Technical note

 

Metodología de Análisis de Riesgos Informáticos

 

Jorge Esteban Eterovic
Universidad Nacional de La Matanza, San Justo,Argentina
jorge_eterovic@yahoo.com.ar

Gustavo A. Pagliari
Universidad Nacional de Río Negro, Río Negro, Argentina
gapagli@yahoo.com.ar

 

Resumen

En éste trabajo se presenta una metodología de rápida aplicación que implementa los pasos necesarios para analizar un sistema, identificar las amenazas, las vulnerabilidades asociadas, calcular la probabilidad de ocurrencia de esas amenazas, determinar del impacto en caso de su materialización y por ultimo la obtención del riesgo al que se está expuesto. Así, esta metodología sería una herramienta de fácil implementación en una organización mediana ó pequeña que le permitiría identificar y gestionar los riesgos de tecnología de la información. El análisis de riesgos es el primer punto de la gestión de la seguridad de la información de una organización, y es necesario para realizar la gestión de los riesgos, es decir, tomar la decisión de eliminarlos, ignorarlos, transferirlos o mitigarlos y controlarlos, es decir realizar la gestión de riesgos.


Introducción

El proceso para desarrollar la nueva metodología comenzó con la investigación y el estudio pormenorizado de las principales metodologías existentes en el mercado para al análisis de los riesgos informáticos.

En éste trabajo se presenta el análisis de las tres metodologías mas usadas, con el fin de determinar en forma detallada sobre como es su funcionamiento y cuáles son sus fortalezas y debilidades. Las metodologías estudiadas son Magerit, Octave y Mehari.

Como resultado de este análisis se identificaron e incorporaron esas fortalezas en el diseño de la nueva metodología de análisis de riesgos informáticos en cuestión. Los límites en el alcance de este trabajo fueron no haber incorporado elementos de otras metodologías existentes, fuera de las que no se mencionaron anteriormente.

Esto nos permitió obtener los mejores elementos de cada una de estas metodologías a fin de diseñar y obtener una nueva a partir de ellos.

2. Objetivos de las metodologías

Tanto las tres metodologías estudiadas como la que se desarrollará tienen por objetivo los siguientes puntos:

  • Planificación de la reducción de riesgos
  • Planificación de la prevención de accidentes
  • Visualización y detección de las debilidades existentes en los sistemas
  • Ayuda en la toma de las mejores decisiones en materia de seguridad de la información

3.Enfoques del análisis de riesgos

Existe una serie de diferentes enfoques para realizar el análisis de riesgos pero, en esencia, suelen dividirse en dos tipos fundamentales:

  • cuantitativos
  • cualitativos.

El enfoque utilizado para el desarrollo de esta metodología es el cuantitativo.

3.1. Enfoque cuantitativo del análisis de riesgos

Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un evento y el impacto que ocasionaría la probable pérdida en caso de que ocurra el citado evento.

El enfoque cuantitativo de análisis de riesgos consiste en la obtención de un valor a partir del producto de estos elementos. La forma de calcularlo, para un evento dado, es realizando la multiplicación del valor de la pérdida potencial por el valor de la probabilidad de ocurrencia. De esta manera es prácticamente concreto y posible valorar los eventos y calcular el riesgo a fin de tomar las decisiones correspondientes.

Son numerosas las organizaciones que han adoptado y aplicado con éxito el análisis de riesgo cuantitativo. De hecho se recomienda fuertemente comenzar con un análisis de riesgo cuantitativo y luego, si el negocio lo amerita, hacer un análisis cualitativo.

4. Descripción de la metodología básica

Para el diseño y desarrollo de la nueva metodología de análisis de riesgos informáticos se partió de una metodología base, de la cual se procede a continuación a dar una breve descripción de cada una de sus etapas:

  • Caracterización del sistema
  • Identificación de amenazas
  • Identificación de vulnerabilidades
  • Análisis de controles
  • Determinación de la probabilidad de ocurrencia
  • Análisis de impacto
  • Determinación del riesgo
  • Recomendaciones de control
  • Documentación de resultados

5.Lisis de la metodología base

Se realizó un estudio detallado de cada uno de los elementos funcionales que intervienen en cada etapa de la metodología a fin de determinar los puntos débiles que la misma presenta. En síntesis se obtuvo como resultado lo siguiente:

  • Escasez de material teórico para cada una de las etapas.
  • Ausencia de un procedimiento práctico que mida las debilidades y calidad de los servicios de seguridad.
  • Las escalas de la probabilidad de ocurrencia, impacto y del riesgo presentan niveles simples de valoración.
  • Ausencia de un análisis de la frecuencia de una amenaza.
  • Ausencia de un método que registre el nivel del impacto y del riesgo en sus reales dimensiones.
  • Falta de un mecanismo o procedimiento práctico que permita  la interpretación de los resultados obtenidos.

6. Análisis funcional de las metodologías Magerit, Octave y Mehari

Magerit

  • Análisis de Riesgos
  • Gestión de Riesgos

Octave

  • Construcción de los Perfiles de Amenazas Basados en Activos
  • Identificación de la Infraestructura de Vulnerabilidades
  • Desarrollo de Planes y Estrategias de Seguridad

Mehari

  • Diagnóstico de Seguridad
  • Análisis de los Intereses Implicados por la Seguridad
  • Análisis de Riesgos

Del análisis de cada una de ellas se identificó como elementos funcionales importantes a incorporar en la metodología básica los siguientes:

6.1. Principales elementos de Magerit

  • Escalas de valores cualitativos, cuantitativos y de indisponibilidad del servicio.
  • Modelo de frecuencia de una amenaza como una tasa anual de ocurrencia.
  • Escala alternativa de estimación del riesgo.
  • Catálogos de amenazas
  • Catálogos de medidas de control

6.2. Principales elementos de Octave

  • Medidas de probabilidad considerando un rango de frecuencias.
  • Análisis del límite entre niveles de probabilidad.

6.3. Principales elementos de Mehari

  • Niveles de categorías de controles
  • Niveles de calidad de los servicios de seguridad
  • Evaluación de la calidad del servicio por medio de cuestionarios
  • Tabla modelo de impactos

6.4. Aportes seleccionados para agregar a la nueva metodología base

  • Reestructuración de escala de niveles de probabilidad de ocurrencia de una amenaza.
  • Reestructuración de escala de niveles de valoración del impacto.
  • Reestructuración de escala de niveles de determinación del riesgo.
  • Incorporación de nuevo material bibliográfico aportado por las metodologías investigadas.

7. Diseño de fases y procesos de la nueva metodología de análisis de riesgos informáticos

 

En este punto de desarrollo, se procedió a rediseñar la metodología base modificando e incorporando nuevos elementos y valores que nos proporcionen una metodología nueva y consistente y que a su vez nos permita aplicarla a la realidad organizacional en cuanto a riesgos informáticos se trate.

El procedimiento se llevó a cabo a través de unificar etapas de la metodología básica con similitudes y características propias de cada una de ellas, logrando obtener como resultado cuatros fases y con procedimientos implementados en cada uno de ellos.

A continuación se detalla una breve descripción de cómo se abordó el diseño de estas cuatro fases mencionadas:

a) Caracterización del sistema etapas de la metodología base
c) Identificación de vulnerabilidades
d) Análisis de controles

 

De las etapas anteriores se obtiene la Fase I de la siguiente manera:

Fase I: identificación y evaluación de los elementos críticos de la organización

Esta fase contempla 2 procesos:

  1. Identificar, Analizar y Valorar los Activos de la Organización.
  2. Analizar la Vulnerabilidad y Determinar la Calidad de los Controles o  Servicios de Seguridad

Continuando de igual manera con otras dos etapas de la metodología base, tenemos:

b) Identificación de amenazas Etapas de la metodología base
e) Determinación de la probabilidad de ocurrencia

 

De las etapas anteriores se obtiene la Fase II de la siguiente manera:

Fase II: determinación de las amenazas e impactos sobre los activos relacionados

Esta fase contempla 2 procesos:

  1. Identificar y Determinar las Amenazas en Relación a los Activos Críticos.
  2. Definir la Probabilidad de ocurrencia de una amenaza.

Seguimos con otras dos etapas de la metodología base:

f) Análisis del impacto Etapas de la metodología base
g) Determinación del Riesgo

 

De las etapas anteriores se obtiene la Fase III de la siguiente manera:

Fase III: análisis del impacto y del riesgo

Esta fase contempla 2 procesos:

  1. Valorizar y Estimar el Impacto sobre los Activos Críticos.
  2. Analizar y Estimar el Riesgo

Finalmente tomamos las dos últimas etapas de la metodología base:

h) Recomendaciones de Control Etapas de la metodología base
i) Documentación de resultados

 

De las etapas anteriores se obtiene la Fase IV de la siguiente manera:

Fase IV: gestión de riesgos

Esta fase contempla 3 procesos:

  1. Interpretación de los Resultados
  2. Determinar Medidas de Seguridad
  3. Documentación del Proceso de Análisis de los Riesgos

8. Conclusiones

De esta manera hemos logrado implementar un procedimiento que evalúe las distintas situaciones de riesgos. La nueva metodología permitirá analizar y administrar riesgos en los siguientes niveles:

  • Evaluación de los activos informáticos sujetos a riesgos.
  • Evaluación de los servicios de seguridad o controles existentes.
  • Evaluación de amenazas o causas de riesgos.
  • Determinación y valoración del daño causado.
  • Estimación del nivel de riesgo y determinación de controles.

Es así que pasamos a tener en un esquema mas concentrado de solo 5 etapas tomando las mejores combinaciones de los elementos que manejan las tres metodologías mas difundidas de la administración de los riesgos informáticos.

Se ha verificado en distintos escenarios de estudio que esta simplificación favorece la implementación de la misma en las organizaciones y permite lograr un cambio de paradigma en la toma de decisiones cuando se deben gestionar los riesgos.

9. Bibliografía

Norma IRAM-ISO/IEC 27005 - Tecnología de la información. Técnicas de seguridad. Gestión del riesgo de seguridad en la información, 2008, Instituto Argentino de Normalización y Certificación

Mañas. José Antonio,  2006, MAGERIT – versión 2. Metodología de análisis y Gestión de Riesgos de los Sistemas de Información. Ministerio de Administraciones Públicas. España.

Mehari 2010, Club de la Securite de línformation Français – CLUSIF, Francia

Christopher J. Alberts; Audrey J. Dorofee y Julia H. Allen, 2001, OCTAVE catalogue of practices, version 2.0, Carnegie Mellon, Software Engineering Institute, USA.

 
Recibido el: 25-01-2011; Aprobado el: 03-01-2011

Técnica Administrativa
ISSN 1666-1680

http://www.cyta.com.ar -

Vol.:10
Nro.:01
Buenos Aires, 15-01-2011

URL http://www.cyta.com.ar/ta1001/v10n1a3.htm