viernes, 21 de febrero de 2014

Gestión del Riesgo

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la entidad buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.


Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información.

Una de las técnicas para evaluar en una entidad su nivel de Seguridad es realizar un análisis de Riesgos. El estudio puede incluir la visión de negocio, si se realiza el estudio después de la realización del Análisis de Impacto sobre el Negocio BIA (Business Impact Analysis).

La realización del análisis de riesgos proporciona a las organizaciones una visión de la situación en cuanto al nivel de protección de los sistemas de información. Por este motivo, se constituye como uno de los pilares fundamentales a la hora de conocer de manera de detallada la infraestructura y el funcionamiento interno.

Con el análisis de riesgo sobre los sistemas de la organización se conseguirán los siguientes objetivos:
  • Identificar y valorar los procesos más críticos de negocio, con el propósito de identificar el nivel de protección adecuado.
  • Determinar i evaluar las amenazas existentes, determinando su grado de efectividad para hacer frente a los riesgos existentes.
  • Calcular el nivel de riesgo, existente, de forma que la organización conozca con detalle la probabilidad de materialización de cada una de las amenazas y el impacto que estas pueden ocasionar.

Para efectuar un análisis de riesgos con garantías, entre otras, se puede seleccionar la metodología MAGERIT, elaborada por el ‘Consejo Superior de Administración Electrónica’.

MAGERIT es el acrónimo de ‘Metodología de Análisis y Gestión del Riesgo de los Sistemas de Información’, y nace para minimizar los riesgo asociados al uso de los sistemas informáticos y telemáticos, garantizando su autenticidad, confidencialidad, integridad y disponibilidad de dichos sistemas y generando así la confianza en el usuario de los mismos.

A nivel conceptual, MAGERIT se basa en la evaluación y relación lógica de los siguientes conceptos:

Tal y como muestra el esquema, todo el análisis gira entorno de los conceptos:
  • Activo: elemento que tiene un valor para la organización
  • Amenaza: acontecimiento que supone un impacto negativo sobre el activo y
  • Salvaguarda: medida implantada para proteger el propio activo

Los objetivos principales son:
  1. Determinar los activos relevantes para la organización, su interrelación y su valor, en el sentido de qué perjuicio supondría su degradación.
  2. Determinar a qué amenazas están expuestos dichos activos
  3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.
  4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.
  5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectación de materialización de la amenaza).

Llegando finalmente a un concepto MEDIBLE que es el riesgo al que la entidad queda expuesta, es decir a una vulnerabilidad provocada por una amenazada.

Conviene aclarar la existencia de dos variables de riesgo diferenciadas. La primera de ellas se acostumbra a nombrar RIESGO POTENCIAL, es decir el riesgo al que estaría expuesta la organización sino existiera ningún tipo de salvaguarda implantada. Todo y ser un valor de riesgo ‘ficticio’ es un valor muy práctico en el momento de implementar nuevas salvaguardas en la entidad, ya que permite simular la evolución del nivel de riesgo a medida que se introducen nuevas medidas de seguridad. En cambio, el RIESGO RESIDUAL se ha de considerar como el nivel de riesgo actual, y por tanto la base sobre la cual se estructuraran los planes de continuidad de los servicios prestados.

Existen herramientas, como el software EAR/PILAR, diseñadas para gestionar de manera eficiente los riesgos según la metodología expuesta.   


Con esta información, juntamente con los requisitos de las normativas aplicables, la organización/entidad podrá seleccionar y priorizar aquellas medidas técnicas que permitan mejorar de manera eficiente el nivel de seguridad de sus sistemas de información. 

lunes, 3 de febrero de 2014

Código Penal (II): Elaboración de un Modelo de Prevención

Es fundamental para cumplir con los requerimientos normativos y legales y potenciar el nivel de control interno exigido, lo cual supone un mayor grado de concienciación por parte de la compañía en el impacto que supone la incorporación del área de seguridad TI como agente de articulación entre los procesos de negocio y las TIC.

Ahora bien, pero ¿Qué tipo de controles o medidas pueden ser implementados?  

Existen múltiples controles que desde el área de seguridad TI pueden ser diseñados, desarrollados y/o evaluados para responder a cada delito. A continuación se mencionan algunos de los controles a tener en cuenta:

1. Descubrimiento y revelación  de secretos:
  •  Controles técnicos:
    • Registro “centralizado” de alertas de auditoría.
    • Acceso remoto a los sistemas informáticos (clientes, proveedores, etc).
    • Antivirus, malware y software malicioso.
    • Filtrado o detección de uso no autorizado de los recursos TIC.
    • Auditorías técnicas de sistemas de información.
    • Monitorización de usuarios.
  • Controles organizativos:
    • Revisión técnica de contratos con terceros.
    • Políticas de seguridad de la información.
    • Políticas de uso de los recursos TIC.
    • Formación y concienciación de empleados.
    • Protocolos de actuación de accesos no autorizados.
    • Procedimientos de seguridad para proveedores y personal externo.


2. Daños informáticos:
  • Controles técnicos:
    • Revisión de autorizaciones y privilegios de los usuarios.
    • Revisión de servicios, protocolos y puertos de comunicación.
    • Auditorías de seguridad de la red interna y externa.
  •  Controles organizativos:
    • Matriz de autorizaciones de usuarios.


3. Acceso no autorizado:
  • Controles técnicos:
    • Gestión de identidades.
    • Control de acceso basado en Role-Based Access Control.
    • Validaciones automáticas en transacciones críticas.
    • Medidas de autenticación robustas.
    • Restricción de accesos a transacciones críticas (por ejemplo modificación de márgenes de tolerancia por encima del límite).
    • Restricción del acceso a las funcionalidades de administración y configuración del sistema.
  •  Controles organizativos:
    • Documentación de las matriz de roles y responsabilidades de usuarios, directivos, proveedores.
    • Documentación de la segregación de funciones.
    • Documentación de las transacciones incompatibles.
    • Definición de key users.
    • Definición de flujos de autorización para el control de acceso (alta/baja de usuarios y modificación de accesos).
    • Revisión de accesos de usuarios.

Entre las novedades y acciones de la nueva reforma del código penal está la obligatoriedad por parte de las empresas de definir un Modelo o Plan de Prevención del Delito. La implantación de este modelo se estima para el año 2015, por lo que las empresas tendrán un periodo de tiempo para evaluar los riesgos a los que el negocio está expuesto y en base a los riesgos deberán desarrollar e implementar, entre otros:

  • Protocolos de actuación por ejemplo protocolos de evidencias, o de  acceso a los documentos de un trabajador, etc.
  • Medidas de control
  • Pruebas de las medidas de control
  • Controles de proveedores
  • Repositorio de evidencias
  • Formación de los empleados
En resumen las áreas claves para elaborar el Modelo de Prevención son: