ANALISIS DE RIESGOS El anlisis de riesgos es uno de los procesos ms relevantes y prioritarios para la implantacin de SGSI, por ser el procedimiento

que permite analizar en forma metdica cada uno de los procesos, actividades y dems labores de la empresa que pueden estar en riesgo, as como determinar las necesidades de seguridad, las posibles vulnerabilidades y las amenazas a las que se encuentra expuesta En tal sentido, el resultado que se obtiene de todo un proceso de anlisis de riesgo es la informacin sobre el estado actual de la empresa en cuanto a sus niveles, controles de seguridad y los riesgos Proceso de identificacin del riesgo !a identificacin del riesgo en una empresa se realiza a trav"s de una metodologa apropiada #ctualmente, existen varias metodologas para realizar el anlisis de riegos y su esencia se fundamenta en tres elementos importantes que son los activos, las amenazas y las vulnerabilidades como variables primordiales que se identifican y se relacionan entre s, para determinar los riesgos $er figura % !os activos pueden tener vulnerabilidades que son aprovec&adas por las amenazas, las cuales conlleva al riesgo inminente en la empresa En este orden se describe de manera sucinta cada elemento Figura No. 4 Elementos del an lisis de riesgos

'uente( El autor Acti!os" !os activos son todos los elementos que requiere una empresa u organizacin para el desarrollo de sus actividades misionales y las que sern tratadas durante el proceso de analisis de riegos !os activos pueden ser fsicos como servidores, equipos, cableados, entre otros y l)gicos como aplicaciones, bases de datos, sitios *eb, entre otros Amena#as" Son todos aquellos &ec&os que pueden ocurrir en una empresa, per+udicando directamente los activos ya sea en el funcionamiento incorrecto o eliminacin del mismo $ulnera%ilidades" Son todas las debilidades de seguridad en la cual se encuentran los activos que se &an identificado en el anlisis y son suscetibles de amenazas para su da,o o destruccin Entre las metodologas ms utilizadas para realizar el anlisis de riesgo a una organizacin se tienen -agerit, .ctave y -e&ari, todas cumplen con el mismo ob+etivo, su diferencia se determina en la forma de presentacin de los resultados /ara el caso de estudio de este curso, seleccionaremos la metodologa -agerit ya que los resultados del anlisis de riesgo se pueden expresar en valores cualitativos y cuantitativos 0valores econmicos1, lo cual facilita la toma de decisiones en materia de seguridad por parte de los directivos, al conocer el impacto econmico que se podra presentar si la empresa no

invierte en la implantacin de un sistema de seguridad de la informacin y comunicaciones !as dems metodologas las traba+aremos en el mdulo de manera general

&etodolog'a &AGERI( -#GE2I3es la metodologa de anlisis y gestin de riesgos elaborada por el 4onse+o Superior de #dministracin Electrnica de Espa,a #ctualizada en 5675 en su versin 8 Esta metodologa contempla diferentes actividades enmarcadas a los activos que una organizacin posee para el tratamiento de la informacin # continuacin se relacionan cada uno de los pasos que se deben contemplan en un proceso de anlisis de riesgos, teniendo en cuenta un orden sist"mico que permita concluir el riesgo actual en que se encuentra la empresa In!entario de Acti!os 4omo se mencion anteriormente, los activos son todos los elementos que una organizacin posee para el tratamiento de la informacin 0&ard*are, soft*are, recurso &umano, etc 1 -agerit diferencia los activos agrupndolos en varios tipos de acuerdo a la funcin que e+ercen en el tratamiento de la informacin # la &ora de realizar el anlisis de riesgo el primer paso es identificar los activos que existen en la organizacin y determinar el tipo En la tabla 9o : se relacionan cada tipo de activos (a%la No. ) Relacin de acti!os de seguridad de la informacin 3ipos de activos Acti!o de informacin ;escripcin <ases de datos, documentacin 0manuales de usuario, contratos, normativas, etc 1 Sistemas de informacin, &erramientas de desarrollo, aplicativos desarrollados y en desarrollo, sistemas operativos, aplicaciones de servidores etc Equipos de oficina 0/4, porttiles, servidores, dispositivos mviles, etc 1 ;ispositivos de conectividad de redes 0router, s*ict&, concentradores, etc 1 =/S, 4ableado estructurado, instalaciones el"ctricas 4onectividad a internet, servicios de mantenimiento, etc

Soft*are o a+licacin

,ard*are

Red

E-ui+amiento au.iliar Instalacin

Ser!icios

Personal

/ersonal informtico 0administradores, *ebmaster, desarrolladores, etc 1, usuarios finales y personal t"cnico

'uente( El autor El levantamiento de la informacin de los activos y la respectiva clasificacin es la primera actividad que se debe realizar en un anlisis de riesgos Esta identificacin se debe &acer en con+unto con las personas directamente responsables de mane+ar en la organizacin todo el sistema de informacin y comunicaciones /ara profundizar en la metodologa -agerit, en el siguiente enlace se encuentra los 8 libros que especifican en detalle las actividades que se deben desarrollar en el anlisis de riesgos Especficamente en el libro I, se encuentra todos los aspectos a considerar en la clasificacin de los activos formando como especies de rboles o grafos de dependencia que permiten darle un nivel de relevancia a los activos que la organizacin o empresa posee En esta clasificacin se especifican( #ctivos esenciales Servicios internos Equipamiento informtico equipos informticos (hardware) comunicaciones soportes de informacin( discos, cintas, etc el entorno( activos que se precisan para garantizar las siguientes capas> equipamiento y suministros( energa, climatizacin, etc informacin que se mane+a servicios prestados que estructuran ordenadamente el sistema de informacin -obiliario los servicios subcontratados a terceros las instalaciones fsicas El personal usuarios operadores y administradores desarrolladores /.0.0 $aloracin de los acti!os 4ada activo de informacin tiene una valoracin distinta en la empresa, puesto que cada uno cumple una funcin diferente en la generacin, almacena+e o procesamiento de la informacin /ero a la &ora de valorarlos no slo debemos tener en cuenta cuanto le cost a la empresa adquirirlo o desarrollarlo, sino que adems debemos contemplar el costo por la funcin que ella desempe,a y el costo que genera ponerlo nuevamente en marc&a en caso de que "ste llegase a da,arse o deteriorarse Es por ello que se &ace necesario tener en cuenta diferentes variables a la &ora de darle valor a un activo En libro I en la metodologa -agerit que es la que actualmente estamos estudiando, expone que los activos se deben valorar de acuerdo ? dimensiones de seguridad 0confiabilidad, integridad, disponibilidad, autenticidad y trazabilidad1 En el captulo 7, vimos las %

primeras dimensiones como pilares de la seguridad, pero no se contempl trazabilidad que la metodologa incluye /or tal razn, define @7Atrazabilidad 0del ingl"s, accountability1, que a efectos t"cnicos se traducen en mantener la integridad y la confidencialidad de ciertos activos del sistema que pueden ser los servicios de directorio, las claves de firma digital, los registros de actividad, etc !a metodologa -argerit contempla dos tipos de valoraciones, cualitativa y cuantitativa !a primera &ace referencia al de calcular un valor a trav"s de una escala cualitativa donde se valora el activo de acuerdo al impacto que puede causar en la empresa su da,o o perdida, en consecuencia la escala se refle+a en( -uy #lto 0-#1 #lto 0#1 -edio 0-1 <a+o 0b1 -uy ba+o 0-<1

En el libro III, Bgua t"cnicaC, en la pgina D, se encuentra en detalle esta valoracin En cuanto a la valoracin cuantitativa es necesario tambi"n que se realice una escala de valores que permita a la empresa estimar su costo que no slo es el costo que tuvo inicialmente el activo sino teniendo en cuenta variables de valor inicial, costo de reposicin, costo de configuracin, costo de uso del activo y valor de perdida de oportunidad En la gua t"cnica se explica esta valoracin cuantitativa pero no en profundidad, por lo tanto se detalla los t"rminos en que se podra valorar un activo en miles de pesos $alor de reposicin $alor de configuracin o puesta a punto $alor de uso del activo $alor de p"rdida de oportunidad

;e acuerdo a dic&a valoracin es preciso que se estime ? escalas que podramos asignar a cada activo de acuerdo a la valoracin cualitativa dada En la tabla E, se relaciona la escala cuantitativa

@7A -etodologa de anlisis y gestin de riesgos de los sistemas de informacin -"todo /agina 5? -inisterio de Facienda y #dministraciones /Gblicas Espa,a

!ibro I

(a%la No. 1 Escala cuantitati!a

Valoracin cualitativa

Escala de valor Valor cuantitativo expresado cuantitativo en millones 300.000 $ 150.000 $ 50.000

Muy Alto (MA) > $ 200 Alto (A) Medio (M) Bajo (b) 200 <valor> 100 100 <valor> 50.000

50.000 <valor> 20.000 $ 20.000

Muy bajo (MB) 20.000 <valor> 10.000 $ 10.000

'uente( El #utor /odemos presentar como e+emplo, la valoracin del activo de una organizacin que podra ser el servidor de aplicaciones, donde su funcin es la de mantener el proceso de facturacin distribuida de los productos en la organizacin # ;ic&o activo, se podra considerar cualitativamente con un valor muy alto en la empresa por cuanto administra informacin sumamente importante en la empresa para cumplimiento de sus procesos diarios yHo misionales En consecuencia y de acuerdo a la escala de valores cuantitativos se podra estimar su valor sobre los doscientos a trecientos millones de pesos, por el valor del uso o relevancia del activo, el tipo de informacin que guarda y genera diariamente, el valor de perdida de oportunidad de clientes por falla en los sistemas, valor que costara reponer el equipo en restauracin de copias de seguridad o adquisicin de nuevo servidor, recuperacin de informacin de la cual no se alcanz a realizar copia antes del incidente de seguridad presentado, entre otros aspectos relevantes /.0.0.2 Dimensiones de Seguridad 4omo se mencion anteriormente, las dimensiones de seguridad que contempla la metodologa -agerit son( 4onfiabilidad, integridad, autenticidad, disponibilidad y trazabilidad, el cual se puede profundizar cada una, en el !ibro II( 4atlogo de Elementos, en el captulo 8 pagina 7? /ara contemplar en la valoracin de activos cada una de estas dimensiones, es necesario definir unos criterios de valoracin que nos permitan ubicar la posicin en que se encuentra cada activo frente a cada dimensin # continuacin se relacionan los criterios que se podran tener en cuenta para valorar los activos con respecto a cada dimensin de seguridad, ver tabla 9o I

(a%la No. 3 4riterios de !aloracin de los acti!os $ALOR 25 )83 489 28/ 5 4RI(ERIO Da6o mu7 gra!e a la organi#acin Da6o gra!e a la organi#acin Da6o im+ortante a la organi#acin Da6o menor a la organi#acin Irrele!ante +ara la organi#acin

Fuente" El Autor 4on base a los criterios anteriores, se puede &acer una valoracin cualitativa de cada activo en relacin a las % dimensiones de seguridad contempladas en la metodologa En la figura ?, se ilustra un e+emplo de la &erramienta /ilar, sobre la forma como se pueden valorar los activos con el nivel de dependencia, presentado en forma de rbol de acuerdo a las % dimensiones Figura No. : E+emplo de valoracin de activos de acuerdo a las % dimensiones de seguridad, &erramienta /ilar

'uente( #rc&ivo de e+emplo de la &erramienta /ilar

/.0./ Amena#as ;identificacin 7 !aloracin< Existen actualmente mGltiples amenazas que pueden afectar los activos de una empresa, por ello es importante identificarlas y determinar el nivel de exposicin en la que se encuentra cada activo de informacin en la organizacin Se considera una amenaza, a cualquier situacin que pueda da,ar o deteriorar un activo, impactando directamente cualquiera de las % dimensiones de seguridad !a IS.HIE4 7888?J7(566% define que una Bamenaza es la causa potencial de un incidente no deseado, el cual puede causar el da,o a un sistema o la organizacinC /.0./.2 Identificacin de amena#as -agerit, en el libro II, catlogo de elementos, presenta el catlogo de amenazas posibles que puede tener un activo de informacin !as amenazas se clasifican en cuatro grandes grupos( ;esastres naturales091, de origen industrial 0I1, errores y fallos no intencionados 0E1, ataques deliberados o intencionados0#1 4ada grupo de amenaza se representa por una letra, as mismo cada grupo presenta en forma especfica los tipos de amenazas que se pueden presentar # continuacin se presenta el listado codificado de las posibles amenazas que se pueden presentar en cada uno de los grupos mencionados =N> Desastres naturales @9 7A 'uego @9 5A ;a,os por agua @9 KA ;esastres naturales =I> De origen industrial @I 7A 'uego @I 5A ;a,os por agua @I KA ;esastres industriales @I 8A 4ontaminacin mecnica @I %A 4ontaminacin electromagn"tica @I ?A #vera de origen fsico o lgico @I DA 4orte del suministro el"ctrico @I :A 4ondiciones inadecuadas de temperatura o &umedad @I EA 'allo de servicios de comunicaciones @I IA Interrupcin de otros servicios o suministros esenciales @I 76A ;egradacin de los soportes de almacenamiento de la informacin @I 77A Emanaciones electromagn"ticas @E 7A Errores de los usuarios @E 5A Errores del administrador @E 8A Errores de monitorizacin 0log1 @E %A Errores de configuracin @E :A ;eficiencias en la organizacin @E EA ;ifusin de soft*are da,ino @E IA Errores de @reJAencaminamiento @E 76A Errores de secuencia @E 7%A 'ugas de informacin

=E> Errores 7 fallos no intencionados

@E 7?A #lteracin de la informacin @E 7DA Introduccin de falsa informacin @E 7:A ;egradacin de la informacin @E 7EA ;estruccin de la informacin @E 7IA ;ivulgacin de informacin @E 56A $ulnerabilidades de los programas 0soft*are1 @E 57A Errores de mantenimiento H actualizacin de programas 0soft*are1 @E 58A Errores de mantenimiento H actualizacin de equipos 0&ard*are1 @E 5%A 4ada del sistema por agotamiento de recursos @E 5?A /"rdida de equipos @E 5EA Indisponibilidad del personal @# %A -anipulacin de la configuracin @# ?A Suplantacin de la identidad del usuario @# DA #buso de privilegios de acceso @# :A =so no previsto @# EA ;ifusin de soft*are da,ino @# IA @2eJAencaminamiento de mensa+es @# 76A #lteracin de secuencia @# 77A #cceso no autorizado @# 75A #nlisis de trfico @# 78A 2epudio @# 7%A Interceptacin de informacin 0escuc&a1 @# 7?A -odificacin de informacin @# 7DA Introduccin de falsa informacin @# 7:A 4orrupcin de la informacin @# 7EA ;estruccin de la informacin @# 7IA ;ivulgacin de informacin @# 55A -anipulacin de programas @# 5%A ;enegacin de servicio @# 5?A 2obo de equipos @# 5DA #taque destructivo @# 5:A .cupacin enemiga @# 5EA Indisponibilidad del personal @# 5IA Extorsin @# 86A Ingeniera social 0picaresca1

=A> Ata-ues deli%erados

/.0./.0 $aloracin de amena#as 3omando como base el listado de amenazas propuesto por la metodologa -agerit, se procede a realizar la valoracin de amenazas a cada uno de los activos, es decir, determinar que amenazas los puede afectar, con qu" frecuencia se puede presentar la amenaza y que dimensin de seguridad puede ser afectada /ara valorar las amenazas es necesario que se estime una escala de valores que nos permita determinar el rango de frecuencia en que se puede presentar la amenaza, la cual se realiza mediante estimaciones anuales, mensuales, y semanales, asignando un nGmero de veces En la tabla :, se presenta dic&o rango

(a%la No. 25 Escala de rango de frecuencia de amena#as $ulnera%ilidad Frecuencia mu7 alta Frecuencia alta Frecuencia media Frecuencia %a?a Frecuencia mu7 %a?a Fuente" El Autor #l valorar el nivel o frecuencia de la amenaza de cada activo, es necesario valorar tambi"n el impacto que sera en realidad el da,o causado al activo en caso de materializacin de una amenaza, la valoracin se puede realizar de manera porcentualL #s mismo se podra estimar en qu" grado el activo es afectado sobre algunas de las dimensiones de seguridad que la metodologa -agerit &a considerado como la #utenticidad 0#1, confiabilidad 041, integridad 0I1, disponibilidad 0;1 y la trazabilidad del servicio 031 que indica, el aseguramiento de que en todo momento se podr determinar qui"n us qu" y en qu" momento /ara valorar el impacto, en la tabla I, se presenta el rango de impactos de manera porcentual para posteriormente registrar en una tabla resumen cada activo con el nivel de frecuencia y el impacto en cada una de las dimensiones de seguridad En la figura D, se puede ver claramente la tabla resumen que presenta la &erramienta /ilar como e+emplo para la valoracin de las amenazas que se pueden presentar en cada activo, donde enmarca siete columnasL !a primera para relacionar los activos representados en forma de rbol con las posibles amenazas, la segunda para representar el nivel de frecuencia en que se puede presentar la amenaza, la cual se representa denotndose como( #lta 0#1, media0-1, muy alta 0-#1, ba+a 0<1, muy ba+a 0-<1 que en nuestro caso, se estima de manera num"rica M por Gltimo las ? columnas siguientes que representan cada una de las dimensiones de seguridad Rango 2 !e# al d'a 2 !e# cada 2 semanas 2 !e# cada 0 meses 2 !e# cada 9 meses 2 !e# al a6o $alor 255 )5 :5 25 :

(a%la No. 22 Escala de rango +orcentual de im+actos en los acti!os +ara cada dimensin de seguridad.

Impacto Muy alto !lto Medio #a$o Muy %a$o

'uente( El #utor

Valor cuantitativo 100 "5 50 20 5

'igura 9o D E+emplo cuadro resumen valoracin de amenazas, &erramienta /ilar

'uente( #rc&ivo de e+emplo de la &erramienta /ilar

Si no se tiene disponible la &erramienta /ilar, podramos representar en un cuadro resumen el activo con su clasificacin desplegndolo tambi"n en forma de rbol los activos con sus posibles amenazas $er tabla I (a%la 20. E?em+lo de cuadro resumen !aloracin de amena#as FRE4BEN4IA DE LA A&ENAAA A4(I$O@A&ENAAAS ,ard*are Ser!idor de datos =E.2> Errores de los usuarios =E.0> Errores del administrador 25 :5 25C ):C ):C 255C 255C 255 05C 05C C ):C ):C :5C =A> =4> =I> =D> =(>

=E./> Errores de monitori#acin ;log< =E.4> Errores de configuracin =E.21> Destruccin de la informacin =I.9> 4orte de suministro electrnico =I.1> Fallo de ser!icios de comunicaciones

:5

25 :

):C ):C ):C ):C ):C 255C 255C 255 255 C C 255C 255C 255 255 C C 255C 255C 255 255 C C

)5

255

Fuente" Bni!ersidad O%erta de 4atalun7a ;BO4<. Gu'a (rafa?o Final de &aster ;(F&< D Plan de Im+lementacin de la ISO@IE4 0)552"055: /.0././ Im+acto +otencial 3eniendo como resultado la tabla resumen presentada en el tem anterior, se puede determinar el impacto potencial que se puede estimar en la empresa en caso de que llegue a materializarse las amenazas consideradas en cada activo !a definicin del impacto que se puede producir en la empresa se resume sobre los activos esenciales, es decir, donde se centra la informacin que se mane+a y los servicios prestados /odemos plantear como e+emplo, una empresa que presenta un listado de activos de informacin, entre ellos, el que centra la informacin en servidores ftp y el que presta el servicio en el servidor de aplicaciones En relacin a ellos, se presenta un incidente de seguridad que materializa la amenaza de un fallo de servicios de comunicaciones @I EA, logrando que los funcionarios de la empresa no puedan actualizar la informacin y

adems no puedan utilizar las aplicaciones /ues con este &ec&o, se puede apreciar un impacto sobre la dimensin de disponibilidad, sin incluir las dems dimensiones porque a pesar de que la informacin se mantuvo intacta en ambos servidores pues no &abra disponibilidad de servicio a los clientes, lo que pondra en riesgo el buen nombre y retirada masiva de los mismos, entre otros El anterior &ec&o, se convierte en un impacto muy alto, teniendo en cuenta el tiempo que gastara la empresa en solucionar el da,o en su sistema de comunicaciones para volver a la normalidad En el libro I 0m"todo1 de la metodologa -agerit, se &abla sobre impacto acumulado y el impacto repercutido, el cual pueden mirar en detalle Sin embargo considero suficiente &acer el anlisis del impacto potencial a nivel general para de alguna manera mirar en forma general el estado de la empresa /.0./.4 Ni!el de riesgo +otencial #l determinar el impacto potencial, se debe determinar el riesgo que asume la empresa al no tener implementados controles de seguridad En tal sentido, se tiene en cuenta tambi"n, que se debe estimar el riesgo por cada activo y en cada dimensin /ara -agerit, se denomina riesgo a la medida del da,o probable sobre un sistema, al igual que la tabla resumen mostrada anteriormente as se debe determinar la probabilidad de la ocurrencia de la amenaza para detectar el riesgo Sal!aguardias !as amenazas estimadas en cada uno de los activos, el riesgo e impacto presentado son contempladas en caso de que no existan salvaguardias, la cual define -agerit, como aquellos procedimientos o mecanismos tecnolgicos que reducen el riesgo Es as como dentro del proceso de anlisis de riesgos se contemplan las salvaguardias #s como se estimaron las amenazas para cada activo de informacin en el tem de amenazas, tambi"n se debe estimar las salvaguardias para cada uno En el libro II, catlogo de elementos se encuentra diecis"is tipos de salvaguardias, sin embargo, para seleccionarnos se debe tener en cuenta aspectos importantes que el libro I contempla, las cuales resumo a continuacin( 3ipo de activos a proteger, pues cada tipo se protege de una forma especfica ;imensin o dimensiones de seguridad que requieren proteccin #menazas de las que necesitamos protegernos Si existen salvaguardas alternativas

/ara mayor profundizacin en la definicin de salvaguardias se recomienda revisar detenidamente el libro I y II de la metodologa -agerit Es de mencionar que la &erramienta /ilar, por utilizar la metodologa identifica y valora por activos los salvaguardias al igual que por dominios En la figura :, se muestra en detalle la forma como se contemplan los salvaguardias

Figura No. 3 E?em+lo !aloracin de sal!aguardias +or acti!o Eerramienta Pilar

Si bien es cierto, que las organizaciones actuales poseen seguridad sobre sus activos, estas generalmente la contemplan sobre la proteccin de las localidades fsicas donde se encuentran fsicamente sus activos de informacin y alguna proteccin lgica a nivel de antivirus o fire*all pero no contempla es forma especficas medidas o salvaguardas para cada activo /.0.: Im+acto residual El impacto residual supera el impacto potencial, por cuanto esta vez ya se &a aplicado en cada activo los salvaguardias de seguridad, lo cual minimizara en cada activo el impacto en caso de que materialicen las amenazas /or tanto, este impacto deber estar muy por deba+o del impacto potencial /.0.9 Riesgo residual El nivel de riesgo residual, es el riesgo que la institucin puede asumir despu"s de aplicar medidas o salvaguardias de seguridad El nivel de riesgo residual obtenido supera el riesgo potencial, por tanto todo lo que "ste por deba+o de "ste nivel no se considera una amenaza importante para la empresa /.0.) Resultados del an lisis de riesgos #l desarrollar las fases consideradas en el anlisis de riesgos se debe presentar a manera de resumen los resultados obtenidos ;ic&os resultados pueden ser( =n anlisis detallado de los activos relevantes a nivel de seguridad para la empresa =n estudio de las posibles amenazas sobre los sistemas de informacin, as como cul sera su impacto en la misma =na evaluacin del impacto potencial que tendra la materializacin de las diferentes amenazas a que estn expuestas nuestros activos