Proceso de Administración de Riesgos.

- Last Updated ()

Arquitectura de Procesos de Seguridad de Información / Framework de Seguridad

En el artículos anteriores establecimos las bases de una Arquitectura de Procesos de Seguridad de Información o
Framework de Seguridad de Información, esta arquitectura que definimos consta de seis procesos básicos:
Concientización, Administración de Riesgos, Manejo de Incidentes, Continuidad de Negocios, Control de Accesos y
Monitoreo de Seguridad.

El pasado Artículo trató sobre el proceso de Concientización, ahora veremos el de Administración de Riesgos.

Pero, ¿Qué es un Riesgo?

En términos generales Riesgo es el daño potencial que puede surgir por un proceso presente o suceso futuro. Riesgo
es la posibilidad de que un peligro pueda llegar a materializarse. Los Riesgos son una característica inevitable de la vida

En términos de Seguridad de Información iniciemos con las definiciones necesarias para entender los Riesgos.

Una Vulnerabilidad es una debilidad de un activo de información que puede ser explotada por una o más amenazas.

Una Amenaza es una causa potencial de un incidente no planeado, el cual puede resultar en daño a un activo de
información.

Riesgo es la Consecuencia de una amenaza en relación al activo de información.

Bien Administrados son un buen Negocio

Industrias como Seguros y la Banca basan su negocio en riesgos, un proceso de Administración de Riesgos bien
administrado desde el punto de vista de Seguridad de Información representan algunas ventajas como:

- Alinear las decisiones de inversiones y gastos en base al criterio aceptable de riesgos

- El hecho de basar decisiones en riesgos facilita la comunicación con la Alta Administración

- Facilita la identificación de activos críticos, sus vulnerabilidades y amenazas

- Apoya a cuantificar los impactos al negocio debido a las amenazas

- Facilita aceptar, reducir, transferir o evitar los riesgos tomando en cuenta los impactos en el negocio ($$)

- Ayuda a la implementación de controles que ayuden a mitigar los riesgos

- Apoya al monitoreo de la efectividad de los controles de Seguridad y su impacto (reducción) en los riesgos

- Proveer un balance económico entre el impacto del riesgo y el costo de los controles propuestos como contramedidas

http://www.tp.com.pe/teris - .::TERIS::. Powered by Mambo Generated: 15 October, 2010, 16:21

Estructura del Modelo de Administración de Riesgos
Si consideramos de ahora en adelante Sistemas de Gestión que incluyan mejora continua quizá los más recurridos al
momento relacionados a Seguridad son los que se basan en ISO27001 e ITIL v3.

El modelo recurrido en ambos es el PDCA (Plan Do Check Act)

Para el caso de un PDCA aplicado a riesgos sería:

Plan

- Definir metodología de riesgos

- Definir criterios de aceptación de riesgos

- Identificar y evaluar riesgos

- Identificar controles de seguridad

Do

- Formular Plan de Tratamiento de Riesgos

- Implementación del plan de tratamiento de riesgos

- Implementar controles de cada control objetivo

Ckeck

- Ejecutar procedimientos de monitoreo de controles de seguridad

- Medir la efectividad de controles

- Revisar el riesgo residual y aceptable

ACT

- Implementar mejoras a los controles de seguridad

- Re-evaluar análisis de riesgos

Enfoques de Análisis de Riesgos

Modelos Cuantitativos

http://www.tp.com.pe/teris - .::TERIS::. Powered by Mambo Generated: 15 October, 2010, 16:21

Se basan en obtener medidas cuantitativas de los riesgos en base a mediciones o estimaciones. Los pasos que se
toman son:
1- Asignar valor a los activos de Información

2- Estimar pérdida potencial por riesgo

Calcular SLE (single loss expectancy)
SLE = Valor del Activo * EF

(EF= % de pérdida de activo causada por identificar amenazas)

3- Ejecutar un análisis de amenazas

Calcular ARO (annualized rate of ocurrence)
Es la frecuencia esperada donde una amenaza pueda ocurrir en base anualizada

4- Derivar la pérdida potencial global por amenaza

Calcular ALE (annualized rate of ocurrence)
ALE = SLE * ARO

Modelos Cualitativos

No asigna números reales o valores monetarios a componentes y pérdidas

Analizan diversos escenarios de posibilidades de riesgo y “rankean” la seriedad de las amenazas y la validez de las
diversas posibles contramedidas o controles de Seguridad.
Es necesario usar juicios, intuición y experiencia. Se usan técnicas como:

- Brainstorming

- Focus Groups

- Encuestas

- Cuestionarios

- Checklists

- Entrevistas

Algunas Metodologías más conocidasOctave (Operationally Critical Threat, Asset, and Vulnerability Evaluation)

Metodología de evaluación de riesgos desarrollada por el Software Engineering Institute (SEI) de Carnegie Mellon
University, ver http://www.cert.org/octave/

NIST (National Institue of Standards and Technology)

Publicación especial 800-30, Risk Management Guide for Information Technology Systems.

Ver http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
http://www.tp.com.pe/teris - .::TERIS::. Powered by Mambo Generated: 15 October, 2010, 16:21
BS779-3

Documento de la serie British Standard, será reemplazado por el ISO 27005

ver http://www.27000.org/iso-27005.htm

Modelos de Administración de Riesgos básicos

Los modelos de Administración de riesgos considerados como básicos, son los que usan fórmulas muy sencillas tales
como Riesgo = Vulnerabilidad x Impacto.

De esta forma realizan un análisis de Riesgos a los Activos de Información, este proceso tiene como objetivo solo
calcular el nivel de riesgo.

Los valores que le asignan a los Riesgos, vulnerabilidades e impactos son típicamente Alto, Medio o bajo.

Generalmente estos modelos los adoptan las organizaciones cuando es necesario contar con un modelo inicial, el
resultado tiene una gran dosis de subjetividad dado que normalmente son cualitativos puros y se basan en opiniones de
personas con experiencia en Seguridad.

Modelos de Administración de Riesgos avanzados

Hay organizaciones que en el otro extremo, adoptan medidas que implican mucho mayor esfuerzo que los modelos
básicos, estos modelos combinan modelos cuantitativos y cualitativos, por lo que requieren de una mayor madurez por
parte de la organización en relación a la Seguridad de la Información. Al tener estos niveles estos modelos son adaptados
fácilmente por las organizaciones e inclusive se extienden a otras áreas fuera de Seguridad de Información como
Seguridad Industrial, etc.

A continuación mostraré cuales elementos son esenciales considerar para este tipo de modelos avanzados.

Activo de Información, se debe de tener mucha claridad que es un activo de Información:

Es cualquier recurso que tiene un valor para la organización, en donde se puede considerar las siguientes categorías:

Información (base de datos, archivos de datos, contratos & acuerdos, documentación de sistemas, información de
investigación, manuales de usuario, material de entrenamiento, procedimientos, operacionales o de soporte, planes de
continuidad , arreglos de contingencia, evidencia de auditoria, información archivada)

Software (aplicaciones, sistema operativo, herramientas de desarrollo, utilerías)

http://www.tp.com.pe/teris - .::TERIS::. Powered by Mambo Generated: 15 October, 2010, 16:21

Elementos Físicos (equipo de computo y comunicaciones , medios removibles o otros equipos)

Sistema de información: compuesto por información, software y elementos físicos.

Servicios (servicios de computo y comunicaciones, servicios de apoyo – Aire acondicionado, alumbrado, energía)

Recursos Humanos (Credenciales, conocimiento y experiencia del Personal)

Intangibles (Imagen y reputación de la organización)

Dueños

Son los responsable finales de los activos de información y por lo tanto responsables de la Seguridad de Información del
mismo.

Custodios

Individuos o “Áreas Funcionales” a cargo de la operación, mantenimiento y protección de los Activos de Información.

Escenarios de Riesgos

Se analiza el riesgo de un Activo de Información en conjunto con una serie de vulnerabilidades, amenazas e impactos

Riesgo Inicial

Es el riesgo que corre la organización sin considerar controles de seguridad y es calculado la primera vez que se ejecuta
un análisis de riesgo a un activo de información.

Niveles Aceptables de Riesgos

Es el nivel de riesgo que la Alta Administración acepta, también se le conoce como el apetito de Riesgo.
Aquellos riesgos iniciales que estén fuera del nivel aceptable de riesgos deberán ser mitigados mediante el proceso de
Tratamiento de riesgos, para esto es necesario contar con una Política de Riesgos adecuada.
http://www.tp.com.pe/teris - .::TERIS::. Powered by Mambo Generated: 15 October, 2010, 16:21
Tratamiento de Riesgos

Es el Proceso de selección e implementación de controles para modificar el riesgo.

Una vez que se ejecuta el análisis de riesgo y obtenemos los riesgos iniciales será necesario establecer los controles
que mitigan los riesgos.

Efectividad de controles

Se deben de asignar controles de Seguridad de Información (técnicos, físicos, humanos) para mitigar los riesgos de los
escenarios descritos, un control puede tener atributos como ser de tipo detectivos, correctivos, disuasivos, etc., en la
medida que un control tiene más atributos se pude volver más efectivo, pero como sea, será necesario que un
experto asigne estos controles en forma adecuada, para un escenario de riesgo como un servidor WEB con la amenaza
de Software Malicioso y un riesgo de perder sus contenido no se va a asignar a un guardia de Seguridad.

Riesgos Residuales

Es el riesgo que permanece después de implementar controles de seguridad.

Sitios interesantes relacionados a la Administración de Riesgos

www.cccure.org/Documents/HISM/223-228.html

www.cse-cst.gc.ca/en/documents/publications/gov_pubs/itsg/itsg04.pdf

Ricardo Morales está a cargo del área de Seguridad de Información de Alestra, es presidente de ALAPSI Noreste.
Alestra es el primer prestador de Servicios en Telecomunicaciones en México y otros países en obtener el certificado
ISO27001. rmoralesg @ alestra.com.mx

Fuente: bsecure, Seguinfo

http://www.tp.com.pe/teris - .::TERIS::. Powered by Mambo Generated: 15 October, 2010, 16:21