David Bohm

Hay dos frases que definen mi manera de pensar:
Realmente no hemos prestado mucha atención al pensamiento como un proceso; hemos participado en pensamientos, pero sólo hemos prestado atención al contenido, no al proceso.
La capacidad de percibir o pensar de manera diferente es más importante que el conocimiento adquirido.
Ambas son de David Bohm.

sábado, 2 de junio de 2018

Conceptos básicos de Gestión de Riesgos

Vamos a comentar por encima los conceptos básicos que van a facilitan el llevar a cabo un análisis y valoración adecuado. En alguno nos entretendremos un poco mas, sobre todo porque no se le suele dar importancia. Comencemos!!!

CONCEPTOS BÁSICOS

Activo: Cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización.

Inventario de activos: Imprescindible en cualquier Sistema de Gestionón de la Seguridad del Información (SGSI). Se podría decir de forma genérica que deberíamos registrar para todos los activos una serie de campos. Es muy frecuente que no se realice un correcto inventario de activos en las empresas y es imprescindible para un correcto análisis de riesgos. Para que veamos que no es trivial y hacen falta bastantes datos veamos un ejemplo:

  • Número de Serie (Hardware) / Número de Licencia (Software: Nº, Tipo de Licencia, Instalaciones, Cantidad con Licencia, Exceso o Falta de Licencia). En el caso de activos como PCs, servidores, impresoras, dispositivos móviles y cualquier otro ítem susceptible de ser etiquetado como unitario, normalmente va asociado a un número de serie único e identificable. Cuando se trata de activos del grupo de aplicaciones, cabría detallar los campos anteriormente mencionados:
  • Localización física: ciudad o edificio donde se encuentra el activo. De esta manera podrán implementarse medidas físicas, de prevención y de gestión del riego, en función de su ubicación y el nivel de madurez de los controles implantados.
  • Formato: puede que sea papel o digital por ejemplo.
  • Tipo: grupo en el que se encuentra clasificado (entorno general, servicio/activo de información, aplicación Software, PC como fijo o portátil, impresora, servidor, red, etc.)
  • Nombre: único e identificativo
    • Identificador de licencia,
    • El tipo de licencia de la que se trata,
    • Euántas instancias de la misma existen en el parque informático, y
    • Qué nivel de licenciamiento real existe actualmente para este software
  • Empresa de Soporte: definir bien la empresa encargada del mantenimiento, reparaciones y eventual sustitución del activo cuando aplique, así como aquella que pueda prestar cualquier servicio alrededor del mismo, y que implique un cierto grado de compromiso o relación más allá de la adquisición
  • ID de Contrato: es la forma de ubicar el momento de la compra del activo, o el inicio de la relación con el proveedor en lo que a ese activo se refiere. De esta forma se podrá contar con una referencia a la hora de comunicar con el proveedor de servicio, indicar la partida exacta de compra, condiciones de la misma y, por tanto, los detalles que éste necesita a la hora de prestar el servicio contratado
  • Fecha Vencimiento Soporte: guarda relación con el campo anterior, tanto en cuanto será el contrato aquel documento donde podremos identificar la fecha de firma o comienzo de soporte para el activo. Si bien este campo apunta al vencimiento y, por tanto, fecha en la que se debería renovar el soporte o servicio sobre el activo, si así fuese necesario
  • Sección/Área/Departamento que le da uso: grupo de personas interactuando con el activo, de forma habitual. Puede no corresponderse con el propietario del activo.
  • Propietario (Responsable del Activo): el responsable del Activo es lo que se denomina Propietario del Activo. Las tareas encargadas al responsable del activo son:
    • Asociar o aprobar asociaciones entre activos
    • Asociar o aprobar asociaciones ente el Activo y los procesos de negocio
    • Ajustar las dependencias o dependientes del Activo
    • Tomar las decisiones en torno al activo: creación, acceso, modificación y eliminación
  • Custodio: aquel que “guarda con cuidado y vigilancia” el activo. No tiene por qué ser el mismo que hace uso de él, como tampoco el propietario del mismo.
  • Clasificación: este campo determinará el grupo de medidas y controles de seguridad a aplicar al activo en concreto.
  • Descripción/Observaciones: cuando se desee remarcar alguna de las cualidades del activo, o aplique algún tipo de singularidad o condición no genérica al mismo
Amenaza: Evento que puede desencadenar un incidente produciendo daños materiales o inmateriales en los activos.

