Tras ver brevemente en la anterior entrada la fase de Planificación del proyecto, pasaremos en esta a tratar la parte de Análisis de riesgos y Gestión de riesgos.
2. Análisis de riesgos
El proceso principal de un proyecto de análisis y gestión de riesgos es el propio análisis de riesgos. Este a su vez se divide en 4 bloques: caracterización de activos, caracterización de amenazas, caracterización de salvaguardas y estimación del estado del riesgo.
2.1 Caracterización de activos
La primera etapa del análisis de riesgos es la realización de un inventario de activos, entendiendo por activo según MAGERIT: los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. Dicho de otro modo, los activos críticos están formados por todos los activos que se consideran de importancia para el negocio de la organización. Obviamente, esto comprende tantos activos de proceso de datos (hardware), ubicaciones físicas, activos de información (datos), imagen corporativa, etc. Es importante identificar la persona o el cargo responsable de cada activo.
La segunda etapa del análisis de riesgos dentro de la gestión de activos supone establecer las dependencias entre los distintos activos de un modo jerarquizado, evaluando el grado de vinculación entre activos y en función de los parámetros disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad (DICAT).
La dependencia entre activos supone que en el caso de que una amenaza que afecte a un activo del que dependa otro activo superior, tendrá impacto directo sobre el activo superior. Para llevar a cabo la definición de dependencias la metodología empleada propone una estructura de 5 capas, las cuales se identifican a continuación empezando por la inferior:
2. Sistema de información: hardware, software, comunicaciones y soportes.
3. Información: Datos.
4. Funciones de la organización: Servicios finales.
5. Otros activos: Imagen, know how, etc.
Respecto a la valoración de los activos, ésta debe realizarse en base al valor del impacto que una amenaza puede ocasionar sobre dicho activo sobre el negocio. En cuanto a dependencias los activos de las capas superiores serán los únicos que deben ser valorados, es decir los servicios finales y los datos, dado que los activos inferiores quedan valorados en base a las dependencias establecidas. Dicha valoración se debe realizar en cuanto a las dimensiones DICAT de la seguridad. Para estar alineado con lo establecido en el ENS se aconseja emplear la escala de valoración BAJO, MEDIO y ALTO. La valoración se realiza de acuerdo con los criterios definidos en el ENS, siendo recomendable el uso de la guía definida por el CCN–STIC – 803 Valoración de los sistemas.
2.2 Caracterización de amenazas
Una vez finalizada la parte de activos, se debe en primer lugar identificar las amenazas que afectan a los activos, que únicamente se aplicarán sobre los activos que estén debajo del nivel de la capa de datos o inferior. En el documento de catálogo de MAGERIT se especifican una serie de amenazas y la tipología de activos que se ven afectados por cada amenaza. Una vez identificadas las amenazas, se debe establecer la valoración de las amenazas, mediante los siguientes dos parámetros:
- Frecuencia: tiempo de materialización de una amenaza.
- Degradación: impacto que tiene la materialización de la amenaza en el activo, aplicable a las 5 dimensiones de la seguridad.
2.3 Caracterización de salvaguardas
Para poder obtener el nivel de riesgo al que la entidad actualmente está sometida, es necesario tener en cuenta en el análisis de riesgos las salvaguardas implantados en la entidad. Estas salvaguardas afectan del siguiente modo al riesgo:
- Reduciendo la frecuencia de las amenazas: medidas preventivas para limitar la materialización de la amenaza.
- Limitando el impacto: medidas correctoras y en menor medida detectivas, las cuales mitigan el impacto ante la materialización de la amenaza o lo que es lo mismo, disminuyen el factor de degradación de valor.
Respecto a las salvaguardas aplicables el catálogo de MAGERIT en su punto 6 contempla un listado de salvaguardas. No obstante es recomendable emplear la medidas de seguridad recogidas en el ANEXO II del ENS como catalogo de salvaguardas, siendo además necesario identificar el grado de implantación de las mismas, ya sea mediante un modelo de madurez basado en el CMMI o una escala como la propuesta por el CCN (nulo, bajo, alto, completo).
2.4 Estimación del estado del riesgo
El riesgo residual supone el riesgo real al que la entidad está expuesta en el momento de la realización del análisis de riesgo. Es el riesgo sobre el que se deben establecer criterios de aceptación de riesgos y a partir del cual se ha de definir un plan de tratamiento de riesgos para mitigar los riesgos críticos para la entidad. El cálculo del riesgo residual se realiza de acuerdo con el libro de técnicas de MAGERIT:
riesgo_residual = F(impacto_residual, frecuencia_residual)
El riesgo residual acumulado se calcula sobre el impacto residual acumulado.
El riesgo residual repercutido se calcula sobre el impacto residual repercutido.
De un modo gráfico el proceso de obtención del riesgo residual se corresponde con el siguiente diagrama:
Obteniendo los riesgos residuales podremos identificar las principales amenazas a las que se encuentran expuestos los activos y que pueden tener un mayor impacto en los principales servicios ofrecidos o en la información en caso de materializarse. Disponer de una visión clara de las mismas nos permite enfocar de un modo adecuado los recursos disponibles para gestionar la seguridad de la información.
3. Gestión de riesgos
La gestión de riesgos supone la fase final en la que se deberán presentar los resultados del análisis de riesgos a Dirección y establecer el nivel de riesgos aceptable para la entidad. Una vez esta definido este nivel de riesgo, se debe definir un documento (llámese plan de tratamiento de riesgos, plan de seguridad, etc.) en el que se recojan las salvaguardas y medidas que se van a implantar para minimizar los riesgos que se encuentran por encima del umbral aceptado.
En cualquier caso es aconsejable que este plan recoja como mínimo: una descripción de la medida a implantar, la identificación de la persona responsable de acometerla, una asignación adecuada de recursos y una planificación de la fecha para la implantación efectiva de la medida. Establecido el plan es importante llevar un seguimiento del mismo para comprobar que los hitos marcados se están cumpliendo de acuerdo con la planificación establecida y para la verificación en posteriores iteraciones del análisis de riesgos de que se alcanzan los niveles de riesgos adecuados.
Así pues a través de este y el anterior post hemos intentado ofrecer a nuestros lectores una visión global de lo que implica el proceso de análisis de riesgos de acuerdo con MAGERIT, enfocado a los requisitos establecidos en el ENS. En posteriores entradas y siguiendo en la línea del análisis de riesgos, le ofreceremos una breve explicación sobre la herramienta Procedimiento Informático Lógico de Análisis de Riesgos, PILAR para los amigos.