Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas

www.bureauveritasformacion.com

METODOLOGA PROPUESTA POR ISO 28001 PARA LA EVALUACIN DE RIESGOS DE LA SEGURIDAD

La metodologa propuesta por la norma ISO 28001 para la evaluacin de riesgos de la seguridad, consta de 8 pasos bsicos y se basa en el siguiente esquema:

Se deben documentar los clculos y ratios utilizados en cada uno de los pasos que completan la evaluacin de riesgos.

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 2

Pasos a Seguir para Completar la Evaluacin de Riesgos de la Seguridad y el Desarrollo de Contramedidas

El proceso de evaluacin es continuo:

Se debe hacer un seguimiento continuo de la seguridad para asegurarse de que las medidas de seguridad se desempean adecuadamente. El proceso de evaluacin debe realizarse siempre que sea necesario.

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 3

Paso 1: Consideracin de los Escenarios de Amenazas a la Seguridad

Tras la identificacin de todas las amenazas a la seguridad, ISO 28001 propone la definicin de escenarios de amenazas a la seguridad. Estos agruparn las amenazas constituyendo elementos comunes para conformar un escenario que, de materializarse, podra poner en peligro la seguridad de la cadena de suministro. La Organizacin puede establecer tantos escenarios de amenazas como considere necesario, incluyendo los escenarios identificados por las autoridades gubernamentales, los detectados por la direccin de la cadena de suministro o por el profesional de la seguridad que realiza la evaluacin, pero se deberan considerar como mnimo los siguientes:

Escenarios de Amenazas

Ejemplos de Aplicacin
Dao/destruccin del activo (incluyendo transportes).

1. Introducir y/o tomar control de Dao/destruccin de una meta exterior utilizando el un activo (incluyendo activo o los bienes. transportes) en la cadena de Causar alteraciones civiles o econmicas. suministro. Tomar rehenes/matar gente. 2. Usar la cadena de suministro como un medio de hacer contrabando. 3. Manipulacin informacin. de Armas ilegales entrando/saliendo del pas/economa. Terroristas entrando o saliendo del pas/economa.

Conseguir el acceso local o remoto a la la informacin/documentacin de la cadena de suministro, con el propsito de perturbar las operaciones o facilitar actividades ilegales. Manipulacin, sabotaje y/o robo con fines terroristas. Realizar operaciones en la cadena de suministro internacional para facilitar un incidente terrorista (por ejemplo, utilizando los medios de transporte como un arma). Hace referencia a cualquier otro escenario que la Organizacin considere necesario identificar en funcin de su actividad, cadena de suministro en la que opera, etc.

4. Integridad de la carga.

5. Uso no autorizado.

6. Otro.

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 4

Elementos a Considerar Durante la Evaluacin

Para que la Organizacin pueda realizar una correcta consideracin de escenarios de amenazas a la seguridad, ISO 28001 propone que durante la evaluacin se consideren los siguientes elementos:

En los locales de la Organizacin en la cadena de suministro, incluyendo los alrededores de los permetros definidos. En los medios de transporte (camin, ferrocarril, avin, barcaza, barco, etc.). En la informacin. Operacin normal. Talleres de mantenimiento (almacenes, locales de reparacin, etc.). Cambios debidos, por ejemplo, a averas. Cambio de un medio de transporte por otro. Medios de transporte en reposo o reparacin. Utilizacin de medios de transporte como arma. Carga. Fabricacin. Almacenaje (incluyendo tambin almacenaje intermedio durante el transporte). Transferencia. Descarga. Desconsolidacin/consolidacin (entrada y salida de la carga del contenedor). Por aire. Carretera. Ferrocarril. Aguas interiores. Aguas martimas. Antivirus. Instalacin de sistemas de deteccin de intrusos. Durante inspecciones de vehculos. Durante el transporte.

Control de Acceso

Medios de Transporte

Manipulacin

Transporte de Bienes

Deteccin / Prevencin de la Intrusin Aplicada a los Envos Inspecciones

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 5

Empleados Utilizacin de Socios Comunicacin Interna/Externa Manipulacin o Procesado de la Informacin sobre la Carga o las Rutas de Transporte

Nivel de competencia, formacin y toma de conciencia. Integridad.

