miércoles, 19 de marzo de 2014

METODOLOGÍAS DE ANÁLISIS, EVALUACIÓN Y GESTIÓN DE RIESGOS INFORMÁTICOS

EL RIESGO EN SEGURIDAD INFORMÁTICA

Es de conocimiento general que la información se ha convertido en el principal activo de las organizaciones independientemente de su actividad comercial. Incluso desde hace un par de décadas atrás, esta era se ha denominado como la "era de la información", y es muy común encontrar que cualquier empresa emplee el uso las Tecnologías de la Comunicación e Información, TIC, como medio más utilizado para diseminar información para estar en constante contacto con sus clientes y proveedores.

La información como activo vital de las empresas, necesita estar protegida de los diferentes ataques o situaciones de carácter humano o natural, y las organizaciones deberían estar conscientes de los riesgos a los cuales la información está expuesta y tener planes y medidas para minimizarlos. Hay que tener en cuenta que la información nunca estará 100% libre de riesgos, y lo que se trata de buscar es un balance entre un nivel aceptable de riesgos y el costo de reducirlos, así como el hecho de que las organizaciones clasifican o valoran los riesgos informáticos de manera diferente.

El riesgo informático se define como "la probabilidad de que una amenaza en particular expone a una vulnerabilidad que podría afectar a la organización" [1, p. 250], o como "la posibilidad de que algo pueda dañar, destruir o revelar datos u otros recursos" [2, p. 237]. El riesgo va inherente a una serie de términos que se deben comprender para poder tener una mejor concepción de su significado en el contexto de la seguridad de la información; entre ellos se encuentran [3, p. 5]:
  • Evento: Es una situación que es posible pero no certera. En el contexto de la evaluación de riesgos es siempre un evento futuro y tiene influencia directa o indirecta sobre el resultado. Un evento (nuevamente en este contexto) se trata como un suceso negativo y representa algo indeseado.
  • Activo: Representa el objetivo directo o indirecto de un evento. El resultado siempre tiene una consecuencia directa el cual es aplicado al activo. Un activo es algo valioso para una organización y en el contexto de seguridad informática están constituidos por el software, el hardware, las aplicaciones, las bases de datos, las redes, copias de seguridad e incluso las personas.
  • Resultado: Es el impacto del evento. En el contexto de la seguridad informática siempre será una circunstancia no deseada como una pérdida o pérdida potencial. Esta pérdida siempre tiene un efecto directo en una mayor parte del activo.
  • Probabilidad: Posibilidad o frecuencia de que un evento ocurra sobre un activo.

GESTIÓN DEL RIESGO

La Gestión del Riesgo es un proceso cuya función principal es mantener un ambiente seguro. Consiste en identificar los factores que podrían dañar o revelar datos, y crear medidas que implementen una solución para mitigar o reducir el riesgo. Todo el proceso de gestión del riesgo es utilizado para desarrollar e implementar estrategias de seguridad de la información, las cuales buscan reducir el riesgo y soportar la misión de la organización [2, p. 237].

Como profesionales en el campo de la seguridad de la información, se deben conocer ciertos conceptos que van ligados al riesgo como lo son las amenaza, vulnerabilidad e impacto.

  • Vulnerabilidad: Es una falla o debilidad en los procedimientos, diseño, implementación o controles internos en un sistema de seguridad [1, p. 250]. Es cualquier ocurrencia potencial que pueda causar un resultado indeseado para una organización o para un activo en específico [2, p. 238].
  • Amenaza: Es el potencial que un intruso o evento explote una vulnerabilidad específica [1, p. 251]. Es cualquier probabilidad que pueda ocasionar un resultado indeseable para la organización o para un activo en específico. Son acciones que puedan causar daño, destrucción, alteración, pérdida o relevancia de activos que podrían impedir su acceso o prevenir su mantenimiento [2, p. 238].
  • Impacto: Se refiere a la cantidad de daño que puede causar una amenaza que explote una vulnerabilidad [1, p. 251].


