David Bohm

Hay dos frases que definen mi manera de pensar:
Realmente no hemos prestado mucha atención al pensamiento como un proceso; hemos participado en pensamientos, pero sólo hemos prestado atención al contenido, no al proceso.
La capacidad de percibir o pensar de manera diferente es más importante que el conocimiento adquirido.
Ambas son de David Bohm.

domingo, 3 de junio de 2018

Introducción a Magerit

Hay que tener en cuenta que las organizaciones tiran el dinero gastando millones de euros en firewalls y dispositivos de seguridad sin cubrir los eslabones mas débiles de la seguridad. El mas débil es el usuario final y hay que concienciarlo.

La información es un activo esencial y decisivo para la viabilidad de una compañía. Como la información está cada vez mas interconectada, se encuentra expuesta a nuevas amenazas y vulnerabilidades.

Como objetivo podría estar la implementación de un conjunto adecuado de políticas, procesos, procedimientos, controles, hardware y software. Sobre todo otro objetivo importante podría ser medir el comportamiento ético de las personas que trabajan en la organización. Los objetivos generales de Magerit serían:

  • Concienciar a los responsables de las organizaciones de la existencia de riesos y la necesidad de gestionarlos.
  • Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicación.
  • Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control
  • Preparar a la organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.

La gestión de riesgos es una parte fundamental para tener un buen gobierno de la compañía y además ayuda a tomar medidas de seguridad que sustenten con seguridad los usuarios de los servicios ofrecidos.

¿Cómo identificar los riesgos que afecten a la seguridad de la información? Mediante el análisis y gestión de riesgos.

Antes de iniciar con el análisis es necesario conocer a la empresa, realizar visitas y entrevistas, para tener un panorama claro del entorno que se va a evaluar. Las técnicas y herramientas que se utilizan previamente son:
  • Entrevista a directores, responsables y usuarios.
  • Encuestas dirigidas a todos los usuarios de la organización.
  • Observación de todos los actores y equipos presentes en el tratamiento de la información
  • Revisión de documentos
  • Checklist para toda la infraestructura a evaluar de la organización.
Se podría decir que con estas 5 técnicas, podemos tener un conjunto de información para empezar a trabajar, está claro que previamente hay que hacer un ejercicio y análisis de la organización y como realiza el tratamiento de la información, para que las entrevistas o encuestas sean fructiferas.

Magerit es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración electrónica de España. La primera publicación fue en 1997 y actualmente se encuentra en su versión 3. Esta metodología marca diferentes actividades enmarcadas a los activos que una organización posee para el tratamiento de la información.

Cuenta con tres libros de apoyo:

Además esta metodología está alineada con la normativa ISO 27002:2013 e incluye una herramienta llamada PILAR que ofrece asistentes y plantillas para facilitar el proceso. Permite hacer un análisis de riesgos sobre las dimensiones de valoración como son: Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad.

