Ilustre Colegio de Ingenieros en Informática de la Región de Murcia
Ilustre Colegio de Ingenieros en Informática de la Región de Murcia
Nº2-Abril '05
 
 

 

 

 

 
Publicación Trimestral
buscar 
InforMAS. Revista de Ingeniería Informática del CIIRM - Análisis y gestión de riesgos de la seguridad de los sistemas de la información
Detalle del Artículo
artículo  Análisis y gestión de riesgos de la seguridad de los sistemas de la información
por Javier Cao Avellaneda. Consultor de Seguridad de la Información 
Javier Cao Avellaneda A menudo solemos oír la frase "la seguridad es una cadena que siempre se rompe por el eslabón más débil". La misión de cualquier responsable de Seguridad Informática es la gestión del riesgo sobre los sistemas de información que trata de proteger. Pero, ¿conoce exactamente cuáles son todos los eslabones para poder garantizar la seguridad de la cadena?. La fase de análisis y la gestión de riesgos nos ayuda a identificar todos los activos importantes para la seguridad de los sistemas de información, las amenazas que pueden afectarles, identificar la vulnerabilidad de cada uno de ellos frente a estas amenazas y calcular el riesgo existente de un posible impacto sobre el activo. Con toda esta información, el responsable de seguridad puede tomar las decisiones pertinentes para implantar medidas de seguridad optimizando el factor riesgo-inversión.

Es curioso ver como algunos incidentes de seguridad graves se han producido por pequeños fallos en elementos del sistema de información que, respecto a la seguridad, habían sido considerados sin importancia o, no habían sido tenidos en cuenta. Aparece el fenómeno de "la bola de nieve", es decir, la acumulación de pequeños errores en sistemas no muy importantes producen al final un incidente de seguridad muy grave sobre todo el sistema.

¿Por qué se produce este fenómeno?. Unas veces, es debido a que en algún momento del diseño de los sistemas de seguridad se descuidaron las medidas de salvaguarda sobre algún elemento de la cadena de fallo, el que al final se convirtió en el eslabón más débil. Otras, ocurre que no se identificaron todas las amenazas que podían afectar al sistema o bien no se estimaron correctamente las vulnerabilidades que el sistema presentaba frente a ciertas amenazas. Y otras veces, no se conocen los niveles de dependencia existentes entre los diferentes elementos del sistema de información, apareciendo efectos colaterales sobre otros elementos no relacionados en primera instancia con el elemento sobre el que se produce el incidente de seguridad.

MAGERIT: Análisis y Gestión de Riesgos de los Sistemas de la Información

El Consejo Superior de Informática ha elaborado la Metodología de Análisis y Gestión de Riesgos de los sistemas de información, MAGERIT. La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes, pero que también dan lugar a ciertos riesgos que deben minimizarse con medidas que garanticen la seguridad y generen confianza en la utilización de estos medios.

El ciclo de gestión de la seguridad siempre establece como primera etapa el análisis y la gestión de los riesgos del sistema que tratamos de proteger. Para una correcta definición e implantación de la seguridad, es necesario identificar y determinar los diferentes elementos significativos dentro del entorno de la seguridad de los sistemas de información.

Elementos de MAGERIT

A continuación definimos brevemente los elementos considerados significativos por MAGERIT para el estudio de la Seguridad en Sistemas de Información.
  • Activos: recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección.
  • Amenazas: eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
  • Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo.
  • Impacto en un activo: consecuencia sobre éste de la materialización de una amenaza.
  • Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organización
  • Servicio de salvaguarda: acción que reduce el riesgo.
  • Mecanismo de salvaguarda: procedimiento, dispositivo, físico o lógico, que reduce el riesgo.
La siguiente figura muestra los elementos y sus interrelaciones:

Elementos significativos de Magerit y sus interrelaciones


Descripción del Proceso de Análisis y Gestión de Riesgos

En el proceso de análisis y gestión de riesgos de la seguridad en los sistemas de información podemos identificar las siguientes etapas:
  • Planificación
    En esta fase, se establece el objetivo del proyecto, el dominio de estudio y las restricciones generales. Deben también definirse las métricas con las que se valorarán los diferentes elementos de seguridad, de manera que los resultados finales de medición del riesgo sean definidos en función de los parámetros adecuados para cuantificar el riesgo por la organización (por ejemplo, definir la escala de frecuencias para medir la vulnerabilidad, definir las cantidades monetarias por las que cuantificar el impacto, etc).

  • Análisis de riesgos
    Una vez definido el dominio, los analistas de riesgos procederán a realizar las entrevistas al personal de la organización para la obtención de información. En esta fase se identificarán los activos de la organización, identificando las relaciones que se establecen entre activos. De esta forma se obtiene el "árbol de activos" que representan las distintas dependencias y relaciones entre activos, es decir, todos aquellos elementos que están "encadenados entre sí" en términos de seguridad.
    También se identifican el conjunto de amenazas, estableciendo para cada activo, cual es la vulnerabilidad que presenta frente a dicha amenaza. Además, se cuantifica el impacto, para el caso en el que la amenaza se materializase.
    Dado que los activos se encuentran jerarquizados y se encuentran establecidas las relaciones de dependencia entre los activos de las diferentes categorías, hemos conseguido de forma explicita documentar la "cadena de fallo" en caso de un incidente de seguridad.
    La experiencia y la sucesiva revisión de la información generada en estudios de riesgos anteriores permitirán ajustar de forma más exacta las diferentes dependencias entre activos. Con toda esta información, tendremos una estimación del costo que podría producir la materialización de una amenaza sobre un activo. Teniendo en cuenta las relaciones funcionales y de dependencias entre activos, se hallan los valores de riesgo.

  • Gestión de riesgos
    En esta fase, se procede a la interpretación del riesgo. Una vez identificado los puntos débiles, deben seleccionarse el conjunto de funciones de salvaguarda que podrían ser usados para disminuir los niveles de riesgo a los valores deseados. Para ello, deberán especificarse los mecanismos de salvaguarda que se encuentran implantados hasta ese momento y cual es su grado de cumplimiento.
    Este proceso se ayuda de la simulación. Se van probando selecciones de diferentes mecanismos de salvaguarda y se estudia en que medida reducen los niveles de riesgo a los márgenes deseados. Es muy importante realizar las correctas estimaciones de la efectividad de los diferentes mecanismos de salvaguarda para ajustar de forma precisa los valores de riesgo.

  • Selección de mecanismos de salvaguarda
    Una vez obtenidos estos resultados, se establece de nuevo reuniones con el equipo responsable del proyecto de la organización en estudio. De esta forma, se analizan los resultados obtenidos y se establece un plan de implantación de mecanismos.
Diferencias entre la Auditoria Informática y el Análisis y Gestión de Riesgos

Podemos establecer básicamente las siguientes diferencias entre ambas tareas:
  • La auditoria informática es un proceso de revisión e inventariado.
  • El análisis y gestión de riesgos es un proceso de diagnóstico y detección.
Lo usual es usar la Auditoria Informática como información de retroalimentación, para analizar en que medida el sistema garantiza la seguridad informática, pero no ofrece una visión general del sistema, solo puede detectar puntos de fallo concretos sobre cada activo.

El Análisis y Gestión de Riesgos nos aporta mucha más información sobre el sistema. Identifica las relaciones funcionales entre los distintos activos de información, analiza todas las posibles contingencias que pueden presentarse. De alguna forma, delimita y establece en contexto de seguridad en el que se encuentra el sistema de información, pudiendo con esta información elegir de forma más precisa las herramientas de seguridad necesarias para garantizar los requisitos de seguridad deseados sobre nuestro sistema.

Conclusiones

El presente artículo ha tratado de ilustrar de una forma sencilla en que consiste el Proceso de Análisis y Gestión de Riesgos descrito por la metodología MAGERIT. Por desgracia, la velocidad a la que se están produciendo los cambios en la gestión de los sistemas de información, nos llevan a tratar de solucionar los problemas de la forma más rápida posible. Estamos contemplando como, en materia de Seguridad Informática, este fenómeno está produciendo en algunas organizaciones el descuido en la protección de sus activos. No se llega a entender que actualmente, gran parte del valor de una organización es la información que posee, y que estos activos deben ser protegidos como el preciado valor que tienen, aunque se trate de un elemento difícil de valorar económicamente. Si bien se está realizando un gran esfuerzo, tanto por parte de los profesionales de la informática, como por parte de los directivos de las distintas organizaciones por solucionar esta situación, ello nos lleva sin ninguna duda, a justificar de una forma más contundente la necesaria formalización de las tareas relativas a la Seguridad de la Información.

Procesos básicos del ciclo de seguridad

          Procesos básicos del ciclo de seguridad


La figura 2 muestra los procesos básicos de seguridad. La actual situación debido a la velocidad de los cambios solo permite a muchas organizaciones realizar las tareas de Implantación y Revisión de los sistemas como su ciclo de seguridad informática.

Es necesario que las organizaciones dispongan de un área dedicada exclusivamente a la seguridad de la información, y es necesario analizar y diseñar adecuadamente los sistemas de información para que garanticen los requisitos de protección de los activos que se manejan. Para ello, la concienciación de los altos directivos en la importancia que tienen estas tareas es un primer paso y son ellos quienes deben establecer los requisitos de seguridad de los sistemas de información que manejan. Esta parte formal de la seguridad, es necesaria para realizar diseños de arquitecturas y selección de mecanismos de seguridad coherentes con la Política de Seguridad de la organización por parte de el área técnica.

Sin duda, la fase de Análisis y Gestión de Riesgos aporta una información muy útil tanto a altos directivos que pueden conocer de forma más precisa cual es el entorno de su sistema de información y por tanto tomar mejores decisiones como a las áreas técnicas, a las que proporciona medios de diagnóstico de sistemas, pudiendo seleccionar los mecanismos de salvaguarda que optimicen la inversión en Seguridad Informática con la que se dote a la organización en su presupuesto.

Fecha: 7/3/2005
Recursos relacionados:

enlace MAGERIT. Consejo Superior de Informática, Ministerio de Administraciones Públicas
http://www.csi.map.es/csi/pg5m20.htm

InforMAS. Revista de Ingeniería Informática del Colegio de Ingenieros en Informática de la Región de Murcia
Diseño e ingeniería por Juan Pedro Rubio Hernández
Avda. de la Libertad, 3, 2º-C, Murcia 30009
Telf 968285488 / Fax 968285385
Email: info@cii-murcia.es
InforMAS. Revista de Ingeniería Informática del CIIRM. Depósito Legal: MU-2419-2004 ISSN: 1689-8841