Vulnerabilidad: Es la debilidad que tienen los activos o grupos de activos que pueden ser aprovechada por una amenaza.

Impacto: Consecuencia de la materialización de una amenaza sobre un activo.

Riesgo: la estimación del grado de exposición de un activo a que una amenaza se materialice sobre el causando daños a la compañía. Indica lo que le podria pasar a los activos si no se protegen adecuadamente.

Riesgo intrínseco: Posibilidad de que se produzca un impacto determinado en un activo o en un grupo de activos.

Salvaguarda: Práctica, procedimiento o mecanismo que reduce el riesgo. Puede actuar disminuyendo el impacto o la probabilidad.

Riesgo residual: Riesgo que queda tras la aplicación de la salvaguarda.

ANALISIS DE RIESGOS

Por muy bien que protejamos los activos es imposible eliminar el riesgo al 100% por lo que siempre quedará un riesgo residual que la compañía debe asumir y vigilar.

Un análisis de riesgos al fin y al cabo consiste en identificar los riesgos de seguridad en nuestra compañía, determinar su magnitud e identificar las áreas que requieren implantar salvaguardas. Con este análisis conoceremos el impacto económico de un fallo de seguridad y la probabilidad realista de que ocurra ese fallo.

Hay que cubrir las necesidades de seguridad de la organización teniendo siempre en cuenta los recursos económicos y humanos con los que cuenta. La inversión en seguridad debe ser proporcional al riesgo.
[ Equilibrio en las inversiones. Proporcionales al riesgo ]
El ejemplo del vídeo que se ha consultado y cuyo enlace dejo abajo es bastante claro: Si tenemos un servidor que tiene información de valor bajo, pero lo protegemos con un lector de huellas, uno de retina y después el técnico tiene que hacer acrobacias para acceder a el, está claro que las medidas han sido desproporcionadas.
[ Objetividad ]
Un análisis de riesgos aporta objetividad a los criterios en los que se apoya la seguridad ya que se centra en proteger los activos mas críticos. Basándonos en los riesgos propios, se realiza la toma de decisiones.

Hay que contar con diferentes personas de la organización para dar valor a los activos.
[ Debe ser un equipo multidisciplinar para dar un valor objetivo ]
Hay que ir haciendo el análisis de forma progresiva conforme la compañía evoluciona en sus medidas de seguridad.

El análisis de riesgos se basa en un buen inventario de activos. Si es grande, se puede hacer un análisis solo de los activos mas críticos.
[ Es por ello que el inventario es tan importante ]
Después se identifican las amenazas que pueden afectar a los activos. Se realiza una valoración en función del impacto de la amenaza si esta se materializa. Se analizan las vulnerabilidades de los activos y se valoran. Si un activo está expuesto a una amenaza pero no tiene una vulnerabilidad que permita que esta se materialice, el riesgo es menor que si existe.

Realizaremos un análisis de las salvaguardas o medidas de seguridad ya implantadas.

Finalmente se realiza el estudio del riesgo y el impacto de todas las variables sobre los diferentes activos. Obtendremos los resultados del análisis de riesgos y se establecerá el nivel de riesgo de la compañia.

Todo debe estar perfectamente documentado para justificar las acciones a desarrollar para el nivel de seguridad que la compañía quiere alcanzar.

Existen multitud de metodologías y herramientas para facilitar la elaboración de forma sistemática. Así los sucesivos análisis serán comparables y la información reutilizable.
[ Realizamos el análisis cada cierto tiempo con la misma metodología]
METODOLOGÍAS

Existen multitud de metodologías para gestión del riesgo de la información, por ejemplo:

  • Magerit 
  • ISO/IEC 27005
  • Octave
  • NIST SP 800-30


En futuras entradas iremos viendo Magerit: Metodología de Analisis y Gestión de Riesgos de los Sistemas de Información. Es una metodología para conocer el riesgo al que está sometida la información y si está está segura o no. Es de carácter público, pertenece al Ministerio de Hacienda y Administraciones Públicas

LINKS CONSULTADOS

https://youtu.be/g7EPuzN5Awg
http://www.govertis.com/que-es-el-invectivos-parte-i
https://www.administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.WxL4kGMzbDc
http://slideplayer.es/slide/1644740/6/images/7/Metodolog%C3%ADa+MAGERIT+Riesgo+Agenda+Amenazas+Valor+Impacto+Frecuencias.jpg
http://metodologiasderiesgo.blogspot.com/

SaluDOS

No hay comentarios:

Publicar un comentario