Technical note
Metodología de Análisis de Riesgos Informáticos
Methodology of Analysis of Computer Risks
Eterovic, Jorge Esteban ⓘ
Universidad Nacional de La Matanza.
Departamento de Ingeniería e Investigaciones Tecnológicas.
San Justo, Buenos Aires. Argentina
Resumen
En éste trabajo se presenta una metodología de rápida aplicación que implementa los pasos necesarios para analizar un sistema, identificar las amenazas, las vulnerabilidades asociadas, calcular la probabilidad de ocurrencia de esas amenazas, determinar del impacto en caso de su materialización y por ultimo la obtención del riesgo al que se está expuesto. Así, esta metodología sería una herramienta de fácil implementación en una organización mediana ó pequeña que le permitiría identificar y gestionar los riesgos de tecnología de la información. El análisis de riesgos es el primer punto de la gestión de la seguridad de la información de una organización, y es necesario para realizar la gestión de los riesgos, es decir, tomar la decisión de eliminarlos, ignorarlos, transferirlos o mitigarlos y controlarlos, es decir realizar la gestión de riesgos.
Abstract
Palabras Clave:
Metodología de análisis de riesgos, Análisis de riesgos en tecnología de la informació, Gestión de riesgos
Keyword:
, ,
1. Introducción
El proceso para desarrollar la nueva metodología comenzó con la investigación y el estudio pormenorizado de las principales metodologías existentes en el mercado para al análisis de los riesgos informáticos.
En éste trabajo se presenta el análisis de las tres metodologías mas usadas, con el fin de determinar en forma detallada sobre como es su funcionamiento y cuáles son sus fortalezas y debilidades. Las metodologías estudiadas son Magerit, Octave y Mehari.
Como resultado de este análisis se identificaron e incorporaron esas fortalezas en el diseño de la nueva metodología de análisis de riesgos informáticos en cuestión. Los límites en el alcance de este trabajo fueron no haber incorporado elementos de otras metodologías existentes, fuera de las que no se mencionaron anteriormente.
Esto nos permitió obtener los mejores elementos de cada una de estas metodologías a fin de diseñar y obtener una nueva a partir de ellos.
2. Objetivos de las metodologías
Tanto las tres metodologías estudiadas como la que se desarrollará tienen por objetivo los siguientes puntos:
- Planificación de la reducción de riesgos
- Planificación de la prevención de accidentes
- Visualización y detección de las debilidades existentes en los sistemas
- Ayuda en la toma de las mejores decisiones en materia de seguridad de la información
3.Enfoques del análisis de riesgos
Existe una serie de diferentes enfoques para realizar el análisis de riesgos pero, en esencia, suelen dividirse en dos tipos fundamentales:
- cuantitativos
- cualitativos.
El enfoque utilizado para el desarrollo de esta metodología es el cuantitativo.
3.1. Enfoque cuantitativo del análisis de riesgos
Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un evento y el impacto que ocasionaría la probable pérdida en caso de que ocurra el citado evento.
El enfoque cuantitativo de análisis de riesgos consiste en la obtención de un valor a partir del producto de estos elementos. La forma de calcularlo, para un evento dado, es realizando la multiplicación del valor de la pérdida potencial por el valor de la probabilidad de ocurrencia. De esta manera es prácticamente concreto y posible valorar los eventos y calcular el riesgo a fin de tomar las decisiones correspondientes.
Son numerosas las organizaciones que han adoptado y aplicado con éxito el análisis de riesgo cuantitativo. De hecho se recomienda fuertemente comenzar con un análisis de riesgo cuantitativo y luego, si el negocio lo amerita, hacer un análisis cualitativo.
4. Descripción de la metodología básica
Para el diseño y desarrollo de la nueva metodología de análisis de riesgos informáticos se partió de una metodología base, de la cual se procede a continuación a dar una breve descripción de cada una de sus etapas:
- Caracterización del sistema
- Identificación de amenazas
- Identificación de vulnerabilidades
- Análisis de controles
- Determinación de la probabilidad de ocurrencia
- Análisis de impacto
- Determinación del riesgo
- Recomendaciones de control
- Documentación de resultados
5.Lisis de la metodología base
Se realizó un estudio detallado de cada uno de los elementos funcionales que intervienen en cada etapa de la metodología a fin de determinar los puntos débiles que la misma presenta. En síntesis se obtuvo como resultado lo siguiente:
- Escasez de material teórico para cada una de las etapas.
- Ausencia de un procedimiento práctico que mida las debilidades y calidad de los servicios de seguridad.
- Las escalas de la probabilidad de ocurrencia, impacto y del riesgo presentan niveles simples de valoración.
- Ausencia de un análisis de la frecuencia de una amenaza.
- Ausencia de un método que registre el nivel del impacto y del riesgo en sus reales dimensiones.
- Falta de un mecanismo o procedimiento práctico que permita la interpretación de los resultados obtenidos.
6. Análisis funcional de las metodologías Magerit, Octave y Mehari
Magerit
- Análisis de Riesgos
- Gestión de Riesgos
Octave
- Construcción de los Perfiles de Amenazas Basados en Activos
- Identificación de la Infraestructura de Vulnerabilidades
- Desarrollo de Planes y Estrategias de Seguridad
Mehari
- Diagnóstico de Seguridad
- Análisis de los Intereses Implicados por la Seguridad
- Análisis de Riesgos
Del análisis de cada una de ellas se identificó como elementos funcionales importantes a incorporar en la metodología básica los siguientes:
6.1. Principales elementos de Magerit
- Escalas de valores cualitativos, cuantitativos y de indisponibilidad del servicio.
- Modelo de frecuencia de una amenaza como una tasa anual de ocurrencia.
- Escala alternativa de estimación del riesgo.
- Catálogos de amenazas
- Catálogos de medidas de control
6.2. Principales elementos de Octave
- Medidas de probabilidad considerando un rango de frecuencias.
- Análisis del límite entre niveles de probabilidad.
6.3. Principales elementos de Mehari
- Niveles de categorías de controles
- Niveles de calidad de los servicios de seguridad
- Evaluación de la calidad del servicio por medio de cuestionarios
- Tabla modelo de impactos
6.4. Aportes seleccionados para agregar a la nueva metodología base
- Reestructuración de escala de niveles de probabilidad de ocurrencia de una amenaza.
- Reestructuración de escala de niveles de valoración del impacto.
- Reestructuración de escala de niveles de determinación del riesgo.
- Incorporación de nuevo material bibliográfico aportado por las metodologías investigadas.
7. Diseño de fases y procesos de la nueva metodología de análisis de riesgos informáticos
En este punto de desarrollo, se procedió a rediseñar la metodología base modificando e incorporando nuevos elementos y valores que nos proporcionen una metodología nueva y consistente y que a su vez nos permita aplicarla a la realidad organizacional en cuanto a riesgos informáticos se trate.
El procedimiento se llevó a cabo a través de unificar etapas de la metodología básica con similitudes y características propias de cada una de ellas, logrando obtener como resultado cuatros fases y con procedimientos implementados en cada uno de ellos.
A continuación se detalla una breve descripción de cómo se abordó el diseño de estas cuatro fases mencionadas:
| a) Caracterización del sistema | etapas de la metodología base |
| c) Identificación de vulnerabilidades | |
| d) Análisis de controles |
De las etapas anteriores se obtiene la Fase I de la siguiente manera:
Fase I: identificación y evaluación de los elementos críticos de la organización
Esta fase contempla 2 procesos:
- Identificar, Analizar y Valorar los Activos de la Organización.
- Analizar la Vulnerabilidad y Determinar la Calidad de los Controles o Servicios de Seguridad
Continuando de igual manera con otras dos etapas de la metodología base, tenemos:
| b) Identificación de amenazas | Etapas de la metodología base |
| e) Determinación de la probabilidad de ocurrencia |
De las etapas anteriores se obtiene la Fase II de la siguiente manera:
Fase II: determinación de las amenazas e impactos sobre los activos relacionados
Esta fase contempla 2 procesos:
- Identificar y Determinar las Amenazas en Relación a los Activos Críticos.
- Definir la Probabilidad de ocurrencia de una amenaza.
Seguimos con otras dos etapas de la metodología base:
| f) Análisis del impacto | Etapas de la metodología base |
| g) Determinación del Riesgo |
De las etapas anteriores se obtiene la Fase III de la siguiente manera:
Fase III: análisis del impacto y del riesgo
Esta fase contempla 2 procesos:
- Valorizar y Estimar el Impacto sobre los Activos Críticos.
- Analizar y Estimar el Riesgo
Finalmente tomamos las dos últimas etapas de la metodología base:
| h) Recomendaciones de Control | Etapas de la metodología base |
| i) Documentación de resultados |
De las etapas anteriores se obtiene la Fase IV de la siguiente manera:
Fase IV: gestión de riesgos
Esta fase contempla 3 procesos:
- Interpretación de los Resultados
- Determinar Medidas de Seguridad
- Documentación del Proceso de Análisis de los Riesgos
8. Conclusiones
De esta manera hemos logrado implementar un procedimiento que evalúe las distintas situaciones de riesgos. La nueva metodología permitirá analizar y administrar riesgos en los siguientes niveles:
- Evaluación de los activos informáticos sujetos a riesgos.
- Evaluación de los servicios de seguridad o controles existentes.
- Evaluación de amenazas o causas de riesgos.
- Determinación y valoración del daño causado.
- Estimación del nivel de riesgo y determinación de controles.
Es así que pasamos a tener en un esquema mas concentrado de solo 5 etapas tomando las mejores combinaciones de los elementos que manejan las tres metodologías mas difundidas de la administración de los riesgos informáticos.
Se ha verificado en distintos escenarios de estudio que esta simplificación favorece la implementación de la misma en las organizaciones y permite lograr un cambio de paradigma en la toma de decisiones cuando se deben gestionar los riesgos.
Bibliografía - Bibliography
Mehari 2010, Club de la Securite de línformation Français – CLUSIF, Francia.
Google Scholar Index
Article
Metodología de Análisis de Riesgos Informáticos
Publisher: