Documentos de Académico
Documentos de Profesional
Documentos de Cultura
- Last Updated ()
En el artículos anteriores establecimos las bases de una Arquitectura de Procesos de Seguridad de Información o
Framework de Seguridad de Información, esta arquitectura que definimos consta de seis procesos básicos:
Concientización, Administración de Riesgos, Manejo de Incidentes, Continuidad de Negocios, Control de Accesos y
Monitoreo de Seguridad.
El pasado Artículo trató sobre el proceso de Concientización, ahora veremos el de Administración de Riesgos.
En términos generales Riesgo es el daño potencial que puede surgir por un proceso presente o suceso futuro. Riesgo
es la posibilidad de que un peligro pueda llegar a materializarse. Los Riesgos son una característica inevitable de la vida
En términos de Seguridad de Información iniciemos con las definiciones necesarias para entender los Riesgos.
Una Vulnerabilidad es una debilidad de un activo de información que puede ser explotada por una o más amenazas.
Una Amenaza es una causa potencial de un incidente no planeado, el cual puede resultar en daño a un activo de
información.
Industrias como Seguros y la Banca basan su negocio en riesgos, un proceso de Administración de Riesgos bien
administrado desde el punto de vista de Seguridad de Información representan algunas ventajas como:
- Facilita aceptar, reducir, transferir o evitar los riesgos tomando en cuenta los impactos en el negocio ($$)
- Apoya al monitoreo de la efectividad de los controles de Seguridad y su impacto (reducción) en los riesgos
- Proveer un balance económico entre el impacto del riesgo y el costo de los controles propuestos como contramedidas
Plan
Do
Ckeck
ACT
Modelos Cuantitativos
Modelos Cualitativos
- Brainstorming
- Focus Groups
- Encuestas
- Cuestionarios
- Checklists
- Entrevistas
Algunas Metodologías más conocidasOctave (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
Metodología de evaluación de riesgos desarrollada por el Software Engineering Institute (SEI) de Carnegie Mellon
University, ver http://www.cert.org/octave/
Publicación especial 800-30, Risk Management Guide for Information Technology Systems.
Ver http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
http://www.tp.com.pe/teris - .::TERIS::. Powered by Mambo Generated: 15 October, 2010, 16:21
BS779-3
ver http://www.27000.org/iso-27005.htm
Los modelos de Administración de riesgos considerados como básicos, son los que usan fórmulas muy sencillas tales
como Riesgo = Vulnerabilidad x Impacto.
De esta forma realizan un análisis de Riesgos a los Activos de Información, este proceso tiene como objetivo solo
calcular el nivel de riesgo.
Los valores que le asignan a los Riesgos, vulnerabilidades e impactos son típicamente Alto, Medio o bajo.
Generalmente estos modelos los adoptan las organizaciones cuando es necesario contar con un modelo inicial, el
resultado tiene una gran dosis de subjetividad dado que normalmente son cualitativos puros y se basan en opiniones de
personas con experiencia en Seguridad.
Hay organizaciones que en el otro extremo, adoptan medidas que implican mucho mayor esfuerzo que los modelos
básicos, estos modelos combinan modelos cuantitativos y cualitativos, por lo que requieren de una mayor madurez por
parte de la organización en relación a la Seguridad de la Información. Al tener estos niveles estos modelos son adaptados
fácilmente por las organizaciones e inclusive se extienden a otras áreas fuera de Seguridad de Información como
Seguridad Industrial, etc.
A continuación mostraré cuales elementos son esenciales considerar para este tipo de modelos avanzados.
Es cualquier recurso que tiene un valor para la organización, en donde se puede considerar las siguientes categorías:
Información (base de datos, archivos de datos, contratos & acuerdos, documentación de sistemas, información de
investigación, manuales de usuario, material de entrenamiento, procedimientos, operacionales o de soporte, planes de
continuidad , arreglos de contingencia, evidencia de auditoria, información archivada)
Servicios (servicios de computo y comunicaciones, servicios de apoyo – Aire acondicionado, alumbrado, energía)
Dueños
Son los responsable finales de los activos de información y por lo tanto responsables de la Seguridad de Información del
mismo.
Custodios
Individuos o “Áreas Funcionales” a cargo de la operación, mantenimiento y protección de los Activos de Información.
Escenarios de Riesgos
Se analiza el riesgo de un Activo de Información en conjunto con una serie de vulnerabilidades, amenazas e impactos
Riesgo Inicial
Es el riesgo que corre la organización sin considerar controles de seguridad y es calculado la primera vez que se ejecuta
un análisis de riesgo a un activo de información.
Es el nivel de riesgo que la Alta Administración acepta, también se le conoce como el apetito de Riesgo.
Aquellos riesgos iniciales que estén fuera del nivel aceptable de riesgos deberán ser mitigados mediante el proceso de
Tratamiento de riesgos, para esto es necesario contar con una Política de Riesgos adecuada.
http://www.tp.com.pe/teris - .::TERIS::. Powered by Mambo Generated: 15 October, 2010, 16:21
Tratamiento de Riesgos
Efectividad de controles
Se deben de asignar controles de Seguridad de Información (técnicos, físicos, humanos) para mitigar los riesgos de los
escenarios descritos, un control puede tener atributos como ser de tipo detectivos, correctivos, disuasivos, etc., en la
medida que un control tiene más atributos se pude volver más efectivo, pero como sea, será necesario que un
experto asigne estos controles en forma adecuada, para un escenario de riesgo como un servidor WEB con la amenaza
de Software Malicioso y un riesgo de perder sus contenido no se va a asignar a un guardia de Seguridad.
Riesgos Residuales
www.cccure.org/Documents/HISM/223-228.html
www.cse-cst.gc.ca/en/documents/publications/gov_pubs/itsg/itsg04.pdf
Ricardo Morales está a cargo del área de Seguridad de Información de Alestra, es presidente de ALAPSI Noreste.
Alestra es el primer prestador de Servicios en Telecomunicaciones en México y otros países en obtener el certificado
ISO27001. rmoralesg @ alestra.com.mx