miércoles, 28 de mayo de 2014

Análisis de Riesgo TIC


La provisión de servicios TIC pasa por el correcto funcionamiento de una serie de activos, cada uno de ellos con su función específica. Si alguno de estos activos se ve comprometido por la materialización de una determinada amenaza, el propio servicio se verá afectado. Para determinar el nivel de riesgo real de una entidad hay que realizar un análisis de riesgo.

La primera actividad a realizar en un análisis de riesgos es identificar cuáles son los activos que soportan los sistemas de información de la organización.


Un activo es cualquier elemento que tenga valor para la entidad, desde un PC concreto, a un recurso de red o una persona física necesaria para el desarrollo de una actividad.

Con el objetivo de estructurar la información de forma coherente, los activos han de estar clasificados en función de su naturaleza, intentado usar un modelo por capas. Esto permitirá clasificar los sistemas diferenciando la funcionalidad de los activos entre sí, y además facilitará próximos pasos, como definir sus dependencias.

El análisis puede empezar a estructurarse según necesidades específicas, los activos pueden ser des del tipo proceso de negocio, pasando por el personal que trabaja y hasta una ubicación física. Por ejemplo, en el siguiente grafico se representa cada tipo de activo según su tipo y funcionalidad:

Se ha de desglosar el análisis bajando hasta los niveles más básico de la estructura, es decir dentro de Sistemas de Información en el apartado de Comunicaciones se debería profundizar mucho más, por ejemplo separando los activos de hardware necesario para soportar el sistema de comunicaciones, de los propios servicios de redes que puedan existir en la entidad.

Con la creación de dichas dependencias el cálculo del nivel de ruido tendrá en consideración que en el caso de materializarse una amenaza sobre un determinado activo, todos los elementos que dependan de él también sufrirán sus consecuencias.

Un ejemplo de dependencias de un proceso genérico podría ser el siguiente:

De esta forma se introducen una a una todas las dependencias entre los elementos que soportan los sistemas de información, obteniendo como resultado una base de datos de configuración de tipo relacional de los servicios TIC de la entidad.

A nivel conceptual es fácilmente apreciable que no todos los elementos son igual de críticos. No supondrá el mismo impacto la indisponibilidad de un servicio crítico para la actividad diaria que la de un entorno de pruebas, por ejemplo.

La anterior lógica se aplica a todas las dimensiones de un mismo servicio. La indisponibilidad temporal de un servicio puede no tener consecuencias graves, y sin embargo, un escape de la información que se trata pudiera suponer un impacto enorme para la organización.

Cuando se habla de valorar los activos, intuitivamente se piensa en el coste de sustitución de un determinado elemento físico, pero esta es solo una de las variables que se han de considerar cuando se han de valorar los activos informáticos, y normalmente no acostumbra a ser más significativa. En este sentido la valoración de activos trata de mostrar cual sería el impacto global en una organización en caso de que alguna de las dimensiones de seguridad se viera comprometida. 

Un ejemplo sería, si un servicio automatizado no se encuentra disponible para la operativa diaria, en este caso se tendrá que valorar cual es el impacta económico que genera la paralización (tiempo de parada del personal, esfuerzo necesario para recuperar el tiempo perdido, posible pérdida de producto generada por la incapacidad logística, penalizaciones debidas a incumplimientos de compromisos contractuales…) pero también hay que medir aspectos intangibles, como por ejemplo los daños en la imagen de la organización. La suma de todas estas variables da como resultado la valoración del activo en cuestión.

Utilizando estos criterios para valorar los activos identificados, el resultado es una matriz con todos los servicios de la organización y una valoración de estos para cada una de las dimensiones de seguridad.
  • D: Disponibilidad
  • I: Integridad
  • C: Confidencialidad
  • A: Autenticidad
  • T: Trazabilidad

Una vez identificados y valorados los activos, el siguiente paso es identificar cuáles son las amenazas que, es caso de materializarse, pudieran comprometer la seguridad.

Bajo este concepto está el análisis de las particularidades de la organización, es decir, quienes pueden ser los posibles atacantes y su interés, como trabajan los usuarios, cual es el entorno físico y lógico donde se encuentran los sistemas, etc. Con esta información será posible identificar como es de probable que una determinada amenaza acabe materializándose sobre un servicio.

Algunos ejemplos de amenazas que pueden afectar a  un CPD o componente electrónico son:
Una vez analizados todos estos aspectos es el momento de analizar qué protecciones hay aplicadas de cara a reducir el riesgo potencial existente. Estas  medidas de protección son las conocidas como salvaguardas.
En términos generales, las salvaguardas se caracterizan, además de por su existencia, por su eficacia delante del riesgo que han de mitigar. De manera ideal, la salvaguarda es 100% eficaz, ya que combina dos factores:

·         Des del punto de vista técnico:
ü  Es técnicamente idónea para afrontar el riesgo que protege.
ü  Se utiliza siempre.

·         Des del punto de vista de operación de salvaguarda:
ü  Esta perfectamente desplegada, configurada i mantenida.
ü  Existen procedimientos de uso normal.
ü  Los usuarios están formados y concienciados
ü  Existen controles de aviso para posibles fallos.

Identificadas todas las salvaguardas que resultan de aplicación en función del tipo de activos existentes, es el momento de valorar qué medidas de protección se encuentran implementadas  i que nivel de madurez tienen.

Para realizar este último proceso de medidas de protección es recomendable valorar los controles de la ISO 27002.

La norma incluye 114 controles divididos en  35 objetivos de control y en 14 dominios. Lo que se pretende es obtener el nivel de madurez  de la organización con respecto a cada uno de los dominios de seguridad. Entre ellos, por ejemplo, el de políticas de seguridad establecidas, o la organización de la seguridad de la información en la compañía, la protección de los recursos humanos, también sobre  continuidad de negocio o el  cumplimiento normativo, entre otros aspectos.



Una vez analizados todos los puntos expuestos ya se puede extraer como conclusión el valor de riesgo real al que la organización está expuesta. Este siempre es mitigable con unas buenas estrategias de recuperación en caso de desastre.

No hay comentarios: