La provisión de servicios TIC pasa por el correcto funcionamiento de una serie de activos, cada uno de ellos con su función específica. Si alguno de estos activos se ve comprometido por la materialización de una determinada amenaza, el propio servicio se verá afectado. Para determinar el nivel de riesgo real de una entidad hay que realizar un análisis de riesgo.
La primera actividad a realizar en un
análisis de riesgos es identificar cuáles son los activos que soportan los
sistemas de información de la organización.
Un activo es cualquier elemento que tenga
valor para la entidad, desde un PC concreto, a un recurso de red o una persona física
necesaria para el desarrollo de una actividad.
Con el objetivo de estructurar la información
de forma coherente, los activos han de estar clasificados en función de su
naturaleza, intentado usar un modelo por capas. Esto permitirá clasificar los
sistemas diferenciando la funcionalidad de los activos entre sí, y además facilitará
próximos pasos, como definir sus dependencias.
El análisis puede
empezar a estructurarse según necesidades específicas, los activos pueden ser
des del tipo proceso de negocio, pasando por el personal que trabaja y hasta
una ubicación física. Por ejemplo, en el siguiente grafico se representa cada
tipo de activo según su tipo y funcionalidad:
Se ha de desglosar el análisis bajando hasta
los niveles más básico de la estructura, es decir dentro de Sistemas de Información
en el apartado de Comunicaciones se debería profundizar mucho más, por ejemplo
separando los activos de hardware necesario para soportar el sistema de
comunicaciones, de los propios servicios de redes que puedan existir en la
entidad.
Con la creación de dichas dependencias el
cálculo del nivel de ruido tendrá en consideración que en el caso de
materializarse una amenaza sobre un determinado activo, todos los elementos que
dependan de él también sufrirán sus consecuencias.
Un ejemplo de dependencias de un proceso genérico
podría ser el siguiente:
De esta forma se introducen una a una todas
las dependencias entre los elementos que soportan los sistemas de información,
obteniendo como resultado una base de datos de configuración de tipo relacional
de los servicios TIC de la entidad.
A nivel conceptual es fácilmente apreciable que no todos los elementos son
igual de críticos. No supondrá el mismo impacto la indisponibilidad de un
servicio crítico para la actividad diaria que la de un entorno de pruebas, por
ejemplo.
La anterior lógica se aplica a todas las dimensiones de un mismo servicio. La
indisponibilidad temporal de un servicio puede no tener consecuencias graves, y
sin embargo, un escape de la información que se trata pudiera suponer un
impacto enorme para la organización.
Cuando se habla de valorar los activos, intuitivamente se piensa en el
coste de sustitución de un determinado elemento físico, pero esta es solo una
de las variables que se han de considerar cuando se han de valorar los activos
informáticos, y normalmente no acostumbra a ser más significativa. En este
sentido la valoración de activos trata de mostrar cual sería el impacto global
en una organización en caso de que alguna de las dimensiones de seguridad se
viera comprometida.
Utilizando estos criterios para valorar los
activos identificados, el resultado es una matriz con todos los servicios de la
organización y una valoración de estos para cada una de las dimensiones de
seguridad.
- D: Disponibilidad
- I: Integridad
- C: Confidencialidad
- A: Autenticidad
- T: Trazabilidad
Una vez identificados y
valorados los activos, el siguiente paso es identificar cuáles son las amenazas
que, es caso de materializarse, pudieran comprometer la seguridad.
Bajo este concepto está el análisis de las
particularidades de la organización, es decir, quienes pueden ser los posibles
atacantes y su interés, como trabajan los usuarios, cual es el entorno físico y
lógico donde se encuentran los sistemas, etc. Con esta información será posible
identificar como es de probable que una determinada amenaza acabe
materializándose sobre un servicio.
Algunos ejemplos
de amenazas que pueden afectar a un CPD
o componente electrónico son:
Una vez analizados todos estos aspectos es el
momento de analizar qué protecciones hay aplicadas de cara a reducir el riesgo potencial existente.
Estas medidas de protección son las
conocidas como salvaguardas.
En términos generales, las salvaguardas se caracterizan, además de por su
existencia, por su eficacia delante del riesgo que han de mitigar. De manera
ideal, la salvaguarda es 100% eficaz, ya que combina dos factores:
·
Des del punto de vista técnico:
ü Es técnicamente idónea para afrontar el
riesgo que protege.
ü Se utiliza siempre.
·
Des del punto de vista de
operación de salvaguarda:
ü Esta perfectamente desplegada, configurada
i mantenida.
ü Existen procedimientos de uso normal.
ü Los usuarios están formados y
concienciados
ü Existen controles de aviso para posibles
fallos.
Identificadas todas las salvaguardas que resultan de aplicación en función
del tipo de activos existentes, es el momento de valorar qué medidas de
protección se encuentran implementadas i
que nivel de madurez tienen.
Para realizar este último proceso de medidas de protección es recomendable
valorar los controles de la ISO 27002.
La norma incluye 114 controles divididos en 35 objetivos de control y en 14 dominios. Lo
que se pretende es obtener el nivel de madurez
de la organización con respecto a cada uno de los dominios de seguridad.
Entre ellos, por ejemplo, el de políticas de seguridad establecidas, o la
organización de la seguridad de la información en la compañía, la protección de
los recursos humanos, también sobre continuidad
de negocio o el cumplimiento normativo, entre
otros aspectos.
Una vez
analizados todos los puntos expuestos ya se puede extraer como conclusión el
valor de riesgo real al que la organización está expuesta. Este siempre es
mitigable con unas buenas estrategias de recuperación en caso de desastre.