134

Academia
11: Auditoria y Seguridad I/TIC

Riesgo (Risk): Gestin

REVISIN DEL PROCESO DE GESTIN DE RIESGO
VISTAS LAS ETAPAS DE ANLISIS DE RIESGO CUYO FIN ES DETERMINAR EL RIESGO INHERENTE Y ANTES DE ABORDAR LAS ETAPAS DE TRATAMIENTO/CONTROL DE RIESGO, REVISAREMOS LA PANORMICA: DE DNDE VENIMOS Y A DNDE VAMOS.

Carlos Bachmaier Johanning

GESTIN DE RIESGO CORPORATIVO Sistemas Tcnicos de Loteras

gestin de riesgo ;-), antes de lanzarnos a una nueva etapa, la de control de los diversos elementos de riesgo, que conlleva la identificacin de posibles controles a emplear junto con los elementos de riesgo que sern eliminados, mitigados o asumidos (considero conceptualmente la transferencia y el aseguramiento como mitigacin). Veremos algunas

me record mi amigo Julio S. (felicidades por esa flamante certificacin 27001!) en el curso de una conversacin reciente, la humanidad tard casi dos mil aos en pasar del orculo al mtodo, y en la gestin de riesgo vamos un poco atrasados ;-( De cara a ver hoy los distintos componentes del proceso resulta especialmente interesante la norma australiana/neozelandesa sobre gestin de riesgo -de negocio, no slo IT- (AS/NZS 4360:2004 Risk Management) y el primer entregable de 2006 de ENISA (European Network and Information Security Agency) en el rea de gestin de riesgo, relativo,

Situacin

excelentes referencias sobre el conjunto del proceso como base del repaso de hoy, y la situacin de los estndares. Y ahora, a ms. Vamos con el riesgo!

n nmeros impares anteriores (Auditoria y Seguridad I/TIC) revisamos los conceptos

bsicos de gestin de riesgo, y vimos y cerramos la etapa de evaluacin de riesgo del proceso de gestin de riesgo, incluyendo la lista de elementos de riesgo, una visin general de las tcnicas y metodologas de valoracin del riesgo inherente (tambin los conceptos de registro y mapa de riesgos), as como el mtodo Delphi para la valoracin de riesgo inherente, y los resultados de aplicar el mismo para el caso prctico (BDPI). Hoy revisaremos de dnde venimos y a dnde vamos en el proceso de

Algunos documentos interesantes

La verdad es que tenemos muchas referencias interesantes para abordar la gestin de riesgo, que proporciona usndola de forma racional- una valiosa herramienta de trabajo. No debemos olvidar sus luces y sus sombras, pero eso queda para otro da; despus de todo, como muy bien

entre otros, a una revisin (survey) de mtodos existentes de anlisis y gestin de riesgo. Pero antes comenzar indicando que dentro del panorama normalizador, est en marcha la norma ISO 27005, Anlisis de Riesgo, de seguridad de la informacin, bajo seguimiento en Espaa por el SC27 de AENOR, y que, como nos dice Paloma Llaneza desde su blog, probablemente le queda al menos

n 11

junio 2007

135

Academia
el ao 2007. En paralelo evoluciona la Gua 73, versin ms reciente de 2002, sobre vocabulario de gestin de riesgo, que se encuentra en fase de revisin que tal vez finalice para el 2008/2009. Tambin en desarrollo se encuentra la ISO 31000 (antes 25700, para mayor confusin con la 27005!), guas generales de principios e implementacin de gestin de riesgo, en sentido amplio, no slo TI. Basada, al menos inicialmente, en la AS/NZS 4360:2004, est bajo seguimiento en Espaa por el GET 13; su gnesis y evolucin nos la cuenta Julin Marcelo Cocho en una comunicacin de Tecnimap 2006 (415), accesible googleando. Para ms informacin sobre las normas, ya sabes, AENOR y/o Google ;-) Por cierto, de la norma espaola tambin se esperan noticias prontas pero la cortesa aconseja dejar la primicia a quien corresponde. as como guas de aplicaciones en sectores y materias diversas. Comienza resaltando la importancia de un adecuado equilibrio entre materializar oportunidades minimizando posibilidades de prdidas, e identificando el riesgo como la exposicin a las consecuencias de la incertidumbre; plantea, por tanto, la gestin de riesgo de forma positiva, esto es, no slo enfocada en peligros y daos. El enfoque se basa en considerarla como un proceso, que debe estar imbricado en la organizacin. Se orienta hacia la gestin de riesgos en sentido amplio, a nivel corporativo, no slo I/TIC, y en todo rango de actividades y sectores. Prescribe un marco, pero no un mtodo concreto. Contiene un glosario interesante, donde claramente delimita los conceptos y trminos. Gestin de riesgo, que describe todo el proceso, es un trmino inclusivo; parte del mismo son la evaluacin -y dentro de ella, el anlisis- y el tratamiento. He odo en muchas ocasiones llamar gestin de riesgo a las actividades de tratamiento, y creo que genera mucha confusin. La norma es clara en ese aspecto, y se preocupa de la precisin terminolgica, y pone en contraste los trminos con las definiciones de otros estndares. As, describe muy claramente el significado de likelihood (una palabra difcil de traducir), probabilidad y frecuencia. Describe los diferentes subprocesos y actividades (ver diagrama 1, una versin completada de la del estndar), e incluye un captulo especfico sobre como poner en marcha y mantener operativo el proceso de gestin de riesgo. En fin, una lectura muy recomendada.