PRINCIPALES METODOLOGÍAS DE EVALUACIÓN DE RIESGOS INFORMÁTICOS

Existen múltiples metodologías para llevar a cabo el proceso de análisis, evaluación y gestión de riesgos informáticos, cada uno con su particularidad y dirigidos a ciertas situaciones. Sin embargo, todos tienen unos componentes y actividades comunes como son las siguientes [3, pp. 13-18]:

  • Identificar las Amenazas: Se enfoca en identificar las posibles amenazas a la seguridad de la información. Estas amenazas son los eventos, fuentes y acciones que podrían liderar a perjudicar los activos relativos a la información de la organización.
  • Identificar las Vulnerabilidades: Se enfoca en identificar las vulnerabilidades  que podrían ser explotadas por las amenazas que se han identificado. La existencia de una vulnerabilidad contribuye a calcular la probabilidad del riesgo.
  • Identificar los Activos: Proceso en el cual se identifican cuáles son los activos que son críticos y que tienen un impacto directo en la confidencialidad, integridad y disponibilidad de las fuentes de información para la organización.
  • Determinar el Impacto: Es el proceso para medir o determinar el impacto de una amenaza sobre un activo. El impacto puede ser cuantitativo o cualitativo.
  • Determinar la Probabilidad: El objetivo de esta actividad es medir la posibilidad de ocurrencia de una amenaza asignándole un valor probable.
  • Identificar los Controles: Los controles son mecanismos que detectan o previenen las fuentes de amenazas que tratan de explotar las vulnerabilidades. Esta actividad consiste en identificar qué controles se están efectuando actualmente sobre un activo y qué efecto tendría sobre la amenaza que se está evaluando.
A continuación se exponen algunas de las metodologías para el análisis, gestión y evaluación de riesgos informáticos:

  • OCTAVE: Acrónimo de Operationally Critical Threat, Asset, and Vulnerability Evaluation, Evaluación Crítica Operacional de Amenazas, Activos y Vulnerabilidades. Es una colección de herramientas, técnicas y métodos para la evaluación de riesgos de la seguridad de la información. Fue desarrollado por el Instituto de Ingeniería de Software (Software Engineering Institute, SEI) de Carnegie Mellon a través de su programa CERT. Actualmente presenta tres versiones: OCTAVE, OCTAVE-S y OCTAVE-Allegro. OCTAVE es usado en grandes organizaciones (más de 300 empleados) y provee los lineamientos para realizar evaluaciones de seguridad internas. OCTAVE-S fue desarrollado para empresas pequeñas (S, Small, de menos de 100 empleados) y asume que las personas encargadas de realizar la evaluación de riesgos conocen los activos, requerimientos de seguridad, amenazas y prácticas de seguridad de la organización, y que no requieren de la realización de entrevistas, encuestas y talleres. OCTAVE-Allegro es la versión más reciente y fue direccionado para la evaluación de los riesgos de seguridad de la información, y describe los pasos y provee varias hojas de cálculos (worksheets) y cuestionarios como guías y modelos para evaluar los riesgos de la organización o más específicamente, sus activos [3, pp. 29-30].
  • FAIR: Acrónimo de Factor Analysis of Information Risk, Factor de Análisis de Riesgos de la Información. Fue desarrollado por Risk Management Insight y tiene un fuerte seguimiento de varios grupos dentro de los que se destacan Open Group e ISACA. FAIR se enfoca en la objetividad. Presenta mucha terminología y fórmulas, pero la documentación provee los criterios, diagramas y explicaciones para familiarizarse con ellas. Utiliza 4 etapas principales para descomponer sus actividades: Identificar los Componentes del Escenario, Evaluar la Frecuencia de los Eventos de Pérdidas, Evaluar la Probable Magnitud de las Pérdidas y derivar y Articular el Riesgo [3, pp. 35-41]. FAIR fue diseñado para direccionar las debilidades en la práctica de la seguridad. Le permite a las organizaciones hablar el mismo lenguaje acerca del riesgo, aplicar la evaluación de riesgos a cualquier activo de la organización, ver los riesgos organizacionales en total y entender cuánto tiempo y dinero afectará el perfil de seguridad de la organización [4].
  • NIST SP800-30: Es conocido como la Guía para la Gestión del Riesgo para los Sistemas de Tecnologías de la Información (Risk Management Guide for Information Technology Systems), el cual fue desarrollado por el NIST (National Institute for Standards and Technology, Instituto Nacional para los Estándares y Tecnología). Fue diseñado para ser flexible y adoptado por organizaciones de diferentes tipos. Se descompone en 9 etapas para desglosar sus actividades, las cuales son: Caracterización del Sistema, Identificación de las Amenazas, Identificación de las Vulnerabilidades, Análisis de Control, Determinación de Probabilidad, Análisis del Impacto, Determinación del Riesgo, Recomendaciones de Control y Documentación de Resultados [3, pp. 41-49].
  • ISO 27005: Es un estándar internacional desarrollado por la ISO (International Standards Organization) el cual lleva como nombre Tecnología de la Información, Técnicas de Seguridad y Gestión del Riesgo en la Seguridad de la Información (Information Technology-Security-Techniques-Information-Security Risk Management). Provee una guía sobre los procesos de gestión del riesgo de la seguridad de la información que son necesarios para la implementación efectiva de un Sistema de Gestión de la Seguridad de la Información (SGSI. ISMS, Information Security Managemnet Systems). Está vinculado con el NIST SP800-30 y plantea 3 etapas para gestionar la evaluación del riesgo: Identificación del Riesgo, Estimación del Riesgo y Evaluación del Riesgo [3, p. 49].
  • TARA: Acrónimo de Threat Agent Risk Assessment, Evaluación del Riesgo de los Agentes de Amenazas. Se enfoca en ayudar a las compañías a focalizarse solamente en las amenazas que son más probables a ocurrir ya que sería muy costoso e impráctico para las compañías defenderse de todas los ataques y vulnerabilidades posibles. Prioriza áreas de cuidado, así las organizaciones pueden proactivamente concentrarse en las exposiciones más críticas y aplicar los recursos más eficientemente con el fin de maximizar los resultados [4].


