Universidad Nacional Mayor de San Marcos - UNMSM Facultad de Ingeniera de Sistemas e Informtica - FISI

Un Proceso de Gestin de Riesgos de Seguridad de la Informacin

1. Introduccin El documento presenta un proceso de gestin de riesgos de seguridad en los activos de informacin, definido siguiendo los lineamientos del estndar Australiano / Neozelands AS/NZS 4360:20041 y del espaol MAGERIT2 Metodologa de anlisis y gestin de riesgos de los sistemas de informacin. El mismo que permite cumplir con la exigencia del estndar ISO/IEC 27001:2005, en sus clusulas 4.2.1.c - g. Como se ilustra en la Figura 1, el proceso comprende el establecimiento del contexto y la identificacin, anlisis y evaluacin (denominados en conjunto valuacin o assessment), y tratamiento de los riesgos; complementndose con la comunicacin y el seguimiento de riesgos.

Figura 1. Proceso de Gestin de Riesgos de Activos de Informacin.

El proceso es conducido por el gestor de seguridad, con excepcin del tratamiento de riesgos (implementacin, uso y monitoreo de los controles), donde la labor mayoritaria est a cargo del equipo de ingeniera en seguridad. Luego de establecer el contexto, la valuacin comprende: Valorar los activos en funcin del costo que supondra para la organizacin recuperarse de un fallo en alguna de sus dimensiones de seguridad, Determinar a qu amenazas estn expuestos los activos, Identificar las vulnerabilidades de los activos ante las amenazas potenciales, Identificar los controles para cerrar las vulnerabilidades, Estimar la probabilidad de que una amenaza se materialice Estimar el impacto derivado de la materializacin de la amenaza (en este caso se realiza en el BIA), Estimar el riesgo, resultante de la probabilidad por el impacto.

1 2

Modelo de proceso de gestin de riesgos (Australiano / Neozelands) Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin (Espaola)
Pgina 1 de 5

Document1

Universidad Nacional Mayor de San Marcos - UNMSM Facultad de Ingeniera de Sistemas e Informtica - FISI

2. Establecimiento del contexto En este caso la gestin de riesgos se realiza en el marco de un Sistema de Gestin de Seguridad de la Informacin (SGSI), de manera que su alcance est delimitado por su conjunto de activos de informacin, donde los Servicios TI constituyen un subconjunto relevante, debido a que cada vez ms los procesos empresariales dependen de estos. En este documento, la mayora de ejemplos estn relacionados con servicios / activos TI, considerados de mayor complejidad que los activos de informacin no tecnolgicos. 3. Identificacin de riesgos Una de las entradas importantes para la valuacin de riesgos es el inventario de activos actualizado, donde se debe mantener la relacin entre procesos y activos de informacin. 3.1 Inventario de Activos

Tomando como ejemplos de activos de informacin a los servicios TI, el inventario de activos de informacin puede ser visto como una matriz, donde las filas representan los servicios (Si) y las columnas los activos (Aj), y la pertenencia o no del activo Aj, en el servicio Si, se indica con el valor 1 0, en la interseccin o celda correspondiente. Para fines prcticos se utiliza la notacin Si = (Ai1, Ai2, , Aij, , Aim) para denotar que el servicio Si est constituido por m activos. La Tabla presenta un formato ejemplo de inventario de activos.
Tabla 2. Inventario de activos de informacin

Un incidente de seguridad en un activo tiende a comprometer al servicio, y a su vez al proceso, que finalmente impacta en el desempeo de la organizacin. El Impacto de un proceso k, I(Pk), en el negocio, usualmente se determina mediante el proceso de anlisis de impacto en el negocio (o BIA por sus siglas en ingls). Siendo recomendable que este sea heredado por los activos, para la determinacin de su riesgo, es decir: I(Pk) I(Si) I(Aij). En adicin al inventario de activos, para la valuacin de riesgos son de gran importancia los informes de vulnerabilidades, informes de seguimiento de riesgos y repositorio de incidentes. El resultado es el Informe de Anlisis de Riesgos, que establece el modo de tratamiento y los controles a ser implementados para cada uno de los activos. 3.2 Amenazas y vulnerabilidades

Los activos son protegidos de acuerdo a su valor, determinado a partir de sus dimensiones de seguridad (Disponibilidad, Integridad y Confidencialidad). Como se aprecia en la Figura 2, estn expuestos a eventos adversos o amenazas, que pueden materializarse explotando vulnerabilidades o debilidades, con determinada frecuencia o probabilidad, segn la eficacia de los controles o salvaguardas vigentes.

