A COMPARATIVE FRAMEWORK FOR EVALUATING INFORMATION SECURITY RISK MANAGEMENT METHODS Informe

Por: Maria Elisa lvarez Jaramillo

Profesor: Jorge Mario Gaviria Hincapi Materia: Auditoria de Sistemas Fecha: Septiembre 15, 2011

Universidad de Medelln Medelln Colombia 2011

INTRODUCCION En los ltimos aos, Administracin de los riesgos en la seguridad de la informacin (ISRM) se ah vuelto mas importante para las organizaciones por las recomendaciones publicadas por el marco de gobierno sobre el manejo de riesgos. En la Actualidad, no existe un mtodo que determine cual mtodo ISRM es el mejor, en trminos de las recomendaciones del marco de gobierno para ser empleado por la organizacin. Este artculo provee una estructura comparativa que puede ser usado para evaluar los diferentes ISRM mtodos. Este esta estructura puede indicar cual mtodo ISRM alinea la mejor practica recomendada por una marco de gobierno IT. 2. DESARROLLAR UN ACERCAMIENTO PARA COMPARAR ISRM METODOS Las organizaciones se deben asegurar que la metodologa empleada por ISRM esta en lnea con las mejoras practicas recomendadas por el gobierno, acerca de la privacidad y su impacto. Aunque las mejores estructuras prcticas existan, el mtodo debe asegurar que las mejoras prcticas deben ser traducidas dentro de procesos y pasos. Una estructura internacional aceptada, la cual es usada es la estructura CobiT. CobiT sirve como punto de comienzo de la estructura comparativa. Porque CobiT? CobiT esta basado en las mejores practicas de varios pases, incluyendo Estados Unidos, Europa, Australia, Canad y Japn; por lo tanto este sirve masque una estructura apropiada en el cual se pueden basar. Como CobiT es una implementacin global, esta permite ser implementada en varias industrias. Que es cobiT? CobiT (Control de Objetivos para la Informacin y relacionada a la Tecnologa) es una estructura IT. La ms reciente edicin de CobiT fue publicada en Julio del 2000 por la Fundacin en Control y Auditoria en Sistemas, y el instituto de Gobierno en IT. CobiT consiste en varios productos: El resumen ejecutivo, Implementacin de herramientas, administracin de reglas, estructura, Control detallado de objetivos y reglas de auditoria. La mayora de estos productos crean controles, reglas para la implementacin y control e 4 dominios que son:

planeacion y organizacin, implementacin y monitoreo.

entrega

soporte,

adquisicin

3. CRITERIO DE EVALUACION Una lista de recomendaciones fue recopilada desde las varias reas contenidas por CobiT. La lista de recomendaciones fue entonces agrupada lgicamente dentro de tres categoras. Las tres categoras responden las preguntas: Que se debe hacer, y por quien y como se debe hacer? Las tres categoras son: 1. Riesgos (Que?): Esta categora contiene todos los criterios de la estructura comparativa que esta relacionada directament a los riesgos. 2. Administracin (Quien es el responsable?) 3. Procesos (Como?): El proceso de evaluar riesgos se ha completado. Este proceso es categorizado en 4 pasos genricos: identificacin, medicin, control y monitoreo. La estructura comparativa se enfoca en recomendaciones en niveles d negocios y no en niveles de operaciones tcnicas. CobiT es un extenso documento con objetivos de control que es direccionado a las diferentes reas del IT en una organizacin. 3.1 Criterio Detallado

Algunos de los componentes que son identificados fueron copiados en muchos de los productos CobiT. Estas copias fueron ajustadas y representadas por un solo componente. La descripcin del componente se agrupa de acuerdo a las siguientes categoras. 3.1.1 Riesgos Diferentes Clases de Riesgos: Definir el Perfil de Tolerancia del Riesgo Plan de Accin de Riesgos

3.1.2 Administracin La administracin es responsable para establecer una estructura de evaluacin de riesgos sistemticos. La estructura es discutida en planeacion y el control de la organizacin del control de objetivos que describen varios aspectos que deben ser incorporados. Los siguientes criterios forman parte de los aspectos que deben ser incluidos como:

 Definir Procesos de Riesgos Propios Administracin de Proyectos en Mejoramiento de Riesgos Polticas y Procedimientos Mantener Documentacin Revaluar Evaluacin de los niveles globales del sistema Estrategias contra los riesgos 3.1.3 Procesos La administracin de riesgos se hace con respecto a los niveles de la organizacin o la industria, siguiendo determinados pasos. Varios mtodos de administracin de riesgos tienen diferentes pasos que pueden variar en numero y alcance. Sin embargo, cuando se considera el proceso de planear, hacer, chequear y corregir (PDCC) descripto en CobiT, la administracin de riesgos genricos puede ser identificada. Ellas son identificadas, medidas, controladas y monitoreadas. Cada uno de los criterios de evaluacin es descrita como una parte del proceso. 3.1.4 Identificacin Al identificar las causas de los riesgos se tienen que relacionar con el efecto que pueden tener en la organizacin. Se deben examinar los elementos de riesgos, Cobit se inclina a los elementos para incluir los activos tangibles e intangibles, valor de estos, las amenazas, las vulnerabilidades, las consecuencias, etc. Al considerar los riesgos los componentes de seguridad se ven afectados por el efecto de los eventos. Los lmites de los riesgos se deben actualizar constantemente. 3.1.5 Medidas Las medidas son cuantitativas o cualitativas y se pueden asignar a un riesgo. Las medidas cuantitativas son cualquier valor numrico, ejemplo: valor en efectivo. Las medidas cualitativas es un valor relativo asignado a un riesgo, ejemplo: alta, media o baja. 3.1.6 Control La clasificacin de riesgo es donde los riesgos se califican segn la organizacin, pueden ser cuantitativos o cualitativos. El costoeficacia de los controles debe ser equilibrada entre los cuatro tipos de control: preventivo, Detective, correctivas y de recuperacin. 4. PROCESO DE COMPARACION La mayora de mtodos ISRM poseen muy poca literatura gratis disponible aparte de la que se encuentra en el mercado. En ocasiones

las organizaciones no tienen el capital disponible para comprar de los diferentes mtodos de ISRM para evaluarlos. Por consiguiente, el proceso de evaluacin fue basada en documentacin obtenida atravs de material impreso, presentaciones de software, demostraciones en servidores o material publicado en Internet. El material fue revisado y comparado contra la estructura como lo indica los criterios.

5. METODO DE COMPARACION ISRM Tres mtodos ISRM fueron identificados. Ellos son el anlisis de riesgos y mtodo de administracin (CRAMM), versin 5, la metodologa CORAS para el modelo basado en evaluacin de riesgos y la operacin critica de amenazas, ventajas y el mtodo de evaluacin de vulnerabilidades (OCTAVE) , versin 2.0. 5.1 CORAS

CORAS es un modelo basado en el mtodo de evaluacin de riesgos y es un proyecto de investigacin desarrollado bajo la Sociedad de Informacin Tecnolgica (IST). Diez compaas e institutos de investigaciones hicieron el proyecto en consorcio. La meta del CORAS es adaptar, refinar, extender y combinar anlisis de mtodos de riesgo. La metodologa CORAS es un proceso de administracin de riesgos basado en la tcnica del proceso estandarizado UML. Durante el 2003, La plataforma de evaluacin CORAS se puso a disposicin del pblico. Esta plataforma incluye gua de usuario, la documentacin de la metodologa CORAS, evaluaciones y elementos de evaluacin reutilizables. 5.2 OCTAVE

OCTAVE (Operacin Critica de Amenazas y Evaluacin de Vulnerabilidades) fue desarrollada por Carnegie Mellon Software Engineering Institute(SEI). El ncleo de OCTAVE son criterios que la organizacin puede usar para desarrollar su propia metodologa. Aunque el mtodo OCTAVE fue desarrollado para largas organizaciones, un mtodo conocido como OCTAVE-S fue tambin desarrollado para pequeas organizaciones. Al igual que el mtodo OCTAVE, este es de disponibilidad gratuita. La premisa bsica OCTAVE de estructurada mediante entrevistas en varios niveles de la organizacin para identificar lo valioso y as determinar los riesgos de estos.

5.3

CREMM

CREMM (CCTA Mtodo de Administracin y Anlisis de Riesgos) fue desarrollado por el CCTA ( Agencia Central de Computacin y Telecomunicaciones) en 1985. EL CCTA fue contratado por el gabinete del reino Unido para que investigara los mtodos de administracin de anlisis de riesgos para los IT del gobierno central. Consecuentemente de la investigacin, CRRAM fue desarrollado y lineo las mejores prcticas. Actualmente CREMM esta en su quinta versin, la cual fue publicada por Insight Consulting en el 2003.

6.

METODO DE RECOMENDCIONES ISRM

La evaluacin de los tres mtodos de ISRM indica todos son muy fuertes en las dos primeras categoras ( Riesgos y Administracin). Aunque, la categora de los procesos, especialmente el control y el proceso de monitoreo de riesgos, se ha identificado como una rea dbil de acuerdo con la estructura comparativa. Cada uno de los mtodos evaluados por ISRM contiene sus puntos dbiles como fuertes. 6.1 CORAS

La plataforma(Una aplicacin Java) incluye toda la documentacin necesaria para la instalacin y operacin de CORAS, al igual que todo el archivo con respecto a la metodologa CORAS. La documentacin del CORAS esta dividida en 3 partes: bsica, decisin y completa. CORAS no especifica la identificacin de existentes salvaguardas o controles. Uno de los puntos ms fuertes de CORAS es el Lesser General Public Licensed Software. Este software es de disponibilidad gratuita y no requiere mayor gasto de capital. 6.2 OCTAVE

Al igual, que los otros dos mtodos, OCTAVE cumple con todos los criterios para la categora de riesgos. Cuando la estrategia de riesgos es definida, OCTAVE solo toma en consideracin la mitigacin y la aceptacin de el riesgo, pero no dice como evitarlo.

OCTAVE no utiliza un ranking cuantitativo de los riesgos, pero la cantidad puede ser usada en determina la escala cualitativa de acuerdo a cuales riesgos han sido medidos y categorizados. OCTAVE es un mtodo de administracin de riesgos que se enfoca solo en identificar, medir, y proveer un plan para la administracin de riesgos, entonces el control y el criterio de monitoreo son reas que no favorecen a OCTAVE. Sin embargo, OCTAVE subraya la necesidad del control como un propsito de comunicacin y recuperacin. OCTAVE no provee pasos concisos para el plan de monitoreo de riesgos, el mtodo reconoce la importancia de el proceso de monitoreo. Los dos criterios con los que cumple OCTAVE son el proyecto de mejoramiento de la retroalimentacin y la estructura de mantenimiento de informacin de riesgos.

6.3

CRAMM

CRAMM cumple con todos los criterios de las categoras de riesgos impone. Este toma en cuenta todas las categoras, define un perfil de tolerancia al riesgo y define un plan de accin a este. CRAMM con respecto a las estrategias contra los riesgos, solo aborda la mitigacin de este. La fase de identificacin de los procesos es un rea muy fuerte de CRAMM. Este tiene en cuenta todos los diferentes elementos de riesgo, loa activos tangibles e intangibles, las amenazas, los valores activos, garantas, las consecuencias y la probabilidad de las amenazas. CRAMM tiene una relacin causa y efecto a travs de una amenaza de activos basados en la relacin. CRAMM pueden ser implementados para el desarrollo de sistemas, desarrollo de polticas y el cumplimiento, la revisin de aspectos de seguridad, las auditoras de cumplimiento, la continuidad y la planificacin de contingencia, entre otras cosas. Hay cuatro carencias del proceso de control de CRAMM. CRAMM no tiene un proceso de integracin de control en el lugar ni comunica el propsito de los controles. No facilita el seguimiento de la eficacia del control y no pone estos controles en el lugar de los riesgos residuales. Y por ultimo, CRAMM no actualiza los lmites de riesgo, ni tampoco el proceso de notificacin de un incidente.

7. METODOS Y LIMTACIONES El marco comparativo y el proceso adoptado para evaluar los mtodos ISRM no son perfectos y tienen varias limitaciones. Mtodos ISRM como el octave tienen la capacidad de que se pueden adaptar a las necesidades de la organizacin. El marco comparativo no tiene en cuenta un proceso de adaptacin de una metodologa. Cuando una organizacin se compromete con ISRM, esta incluye unas consideraciones como el costo estimado, el tiempo y recursos necesarios. El marco comparativo, no toma en cuenta estas consideraciones porque las considera que son subjetivas. El marco comparativo y el proceso no toman en cuenta el alcance de la organizacin y la motivacin para la aplicacin del ISRM. Segn CobiT, la estrategia de riesgo de una organizacin debe ser en trminos de prevencin, mitigacin y la aceptacin.

CONCLUSIONES El marco comparativo se utiliz para evaluar tres mtodos actuales de ISRM. Estos mtodos fueron CRAMM, OCTAVE y CORAS. Tras la evaluacin, cada uno de los mtodos revelo sus puntos fuertes y dbiles. Aunque los mtodos cumplen relativamente con los riesgos y las gestiones de agrupacin, todos los ISRM evaluados carecen de la supervisin y el control en los procesos de los riesgos. Ninguno de los mtodos ISRM evaluados cuenta con un programa de reevaluacin de formal y dos de las metodologas se niegan ah actualizar los limites de los riesgos. Este marco comparativo permite a las organizaciones evaluar a los diferentes mtodos sin necesidad de comprarlos. El mtodo comparativo proporciona a las organizaciones un medio de comparar los mtodos ISRM publicados y garantiza que sus mtodos estn regidos bajo las recomendaciones del marco de gobierno TI.