El estndar australiano/neozelands
En mi opinin, el estndar est muy bien; te recomiendo su lectura. Como tantas otras normas, es de pago. En fin, si las normas fueran gratuitas tendran mayor difusin. Pero como recuperar los gastos de su creacin? Si bien es un trabajo normalmente ejercido por voluntarios, hay gastos de personal administrativo y de viajes. Tal vez sera una buena iniciativa que los estudiantes tuvieran acceso gratuito a las mismas (no supondra una bajada de ingresos puesto que de todas formas no las iban a comprar). Tambin sera bueno que los profesionales pudieran leer una norma antes de comprarla, tal vez haya acceso va biblioteca; habr que averiguarlo. Volviendo al estndar AS/NZS. Tiene ya una tradicin a su espalda, pues la versin anterior es de 1999, y una buena reputacin asociada. Est acompaada de una gua especfica sobre la implementacin del estndar

n 11

junio 2007

136

Academia
El informe de ENISA
ENISA, agencia europea de seguridad de redes e informacin, tiene un interesante programa de trabajo, incluyendo estudios y seminarios, con toda la documentacin libremente accesible y descargable en su web (www.enisa.europa.eu), aunque en ingls, por ahora? Ha generado (junio de 2006) el informe Risk Management: implementation principles and Inventories for Risk Management/Risk Assessment methods and tools, altamente interesante; por cierto, el pasado 22 de marzo ENISA ha actualizado el inventario incluyendo Magerit 2 y Pilar/EAR (Enhorabuena Pepe!). El informe tiene tres grandes partes: un marco conceptual, un inventario de mtodos y un inventario de herramientas. Hay que recordar que se centra en I/TIC. Tambin es interesante la seccin de desafos por resolver. Comienza presentando el marco conceptual, incluyendo sus subprocesos y actividades, su interrelacin con la gestin de riesgo corporativo y su relacin con el sistema de gestin de seguridad de la informacin. El informe parte de las premisas de la falta de existencia/coherencia en el marco terminolgico y conceptual, y que desarrollar un esfuerzo coordinador. Es un tanto sorprendente que indique dicha falta de coherencia y que no cite de forma directa o indirecta el estndar australiano/neozelands, ni en la parte conceptual hable de la existencia del ISO 27005 (aunque si lo hace en el inventario, referindose a ella como la ISO 13335-2 en nueva redaccin) o su alter-ego el ISO 27500 (digo 31000). Sern cosas de la dinmica de grupos ;- (De todas formas, gracias a que las propuestas estn alineadas con dichas otras iniciativas -hay que ver cmo se ISO 13335-2 (o 27005), ISO 17799:2005, ISO 27001:2005, ITGrundschutz (originario del estado alemn), Marion (francs), Mehari (francs), Octave (Carnegie Mellon University & SW Engineering Institute, EUA), SP800-30 (NIST, EUA). En el Anexo III se incluye el detalle de cada uno. En fin, como haya intencin de definir un modelo, mtodo y herramienta unificado a nivel europeo, hay trabajo por delante Te aconsejo echar un vistazo a la tabla resumen de la pgina 37. De un vistazo se ve que EBIOS (francs), los mtodos de ISF e IT-Grundschutz parecen- parece que el esfuerzo coordinador no generar otra divergencia ;-) Dentro de lo anterior merece la pena resaltar el novedoso marco global del proceso -una visin completa e interrelacionada-; es muy interesante (ver diagrama 2). En cuanto al inventario de mtodos, se incluyen actualizaciones en web: Manual de seguridad austriaco (originario del gobierno austriaco), Cramm (originario del gobierno UK), Anlisis A&K (originario del gobierno holands), EBIOS (originario del gobierno francs), (cuya web ofrece toda la documentacin tambin en castellano!), mtodos ISF (Information Security Foundation), (alemn) son los de ms amplia cobertura del proceso. El francs y el alemn ofrecen la documentacin de forma gratuita. Adems de amplia cobertura, disponen de herramientas, siendo la del mtodo francs, de cdigo abierto. Vaya, parece que los franceses llevan la delantera seguidos de cerca por los alemanes. No es mucha sorpresa. (Nota: recuerda que slo en marzo de 2007 ENISA se ha enterado, o se ha dado por enterada, o le han comunicado, la existencia de Magerit2). Posteriormente, el informe presenta las herramientas disponibles. Desde Callio hasta RiskWatch, pasando por Cobra, Cramm, Ebios, Octave, Ra2, etc. En el Anexo V se incluye detalle de cada una. Finalmente, el informe aborda los desafos pendientes: necesidad de

Una vez valorado cada elemento de riesgo inherente, podremos identificar riesgos no asumibles y valorar las posibles contramedidas y riesgos residuales

equiparacin e interoperabilidad entre mtodos y herramientas; identificacin de posibles combinaciones para solventar las necesidades; necesidad de generar demostradores y material de concienciacin; la inclusin de la gestin de riesgo asociada a la continuidad los riesgos emergentes; la puesta en marcha de un laboratorio adecuado (en ENISA, claro); y la necesidad de ejemplos de cmo integrar la gestin de riesgo con otros procesos y disciplinas (por ejemplo, con ITIL, BCM, etc.). Muchas de ellas implican dotar a ENISA de recursos, pareciendo esta parte ms un plan de trabajo de ENISA que otra cosa. En fin, mi agradecimiento al grupo de trabajo de ENISA, yo le llevo dedicando bastante tiempo y energa para compilar y disponer de toda esta informacin, y ENISA me (nos) la da procesada y actualizada. Un informe estupendo. Slo tiene, para m, un par de tems manifiestamente mejorables. Introducir la gestin de continuidad de negocio (superando la visin de planificacin de continuidad de negocio). Y sacar partido a la

n 11

junio 2007

137

Academia
sencilla a la vista de los diagramas. En los artculos anteriores hemos cubierto un bloque importante, dentro de las actividades de hacer, aquellas relacionadas con el anlisis y evaluacin del riesgo, y que incluyen identificar los activos, amenazas, vulnerabilidades, probabilidades e impactos, para finalmente determinar y evaluar los elementos de riesgo, valorando el riesgo inherente, y clasificarlos por importancia, concluyendo con la construccin del mapa de riesgo.

Prxima etapa: actividades de control o tratamiento de riesgo (Risk Treatment/Control)

En este Academia, adems de revisar unas cuantas referencias estructura lgica de gestin de riesgo presentada en el anexo VI. Es una gran idea con mucho espacio para mejorar. revisar si las cosas se desenvuelven segn lo deseado, tanto a nivel de evolucin del subproceso como de la evolucin de la situacin de riesgo; y, relevantes, hemos echado un vistazo panormico. Concluido el bloque de anlisis y evaluacin de riesgo, nos lanzamos al bloque de tratamiento o control de riesgo: una vez valorado cada elemento de riesgo inherente, podremos identificar riesgos no La gestin de riesgo I/TIC es un (sub)proceso que forma parte de la fase de planificacin del proceso de seguridad de la informacin, y de la gestin corporativa de riesgo. Y, como buen (sub)proceso, tambin se estructura en las fases del ciclo de Deming (planificarhacer-evaluar-reorientar). En los diagramas 1 y 2 tenemos una descripcin global del (sub)proceso, al estilo australiano/neozelands y al estilo ENISA. En ellos se presentan: la actividades de planificar, identificadas como estrategia corporativa de gestin de riesgo, que incluyen la definicin del alcance y marco, el mbito externo e interno, los criterios y estrategias; las actividades de hacer, que incluyen la evaluacin de riesgo, el tratamiento y aceptacin, el dilogo con los diversos grupos de inters y la concienciacin; las actividades de supervisar y La perspectiva de donde venimos y a donde vamos en Academia, en lo referido a Gestin de Riesgo, es muy finalmente, las actividades de reorientar la planificacin y la estrategia, a la vista de los resultados. asumibles y valorar las posibles

Los diagramas

Gestin de riesgo es un trmino inclusivo; parte del mismo son la evaluacin -y dentro de ella, el anlisis- y el tratamiento

contramedidas y riesgos residuales. Pero eso ser en el prximo numero impar de Mientras tanto, te propongo un ejercicio prctico personal, trasladando lo presentado a la realidad de tu trabajo: en tu organizacin, de forma ms o menos estructurada e informal, seguro que se efectan actividades de gestin de riesgos; identifcalas y marca las correspondencias con las diversas etapas del ciclo de Deming correspondientes al subproceso de gestin de riesgo. Si quieres comentar sobre ello conmigo, mndame un correo electrnico!

El esquema general
Hasta pronto. Espero vuestros comentarios por correo electrnico en: akademia.peripatetika@gmail.com

n 11

junio 2007