.Cadadestinatario necesita esta informacin con distintos fines, y presentada de forma diferente. Los principales destinatariosdelanlisisderiesgosson: Responsablesdeseguridaddelainformacin,lepermiteobteneryformalizarlainformacin sobrelasituacinactualydeseabledeseguridad,paradefinirelplandeaccinnecesario paracumplirlosobjetivosdelaorganizacin. Direccindelaorganizacin,lepermiteestablecermedidascontralosriesgosqueamenazan cumplimiento de los objetivos fijados. Asimismo, necesita conocer el plan de accin propuestoparaalcanzarelniveldeseguridadadecuadoylainversinasociadaparatomar lasdecisionesoportunasyproporcionarlafinanciacinnecesaria. Auditores,necesitanobtenerymantenerunprofundoconocimientodelosriesgosexistentes enlaorganizacin,queempleanensufuncindeevaluarelcumplimientodelaspolticasy procedimientosestablecidosparamitigarlos.

Pgina 4

Consideracindelriesgo
El riesgo supone una exposicin potencial a un impacto negativo para el cumplimiento de los objetivosdeunaorganizacin.Sinembargo,elriesgoesunacaractersticainherenteacualquier actividad,porloquenosepuedeconsiderarunfactornegativo,sinounfactorqueconvieneconocer ygestionar. Elriesgopuedeconvertirseenunaventajacompetitivaparalasorganizacionesqueseancapacesde gestionarloadecuadamente,estoimplica: Laorganizacinpuedeoperarencircunstanciasenlasqueotrasorganizacionesnopodran operarconsuficienteseguridad.Asumirunmayornivelderiesgoimplicaunmayorretorno delainversin,denominadoprimaderiesgo. Elmejorcontroldelriesgopermitealaorganizacindisponerdeinformacindemejor calidadparalatomadedecisiones.Porejemplo,lacapacidaddevalorarelnivelderiesgo puedepermitirdeterminarsilaprimaderiesgoesproporcionadayjustificalaasuncinde unriesgoadicional. El mejor control del riesgo permite detectar precozmente las desviaciones, con mayor tiempodereaccinparalatomademedidascorrectivas.Porejemplo,ladeteccinprecoz delmalfuncionamientodeundeterminadoprocedimientodesoporte(odeuncambioenel entorno que pueda afectar a un proceso) puede permitir la introduccin de controles adicionales, de modo que las deficiencias se corrijan antes de que el impacto sea significativo. Elmejorcontroldelriesgo,enlamedidaenquepuedacomunicarseatodoslosgruposde inters(accionistas,personal,clientes,proveedores,supervisores,etc.)puededarventajas competitivassignificativas(mayoraccesoalafinanciacin,facilidadpararetenereltalento, facilidad para lograr y fidelizar clientes, etc.). Existen diversos mecanismos para la comunicacindeestemayorniveldecontrolatodoslosgruposdeinters: Publicacindememoriasdegestindondeconsteelcompromisodelaorganizacincon lagestindelriesgoyelenfoquegeneralempleadoensugestin.Porejemplo,estas memoriasformanpartedelasmemoriasanualesdeactividadquepublicantodaslas empresascotizadas. Obtencindecertificaciones,porlasqueunterceroindependienteyautorizadodafede lacalidaddealgnaspectodeterminadodelagestin.ISO9001(Sistemadegestinde lacalidad),ISO14001(Sistemadegestinmedioambiental),ISO27001(Sistemade gestindeseguridaddelainformacin),etc. Menordesviacinenelcumplimientodelosobjetivosplanteados. Menor ocurrencia de defectos de control que puedan reflejarse en los medios de comunicacin(sectorialogeneral). Elriesgopuedeversecomoamenazaycomooportunidad,estosereflejaenlaexistenciadedos trminosafinesutilizadosparadenominarlacantidadderiesgoquegestionanlasorganizaciones: Toleranciaalriesgo:eslacantidadderiesgoqueunaorganizacinescapazdegestionar. Apetitoderiesgo:eslacantidadderiesgoqueunaorganizacinestdispuestaagestionar paralograrlosobjetivosestablecidos.

Pgina 5

Motivacionesparaunanlisisderiesgo
Elanlisisderiesgosdeseguridaddelainformacindebepermitiralaorganizacin: Definirformalmentelosrequerimientosdeseguridaddelainformacinenfuncindesus necesidades, y dimensionar adecuadamente la inversin y la estructura necesaria para soportarlaseguridaddelainformacin. Definir un Programa de seguridad de la informacin formal basado en estndares internacionales. Establecer un sistema de gestin de seguridad de la informacin (SGSI) conforme al estndar ISO/IEC 27001:2005, con el objetivo de hacer sostenibles en el tiempo las iniciativasenmateriadeseguridaddelainformacin.CertificarelSGSIdesarrollado. Desarrollarunametodologadeanlisisderiesgosqueconjuguelacompatibilidadconlas metodologas estndar existentes en la actualidad con las necesidades especficas de la organizacin. Desarrollarunaherramientaquefacilitelarealizacindelanlisisderiesgosysuposterior mantenimiento.

METODOLOGASDEANLISISDERIESGOS
Conceptosgenerales Apesardequesehandesarrolladonumerosasmetodologasparaelanlisisderiesgosdeseguridad delainformacinexistenprincipiosbsicoscomunesatodasellas.Labasesobrelaqueseapoyan lasmetodologasactualesdeanlisisderiesgoeselclculodeprobabilidades,segnlasecuencia quesedescribeacontinuacin. Elementosdelmodelo Lasmetodologasdeanlisisderiesgosdeseguridaddelainformacinpartendelanecesidadde identificarformalmenteloselementosaproteger.Estoselementosserecogenenuninventariode activos de informacin, considerando como tales aquellos elementos que tienen valor para la organizacin. Los activos deben valorarse en funcin de un conjunto de requerimientos de seguridad. Estos requerimientosvaranentrelasdiferentesmetodologas,sibienexisteconsensosobretresdeellas: confidencialidad,integridadydisponibilidad.Estosignificaqueparacadaactivodeinformacin debevalorarsedeformaindependienteelcostoquetendraparalaorganizacinunaprdidatotalde suconfidencialidad,desuintegridadydesudisponibilidad,ascomodelosotrosrequerimientosde seguridadqueseconsiderenencadacaso. Unavezidentificadoslosactivos,debenidentificarselasamenazasquepuedencausarprdidas sobreestosactivos,teniendoencuentalosdiferentesrequerimientosdeseguridad. Identificadaslasamenazas,debenidentificarseloscontrolesquepermitenprotegeralosactivosde lasdiferentesamenazas.Lacuantificacindelosdistintoselementosqueformanpartedelmodelo deanlisisderiesgosseabordaacontinuacin:
Pgina 6

Prdidaesperada(SLESingleLossExpentancy) Considerando un activo (A), un requerimiento de seguridad (R) y una amenaza (T) es posibleestimarlaprdidaeconmicaesperadaencasodequelaamenazaserealice.La prdidaesperadaserepresentacomounporcentajededegradacinreferidoalvalortotaldel activoparaelrequerimientoconsiderado.Deestaforma SLE(A,R,T)=Valor(A,R)*Degradacin(A,R,T) Como la valoracin se realiza respecto a diferentes requerimientos (confidencialidad, integridad,disponibilidad,etc.),laprdidadebidaalarealizacindeunaamenazasobreun activosecalcularcomolasumadelasprdidasencadarequerimiento: SLE(A,T)=RSLE(A,R,T)=RValor(A,R)*Degradacin(A,R,T) Dadoqueexistendiversosactivosalosquepuedeafectarlaamenazaconsiderada,laprdida esperadatotaleslasumadelaprdidaprovocadaencadaunodelosactivos: SLE(T)=RSLE(A,T)=ARValor(A,R)*Degradacin(A,R,T)

Prdidaanualesperada(ALEAnnualLossExpectancy) Una vez conocida la prdida provocada por la realizacin de cada amenaza, se debe considerarlaprobabilidaddequelaamenazaserealiceefectivamenteenelperiododeun ao.Laprdidaanualesperadaprovocadaporunaamenazapuededefinirseatravsdela probabilidadtantocomodelafrecuencia. Segnlaprobabilidaddeocurrencia ALE(T)=P(T)*SLE(T) Porlotanto ALE=TP(T)*SLE(T) Segnlafrecuenciadeocurrencia Debidoaqueexistenamenazas paralas queseesperamsdeunaocurrenciaanual,el conceptodeprobabilidadsesustituyeporelconceptodefrecuencia(AROAnnualRateof Occurrence). Laprdidaanualesperadateniendoencuentatodaslasamenazaspuededefinirsecomo: ALE=TP(T)*SLE(T)

Clculodelefectodeloscontroles Loscontroles(S)permitenreducirlafrecuenciadeocurrenciadeamenazasoladegradacin
Pgina 7

causadaporellasencasoderealizarse.Teniendoencuentalareduccindelafrecuencia,se puedeconsiderarP(S)laprobabilidaddequeuncontrolseaeficazenlaprevencindela ocurrenciadeunaamenazadeterminada.Portanto,puedeconsiderarseque: P(T/Ss)=P(T)*(1P(Ss)) Dadoelconjuntodecontroles,laprobabilidaddeocurrenciapuedecalcularsecomo: P(T/S)=P(T)*s(1P(S)) SiendoP(S)laprobabilidaddequeelcontrolSseaeficazmitigandolaamenazaT. Considerandoelconceptodefrecuenciaenlugardeldeprobabilidad,lafrecuenciaanualde ocurrenciasepuedecalcularcomo: ARO'=ARO*s(1P(S)) Deformaanloga,sepuedecalcularladegradacinunavezaplicadasloscontroles: Degradacin(A,R,T)'=Degradacin(A,R,T)*s(1I(S)) DondeI(S)eslareduccindelimpactoprovocadoporlaaccindelcontrolS. Portanto,elclculodelriesgoresidualpuededefinirsecomo: ALE= T{ARO(T)*s(1P(S))* TTValor(A,R)*Degradacin(A,R,T)*s(1I(S))} Entendindoseporriesgoresidualalriesgoremanenteenelsistematraslaimplantacinde loscontrolesdeterminadosenelplandeseguridaddelainformacin.

Mtodoscualitativos Losconceptosdesarrolladoshastaahoramuestranlosprincipiosbsicosparaunanlisisderiesgos cuantitativo, basado en el clculo de prdidas en trminos monetarios. La valoracin de los diferentesrequerimientosdeseguridadpuederealizarsedeformacuantitativaocualitativa. Lavaloracincualitativasuponeasignarunvalordeunaescaladefinidaparacadaunodelos requerimientosdeseguridad.Estevalorsecalculaenbaseaunconjuntodecaractersticasque define cada una de las categoras de la escala, basadas en las descritas para la valoracin cuantitativa. Lavaloracincuantitativaesmsprecisa,perosuponeunmayoresfuerzoydificultad.Muchas metodologasdeanlisisderiesgoshandesarrolladoenfoquescuantitativos,quepermitenubicarel riesgoenunaescaladerdenesdemagnitud.Esteanlisisseconocecomoanlisiscualitativo. Losprincipiosdelanlisiscualitativosonlosmismosquelosdelanlisiscuantitativo,sustituyendo losclculosaritmticosporlaaplicacindetablas.Deestaforma,considerandoqueelvalordelos
Pgina 8

activosyladegradacincausadaporunadeterminadaamenazaestnvaloradosenunaescalade tresniveles(Alto,Medio,Bajo),ydadoque: Impacto=Valor*Degradacin Degradacin Baja Bajo Medio Alto Bajo Bajo Medio Media Bajo Medio Alto Alta Medio Alto Alto

Impacto Valor

Riesgo=Frecuencia*Impacto Impacto Riesgo Baja Media Alta Bajo Bajo Bajo Medio Medio Bajo Medio Alto Alto Medio Alto Alto

Probabilidad

Riesgo residual = Riesgo Riesgo mitigado por los controles Impacto Riesgo residual Baja Media Alta Bajo Bajo Bajo Medio Medio Bajo Medio Alto Alto Medio Alto Alto

Mtodos mixtos Debido a que los mtodos cuantitativos y cualitativos tienen ventajas e inconvenientes, existen alternativas para combinar ambos mtodos de forma que se obtengan las mayores ventajas de cada uno. Esos mtodos que presentan algunas caractersticas de los mtodos cuantitativos y otras caractersticas de los mtodos cualitativos se denominan mtodos mixtos .

Probabilidad

Pgina 9

ISO/IEC 27005:2008 LanormaISO/IEC27005:2008formapartedelafamiliaISO27000dedicadaalaseguridaddela informacin.Sirvedecomplementoalasdosprimerasnormasdelafamilia(ISO/IEC27001:2005e ISO/IEC 27002:2005), que definen la necesidad de elaborar un anlisis de riesgos pero no especificandirectricesparaello. Elprocesodegestinderiesgossedescribeenlassiguientes6clusulas: Establecimientodelcontexto,enlaquesedefinenlosobjetivos,elalcanceylaorganizacin paratodoelproceso. Valoracinderiesgos,enlaqueseobtienetodalainformacin necesariaparaconocer, valorar y priorizar los riesgos. Se divide en tres apartados: identificacin de riesgos, estimacinderiesgos,evaluacinderiesgos Tratamientoderiesgos,enlaquesedefinelaestrategiaparatratarcadaunodelosriesgos valorados:reduccin,aceptacin,evitacinotransferencia. Aceptacin de riesgos, en la que se determinan los riesgos que se decide aceptar, y la justificacincorrespondienteacadariesgoaceptado. Comunicacinderiesgos,enlaquetodoslosgruposdeintersintercambianinformacin sobrelosriesgos. Monitorizacinyrevisinderiesgos,enlaqueelanlisisderiesgosseactualizacontodos loscambiosinternosoexternosqueafectanalavaloracindelosriesgos.

En lnea con el estndar ISO/IEC 27001:2005, el proceso de gestin de riesgos se considera iterativo,siguiendoelciclodeDeming: CiclodeDeming Planificar Procesodegestinderiesgosdeseguridaddelainformacin Establecimientodelcontexto Valoracinderiesgos Desarrollodelplandetratamientoderiesgos Aceptacinderiesgos Implantacindelplandetratamientoderiesgos Monitorizacinyrevisincontinuaderiesgos Mantenimientoymejoradelprocesodegestinderiesgosde seguridaddelainformacin

Hacer Verificar Actuar

AS/NZS4360:2004 EnelmomentodelapublicacindelasnormasISO/IEC27001:2005eISO/IEC27002:2005la normaAS/NZS4360:2004eralanicanormainternacionalpublicadaparalarealizacindeanlisis deriesgosdeseguridaddelainformacin,yporellofuelanormadominanteanivelinternacional soportandolaimplantacindesistemasdegestindeseguridaddelainformacin.

Pgina 10

ElprocesodegestinderiesgospropuestoporlanormaAS/NZS4360:2004puederesumirsesegn elsiguienteesquema:

MAGERIT LametodologaMAGERIT(MetodologadeAnlisisyGestindeRiesgosdeIT)fuedesarrollada por el Consejo Superior de Administracin Electrnica, y publicada por el Ministerio de Administraciones Pblica . La primera versin se public en 1997 y la versin vigente en la actualidadeslaversin2.0,publicadaen2006. Se trata de una metodologa abierta, de uso muy extendido en el mbito espaol, y de uso obligatorio por parte de la Administracin Pblica Espaola. Dispone de una herramienta de soporte, PILAR II, de uso gratuito para la Administracin Pblica espaola y comercial para organizacionesprivadas. Lametodologaconstadetresvolmenes: VolumenIMtodo.Explicadetalladamentelametodologa. VolumenIICatlogodeelementos.Complementaelvolumenprincipalproporcionando diversosinventariosdeutilidadenlaaplicacindelametodologa. Volumen III Gua de tcnicas, complementa el volumen principal proporcionando la introduccindealgunasdetcnicasautilizarenlasdistintasfasesdelanlisisderiesgos.

Pgina 11

LametodologaMAGERITsepuederesumirgrficamentedelasiguienteforma:

OCTAVE OCTAVE(OperationallyCriticalThreat,AssetandVulnerabilityEvaluation)esunmodeloparala creacin de metodologas de anlisis de riesgos desarrollado por la Universidad de Carnegie Mellon. Esunconjuntodecriterios apartirdelos cuales sepuedendesarrollardiversas metodologas. Cualquier metodologa que aplique los criterios puede considerarse compatible con el modelo OCTAVE. Las tres metodologas publicadas a la fecha de este documento por el Software EngineeringInstitute(SEI)delaUniversidaddeCarnegieMellonson: OCTAVE:Lametodologaoriginal,definidaparagrandesorganizaciones. OCTAVES:Metodologadefinidaparapequeasorganizaciones. OCTAVEAllegro:Metodologadefinidaparaanalizarriesgosconunmayorenfoqueenlos activosdeinformacin,enoposicinalenfoqueenlosrecursosdeinformacin.

Pgina 12

LasfasesdelprocesoOCTAVEpuedenresumirseenelsiguientegrfico:

Otras metodologas y normas existentes CRAMM(CCTARiskAnalysisandManagementMethod).Esunametodologadeanlisis de riesgos desarrollada en Reino Unido por la Agencia Central de Cmputo y Telecomunicaciones(CCTA).Comenzadesarrollarseenladcadade1980yeselmtodo deanlisisderiesgospreferenteenOrganismosdelaAdministracinPblicabritnica. NISTSP80030Guadegestinderiesgosparasistemasdetecnologadelainformacin. El NIST (National Institute of Standards and Technology) ha dedicado una serie de publicacionesespeciales,laSP800alaseguridaddelainformacin.Estaserieincluyeuna metodologaparaelanlisisygestinderiesgosdeseguridaddelainformacin,alineaday complementariaconelrestodedocumentosdelaserie. IRAM(InformationRiskAnalysisMethodologies).ElISFesunaorganizacinsinnimo delucrodembitointernacionalquedesarrolladeformacolaborativarecomendacionesy herramientasdeseguridadparasusmiembros.EntrelasprincipalespreocupacionesdelISF se encuentra el anlisis y la gestin de riesgos, y por ello ha desarrollado y publicado diversasmetodologasymodelosdeanlisisderiesgosalolargodeltiempo. CORAS(ConstructaplatformforRiskAnalysisofSecuritycriticalsystems).Desarrollado a partir de 2001 por SINTEF, un grupo de investigacin noruego financiado por organizacionesdelsectorpblicoyprivado. FAIR(FactorAnalysisofInformationRisk).DesarrolladaporRiskManagementInsight (RMI)paramejorarlautilizacindelosmodelosactualesparalarealizacindeanlisisde riesgos. Ebios(ExpressiondesBesoinsetIdentificationdesObjectifsdeScurit).Publicadaporla AdministracinPblicafrancesa.Incorporaunaherramientadesoporte.
Pgina 13

MeharipublicadaporelClubFrancs deSeguridaddelaInformacin.Sustituyeauna metodologaanterior(Marion).Disponedeunaherramientadesoporte(Risicare).

Algunasherramientasparaelanlisisderiesgos EAR/Pilar:Entornodeanlisisderiesgos,merramientaenespaol,basadaenMagerit,no gratuita.ExisteunaversinBasicparaPymes. GxSGSI:Softwaredeanlisisderiesgos,enespaol,delaempresaSIGEA. RiskWatch:Softwarenogratuitoderealizacindeanlisisderiesgos. CiticusONE:Softwarecomercial(disponibleenvariosidiomas,peronoenespaol)de gestinderiesgosdeseguridaddelainformacin,basadoenlametodologaFIRM. @RISK:dePalisade,esunsoftwaregeneraldeanlisisderiesgosbasadoenlasimulacin deMonteCarlo.Existeversinenespaolytienecosto. COBRA : Consultative, Objective and Bifunctional Risk Analysis es un software no gratuitodeevaluacindelriesgode"C&ASystemsSecurityLtd.". RA2:ArtofRiskesunsoftwaredeanlisisderiesgosysoportedeSGSI.Noesgratuito. CERO:esunaaplicacinwebquelepermitetenerunavisinglobaldelosriesgosalosque seexponesucompaa,OperativosydeLA/FT.

Pgina 14

EJEMPLO
Creacindeunametodologaparaunaorganizacinespecfica Sedesarrollaunametodologaadaptadaespecficamenteaciertasnecesidadesdeunaorganizacin conlassiguientescaractersticas: Basadaenestndares,paraaprovecharconocimientoyherramientasypermitirlarealizacin decomparacionesconotrasorganizaciones. Sencillezyfacilidaddeuso,enlaimplementacinyelmantenimiento. EnfocadaalosprocesosdenegocioydesoportedelaOrganizacin. Modularyadaptableadiferentesentornos. Objetiva,losresultadosnodependendequinapliquelametodologanidecmolohaga.

Elmodelogeneraldelametodologaestresumidoenelsiguientediagrama:

Existendosfasesdiferenciadas: Anlisis de riesgos, que comprende la obtencin de informacin referente a procesos, activos,recursos,vulnerabilidades,amenazasycontroles. Gestinderiesgos,quecomprendeladefinicindelaestrategiaaseguirparaajustarelnivel deriesgoalosrequerimientosdelaorganizacin.
Pgina 15

Fasesdelametodologa: 1. Valoracindeprocesosdenegocio 2. Valoracindeactivosdeinformacin Unavezinventariadoslosactivosdeinformacin,seasignaunconjuntodevaloresteniendo encuentalosdiferentesrequerimientosdeseguridadqueseconsiderenrelevantesconforme elalcanceyelobjetivodefinidoparaelanlisisderiesgos. La valoracin se realiza mediante una ponderacin de las prdidas ocasionadas para la organizacin en caso de que se pierdan cada uno de los requerimientos de seguridad definidosparalosdiferentesactivosdeinformacin. Algunos de los requerimientos de seguridad a considerar: Confidencialidad, Integridad, Disponibilidad,Trazabilidad,Responsabilidad,Auditabilidad,etc. 3. Valoracinderecursosdeinformacin Parafacilitarlaidentificacindelosrecursosdeinformacinsedisponedeuninventariode lametodologaMAGERIT. 4. Dependenciasentreactivosyrecursosdeinformacin Laidentificacindelasrelacionesdedependenciaentreactivosyrecursosdeinformacin permitelaasignacindevaloralosrecursos deinformacinatravs delos activos de informacin que soportan, y, de forma inversa, los activos de informacin, al ser conceptuales, no tienen amenazas sino a travs de los recursos de informacin que los procesan. 5. Valoracindevulnerabilidades Laconsideracindequeunaamenazapuedaafectaraunrecursosuponelaposibilidadde queelactivopuedatenervulnerabilidadesanteesaamenaza. 6. Valoracindeamenazas Paralavaloracindelasamenazasesnecesarioestimarunratioanualdeocurrenciayun porcentajededegradacinparacadaunodelosrequerimientosdeseguridaddefinidos. Laestimacindelimpactodelasamenazassobrelosdistintosrequerimientosdeseguridad delosrecursosdeinformacinseexpresaenporcentajesdedegradacin. 7. Clculodelriesgointrnseco El riesgo intrnseco es la prdida anual esperada considerando que no existe ninguna salvaguardaqueprotejalosrecursosdeinformacindesusamenazas. 8. Valoracindecontroles Los controles pueden reducir la probabilidad de xito de una amenaza reduciendo su frecuenciay/oelimpactoencasodeproducirse. 9. Clculodelriesgoefectivo El riesgo efectivo es la prdida anual esperada considerando el efecto de los controles actualmenteimplantadosparaprotegeralosrecursosdeinformacindesusamenazas.
Pgina 16

10. Gestinderiesgos Unavezidentificadosycuantificadoslosriesgosdeseguridadsedefineelplanparasu gestin. Definirnivelderiesgo: Aceptable:Elnivelderiesgoesbajoynoesnecesarioestablecercontrolesadicionales. Tolerable: El nivel de riesgo es medio y se deber considerar la implantacin de controlesparareducirlo,siguiendocriteriosdecosto/beneficio. Inaceptable: El nivel de riesgo es alto y se debern considerar obligatoriamente controlesadicionalesparareducirlo. Paralosriesgosidentificadosesnecesariodefinirunaestrategiaentrelassiguientes: Aceptacin: cuando el nivel de riesgo es inferior al nivel de riesgo tolerable, o es una decisinextraordinariadeladireccin. Reduccin: cuandola organizacin decide laimplantacin decontroles adicionales para reducirunriesgoquesobrepasaelumbralderiesgotolerable. Traspaso:cuandolaorganizacindecidetraspasarelriesgoaotraEntidad. Evitacin:cuandolaorganizacindecideeliminardesuoperativalacausadelriesgo. 11. Clculodelriesgoresidual Seconsideraqueelriesgoresidualeslaprdidaanualesperadaconsiderandoelefectodelos controles. Ejemploaplicado A continuacin se muestra un ejemplo simplificado para ilustrar los conceptos previamente mencionados. Seaunprocesocomercialdeunaorganizacinenelquesehaidentificadolosiguiente: Unactivo:informacindeclientes. Unrecurso:unservidorquecontienelasaplicaciones. Unasolaamenaza:accesonoautorizado. Controles:unestndardeseguridadqueprotegeelsistema. Requerimiento:unsolorequerimientodeseguridad,confidencialidad. Activo Requerimiento Valor Justificacin

Valoracindelosactivos Informacin de clientes Confidencialidad 10.000 Confianza de los clientes en el servicio

Pgina 17

Valoracindelosrecursos Recurso Servidor Requerimiento Valor Justificacin Confidencialidad 10.000 Contiene datos sensibles

Elvalordelrecursosecontabilizaporelvalorquecontieneynoporsuvalorfsico.

Valoracindelasamenazas Amenaza Acceso no autorizado SLE Activo Informacin de clientes ALERiesgointrnseco Activo Informacin de clientes Acceso no autorizado Confidencialidad Frecuencia * SLE = 3 * 2.000 = 6.000 Acceso no autorizado Confidencialidad Valor * Degradacin = 10.000 * 20% = 2.000 Degradacin 20% Frecuencia 3

Sinoexistierancontroleslaorganizacinsufriraprdidaspor$6.000porincidentesdeseguridad

Suponiendoquelos controles especificados porelestndarreducenenun90%ladegradacin producida: ALE'Riesgoefectivo Activo Informacin de clientes Acceso no autorizado Confidencialidad Frecuencia' * SLE' = 0.1 * 6.000 = 600

Despusdelaaplicacindelasfrmulasdefinidasenlametodologalasprdidasanualesesperadas teniendoencuentaloscontrolesparaelactivo,requerimientoyamenazaespecificadasonde$600.

Pgina 18

CONCLUSION
Unaramadesumaimportanciaenelmbitodelaseguridadinformticaeslagestinderiesgos.Es un enfoque estructurado para manejar las situaciones donde pueden verse comprometidos los activos de informacin. Un sistema de gestin de riesgos permite clasificar los activos y la importanciaqueposeecadaunodeellosparalaorganizacin,ascomotambinpermiteclasificary cuantificarlasamenazasalasquesevenexpuestasyloscontrolesqueseutilizanparadisminuirel impacto.Finalmenteelriesgopuedesertratadomediantediferentesestrategiasevaluandoloscostos ybeneficiosquecadasolucinconlleva. Esprimordialconocerlosriesgosalosqueseexponeunaorganizacinyaqueapartirdeallse pueden tomar decisiones respecto a la gestin de los mismos. La gestin de riesgos permite determinarcuandoseestnimplementandocontrolesquenosonsuficientesparaelvalordelactivo yporotrapartepermitedefinirsiloscontrolesaimplementartienenuncostoquenosedeseapagar paraprotegerunactivodeterminado. Esporelloquelaimplementacinunsistemadegestinderiesgosessiempreunabuenaidea, poniendoalaorganizacinenungradosuperiordeconocimientosentandobasesslidasparala tomadedecisiones.

REFERENCIAS
MatalobosVeigaJuanManuel;Anlisisderiesgosdeseguridaddelainformacin; [http://oa.upm.es/1646/] BorghelloCristianF.;MetodologasdeAnlisisdeRiesgo; [http://seguinfo.wordpress.com/2009/03/05/metodologiasdeanalisisderiesgo2/] AcademiaLatinoamericanadeSeguridadInformtica,;Conceptodeanlisisderiesgos; [arcadia.inf.udec.cl/~psi/documentos/riesgos/analisisriesgos.ppt]

Pgina 19

GLOSARIO
Aceptacin:Estrategiadegestinderiesgosqueconsisteenlaaceptacindelnivelderiesgo actual. Activo: Cualquier elemento valioso o necesario para que la organizacin cumpla sus objetivos. Amenaza:Causapotencialdeunincidentequepuederesultarenundaoaunsistemaoa unaorganizacin. Ataque:Amenazadeorigenintencionado. Autenticidad:Propiedadqueaseguraquelaidentidaddeunelementoorecursoeslaquese lesupone. CiclodeDeming:Verciclodelamejoracontinua. Ciclodelamejoracontinua(PDCAcycle):Herramientadegestinparalaevolucindelos procesosquedefinecuatrofases(planificacin,ejecucin,comprobacin,actuacin). Confidencialidad:Propiedaddequelainformacinnoestdisponibleniesdivulgadaa personas,procesosodispositivosnoautorizados. Control:Medidaestablecidaparalareduccindelriesgo. Disponibilidad:Propiedaddequelainformacinysusactivosasociadosseaaccesibley utilizablebajolademandaporunaentidadautorizada. Incidente: Evento inesperado o indeseado que puede causar un compromiso de las actividadesdenegociodelaseguridaddelainformacin. Integridad:Propiedaddequelainformacinylosmtodosdeprocesamientoseanexactosy completos. Norepudio:Propiedaddequeunelementoqueharealizadounadeterminadaaccinenel sistemanopuedenegarsurealizacin. Plandecontinuidaddenegocio:Coleccindocumentadadeprocedimientoseinformacin desarrollada,recopiladaymantenidademodoqueestdisponibleparasuusoencasode incidentesypermitaalaorganizacincontinuarlaejecucindesusactividadescrticasaun nivelaceptablepredefinido. Riesgo:Estimacindelgradodeexposicinaqueunaamenazasematerialicesobreunoo msactivoscausandodaosoperjuiciosalaorganizacin. Sistema de gestin de seguridad de la informacin: Herramienta a disposicin de la direccindelasorganizacionesparallevaracabolaspolticasylosobjetivosdeseguridad. Comprendelapoltica,laestructuraorganizativa,losprocedimientos,losprocesosylos recursosnecesariosparaimplantarlagestindelaseguridaddelainformacin.Estbasado enelciclodelamejoracontinua. Vulnerabilidad:Debilidadenunrecursodeinformacinquepuedeserexplotadaporuna amenazaparacausarundaoaunsistemaoalaorganizacin

Pgina 20