Revista de Ingeniera Informtica del CIIRM Dep.

Legal: MU-2419-2004 ISSN: 1698-8841

InforMAS

Anlisis y gestin de riesgos de la seguridad de los sistemas de la informacin

por Javier Cao Avellaneda Consultor de Seguridad de la Informacin A menudo solemos or la frase la seguridad es una cadena que siempre se rompe por el eslabn ms dbil. La misin de cualquier responsable de Seguridad Informtica es la gestin del riesgo sobre los sistemas de informacin que trata de proteger. Pero, conoce exactamente cules son todos los eslabones para poder garantizar la seguridad de la cadena?. La fase de anlisis y la gestin de riesgos nos ayuda a identificar todos los activos importantes para la seguridad de los sistemas de informacin, las amenazas que pueden afectarles, identificar la vulnerabilidad de cada uno de ellos frente a estas amenazas y calcular el riesgo existente de un posible impacto sobre el activo. Con toda esta informacin, el responsable de seguridad puede tomar las decisiones pertinentes para implantar medidas de seguridad optimizando el factor riesgo-inversin. Es curioso ver como algunos incidentes de seguridad graves se han producido por pequeos fallos en elementos del sistema de informacin que, respecto a la seguridad, haban sido considerados sin importancia o, no haban sido tenidos en cuenta. Aparece el fenmeno de la bola de nieve, es decir, la acumulacin de pequeos errores en sistemas no muy importantes producen al final un incidente de seguridad muy grave sobre todo el sistema. Por qu se produce este fenmeno?. Unas veces, es debido a que en algn momento del diseo de los sistemas de seguridad se descuidaron las medidas de salvaguarda sobre algn elemento de la cadena de fallo, el que al final se convirti en el eslabn ms dbil. Otras, ocurre que no se identificaron todas las amenazas que podan afectar al sistema o bien no se estimaron correctamente las vulnerabilidades que el sistema presentaba frente a ciertas amenazas. Y otras veces, no se conocen los niveles de dependencia existentes entre los diferentes elementos del sistema de informacin, apareciendo efectos colaterales sobre otros elementos no relacionados en primera instancia con el elemento sobre el que se produce el incidente de seguridad. MAGERIT: Anlisis y Gestin de Riesgos de los Sistemas de la Informacin El Consejo Superior de Informtica ha elaborado la Metodologa de Anlisis y Gestin de Riesgos de los sistemas de informacin, MAGERIT. La razn de ser de MAGERIT est directamente relacionada con la generalizacin del uso de los medios electrnicos, informticos y telemticos, que supone unos beneficios evidentes, pero que tambin dan lugar a ciertos riesgos que deben minimizarse con medidas que garanticen la seguridad y generen confianza en la utilizacin de estos medios. El ciclo de gestin de la seguridad siempre establece como primera etapa el anlisis y la gestin de los riesgos del sistema que tratamos de proteger. Para InforMAS N2
Pgina 1

Revista de Ingeniera Informtica del CIIRM Dep.Legal: MU-2419-2004 ISSN: 1698-8841

InforMAS

una correcta definicin e implantacin de la seguridad, es necesario identificar y determinar los diferentes elementos significativos dentro del entorno de la seguridad de los sistemas de informacin. Elementos de MAGERIT A continuacin definimos brevemente los elementos considerados significativos por MAGERIT para el estudio de la Seguridad en Sistemas de Informacin. Activos: recursos del sistema de informacin o relacionados con ste, necesarios para que la organizacin funcione correctamente y alcance los objetivos propuestos por la direccin. Amenazas: eventos que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materializacin de una amenaza sobre dicho activo. Impacto en un activo: consecuencia sobre ste de la materializacin de una amenaza. Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organizacin Servicio de salvaguarda: accin que reduce el riesgo. Mecanismo de salvaguarda: procedimiento, dispositivo, fsico o lgico, que reduce el riesgo.

La siguiente figura muestra los elementos y sus interrelaciones:

InforMAS N2

Pgina 2

Revista de Ingeniera Informtica del CIIRM Dep.Legal: MU-2419-2004 ISSN: 1698-8841

InforMAS

Descripcin del Proceso de Anlisis y Gestin de Riesgos En el proceso de anlisis y gestin de riesgos de la seguridad en los sistemas de informacin podemos identificar las siguientes etapas: Planificacin En esta fase, se establece el objetivo del proyecto, el dominio de estudio y las restricciones generales. Deben tambin definirse las mtricas con las que se valorarn los diferentes elementos de seguridad, de manera que los resultados finales de medicin del riesgo sean definidos en funcin de los parmetros adecuados para cuantificar el riesgo por la organizacin (por ejemplo, definir la escala de frecuencias para medir la vulnerabilidad, definir las cantidades monetarias por las que cuantificar el impacto, etc). Anlisis de riesgos Una vez definido el dominio, los analistas de riesgos procedern a realizar las entrevistas al personal de la organizacin para la obtencin de informacin. En esta fase se identificarn los activos de la organizacin, identificando las relaciones que se establecen entre activos. De esta forma se obtiene el rbol de activos que representan las distintas dependencias y relaciones entre activos, es decir, todos aquellos elementos que estn encadenados entre s en trminos de seguridad. Tambin se identifican el conjunto de amenazas, estableciendo para cada activo, cual es la vulnerabilidad que presenta frente a dicha amenaza. Adems, se cuantifica el impacto, para el caso en el que la amenaza se materializase. Dado que los activos se encuentran jerarquizados y se encuentran establecidas las relaciones de dependencia entre los activos de las diferentes categoras, hemos conseguido de forma explicita documentar la cadena de fallo en caso de un incidente de seguridad. La experiencia y la sucesiva revisin de la informacin generada en estudios de riesgos anteriores permitirn ajustar de forma ms exacta las diferentes dependencias entre activos. Con toda esta informacin, tendremos una estimacin del costo que podra producir la materializacin de una amenaza sobre un activo. Teniendo en cuenta las relaciones funcionales y de dependencias entre activos, se hallan los valores de riesgo. Gestin de riesgos En esta fase, se procede a la interpretacin del riesgo. Una vez identificado los puntos dbiles, deben seleccionarse el conjunto de funciones de salvaguarda que podran ser usados para disminuir los niveles de riesgo a los valores deseados. Para ello, debern especificarse los mecanismos de salvaguarda que se encuentran implantados hasta ese momento y cual es su grado de cumplimiento.

InforMAS N2

Pgina 3

Revista de Ingeniera Informtica del CIIRM Dep.Legal: MU-2419-2004 ISSN: 1698-8841

InforMAS

Este proceso se ayuda de la simulacin. Se van probando selecciones de diferentes mecanismos de salvaguarda y se estudia en que medida reducen los niveles de riesgo a los mrgenes deseados. Es muy importante realizar las correctas estimaciones de la efectividad de los diferentes mecanismos de salvaguarda para ajustar de forma precisa los valores de riesgo. Seleccin de mecanismos de salvaguarda Una vez obtenidos estos resultados, se establece de nuevo reuniones con el equipo responsable del proyecto de la organizacin en estudio. De esta forma, se analizan los resultados obtenidos y se establece un plan de implantacin de mecanismos. Diferencias entre la Auditoria Informtica y el Anlisis y Gestin de Riesgos Podemos establecer bsicamente las siguientes diferencias entre ambas tareas: La auditoria informtica es un proceso de revisin e inventariado. El anlisis y gestin de riesgos es un proceso de diagnstico y deteccin.

Lo usual es usar la Auditoria Informtica como informacin de retroalimentacin, para analizar en que medida el sistema garantiza la seguridad informtica, pero no ofrece una visin general del sistema, solo puede detectar puntos de fallo concretos sobre cada activo. El Anlisis y Gestin de Riesgos nos aporta mucha ms informacin sobre el sistema. Identifica las relaciones funcionales entre los distintos activos de informacin, analiza todas las posibles contingencias que pueden presentarse. De alguna forma, delimita y establece en contexto de seguridad en el que se encuentra el sistema de informacin, pudiendo con esta informacin elegir de forma ms precisa las herramientas de seguridad necesarias para garantizar los requisitos de seguridad deseados sobre nuestro sistema. Conclusiones El presente artculo ha tratado de ilustrar de una forma sencilla en que consiste el Proceso de Anlisis y Gestin de Riesgos descrito por la metodologa MAGERIT. Por desgracia, la velocidad a la que se estn produciendo los cambios en la gestin de los sistemas de informacin, nos llevan a tratar de solucionar los problemas de la forma ms rpida posible. Estamos contemplando como, en materia de Seguridad Informtica, este fenmeno est produciendo en algunas organizaciones el descuido en la proteccin de sus activos. No se llega a entender que actualmente, gran parte del valor de una organizacin es la informacin que posee, y que estos activos deben ser protegidos como el preciado valor que tienen, aunque se trate de un elemento difcil de valorar econmicamente. Si bien se est realizando un gran esfuerzo, tanto por parte de los profesionales de la informtica, como por parte de los directivos de las distintas organizaciones por solucionar esta situacin, ello nos InforMAS N2

Pgina 4

Revista de Ingeniera Informtica del CIIRM Dep.Legal: MU-2419-2004 ISSN: 1698-8841

InforMAS

lleva sin ninguna duda, a justificar de una forma ms contundente la necesaria formalizacin de las tareas relativas a la Seguridad de la Informacin.

Procesos bsicos del ciclo de seguridad La figura 2 muestra los procesos bsicos de seguridad. La actual situacin debido a la velocidad de los cambios slo permite a muchas organizaciones realizar las tareas de Implantacin y Revisin de los sistemas como su ciclo de seguridad informtica. Es necesario que las organizaciones dispongan de un rea dedicada exclusivamente a la seguridad de la informacin, y es necesario analizar y disear adecuadamente los sistemas de informacin para que garanticen los requisitos de proteccin de los activos que se manejan. Para ello, la concienciacin de los altos directivos en la importancia que tienen estas tareas es un primer paso y son ellos quienes deben establecer los requisitos de seguridad de los sistemas de informacin que manejan. Esta parte formal de la seguridad, es necesaria para realizar diseos de arquitecturas y seleccin de mecanismos de seguridad coherentes con la Poltica de Seguridad de la organizacin por parte del rea tcnica. Sin duda, la fase de Anlisis y Gestin de Riesgos aporta una informacin muy til tanto a altos directivos que pueden conocer de forma ms precisa cual es el entorno de su sistema de informacin y por tanto tomar mejores decisiones como a las reas tcnicas, a las que proporciona medios de diagnstico de sistemas, pudiendo seleccionar los mecanismos de salvaguarda que optimicen la inversin en Seguridad Informtica con la que se dote a la organizacin en su presupuesto.

InforMAS N2

Pgina 5

Revista de Ingeniera Informtica del CIIRM Dep.Legal: MU-2419-2004 ISSN: 1698-8841

InforMAS

Fecha: 07/03/2005 Recursos relacionados: MAGERIT. Consejo Superior de Informtica, Ministerio de Administraciones Pblicas http://www.csi.map.es/csi/pg5m20.htm

InforMAS N2

Pgina 6