Document1

Pgina 2 de 5

Universidad Nacional Mayor de San Marcos - UNMSM Facultad de Ingeniera de Sistemas e Informtica - FISI

Figura 2. Elementos de riesgos

El proceso propuesto utiliza el catlogo de amenazas de MAGERIT, y las vulnerabilidades y controles (vigentes y recomendables) identificados por los administradores de activos, con base en su experiencia e informacin de los fabricantes. Las amenazas, que pueden afectar a ms de un tipo de activo, caen en una de las categoras consignadas en la Tabla 3. Tabla 3. Categoras de Amenazas N I E A 4. Anlisis de riesgos Con la informacin obtenida en la identificacin y haciendo uso del formato de trabajo ilustrado en la Tabla 4, el equipo de valuacin de riesgos (especialistas en riesgos y administradores de activos) determina la frecuencia e impacto, calcula el riesgo actual, establece los controles recomendados, y determina el riesgo residual, resultante luego de que se implementen los controles. El Riesgo de un activo resulta del producto de la Frecuencia (o Probabilidad) por el Impacto, mientras que el riesgo de un servicio, denominado riesgo repercutido (RR), es obtenido a partir de sus activos, por medio de una funcin, tal como promedio, promedio ponderado o mximo. La Frecuencia es el estimado de cada cunto tiempo puede materializarse una amenaza, y el Impacto es el resultado del valor por la degradacin, donde la degradacin es que tan perjudicado sale el activo (entre 0 y 100%) [2]. Las escalas para la probabilidad e impacto se ilustran en la Figura 3. 4.1 Determinacin del impacto Desastres naturales De origen industrial Errores y fallos no intencionados Ataques intencionados

En esta propuesta el impacto de un activo de informacin es heredado de uno de los procesos al cual asiste (el de valor ms alto), determinado durante en el proceso de anlisis de impacto al negocio (o Business Impact Analysis - BIA); es decir, el impacto ocasionado en el negocio por deficiencias en un proceso, debido a un incidente en el activo. La misin del BIA es determinar el impacto de los procesos en el negocio, como consecuencia de la afectacin de la disponibilidad, integridad o confidencialidad de los
Document1 Pgina 3 de 5

Universidad Nacional Mayor de San Marcos - UNMSM Facultad de Ingeniera de Sistemas e Informtica - FISI

activos de informacin que lo soportan. Este se aplica a todas los procesos de la organizacin y se lleva a cabo al menos una vez al ao o cuando hayan cambios significativos en los procesos. El proceso se lleva a cabo con la participacin de los dueos o responsables de cada uno de los procesos, y el patrocinio de la alta direccin. La entrada del BIA es la matriz de procesos vs. activos de informacin, donde se utiliza una escala de valoracin del nivel de dependencia del proceso (0 a 3). El producto resultante es el informe BIA, que incluye la relacin de activos de informacin ordenados en forma descendente por criticidad, el cual es utilizado para priorizar la proteccin. Para llevarse a cabo, es necesario definir las reas de impacto, con un peso relativo, por ejemplo: Objetivos estratgicos (30%), Objetivos del proceso (10%), Financiero (30%), Imagen o reputacin (10%) y Situacin del personal (20%). Asimismo, una escala de valoracin del impacto para cada una de estas reas. 4.2 Determinacin de la Frecuencia (F) / Probabilidad

Tanto F y F se determinan con base en juicio experto, haciendo uso de del formato ilustrado en la Tabla 4. Las amenazas son las propuestas en MAGERIT.
Tabla 4. Formato de anlisis de riesgos de activos de informacin

4.3

Clculo del riesgo

Como se aprecia en la Figura 3, el riesgo es el resultado de la probabilidad por el impacto.

Figura 3. Factores para determinacin del riesgo Document1 Pgina 4 de 5

Universidad Nacional Mayor de San Marcos - UNMSM Facultad de Ingeniera de Sistemas e Informtica - FISI

5. Evaluacin de riesgos Con los resultados obtenidos en el anlisis se procede a la evaluacin. Para cada activo, el proceso concluye si el riesgo es aceptable, caso contrario, se define el tratamiento (evitar, transferir o mitigar) y se establecen los controles (salvaguardas) necesarios. En el caso de mitigacin, los controles pueden ser preventivos o correctivos, en el ltimo caso, ser necesario definir un Plan de Continuidad de Servicios TI (denominado tradicionalmente PRD - Plan de Recuperacin ante Desastres). En esta actividad se concluye el informe de evaluacin de riesgos TI, el cual es utilizado por el proceso Gestin de seguridad TI para elaborar el plan de tratamiento de riesgos. 6. Tratamiento de riesgos Con base en el informe de riesgos de TI, el equipo de seguridad informtica elabora el plan de tratamiento de riesgos TI. Luego procede a la implementacin, ejecucin y monitoreo de los controles establecidos. Este equipo elabora y remite mensualmente el informe de estado de los controles, a las Subgerencias de Servicios y Riesgos de TI. 7. Seguimiento y control de riesgos Con base en el informe de riesgos de TI, el plan de seguridad de TI y los informes de estado de la seguridad, se evala el avance de la implementacin y la eficacia de los controles vigentes. La eficacia se mide a travs de pruebas de vulnerabilidades o ethical hacking, realizadas en forma coordinada o inopinada. 8. Comunicacin de riesgos Esta actividad comprende la presentacin y sustentacin de informes a las jefaturas correspondientes. Asimismo, la sensibilizacin y educacin en gestin de riesgos y seguridad de la informacin a usuarios y tcnicos. 9. Nivel de aceptacin del riesgo Como se ilustra en la Figura 4, los activos con riesgo extremo e intolerable deben ser llevados al menos al nivel tolerable. Y en el caso de activos crticos deben ser llevados al nivel aceptable.

Figura 4. Mapa de riesgos. 10. Referencias 1. AS/NZS 4360:2004 2. Estndar ISO/IEC 27001:2005 3. Estndar ISO/IEC 27002:2005 4. Estndar ISO/IEC 27005:2008 5. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin de las Administraciones Pblicas MAGERIT.
Document1 Pgina 5 de 5