METODOLOGÍA OCTAVE (versión OCTAVE-Allegro)

La metodología OCTAVE-Allegro [3, pp. 28-34] [4, pp. 17-20] es la última versión desarrollada del marco (framework) OCTAVE. No requiere un gran participación de toda la organización y está diseñado para evaluar los riesgos operacionales con el objetivo de producir resultados más robustos. Se enfoca principalmente en los activos informáticos en la forma como se utilizan, donde se almacenan, como se transportan y como están expuestos a amenazas y vulnerabilidades.

OCTAVE-Allegro está compuesto por cuatro Áreas de Actividad y cada una está compuesto por una serie de actividades o pasos: Establecer las Directrices, Perfil de Activos Informáticos, Identificar las Amenazas e Identificar y Mitigar Riesgos.


Figura 1. Fases y actividades principales de OCTAVE-Allegro. Tomado de [5, p. 4].


ÁREAS DE ACTIVIDAD

Establecer las Directrices: La organización establece los criterios de gestión del riesgo acorde a sus directrices institucionales.

  • Paso 1: Establecer los Criterios para Medir el Riesgo: Se identifican las principales áreas organizacionales (Finanzas, Clientes, Producción, Seguridad, etc.) donde las amenazas pueden afectar sus objetivos, tales como la misión y la visión. La importancia con que se asume un riesgo determinado en estas áreas organizacionales varía de acuerdo al tipo de organización que se evalúa. Se definen criterios generales de medidas de riesgo y los efectos que pueden ocasionar las amenazas. Estos criterios serán tenidos en cuenta durante todo el proceso de gestión del riesgo.

 Perfil de Activos: Se identifican los activos a evaluar.