Esta metodología tiene 6 fases, veamos cuales son porque tiene mucho sentido hacerlo en este orden:
  • 1) ACTIVOS. Determinación de Activos. Es imprescindible tener un inventario actualizado.
    • Hay que agruparlos según funcionalidad: Servicios, Personal, Infraestructura, Conectividad, etc. Se va a determinar que no todos son de la misma "especie".
    • Realizar un inventario
    • Plano de la topología de la red para determinar la ubicación de los activos.
  • 2) DIMENSIONES. De un activo puede interesar calibrar diferentes dimensiones.
    • Dimensiones:
      • Integridad
      • Confidencialidad
      • Autenticidad
      • Trazabilidad
      • Disponibilidad
    • Estableceremos para cada activo unas dimensiones a calibrar.
  • 3) VALORACIÓN
    • Puede ser cuantitativa: Cantidad numérica.
    • Puede ser cualitativa: Escala de niveles.
    • Pueden ser valoraciones homogeneas o relativas.
    • Como ejemplo podríamos definir esta escala:
      • Valor Alto (A). Valor numérico 3. Criterio: Daño grave a la organización.
        • Ejemplo: Base de datos administrativa
      • Valor Medio (M). Valor numérico 2. Criterio: Daño importante a la organización.
        • Sistema administrativo o infraestructura de comunicaciones
      • Valor Bajo (B). Valor numérico 1. Criterio: Daño menor a la organización.
        • Servidor local y PCs
    • Ejemplos
      • Activos aplicaciones: Sistemas operativos, software de ofimática, software de desarrollo, navegadores, clientes de correo, software de control remoto, antivirus, SQL Server, IIS o el software de backup. Quizás en esta categoría serían mas criticos aquellos aplicativos que son el core de la organización, por ejemplo el software de ofimática o el gestor documental sobre el que se apoya un departamento concreto.
      • Activos equipos: Servidores, cámaras de videovigilancia, servidor antivirus, servidores linux, puntos de acceso wifi, teléfonos, PCs, switches, servidores de base de datos, servidores frontales, servidores en DMZ, servidores AD y AD FS, etc. En esta categoría los mas críticos serían por ejemplo el servidor de base de datos, ya que de el dependen las aplicaciones de gestión y el servidor de antivirus por ejemplo ya que es mu importante evitar propagar un virus por la red. Quizás otro ejemplo serían los frontales de sharepoint de un gestor documental, sin el acceso a estos frontales no se podría trabajar.
      • Activos servicios internos: Bases de datos, servicio de antivirus, servicio web, correo electrónico. Quizás destacaríamos los servicios de base de datos y antivirus tal y como se ha mencionado anteriormente, de ellos dependería la disponibilidad y estabilidad del sistema de información.
    • Identificamos además dependencias.
    • Magerit permite ciertas ponderaciones según funcionalidad o importancia.
  • 4) AMENAZAS. Determinar las amenazas que pueden afectar a cada activo identificado.
    • Las posibles amenazas se obtienen del catálogo de elementos que nos ofrece la metodología. Se definen unas categorías:
      • Desastres naturales. Ejemplos
        • Inundación
        • Corte eléctrico por tormenta
        • Nieve
      • De origen industrial o el entorno en el que se encuentra el activo. Ejemplos:
        • Fuga de agua en una tubería
        • Temperaturas o humedades por maquinaría cercana.
      • Errores y fallos no intencionados. Defectos en aplicaciones o causadas por las personas de forma accidental. Ejemplos:
        • Errores de usuarios
        • Errores del administrador
        • Escaeps y fugas de información no itencionados
      • Ataques intencionados. Causadas por las personas de forma deliberada. Ejemplos:
        • Abuso de privilegios
        • Acceso no autorizado
        • Modificación deliberada de la información
    • Se realiza una evaluación de amenazas basada en al frecuencia de materialización de la amenaza para lo cual definiriamos la frecuencia como: Posibilidad de que ocurra en función de la cantidad de veces que se puede materializar dicha amenaza en un año. Se utiliza una escala de este estilo:
      • 0,1 - una vez cada 10 años
      • 1 - todos los años
      • 10 - todos los meses
      • 100 - todos los días
    • Además tendremos que tener en cuenta la degradación que sufra el activo ante una amenaza. Para cada tipo de equipamiento se distingue una serie de averías, errores y eventos que vamos a valorar.
    • Cada uno afectará a una dimensión concreta a controlar en los activos.
  • 5) IMPACTO Y SALVAGUARDAS. Se miden los impactos y riesos a que estarían expuestos los activos si no se protegieran en absoluto.
    • Impacto: El análisis de impacto nos indica que las consecuencias de la materialización de una amenaza puede ser críticas para una serie de activos, por ejemplo SQL Server o el backup.
    • En la estimación de Impactos de las amenazas sobre los activos identificamos las vulnerabilidades críticas.
      • Hay que determinar el grado de riesgo al que está expuesto cada activo.
      • Se colorean mediante colores diferenciando los niveles de criticidad.
      • Hay que identificar el grado de madurez de cada activo y por lo tanto 
    • Se muestra con una escala de colores según un valor:
      • 5. Crítico. Rojo
      • 4. Muy alto. Rosado
      • 3. Alto. Amarillo
      • 2. Medio. Azul
      • 1. Bajo. Verde
      • 0. Despreciable
      • OFF. el activo o uno del que depende está marcado como no disponible.
    • Este código de colores facilita mucho visualmente la identificación de salvaguardas que van a ser prioritarias.
    • Observaremos que los riesgos son mas críticos para determinados activos como puedan ser los que estén relacionados con el backup o la base de datos o cierto software importante.
    • Determinación de los criterios de aceptación del riesgo. Tenemos que conocer el riesgo residual que pueda quedar en caso de explotación de una vulnerabilidad.
    • Determinación de las medidas de seguridad necesarias o salvaguardas.
      • Calculamos que activos están mas expuestos o cuales tienen mayor importancia
      • Se calcula el riesgo potencial y el acumulado
      • Se calculan riesgos sin salvaguardas en una primera fase
      • Después aplicando las salvaguardas se calcula el riesgo final obtenido.
Utilizando la herramienta Pilar podemos gestionar todas estas fases. Conforme vayamos realizando los análisis y vayamos aplicando las contramedidas, se va observando como cambian los riesgos asociados a cada activo crítico.

Finalmente se calcula una madurez de los controles sin y con salvaguarda y se comparan los resultados finales. Habitualmente Magerit facilita realizar el estudio y el análisis de riesgos, garantizando la seguridad de los activos que intervienen en el tratamiento de la información.

Permite además mejorar la madurez de los sistemas y las políticas de seguridad. Si siempre realizamos la gestión de riesgos periódicamente con la misma metodología, podremos comparar los resultados obtenidos.

LINKS CONSULTADOS

https://youtu.be/W95lFy7XCJc
https://youtu.be/_nvctgOUBEA
https://youtu.be/Bpn5dggxt68
https://youtu.be/JF0RIYmH6No
https://www.administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.WxL4kGMzbDc
https://www.administracionelectronica.gob.es/pae_Home/dam/jcr:fb373672-f804-4d05-8567-2d44b3020387/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf
https://www.administracionelectronica.gob.es/pae_Home/dam/jcr:5fbe15c3-c797-46a6-acd8-51311f4c2d29/2012_Magerit_v3_libro2_catalogo-de-elementos_es_NIPO_630-12-171-8.pdf
https://www.administracionelectronica.gob.es/pae_Home/dam/jcr:130c633a-ee11-4e17-9cec-1082ceeac38c/2012_Magerit_v3_libro3_guia-de-tecnicas_es_NIPO_630-12-171-8.pdf

SaluDOS
Publicado por en
Etiquetas: , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)