Contratistas, suministradores, proveedores.

Intercambio de informacin. Situaciones de emergencia.

Proteccin de datos. Aseguramiento de datos.

Legal. rdenes de las autoridades. Prcticas de la industria/sector de actividad. Accidentes e incidentes. Capacidad de primera respuesta y tiempos de respuesta.

Informacin Externa

Paso 2: Clasificacin de las Consecuencias

La clasificacin de las consecuencias supone decidir el efecto o impacto de un incidente en caso de materializarse alguno de los elementos de los escenarios de amenazas identificados.

ISO 28001 recomienda la utilizacin de escalas cualitativas para la clasificacin de las consecuencias de cada incidente de seguridad evaluado en la cadena de suministro. Si bien se pueden usar sistemas numricos en el proceso de evaluacin, los resultados deben transformarse en trminos cualitativos, en concreto, alto, medio o bajo.

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 6

Asignacin de Valor a Partir de un Mtodo Numrico

Consecuencia Bajo 2 3 Medio 4 Alto 5 Ratio 1

Ejemplo de Clasificacin de las Consecuencias

Asignacin de Valor Significado

Consecuencia Fallecimiento y lesiones: prdida de vidas a una cierta escala.

Alto

Consecuencia que sera Impacto econmico: daos mayores a un activo inaceptable en todas las y/o infraestructura impidiendo operaciones situaciones salvo en las posteriores. de probabilidad baja. Impacto ambiental: destruccin completa de mltiples aspectos del ecosistema de una gran rea.

Fallecimiento y lesiones: prdida de vidas. Impacto econmico: daos a un activo y/o infraestructura necesitando reparaciones. Impacto ambiental: daos a largo plazo en un ecosistema. Fallecimiento y lesiones: daos pero no prdida de vidas. Impacto econmico: daos mnimos a un activo, infraestructura o Sistema. Impacto ambiental: algn dao ambiental.

Medio

Consecuencia que sera inaceptable en una situacin de probabilidad alta.

Bajo

Consecuencia que normalmente es aceptable.

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 7

Aspectos a Considerar en la Clasificacin de las Consecuencias

Asignacin de Valores (Alto, Medio, Valores excesivamente altos en los umbrales de valor, pueden ocasionar que se omitan contramedidas para escenarios de amenazas a la Bajo) seguridad que impliquen consecuencias que la Organizacin (o el gobierno en el que opera) no pueda tolerar.

El uso de umbrales de valores excesivamente bajos, puede ocasionar la exigencia de tener que desarrollar contramedidas para ms escenarios de amenazas a la seguridad de los necesarios.

Aceptabilidad No es Sinnimo de Una consecuencia considerada como aceptable por la Organizacin o Aprobacin gobierno, incluye la posibilidad de un cierto nivel de dao que puede ser no deseable pero s aceptable.

La aceptabilidad se puede considerar como un juicio de la cantidad de dao posible que la Organizacin o gobierno bajo el que opera, est dispuesto a aceptar bajo determinadas condiciones de probabilidad.

Paso 3: Clasificacin de la Probabilidad de los Incidentes de Seguridad

Para poder realizar la clasificacin de incidentes de seguridad potenciales, en primer lugar se debe tener en cuenta la categora de las medidas de seguridad en la cadena de suministro que ha adoptado la Organizacin, para disminuir la probabilidad de ocurrencia de incidentes. Las categoras de las medidas de seguridad a considerar deben incluir tanto las fsicas como las operacionales.

Aspectos a Considerar para la Clasificacin de la Probabilidad

Fsicas

Objetos que dificultan o detectan el acceso no autorizado a una meta. Ejemplo: alarmas, permetros de seguridad, videocmaras, etc. Personas o procedimientos que dificultan o detectan el acceso no autorizado a una meta. Ejemplo: personal de seguridad, procedimientos de seguridad, etc. planes de emergencias,

Operacionales

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 8

Probabilidad de Ocurrencia de un Incidente de Seguridad

ISO 28001 requiere que la probabilidad de que ocurra cada incidente de seguridad se clasifique como alta, media y baja.

