Control Lectura 03
Control Lectura 03
Control Lectura 03
análisis de riesgos
[2.1] Metodologías de gestión y análisis de riesgos
La metodología que se escoja debe ser objetiva, fiable, medible y replicable, además
debe permitir la medición continua y estar soportada por una herramienta de gestión.
Sus resultados deben ser entendibles por la dirección y permitir dar respuesta a
cuestiones como las siguientes:
El proceso de gobierno de TI que trata el riesgo es el 03, a través del cual se asegura
que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y
comunicados y que el riesgo para el valor de la empresa relacionado con el uso de las
TI es identificado y gestionado. Esto permite que los riesgos relacionados con TI de
la empresa no excedan ni el apetito ni la toleración de riesgo, que el impacto de los
riesgos de TI en el valor de la empresa se identifica y se gestiona y que el potencial
fallo en el cumplimiento se reduce al mínimo.
gestionado.
Objetivos Específicos
o Preparar la gestión del riesgo
- Se establece y mantiene una estrategia para identificar, analizar y mitigar riesgos.
o Identificar y Analizar Riesgos
- Los riesgos son identificados y analizados para determinar su importancia relativa.
o Mitigar Riesgos
- Los riesgos son manejados y mitigados para reducir su impacto negativo en los
objetivos.
Prácticas Específicas
o Determinar Fuentes y Categorías de Riesgo
- Definir Parámetros de Riesgo, y establecer una Estrategia para la Gestión del
Riesgo
o Identificar y Analizar Riesgos
- Evaluar, Categorizar y Priorizar Riesgos
o Desarrollar Planes de Mitigación de Riesgo
- Implementar Planes de Mitigación de Riesgo
En resumen, una organización de nivel 3 debe proponerse tener un enfoque mucho más
formal para identificar riesgos y clasificarlos, y para planear posibles acciones de
mitigación y contingencia.
Una parte fundamental reside en la dimensión de los datos, que contiene los procesos
que se han de evaluar, se corresponden con los procesos del ciclo de vida del
software, y se agrupan en categorías, en función del tipo de actividad al cual se aplican:
SPICE establece que la gestión de riesgos consiste en identificar nuevos riesgos, trabajar
para mitigarlos de forma efectiva y evaluar el éxito de los esfuerzos de mitigación.
Los 3 argumentos básicos del método son los principios, los atributos y los
resultados, lo que permite que cualquier metodología que aplique estos principios se
considere compatible con el método OCTAVE. El Software Engineering Institute ha
publicado tres metodologías basadas en OCTAVE, que son las siguientes:
Metodología Magerit
A continuación, vamos a introducir la segunda y tercera de estas fases, que son las que
tratan directamente con los riesgos asociados a proyectos.
Además del análisis de riesgos, encontramos el tratamiento de los riesgos, que sería
el proceso destinado a modificar el riesgo. Entre las formas de tratar un riesgo
encontramos por ejemplo evitar las circunstancias que lo provocan, reducir las
posibilidades de que ocurra, acotar sus consecuencias, compartirlo con otra
organización (típicamente contratando un servicio o un seguro de cobertura).
ISO/IEC 27005:2011
Dependiendo del alcance y los objetivos de la gestión del riesgo, se pueden aplicar
diferentes enfoques. El enfoque también puede ser diferente para cada iteración.
La apreciación de alto nivel permite definir las prioridades y la cronología de las acciones.
Por diversas razones, como puede ser la presupuestaria, puede que no sea posible
implementar simultáneamente todos los controles necesarios y en el proceso de
tratamiento del riesgo sólo se puedan contemplar los riesgos más críticos que pueden ser
abordados a través del proceso de tratamiento de riesgo.
Además, puede ser prematuro iniciar una apreciación detallada de los riesgos si seprevé
que su tratamiento no va a ser inmediato y se realizará dentro de uno o dos años.
Para este caso, la apreciación de riesgos puede iniciarse con una apreciación de alto nivel
de las consecuencias, en lugar de comenzar con un análisis sistemático de los activos, de
las amenazas, de las vulnerabilidades y de las consecuencias.
Otra razón para utilizar una aproximación de alto nivel es facilitar la sincronización de la
apreciación de riesgos con otros planes relacionados con la gestión del cambio y la
continuidad del negocio
Las ventajas de una apreciación de riesgos con un enfoque de alto nivel son:
Un análisis de riesgos inicial de alto nivel es menos preciso, y su única desventaja esque
algunos procesos o sistemas pueden no ser identificados lo que requerirá una segunda
apreciación de riesgo detallada.
