ANALISIS DE RIESGOS DE ACTIVOS DE INFORMACION ACTIVO DE INFORMACION En el contexto de ISO 27001/2005, un activo de informacin es: algo a lo que una

organizacin directamente le asigna un valor y, por lo tanto, la organizacin debe proteger.

Activo: cualquier elemento de valor para una organizacin, como componentes de hardware y software, datos, personas y documentacin.

EVALUACION DE RIESGOS Con qu probabilidad puede ocurrir un desastre o una interrupcin severa de mis servicios o actividades crticas? El alcance del proceso de anlisis de riesgos permite a una organizacin tener presente los factores y la probabilidad que pueden desencadenar una interrupcin de sus actividades crticas. El anlisis de riesgos consiste en identificar las amenazas sobre estos activos y su probabilidad de ocurrencia, las vulnerabilidades asociadas a cada activo y el impacto que las citadas amenazas pueden provocar sobre la disponibilidad de los mismos. Amenazas Externalidades al activo de informacin que son capaces de explotar vulnerabilidades. Se entiende por amenaza una condicin del entorno del sistema de informacin (persona, mquina, suceso o idea) que, dada una oportunidad, podra dar lugar a que se produjese una violacin de la seguridad (confidencialidad, integridad, disponibilidad o uso legtimo). Amenazas contra la integridad: Modificacin indebida de datos (fallo de permisos) Falta de integridad (borrado o modificacin) de datos Imposibilidad de identificar fuente de datos Fallo en la integridad de la base de datos (corrupcin) Modificacin en archivos de sistema (configuracines, logs) Destruccin o corrupcin de backups Virus

Amenazas contra la confidencialidad: Accesos no autorizados a informacin confidencial Accesos pblicos a informacin confidencial por error Mala configuracin o descuido Suplantacin de Usuarios Acceso a servicios confidenciales (correo, BBDD, servidores de acceso) Instalacin de caballos de troya

Acceso fsico a material restringido

Amenazas contra la disponibilidad: Cada de servicios externos. (DoS) Agotamiento de recursos, ancho de banda, disco, socket (DoS o Mala configuracin) Fallo de infraestructuras de red, por ej: routing, switches, otros. (DoS, fallo, mala configuracin o sabotaje) Destruccin de configuraciones o servicios. (DoS o Sabotaje) Acceso fsico a infraestructura bsica. (Sabotaje)

Vulnerabilidades 1. Las vulnerabilidades son de naturaleza variada, pero intrsicas al activo de informacin. Por ej.: Falta de conocimiento del usuario Tecnologa inadecuadamente probada o testeada Trasmisin por redes pblicas Antivirus no actualizado 2. Por cada amenaza se identifican las vulnerabilidades que pueden provocar que la amenaza se materialice y se convierta en un riesgo para los activos de la informacin de la organizacin. 3. Calcular la probabilidad de explotacin de las vulnerabilidades sobre cada amenaza. Interrelaciones entre las variables que componen el riesgo (activo, amenaza, vulnerabilidad)

Si bien existen diversas metodologas de anlisis de riesgos (MAGERIT, OCTAVE), e incluso herramientas que ayudan a automatizar el proceso (EAR/PILAR), todas ellas siguen la siguiente secuencia de accin:

 Identificar activos: para cada una de las actividades crticas de la organizacin, es necesario identificar y valorar los activos involucrados. Identificar y evaluar las amenazas sobre los activos identificados previamente y su probabilidad de que sucedan. Aunque existen diversas tipologas de amenazas, algunos ejemplos de ellas son fuego, inundacin, fallo elctrico, absentismo laboral, huelgas, etc. Identificar y valorar las vulnerabilidades o debilidades asociadas a los activos, las cuales pueden ser explotadas por las amenazas. Valorar el impacto resultante de que una amenaza se aproveche de una vulnerabilidad del activo y provoque dao sobre el mismo. Calcular el riesgo como la probabilidad de que se produzca un impacto determinado en la organizacin. El proceso de anlisis de riesgos puede ser abordado de forma cualitativa, cuantitativa o incluso mezcla de ambos. En la siguiente tabla se describen los 2 tipos de anlisis de riesgos junto con las ventajas e inconvenientes asociados a los mismos. DESCRIPCION DE TIPOS DE ANALISIS DE RIESGOS

Para que la empresa se familiarice y comprenda de forma ms concreta el enfoque aplicado sobre los tipos de anlisis de riesgos descritos, se expone a continuacin un ejemplo de cada uno de ellos: Ejemplo de Anlisis de Riesgos Cualitativo Partiendo de que el Riesgo (R) es la Probabilidad (P) de que una amenaza explote una vulnerabilidad asociada a un activo: Riesgo (R)= Impacto (I) x Probabilidad (P) Donde: * Impacto (I)= f (criticidad del activo, gravedad de la vulnerabilidad). Posibles valores: alto, medio o bajo.

* Probabilidad (P)= f (frecuencia de la amenaza, facilidad de explotacin de la vulnerabilidad). Posibles valores: alto, medio o bajo. La empresa estima que existe una alta probabilidad (P) de que una inundacin (amenaza) inutilice la oficina (activo) situada en el stano del edificio (vulnerabilidad) y paralice sus actividades provocando un impacto (I) alto. En funcin de la siguiente matriz de evaluacin cualitativa:

* Riesgo (R)= Impacto (I) Alto x Probabilidad (P) Alta= Riesgo crtico Ejemplo de Anlisis de Riesgos Cuantitativo
Si se quiere calcular el dao o la prdida en trminos monetarios que la inundacin citada en el

ejemplo anterior puede provocar en la organizacin: Dao o prdida= Valor del activo () x Factor de Exposicin (%) x Probabilidad de Ocurrencia Donde: * La oficina de la organizacin, valorada en 100.000 , es el activo valorado. * El Factor de Exposicin es el porcentaje (%) del activo que se vera daado como consecuencia de la amenaza (inundacin). Si la organizacin considera que la inundacin daa la totalidad de la oficina, el factor de exposicin sera del 100% (si estima que solo se queda inutilizada la mitad de la oficina, el factor de exposicin sera del 50%). * La probabilidad de ocurrencia de la amenaza (inundacin) es calculada en funcin del nmero de veces que la amenaza puede ocurrir en un ao. Si se estima que una inundacin puede ocurrir una vez cada diez aos: Probabilidad de Ocurrencia= 1 vez / 10 aos= 0,1 veces/ao De esta forma el dao o la prdida que puede sufrir el activo se estima: Dao o prdida= 100.000 x 100% x 0,1 veces/ao= 10.000