Alta Media Baja

Las medidas de seguridad establecidas ofrecen poca resistencia a que ocurra el incidente. Las medidas de seguridad establecidas ofrecen resistencia moderada a que ocurra el incidente. Las medidas de seguridad establecidas ofrecen resistencia considerable o elevada a que ocurra el incidente.

Paso 4: Puntuacin del Incidente de Seguridad

Mediante la asignacin de puntuaciones a los incidentes de seguridad, la Organizacin estar en posicin de adoptar decisiones sobre si es necesario implementar medidas para disminuir o mitigar el riesgo, es decir, considerar contramedidas. Considerando la clasificacin de las consecuencias y de la probabilidad, estimadas, en anteriores pasos, se elabora un diagrama de puntuaciones de incidentes de seguridad, que proporciona informacin sobre si se deben considerar, o no, contramedidas para incidentes de seguridad especficos.

Clasificacin de la Probabilidad
Alta Media Contramedidas Contramedidas o Considerar Cuando Sea Apropiado Documentar Baja Considerar

Clasificacin de las Consecuencias

Alta

Contramedidas

Media

Contramedidas

Documentar

Baja

Considerar

Documentar

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 9

Paso 5: Desarrollo de Contramedidas

Si se requiere, o la persona encargada de realizar la evaluacin determina que es necesario considerar llevar acabo contramedidas, stas deben ir encaminadas a mitigar las consecuencias y/o la probabilidad del incidente de seguridad.

Acciones en las que Pueden Derivar las Contramedidas

Medidas de la Organizacin operacionales y/o fsicas para reducir el riesgo o la probabilidad. Tratar Ejemplo: retirando los activos potencialmente aludidos del rea de riesgos o abandonando las actividades de negocios que crean las debilidades de seguridad.

Transferir

Transferir el riesgo es la solucin mediante la cual un tercero asume la responsabilidad de administrar el riesgo. Puede ser a travs de subcontrata, transferencia fsica a otros lugares, tiempo, etc.

Terminar

El riesgo no es asumible, pone en peligro la continuidad de las operaciones. La Organizacin decide no continuar con la actividad.

En ciertas circunstancias la Organizacin puede tener que tolerar el riesgo, es decir, no realizar ningn esfuerzo adicional para tratar el riesgo en cuestin. Se requiere que la decisin se documente y se revisen peridicamente las actividades y evaluaciones. Ejemplo: contramedidas poco prcticas o inviables, falta de autoridad para imponer contramedidas requeridas u otros factores insalvables.

Tolerar

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 10

Qu Riesgos No se Pueden Tolerar?

Riesgos derivados de requisitos legales o reglamentarios u otros de obligado cumplimiento. Aquellos contrarios a las opiniones de grupos de presin. Los que pongan en tela de juicio la poltica de Gestin de la Seguridad. Aquellos que pudieran exceder algn otro umbral de tolerancia.

Paso 6: Implementacin de las Contramedidas

Las contramedidas pueden inducir cambios importantes en las prcticas operacionales de la Organizacin, por ello una vez determinadas que contramedidas son necesarias, stas necesitan de aprobacin previa antes de llevarlas acabo, de acuerdo con lo establecido por el Sistema de Gestin de la Seguridad para la Cadena de Suministro implantado. De esta manera la Organizacin se asegurar de la disponibilidad de recursos para su correcta ejecucin, valorar el impacto que puedan tener sobre otras operaciones y lograr contar con el apoyo y aprobacin de la Direccin.

Paso 7: Evaluacin de las Contramedidas

Se considera que una contramedida es eficaz y por tanto debe aadirse al informe de evaluacin de la seguridad requerido por ISO 28001, cuando:

Las contramedidas deben ser ejecutadas de manera que supongan una solucin prctica. Su efectividad debe ser verificada de forma independiente, por ejemplo, mediante ejercicios y auditoras.

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 11

En la actualidad la repetitividad de actos delictivos, piratera y ataques terroristas, demuestran que los atacantes aprenden y buscan nuevas vas y tcnicas para amenazar a las cadenas de suministro. Por ello las contramedidas deben ser constantemente revisadas y auditadas con el fin de mejorarlas.

