miércoles, 12 de febrero de 2014

METODOLOGÍAS DE EVALUACIÓN DE RIESGOS

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, las vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

 Las metodologías de análisis de riesgo pueden  utilizar diferentes enfoques, pero en esencia suelen dividirse en dos tipos fundamentales:

·     Cuantitativos
·     cualitativos.


Algunas de las metodologías más utilizadas son las siguientes:
  • MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información”:  Elaborada por el Consejo Superior de Administración Electrónica
  • CRAMM 6: Es   el   método   de   análisis   y   control   de   riesgos   del   Gobierno   Británico   (CCTA   Risk   Analysis   and Management  Method).  CRAMM  es  un método  estructurado   y  coherente   para  la  identificación  y la evaluación de riesgos en redes y sistemas de información.
  • AOCTAVE OCTAVE 6 es una  metodología estadounidense desarrollada por el Centro  de  Coordinación CERT del Instituto  de  Ingeniería  De Software de la Universidad  Carnegie­Mellon.
  • InfoSecure 15 metodología y herramientas de análisis de riesgo.
  • COBIT 16  Es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).  Es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.
  • COBRA:  “Consultivo, Objetivo Bi-funcional y análisis de riesgos.” COBRA fue creado alrededor del año 1991 por la consultora “C&A Systems Security Ltd”., con sede en el Reino Unido.
  • Citicus One: software comercial de Citicus, implementa el método FIRM del Foro de Seguridad de la Información;
  • ISO TR 13335: fue el precursor de la ISO/IEC 27005;
  • NIST SP 800-39 “Gestión de Riesgos de los Sistemas de Información, una perspectiva organizacional”;
  • NIST SP 800-30: Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información, es gratuito;
  • Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF (Club de la Sécurité de l'Information Français);
  • AS/NZS: Norma de Gestión de Riesgos publicada conjuntamente por Australia y Nueva Zelanda y ampliamente utilizada en todo el mundo.
  • Guía de evaluación y gestión del riesgo para Pymes.
  • EAR/Pilar (Entorno de análisis de riesgos). Herramienta en español, basada en Magerit, no gratuita. Existe una versión Basic para Pymes.
  • GxSGSI. Software de análisis de riesgos, en español, de la empresa SIGEA.
  • ISO/IEC 27005 es el estándar ISO de la serie 27000 dedicado a la gestión de riesgos de seguridad de la información.
  • BS 7799-3:2006 es el estándar británico de gestión del riesgo de la seguridad de la información de British Standards Institution.
  • “Risk management guide for information technology systems”. Publicada por NIST (National Institute of Standards and Technology) de EEUU.
  • AS/NZS 4360:2004 es el estándar australiano de gestión de riesgos de la seguridad de la información.
  • EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). Metodología de gestión de los riesgos de seguridad de sistemas de información desarrollada por la “Direction Central de la Sécurité des Systèmes d’Information” francesa. Disponible en español. Está acompañada por un software multilingüe -francés, inglés, alemán, español- gratuito para varias plataformas -Windows, Linux, Solaris-.
  • Estándar de análisis de riesgos del “Bundesamt für Sicherheit in der Informationstechnik” de Alemania. GSTOOL es la correspondiente herramienta.
  • RiskWatch es un software no gratuito de realización de análisis de riesgos.
  • IRAM (Information Risk Analysis Methodologies) es una metodología de análisis de riesgos del Information Security Forum sólo disponible para sus miembros.
  • FIRM (Fundamental Information Risk Management) es una metodología de gestión de riesgos del Information Security Forum.
  • Guía en inglés de evaluación de riesgos de la Policía de Canadá. También versión en francés.
  • Introducción a la metodología FAIR (Factor Analysis of Information Risk).
  • Estándar de gestión del riesgo de IRM, AIRMIC y ALARM (en español).
  • Security Risk Management Guide de Microsoft
  • @RISK, de Palisade, es un software general de análisis de riesgos basado en la simulación de Monte Carlo. Existe versión en español y tiene coste.
  • RA2 – Art of Risk. Software de análisis de riesgos y soporte de SGSI. No es gratuito.
  • Ejemplo de análisis de impacto en el negocio realizado por Gartner.
  • Whitepaper de SANS de alineación de gestión de riesgos con BS7799-3.
  • Whitepaper de SANS sobre gestión del riesgo.
  • Introducción al análisis y modelado de amenazas.
  • Guía de evaluación de riesgos de seguridad de ASIS.
  • Directrices para la gestión del riesgo por uso de aplicaciones de software libre.
  • CERO es una aplicación web que le permite tener una visión global de los riesgos a los que se expone su compañía, Operativos y de LA/FT.

 A continuación se presenta un breve resumen del análisis evaluación y gestión de riesgos de acuerdo a la metodología ISO/IEC 27005:


ISO/IEC 27005
1. Análisis del Riesgo

Para la estimación del riesgo, esta metodología  recolecta datos de entrada Determinados por los posibles sucesos que puedan causar una pérdida potencial, identificando el cómo, dónde y por qué podría ocurrir.

Se desarrollan las siguientes actividades, las cuales pueden ejecutarse en orden diverso:

  • Identificación de los activos:   Se debe realizar a nivel de detalle adecuado que proporcione información suficiente para la valoración del riesgo. Se debería identificar al propietario de cada activo, para asignarle la responsabilidad y rendición de cuentas sobre éste. El propietario del activo puede no tener derechos de propiedad sobre el activo, pero tiene la responsabilidad de su producción, desarrollo, mantenimiento, uso y seguridad, según corresponda.
  • Identificación de las amenazas: Considerando que una amenaza tiene el potencial de causar daños a los activos tales como información, procesos y sistemas y, por lo tanto, a las organizaciones, se hace necesario identificar cada una de ellas indistintamente de su origen bien sea natural o humano. La información sobre las amenazas  se obtiene de los propietarios de los activos, de los usuarios, de la revisión de incidentes, y de otras fuentes, incluidos los catálogos de amenazas externas.
  • Identificación de los controles existentes: se deberían identificar los controles existentes y los planificados  para evitar trabajo o costos innecesarios, por ejemplo en la duplicación de los controles. De igual manera deben verificarse los controles existentes para garantizar su correcto funcionamiento. Los datos de entrada se obtienen de las siguientes actividades:  
    • Revisión de la documentación de los controles, planes para la implementación del              tratamiento del riesgo.
    • Verificación con las personas responsables de la seguridad de la información.
    • Efectuar  una  revisión en el sitio de  los controles físicos, comparando  aquellos implementados con la lista de los controles que deberían estar, y verificando aquellos implementados con respecto a si funcionan correctamente y de manera eficaz.
    • Revisión de los resultados de las auditorías internas
  • Identificación de las vulnerabilidades: Se deberían identificar las vulnerabilidades que pueden ser explotadas por las amenazas para causar daños a los activos o la organización. Se pueden identificar las vulnerabilidades mediante el análisis de la organización, procesos y procedimientos, rutinas de gestión, personal, ambiente físico, configuración del sistema de información, hardware, software o equipo de comunicaciones, dependencia de partes externas.
  • Identificación de las consecuencias: Se deberían identificar las consecuencias que pueden tener las pérdidas de confidencialidad (control de acceso a personas no autorizadas), integridad (modificaciones no autorizadas) y disponibilidad de los activos.
Se recomienda identificar las consecuencias en término de:

    • Tiempo de investigación y reparación
    • pérdida de tiempo (trabajo)
    • pérdida de oportunidad
    • salud y seguridad
    • costo financiero de las habilidades específicas para reparar el daño
    • imagen, reputación y buen nombre
  • Evaluación de las consecuencias: se debe  evaluar el impacto en el negocio de la organización que pueda resultar de incidentes posibles o reales en la seguridad de la información, teniendo en cuenta las consecuencias de una brecha en la seguridad de la información, por ejemplo la pérdida de confidencialidad, integridad o disponibilidad de los activos.
  • Evaluación de la probabilidad de incidentes: Se debe realizar una lista de los escenarios de incidentes pertinentes, que incluya la identificación de las amenazas, los activos afectados, las vulnerabilidades explotadas y las consecuencias para los activos y los procesos del negocio. Además, listas de todos los controles existentes y planificados, su eficacia, implementación y estado de utilización.
  • Nivel de estimación del riesgo: Se deberían estimar el nivel de riesgo para todos los escenarios de incidente pertinentes. Se pueden emplear diversas metodologías para la estimación del riesgo, las cuales pueden ser cuantitativas, cualitativas o una combinación de ellas:

 Estimación cualitativa: Utiliza una escala de atributos calificativos para describir la magnitud de las consecuencias potenciales (por ejemplo, alta, intermedia y baja) y   la probabilidad de que ocurran dichas consecuencias.

Estimación cuantitativa: Utiliza una escala con valores numéricos tanto para las consecuencias como para la probabilidad. En la mayoría de los casos, la estimación cuantitativa utiliza datos históricos sobre los incidentes.
2. Evaluación del Riesgo


La evaluación del riesgo utiliza la comprensión del riesgo que se obtiene mediante el análisis del riesgo para tomar decisiones sobre acciones futuras.

La evaluación de riesgos se realiza a menudo en más de una iteración, la primera es una evaluación de alto nivel para identificar los riesgos altos, mientras que las iteraciones posteriores detallan en el análisis de los riesgos principales y tolerables. Varios factores ayudan a seleccionar eventos con cierto grado de riesgo: probabilidad, consecuencias, ocurrencia, urgencia, maleabilidad, dependencia, proximidad, vulnerabilidades, amenazas, probabilidad, pérdidas o impacto.


3. Tratamiento del Riesgo

El propósito de definir una respuesta al riesgo es llevar el riesgo en nivel que se pueda tolerar, es decir, el riesgo residual debe ser dentro de los límites de tolerancia al riesgo. El riesgo puede ser manejado de acuerdo cuatro estrategias principales (o una combinación de ellos):
  • Evitar el riesgo aislando las actividades que dan lugar al riesgo.
  • Mitigar el riesgo adoptando medidas que detectan y reducen el impacto del riesgo.
  • Transferir riesgos a otras áreas menos susceptibles o a otras entidades con más experiencia (outsourcing).
  • Aceptar riesgos que se corren deliberadamente y que no se pueden evitar, sin embargo es necesario identificarlos, documentarlos y medirlos.


Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)