  • Paso 2: Desarrollar un Perfil de los Activos Informáticos: Se enfoca en desarrollar un perfil para cada uno de los activos informáticos de la organización. El perfil consiste en describir para cada uno de ellos, sus características únicas, sus cualidades y valor. Este perfil no debe dar a lugar a información ambigua, y garantiza que los requerimientos de seguridad para ese activo quede claramente definido. Adicionalmente en este perfil se establecen parámetros como el responsable y los niveles de Confidencialidad, Integridad y Disponibilidad, identificando cuál es el más importante.
  • Paso 3: Identificar los Contenedores de los Activos Informáticos: Se enfoca en identificar los contenedores de los activos informáticos. Un contenedor es el lugar donde estos activos son guardados, procesados y transportados. Pueden residir dentro o fuera de la organización, pero todo aquello que los amenace, incide directamente sobre ellos. Un contenedor es un activo que contiene otros activos y que debe ser protegido en sí.

   Identificar las Amenazas: Se identifican las amenazas de los activos identificados y se documentan.

  • Paso 4: Identificar las Áreas de Cuidado: Consiste en identificar aquellas áreas que pueden provocar situaciones o condiciones reales que puedan amenazar a un activo informático. Estas situaciones son las que podrían generar resultados no deseados y puede que sean únicos para la organización.
  • Paso 5: Identificar los Escenarios de Amenazas: Identifica de forma más específica las amenazas encontradas en el paso anterior, creado Escenarios. Un escenario es aquella situación de amenaza que es única para un activo. Se emplea el uso de la probabilidad para determinar con mayor exactitud que escenarios son más factibles que se realicen.

  Identificar y Mitigar Riesgos: Se identifican y se analizan los riesgos basados en la información provista en el área anterior, así como el desarrollo de las estrategias para mitigarlos.

  • Paso 6: Identificar los Riesgos: Son las consecuencias que tiene la organización si se llega a producir una determinada amenaza. El impacto puede repercutir en muchas áreas organizacionales. La fórmula del riesgo está dada de la siguiente manera [3, p. 32]:
Riesgo = Amenaza (Condición) + Impacto (Consecuencia)
  • Paso 7: Analizar los Riesgos: Constituye en medir y evaluar el riesgo, y el impacto que tiene en una organización si la amenaza se lleva a cabo. Las consecuencias son relativas dependiendo del área organizacional; lo que para una puede tener un alto impacto, para otra no. Se les otorga un valor numérico y el impacto se generalmente se evalúa en alto, medio y bajo.

Figura 2. Diferentes grados de Impacto de acuerdo en las áreas organizacionales. Tomado de [3, p. 33].
  • Paso 8: Seleccionar el Enfoque de Mitigación: Se definen las estrategias de mitigación de riesgos en base al impacto que tienen en la organización. Estas estrategias consideran el valor del activo, los requisitos de seguridad, los contenedores donde residen y el ambiente único de la organización donde operan.

    REFERENCIAS

  •      [1] D. Kim y M. G. Salomon, Fundamentals of Information System Security, Jones & Bartlett Learning International, 2012.
  •    [2] J. M. Stewart, E. Tittel y M. Chapple, CISSP: Certified Information Systems Security Professional Guide, Quinta ed., Indianapolis, Indiana: Wiley Publishing, 2011.
  •   [3] M. Ryan y J. L. Martin, Information Security Risk Assessment Toolkit: Practical Assessment Through Data Collection and Data Analysis, Syngress, 2013.
  •    [4] «Comparison of IT Risk Assessment Framework: Octave, Fair, NIST-RMF and TARA,» FinanceSheets.com, 7 Febrero 2011. [En línea]. Disponible en: http://www.financesheets.com/comparison-of-it-risk-assessment-framework-octave-fair-nist-rmf-and-tara/. [Último acceso: 16 Marzo 2014].
  •    [5] R. A. Caralli, J. F. Stevens, L. R. Young y W. R. Wilson, Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process, Carnegie Mellon University, 2007.
  •     [6] M. Benavides y F. J. Solarte, Módulo Riesgos y Control Informático, Pasto: UNAD, 2012.
Publicado por en
Etiquetas: , , , , , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)