Esto puede evitarse si hay información adecuada sobre todos los aspectos de la
organización, su información y sus sistemas, incluida la información que se haya
obtenido de la evaluación de incidentes de seguridad de la información.
La apreciación del riesgo de alto nivel considera el valor de los activos de información
de la organización y los riesgos a los que están expuestos desde un punto de vista de
negocio.
Varios factores ayudan a determinar si la apreciación de alto nivel es adecuada para tratar
los riesgos, estos factores pueden incluir lo siguiente:
Los objetivos de negocio que necesitan varios activos de información para ser
alcanzados.
El grado de dependencia de los negocios de la organización de los activos de
información.
El nivel de inversión en cada activo de información, en términos de desarrollo,
mantenimiento o sustitución del activo.
Los activos de información, para los cuales la organización asigna directamente un
valor.
Cuando se evalúan estos factores se facilita la decisión. Si los objetivos que dependen de
un activo son extremadamente importantes para el desarrollo del negocio de una
organización o si los activos están expuesto a un alto riesgo, debe realizarse una segunda
iteración, con una apreciación detallada del riesgo para el activo de información en
concreto (o parte del mismo).
vulnerabilidades. Los resultados de estas actividades se utilizan para evaluar los riesgos
y posteriormente identificar el tratamiento de riesgo adecuado.
La apreciación detallada del riesgo suele requerir mucho tiempo, esfuerzo y experiencia,
por lo que puede ser más adecuado para sistemas de información de alto riesgo.
Modelado de amenazas
Hay que tener presente que un solo ataque que explote con éxito una única
vulnerabilidad de nuestro sistema de protección puede llegar a comprometer la
seguridad de toda la organización. Por ello, y para conseguir que el modelado de
amenazas resulte efectivo, es importante tener en cuenta que se debe realizar como un
proceso sistemático, en continua actualización. De este modo se conseguirá
identificar y mitigar el mayor número posible de amenazas y vulnerabilidades.
» Identificar amenazas potenciales, así como las condiciones necesarias para que un
ataque se logre llevar a cabo con éxito.
» Facilitar la identificación de las condiciones o aquellas vulnerabilidades que, una vez
eliminadas o contrarrestadas, afectan a la probabilidad de materialización de
múltiples amenazas.
» Proporcionar información relevante sobre cuáles serían las salvaguardas más eficaces
para contrarrestar un posible ataque y/o mitigar los efectos de la presencia de una
vulnerabilidad en nuestra organización.
» Proveer información sobre cómo las medidas actuales previenen la materialización de
las amenazas.
» Transmitir a la dirección la importancia de los riesgos a los que está expuesta en
términos de impacto de negocio.
» Proporcionar una estrategia sólida para evitar posibles brechas de seguridad.
» Facilitar la comunicación y promover una mejor concienciación sobre la importancia
de la seguridad.
Las tareas a realizar para una adecuada modelización de las amenazas son las
siguientes:
» Recopilación de información
o Localizar la documentación escrita.
o Realizar entrevistas a las partes implicadas.
o Realizar una inspección general del sistema.
» Análisis y brainstorming
o Identificación de los activos críticos: Asegurar una inversión correcta en tiempo y
recursos es el objetivo último de nuestro modelado. Por lo que resulta vital
determinar cuáles son los activos que no pueden ser comprometidos sin acarrear
consecuencias negativas para el negocio. Utilizando anotaciones, dibujos y un
listado de componentes, el grupo de trabajo describe el sistema y se crea una lista
de los activos, identificando los más críticos.
» Revisión y actualización
o Corrección y mejora del modelado a medida que el sistema de seguridad
evoluciona y se toman decisiones sobre la tecnología utilizada.
o Revisión de las amenazas, las vulnerabilidades y las salvaguardas antes de su
implementación.
o Ajuste del modelado en función de los resultados obtenidos tras una revisión del
sistema de seguridad.
Arboles de ataque
Los árboles de ataque son una herramienta gráfica para analizar y presentar qué
puede pasar y cómo lo prevenimos. Capturan de alguna forma el razonamiento del
atacante y permiten anticiparse a lo que pudiera ocurrir.
El enriquecimiento del árbol de ataque en forma de ramas debería ser exhaustivo; pero
está limitado por la imaginación del analista; si el atacante es “más listo” tiene una
oportunidad para utilizar una vía imprevista.
Para construir el árbol hay que utilizar, sin olvidar otras posibles fuentes:
Las herramientas deben aportar la rapidez y eficacia necesaria para dar respuesta a las
necesidades de información para la toma de decisiones.
La forma más sencilla de dar respuestas a las necesidades de información para la toma
de decisiones en relación a la gestión del riesgo es desarrollando o adquiriendo una
herramienta capaz de facilitar y realizar de forma repetitiva (automatizada) algunas de
las tareas del proceso de análisis y gestión de riesgos, especialmente aquellas que
manualmente son más costosas.
La herramienta de gestión y análisis de riesgos que se escoja debe dar respuesta a las
necesidades específicas de la organización, y si es el caso del proyecto. Y se debe tener
entre otras las siguientes capacidades:
Acuity STREAM
Callio
Casis
Cobra
Cobra es una herramienta software que permite que las organizaciones realicen por sí
mismas el análisis de riesgos. Evalúa la importancia relativa de todas las amenazas
y vulnerabilidades, generando las recomendaciones y soluciones adecuadas. Vincula
automáticamente los riesgos identificados con las posibles consecuencias para cada
unidad de negocio. También permite que ciertos aspectos o unidades de negocio puedan
ser evaluados de forma independiente, sin realizar ninguna asociación de impacto. Cobra
dispone de cuatro bases de datos de conocimientos que pueden personalizarse según las
necesidades de la organización.
CounterMeasures
Esta herramienta permite normalizar los criterios de evaluación, utilizando una lista
de comprobación de evaluación que puede ser parametrizada por el usuario,
proporcionando criterios de evaluación objetiva para determinar el grado de
Cramm
EAR/PILAR
EBIOS
ECIJA | SGSI
ECIJA| SGSI es una herramienta web, desarrollada por ECIJA Holdings &
Investments, S.L. que permite la gestión integral de la seguridad de la información
GlobalSGSI
GlobalSGSI es una herramienta que permite gestionar de forma global el ciclo completo
de la norma ISO 27001. Ayuda a acompañar el proyecto de realización de un SGSI desde
su nacimiento. Apoyándolo y asistiéndolo durante todo el proyecto. Permite gestionar el
SGSI de forma muy intuitiva, con ayudas a la implantación, propuesta de controles
automática, etc. Gracias a su módulo documental permite tener centralizada y controlada
toda la documentación del sistema de gestión. Sus principales funcionalidades son:
Definición de alcance.
Análisis diferencial.
Inventario de activos.
Análisis de riesgos (con ayudas a la hora de definir amenazas y vulnerabilidades).
Gestión de riesgos (con ayudas a la hora de identificar controles de seguridad).
Declaración de aplicabilidad.
Cuadro de mandos.
Auditorías, incidencias, soportes, usuarios, etc.
Documentación centralizada
Gráficos, informes y plantillas para una mejor visualización.
GStool
Krio
KRiO, desarrollada por SIGEA, es una herramienta GRC, que permite evaluar, analizar,
tratar e integrar múltiples escenarios de riesgo: tecnológicos, financieros, operacionales,
medioambientales, regulatorios, reputacionales… y relacionarlos con objetivos y niveles
de cumplimiento de normas, esquemas, contratos o leyes aplicables en una organización.
ISAMM
Informes
MIGRA Tool
Proteus
Risicare
RiskWatch
La herramienta Risk Management Studio está diseñada para dar soporte a empresas,
instituciones y órganos de gobierno local que deban garantizar la seguridad de la
información. La herramienta se basa en las normas ISO/IEC 27002:2005 y
ISO/IEC 27001:2005.
S2GSI
La herramienta S2GSI ha sido diseñada por el Grupo SIA para dar soporte a la gestión
eficiente de las principales actividades derivadas de la implantación de un SGSI.
S2GSI facilita el proceso de implantación y el mantenimiento del SGSI, con
independencia del ámbito de la organización. Entre las principales funciones y
características de S2GSI se encuentran:
Securia SGSI
Securia SGSI es una herramienta integral, desarrollada bajo licencia GNU por el Centro
Europeo de Empresas e Innovación de Albacete, que cubre el proceso automático de
implantación, puesta en funcionamiento, mantenimiento y mejora continua
de un Sistema de Gestión de Seguridad de la Información (SGSI) según la
norma internacional ISO 27001.
Securia SGSI dispone de los siguientes módulos funcionales: