Technical note |
||||||||||||||
Metodología de Análisis de Riesgos Informáticos
Jorge Esteban Eterovic
Universidad Nacional de La Matanza, San Justo,Argentina jorge_eterovic@yahoo.com.ar Gustavo A. Pagliari Universidad Nacional de Río Negro, Río Negro, Argentina gapagli@yahoo.com.ar
Resumen En éste trabajo se presenta una metodología de rápida aplicación que implementa los pasos necesarios para analizar un sistema, identificar las amenazas, las vulnerabilidades asociadas, calcular la probabilidad de ocurrencia de esas amenazas, determinar del impacto en caso de su materialización y por ultimo la obtención del riesgo al que se está expuesto. Así, esta metodología sería una herramienta de fácil implementación en una organización mediana ó pequeña que le permitiría identificar y gestionar los riesgos de tecnología de la información. El análisis de riesgos es el primer punto de la gestión de la seguridad de la información de una organización, y es necesario para realizar la gestión de los riesgos, es decir, tomar la decisión de eliminarlos, ignorarlos, transferirlos o mitigarlos y controlarlos, es decir realizar la gestión de riesgos.
Introducción El proceso para desarrollar la nueva metodología comenzó con la investigación y el estudio pormenorizado de las principales metodologías existentes en el mercado para al análisis de los riesgos informáticos. En éste trabajo se presenta el análisis de las tres metodologías mas usadas, con el fin de determinar en forma detallada sobre como es su funcionamiento y cuáles son sus fortalezas y debilidades. Las metodologías estudiadas son Magerit, Octave y Mehari. Como resultado de este análisis se identificaron e incorporaron esas fortalezas en el diseño de la nueva metodología de análisis de riesgos informáticos en cuestión. Los límites en el alcance de este trabajo fueron no haber incorporado elementos de otras metodologías existentes, fuera de las que no se mencionaron anteriormente. Esto nos permitió obtener los mejores elementos de cada una de estas metodologías a fin de diseñar y obtener una nueva a partir de ellos. 2. Objetivos de las metodologías Tanto las tres metodologías estudiadas como la que se desarrollará tienen por objetivo los siguientes puntos:
3.Enfoques del análisis de riesgos Existe una serie de diferentes enfoques para realizar el análisis de riesgos pero, en esencia, suelen dividirse en dos tipos fundamentales:
El enfoque utilizado para el desarrollo de esta metodología es el cuantitativo. 3.1. Enfoque cuantitativo del análisis de riesgos Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un evento y el impacto que ocasionaría la probable pérdida en caso de que ocurra el citado evento. El enfoque cuantitativo de análisis de riesgos consiste en la obtención de un valor a partir del producto de estos elementos. La forma de calcularlo, para un evento dado, es realizando la multiplicación del valor de la pérdida potencial por el valor de la probabilidad de ocurrencia. De esta manera es prácticamente concreto y posible valorar los eventos y calcular el riesgo a fin de tomar las decisiones correspondientes. Son numerosas las organizaciones que han adoptado y aplicado con éxito el análisis de riesgo cuantitativo. De hecho se recomienda fuertemente comenzar con un análisis de riesgo cuantitativo y luego, si el negocio lo amerita, hacer un análisis cualitativo. 4. Descripción de la metodología básica Para el diseño y desarrollo de la nueva metodología de análisis de riesgos informáticos se partió de una metodología base, de la cual se procede a continuación a dar una breve descripción de cada una de sus etapas:
5.Lisis de la metodología base Se realizó un estudio detallado de cada uno de los elementos funcionales que intervienen en cada etapa de la metodología a fin de determinar los puntos débiles que la misma presenta. En síntesis se obtuvo como resultado lo siguiente:
6. Análisis funcional de las metodologías Magerit, Octave y Mehari
Del análisis de cada una de ellas se identificó como elementos funcionales importantes a incorporar en la metodología básica los siguientes: 6.1. Principales elementos de Magerit
6.2. Principales elementos de Octave
6.3. Principales elementos de Mehari
6.4. Aportes seleccionados para agregar a la nueva metodología base
7. Diseño de fases y procesos de la nueva metodología de análisis de riesgos informáticos
En este punto de desarrollo, se procedió a rediseñar la metodología base modificando e incorporando nuevos elementos y valores que nos proporcionen una metodología nueva y consistente y que a su vez nos permita aplicarla a la realidad organizacional en cuanto a riesgos informáticos se trate. El procedimiento se llevó a cabo a través de unificar etapas de la metodología básica con similitudes y características propias de cada una de ellas, logrando obtener como resultado cuatros fases y con procedimientos implementados en cada uno de ellos. A continuación se detalla una breve descripción de cómo se abordó el diseño de estas cuatro fases mencionadas:
De las etapas anteriores se obtiene la Fase I de la siguiente manera: Fase I: identificación y evaluación de los elementos críticos de la organización Esta fase contempla 2 procesos:
Continuando de igual manera con otras dos etapas de la metodología base, tenemos:
De las etapas anteriores se obtiene la Fase II de la siguiente manera: Fase II: determinación de las amenazas e impactos sobre los activos relacionados Esta fase contempla 2 procesos:
Seguimos con otras dos etapas de la metodología base:
De las etapas anteriores se obtiene la Fase III de la siguiente manera: Fase III: análisis del impacto y del riesgo Esta fase contempla 2 procesos:
Finalmente tomamos las dos últimas etapas de la metodología base:
De las etapas anteriores se obtiene la Fase IV de la siguiente manera: Fase IV: gestión de riesgos Esta fase contempla 3 procesos:
8. Conclusiones De esta manera hemos logrado implementar un procedimiento que evalúe las distintas situaciones de riesgos. La nueva metodología permitirá analizar y administrar riesgos en los siguientes niveles:
Es así que pasamos a tener en un esquema mas concentrado de solo 5 etapas tomando las mejores combinaciones de los elementos que manejan las tres metodologías mas difundidas de la administración de los riesgos informáticos. Se ha verificado en distintos escenarios de estudio que esta simplificación favorece la implementación de la misma en las organizaciones y permite lograr un cambio de paradigma en la toma de decisiones cuando se deben gestionar los riesgos. 9. Bibliografía Norma IRAM-ISO/IEC 27005 - Tecnología de la información. Técnicas de seguridad. Gestión del riesgo de seguridad en la información, 2008, Instituto Argentino de Normalización y Certificación Mañas. José Antonio, 2006, MAGERIT – versión 2. Metodología de análisis y Gestión de Riesgos de los Sistemas de Información. Ministerio de Administraciones Públicas. España. Mehari 2010, Club de la Securite de línformation Français – CLUSIF, Francia Christopher J. Alberts; Audrey J. Dorofee y Julia H. Allen, 2001, OCTAVE catalogue of practices, version 2.0, Carnegie Mellon, Software Engineering Institute, USA.
|
||||||||||||||
Recibido el: 25-01-2011; Aprobado el: 03-01-2011 | ||||||||||||||
Técnica Administrativa |
Vol.:10 | |||||||||||||
URL http://www.cyta.com.ar/ta1001/v10n1a3.htm |