Paso 8: Repeticin del Proceso

Tras el desarrollo de las contramedidas y valoracin de su eficacia para un incidente de seguridad, el proceso contina con el siguiente escenario de amenazas a la seguridad, propuesto en el Paso 1: Consideracin de los escenarios de amenazas a la seguridad, hasta que se complete la evaluacin para el listado de escenarios de amenazas propuestos.

Ejemplo de Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas para un Escenario de Amenazas

A continuacin se presenta un ejemplo de evaluacin de riesgos de la seguridad:

1. ESCENARIO DE AMENAZAS: manipulacin de la informacin.

DESCRIPCIN DE LA AMENAZA: robo intencionado de informacin relacionada con la actividad financiera y estrategias de negocio, por parte de hackers en los ordenadores de la Direccin. ACTIVO: ordenadores.

2. CLASIFICACIN DE LAS CONSECUENCIAS

Consecuencia Bajo Ratio 1 2 3 4 Alto 5

Medio

Asignacin de Valor Medio

Consecuencia El robo de informacin confidencial contenida en ordenadores puede suponer un impacto econmico importante para la Organizacin.

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 12

3. CLASIFICACIN DE LA PROBABILIDAD
Consideracin de Medidas de Seguridad Fsicas La Organizacin cuenta con un mtodo de deteccin de intrusos en los ordenadores principales, antivirus actualizados y contraseas de seguridad para cada ordenador.

Probabilidad de Ocurrencia del Incidente Media Las medidas de seguridad establecidas ofrecen resistencia moderada. Pueden ser vulnerables a nuevas tcnicas de intrusismo y virus.

4. PUNTUACIN DEL INCIDENTE Clasificacin de la Probabilidad

Alta Media Baja

Clasificacin de las Consecuencias

Alta

Media

Contramedidas

Baja

TOLERABILIDAD DEL RIESGO: MODERADA Se necesita la ejecucin de contramedidas.

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 13

5. DESARROLLO DE CONTRAMEDIDAS
Tratamiento del riesgo:

Sustitucin del sistema de deteccin de intrusiones LIDS (Linux Intrusion Detection System) por el sistema de seguridad SNORT en todos los ordenadores fijos y porttiles de la Organizacin. Actualizacin mensual del sistema. Endurecimiento del cdigo tico y creacin del nuevo procedimiento de contratacin de personal, PX-00 donde se fijen claramente los pasos a seguir cuando un empleado abandone la compaa. El procedimiento incluir la eliminacin de todas las cuentas de trabajadores que abandonan la compaa incluyendo claves de acceso a los sistemas y direcciones de correo.

6. IMPLEMENTACIN DE CONTRAMEDIDAS

Aprobado por la alta Direccin (Acta de revisin por la Direccin 20 de Enero de 20XX). Compra de 30 licencias SNORT.

7. EVALUACIN DE CONTRAMEDIDAS

No se detectan incidentes a la seguridad derivados de intrusiones informticas desde 20XX. Se contina con las actualizaciones mensuales del sistema.

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 14

NOTAS

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas 15

REAS DE FORMACIN

CURSOS SUBVENCIONADOS A LAS EMPRESAS

Bureau Veritas Formacin es Entidad Organizadora de Gestin de las subvenciones a la Formacin, ofreciendo el servicio de impartir y gestionar su Formacin con las siguientes ventajas:

Realizar la formacin en el momento en que la empresa lo necesite. Tramitacin de la documentacin ante la Fundacin Tripartita para la subvencin de la Formacin a cargo del Crdito Anual de la empresa. En la Plataforma de Formacin www.bureauveritasformacion.com puede conocer los trmites para agrupar su empresa, ver la oferta de formacin e inscribir a trabajadores en los Cursos.

Metodologa para la Evaluacin de Riesgos de la Seguridad y Desarrollo de Contramedidas

Bureau Veritas Formacin S.A. Depsito Legal: AS-1513-2010 Director del Proyecto: Luis Lombardero Direccin Pedaggica: Carmen Gonzlez
Reservados todos los derechos. El contenido de esta obra est protegido por la Ley. Queda prohibida toda reproduccin total o parcial de la obra por cualquier medio o procedimiento sin autorizacin previa.

Telfono: 902 350 077 E-mail: marketing@es.bureauveritasformacion.com www.bureauveritasformacion.com