martes, 25 de marzo de 2014

ISO 27005:2008 METODOLOGÍA DE ANÁLISIS Y EVALUACIÓN DE RIESGO



ISO  27001:2005 es un estándar basado en un enfoque de riesgo del negocio, para establecer, implantar, operar, monitorear, mantener y mejorar la seguridad de información. Un sistema de gestión incluye, estructura organizacional, políticas, planeación de actividades, responsabilidades, prácticas, procedimientos, procesos y recursos.


De la familia de normas 27000 que específicamente se encarga de la gestión de riesgos de seguridad de la información se encuentra el estándar 27005:2008. Para llevar a cabo la gestión de riesgo bajo la norma ISO  27005:2008 se debe realizar los siguientes pasos:

Figura 1: Proceso de Análisis y evaluación de riesgos. Fuente www.centrum.pucp.edu.pe


ANÁLISIS DE RIESGOS

Su objetivo es identificar los riesgos basados en la identificación de activos, amenazas y vulnerabilidades.


Definición del alcance del modelo.

Es una de las actividades más importantes ya que define a quienes afecta puede ser toda la organización, una parte de ella, un simple proceso o un sistema de información.

Se define en términos de las características del negocio, la organización, su ubicación, activos y tecnología.

Se debe mostrar las relaciones que existen entre los diferentes activos de información involucrados en la empresa para ello se emplea una elipse con el cual se identifican los activos de información existentes dentro del alcance del modelo.

Figura 2: Diagrama de elipses. Fuente www.centrum.pucp.edu.pe


Identificación de activos

Es importante identifica los activos informáticos, porque el análisis y la evaluación del riesgo y las decisiones que se tomen en relación con el tratamiento del riesgo en la empresa giran alrededor de los activos de información identificados.

Los activos de información se clasifican en las siguientes categorías:
  • Activos de información.
  • Documentos de papel.
  • Activos de software.
  • Activos físicos
  • Personal
  • Imagen de la compañía y reputación
  • Servicios.



Tasación de activos.

En esta actividad se asigna por importancia en términos de la importancia que tenga para la empresa, se mira su impacto con relación a su confidencialidad, integridad y confidencialidad.

Grado de Impacto
Valor
Muy poco
1
Poco
2
Medio
3
Alto
4
Muy alto
5
Tabla 1. Grado de Impacto Fuente: El autor


Activos de Información
Confidencialidad
Integridad
Disponibilidad
Total
Base de datos clientes
2
5
5
4
Base de datos ahorros
5
5
4
5
Switches
1
1
5
2
Routers
1
1
5
2
Cámaras
1
1
5
2
Discos Duros
4
1
3
4
Tabla 2. Tasación de activos de información. Fuente: el autor

La tasación se obtuvo sumando los tres valores y dividiéndolos por tres.

Igualmente se deben identificar los propietarios de los activos de información.


Activos de Información
Propietarios
Base de datos clientes
Sistemas
Base de datos ahorros
Sistemas
Switches
Sistemas
Routers
Sistemas
Cámaras
Seguridad Integral
Discos Duros
Seguridad Integral
Tabla 3. Activos de información y propietarios. Fuente: el autor



Identificación de amenazas.

Se define como amenaza, la indicación de un potencial evento no deseado. Se identifican las amenazas, porque pueden causar un incidente no deseado que puede generar daño a la organización y sus activos.

Estas se pueden clasificar en:

  • Amenazas naturales.
  • Amenazas a instalaciones.
  • Amenazas humanas.
  • Amenazas tecnológicas.
  • Amenazas operacionales.
  • Amenazas sociales.


Probabilidad de ocurrencia de amenazas.

Por cada amenaza, se mide su posibilidad de ocurrencia, se utiliza la siguiente escala:


Posibilidad de ocurrencia
Valor
Muy bajo
1
Bajo
2
Medio
3
Alto
4
Muy alto
5
Tabla 4. Probabilidad de ocurrencia de amenazas. Fuente: el autor.


Identificación de vulnerabilidades.

Se definen como debilidades de seguridad asociadas con los activos de información de una organización.
Se pueden clasificar así:
  • Seguridad de los recursos humanos.
  • Control de acceso.
  • Seguridad física y ambiental.
  • Gestión de operaciones y comunicación.
  • Mantenimiento, desarrollo y adquisición de sistemas de información.



Posible explotación de vulnerabilidades.

Identificadas las vulnerabilidades se debe evaluar la posibilidad de ocurrencia de cada una de ellas. Se debe utilizar la siguiente escala:


Posibilidad de ocurrencia
Valor
Muy bajo
1
Bajo
2
Medio
3
Alto
4
Muy alto
5
Tabla 5. Probabilidad de ocurrencia de vulnerabilidades. Fuente: el autor.



EVALUACIÓN DE RIESGO

Compara los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de importancia del riesgo, el riesgo es evaluado contemplando tres elementos básicos:


Estimado del valor de los activos de riesgos.

Su objetivo es determinar el daño económico que el riesgo pudiera causar a los activos evaluados. El valor de los activos expresan el impacto de la pérdida de la confidencialidad, integridad y disponibilidad.

Nivel
Descripción detallada
1
Pérdidas financieras pequeñas
2
Medianas pérdidas financieras
3
Pérdidas financieras altas
4
Pérdidas financieras importantes
5
Enorme pérdida financiera
Tabla 6. Estimación del impacto económico de la amenaza. Fuente: el autor.

Igualmente puede hacerse dando un valor monetario a cada activo de acuerdo al valor de referencia del mercado y su importancia para la empresa.


Probabilidad de ocurrencia del riesgo.

La probabilidad de que el riesgo ocurra se basa en las amenazas y vulnerabilidades y los valores que se le han calculado.


Valoración del riesgo de los activos.

Se obtiene al multiplicar el valor del activo por la probabilidad de ocurrencia del riesgo.


Activo
Valor del activo
Probabilidad de ocurrencia del riesgo
Medición del Riesgo
Priorización.
Base de datos ahorros
5
3
15
1
Base de datos clientes
4
3
12
2
Routers
2
2
4
3
Tabla 7. Calculo del riesgo. Fuente: el autor.



 Imagen 3. Análisis y evaluación del Riesgo, método semicuantitativo.
Fuente: www.centrum.pucp.edu.pe


REFERENCIAS BIBLIOGRAFICAS

Alexander, A., – Omega (Eds.). (2007). Diseño de un Sistema de Gestión de Seguridad de Información. Optica ISO 27001:2005, Colombia: Alfaomega Colombia.

Iso (2013). ISO 27000.
Recuperado de  http://www.iso27000.es/download/doc_iso27000_all.pdf

Iso (2013). Análisis de riesgo.
Recuperado de  http://www.iso27000.es/herramientas.html#section7b
Publicado por en No hay comentarios:

EVALUACIÓN DE RIESGOS



La dependencia actual de las organizaciones a las redes de datos, las hace más vulnerables a los riesgos informáticos los cuales siempre están presentes, y cada vez son mas sofisticados y eficaces.  Por esta razón se invierte en para preservar la integridad de la información y las operaciones que  desarrollan las entidades.

La afectación que sufran sus activos informáticos se traduce en pérdidas económicas y retraso de las operaciones y afectación a la confianza del negocio.

Esto puede subsanarse o minimizarse a niveles aceptables  con la implantación de Sistemas de Gestión de Seguridad de la Información  (SGSI). Los cuales permitirán asegurar que tienen identificados sus activos de información ante riesgos y se aplican las medidas básicas para protegerlos.

Para gestionar los riesgos a los cuales están sometidos los activos de información primero se deben identificarlos, lo cual es posible con una metodología y herramientas para el análisis y evaluación de riesgos informáticos.

El objetivo del análisis y evaluación de riesgos, es la identificación de los riesgos basados en la identificación de sus activos, amenazas y vulnerabilidades.  El análisis de riesgos es una herramienta que establecer la exposición real a los riesgos por parte de una organización.

El análisis de riesgos se realiza sobre un método matricial llamado Mapa de Riesgos, con el cual se identifica la vulnerabilidad de un negocio o servicio a riesgos típicos, sus pasos son:

  • Definir los activos informáticos a analizar.
  • Identificar las amenazas que pueden comprometer la seguridad de los activos.
  • Determinar la probabilidad de ocurrencia de las amenazas.
  • Determinar el impacto de las amenazas, con el objeto de establecer una priorización de las mismas.
  • Recomendar controles que disminuyan la probabilidad de los riesgos.
  • Documentar los procesos.
Los métodos para realizar el análisis y evaluación de riesgos pueden ser cuantitativos, cualitativos y semicuantitativos.

Métodos cualitativos.
Son los métodos más utilizados, se puede utilizar cuando el nivel de riesgo sea bajo y no se justifica el tiempo y recursos utilizados para hacer un análisis completo.

Métodos semicuantitativos.
Utilizan clasificaciones de palabras como alto, medio o bajo, o descripciones mas detalladas de la probabilidad y la consecuencia.

Métodos cuantitativos.
Permiten asignar valores de ocurrencia a los diferentes riesgos identificados, entre estos métodos se encuentra análisis de probabilidad, análisis de consecuencias, simulación computacional.

El resultado de este proceso se ilustra en una matriz de riesgo, que ilustra los elementos identificados, sus relaciones y los cálculos realizados.

METODOLOGÍAS Y HERRAMIENTAS PARA ANÁLISIS DE RIESGOS

Algunas metodologías reconocidas para análisis y gestión de riesgos informáticos son:

ENISA
ENISA-SME
MAGERIT
EAR/Pilar
GxSGSI
ISO 27005
UNE-ISO 31000
BS 7799-3:2006
NIST SP 800-30
EBIOS
Bundesamt für Sicherheit in der Informationstechnik
CLUSIF-MEHARI
OCTAVE
RiskWatch
IRAM
Citicus ONE
FAIR
The IRM
Microsft
@RISK
COBRA
SNAS – BS7799-3
SNAS
CERO
Risk Mamangement Toolkit for the NSW Public Sector
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)