Professional Documents
Culture Documents
InforMAS
InforMAS
una correcta definicin e implantacin de la seguridad, es necesario identificar y determinar los diferentes elementos significativos dentro del entorno de la seguridad de los sistemas de informacin. Elementos de MAGERIT A continuacin definimos brevemente los elementos considerados significativos por MAGERIT para el estudio de la Seguridad en Sistemas de Informacin. Activos: recursos del sistema de informacin o relacionados con ste, necesarios para que la organizacin funcione correctamente y alcance los objetivos propuestos por la direccin. Amenazas: eventos que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materializacin de una amenaza sobre dicho activo. Impacto en un activo: consecuencia sobre ste de la materializacin de una amenaza. Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organizacin Servicio de salvaguarda: accin que reduce el riesgo. Mecanismo de salvaguarda: procedimiento, dispositivo, fsico o lgico, que reduce el riesgo.
InforMAS N2
Pgina 2
InforMAS
Descripcin del Proceso de Anlisis y Gestin de Riesgos En el proceso de anlisis y gestin de riesgos de la seguridad en los sistemas de informacin podemos identificar las siguientes etapas: Planificacin En esta fase, se establece el objetivo del proyecto, el dominio de estudio y las restricciones generales. Deben tambin definirse las mtricas con las que se valorarn los diferentes elementos de seguridad, de manera que los resultados finales de medicin del riesgo sean definidos en funcin de los parmetros adecuados para cuantificar el riesgo por la organizacin (por ejemplo, definir la escala de frecuencias para medir la vulnerabilidad, definir las cantidades monetarias por las que cuantificar el impacto, etc). Anlisis de riesgos Una vez definido el dominio, los analistas de riesgos procedern a realizar las entrevistas al personal de la organizacin para la obtencin de informacin. En esta fase se identificarn los activos de la organizacin, identificando las relaciones que se establecen entre activos. De esta forma se obtiene el rbol de activos que representan las distintas dependencias y relaciones entre activos, es decir, todos aquellos elementos que estn encadenados entre s en trminos de seguridad. Tambin se identifican el conjunto de amenazas, estableciendo para cada activo, cual es la vulnerabilidad que presenta frente a dicha amenaza. Adems, se cuantifica el impacto, para el caso en el que la amenaza se materializase. Dado que los activos se encuentran jerarquizados y se encuentran establecidas las relaciones de dependencia entre los activos de las diferentes categoras, hemos conseguido de forma explicita documentar la cadena de fallo en caso de un incidente de seguridad. La experiencia y la sucesiva revisin de la informacin generada en estudios de riesgos anteriores permitirn ajustar de forma ms exacta las diferentes dependencias entre activos. Con toda esta informacin, tendremos una estimacin del costo que podra producir la materializacin de una amenaza sobre un activo. Teniendo en cuenta las relaciones funcionales y de dependencias entre activos, se hallan los valores de riesgo. Gestin de riesgos En esta fase, se procede a la interpretacin del riesgo. Una vez identificado los puntos dbiles, deben seleccionarse el conjunto de funciones de salvaguarda que podran ser usados para disminuir los niveles de riesgo a los valores deseados. Para ello, debern especificarse los mecanismos de salvaguarda que se encuentran implantados hasta ese momento y cual es su grado de cumplimiento.
InforMAS N2
Pgina 3
InforMAS
Este proceso se ayuda de la simulacin. Se van probando selecciones de diferentes mecanismos de salvaguarda y se estudia en que medida reducen los niveles de riesgo a los mrgenes deseados. Es muy importante realizar las correctas estimaciones de la efectividad de los diferentes mecanismos de salvaguarda para ajustar de forma precisa los valores de riesgo. Seleccin de mecanismos de salvaguarda Una vez obtenidos estos resultados, se establece de nuevo reuniones con el equipo responsable del proyecto de la organizacin en estudio. De esta forma, se analizan los resultados obtenidos y se establece un plan de implantacin de mecanismos. Diferencias entre la Auditoria Informtica y el Anlisis y Gestin de Riesgos Podemos establecer bsicamente las siguientes diferencias entre ambas tareas: La auditoria informtica es un proceso de revisin e inventariado. El anlisis y gestin de riesgos es un proceso de diagnstico y deteccin.
Lo usual es usar la Auditoria Informtica como informacin de retroalimentacin, para analizar en que medida el sistema garantiza la seguridad informtica, pero no ofrece una visin general del sistema, solo puede detectar puntos de fallo concretos sobre cada activo. El Anlisis y Gestin de Riesgos nos aporta mucha ms informacin sobre el sistema. Identifica las relaciones funcionales entre los distintos activos de informacin, analiza todas las posibles contingencias que pueden presentarse. De alguna forma, delimita y establece en contexto de seguridad en el que se encuentra el sistema de informacin, pudiendo con esta informacin elegir de forma ms precisa las herramientas de seguridad necesarias para garantizar los requisitos de seguridad deseados sobre nuestro sistema. Conclusiones El presente artculo ha tratado de ilustrar de una forma sencilla en que consiste el Proceso de Anlisis y Gestin de Riesgos descrito por la metodologa MAGERIT. Por desgracia, la velocidad a la que se estn produciendo los cambios en la gestin de los sistemas de informacin, nos llevan a tratar de solucionar los problemas de la forma ms rpida posible. Estamos contemplando como, en materia de Seguridad Informtica, este fenmeno est produciendo en algunas organizaciones el descuido en la proteccin de sus activos. No se llega a entender que actualmente, gran parte del valor de una organizacin es la informacin que posee, y que estos activos deben ser protegidos como el preciado valor que tienen, aunque se trate de un elemento difcil de valorar econmicamente. Si bien se est realizando un gran esfuerzo, tanto por parte de los profesionales de la informtica, como por parte de los directivos de las distintas organizaciones por solucionar esta situacin, ello nos InforMAS N2
Pgina 4
InforMAS
lleva sin ninguna duda, a justificar de una forma ms contundente la necesaria formalizacin de las tareas relativas a la Seguridad de la Informacin.
Procesos bsicos del ciclo de seguridad La figura 2 muestra los procesos bsicos de seguridad. La actual situacin debido a la velocidad de los cambios slo permite a muchas organizaciones realizar las tareas de Implantacin y Revisin de los sistemas como su ciclo de seguridad informtica. Es necesario que las organizaciones dispongan de un rea dedicada exclusivamente a la seguridad de la informacin, y es necesario analizar y disear adecuadamente los sistemas de informacin para que garanticen los requisitos de proteccin de los activos que se manejan. Para ello, la concienciacin de los altos directivos en la importancia que tienen estas tareas es un primer paso y son ellos quienes deben establecer los requisitos de seguridad de los sistemas de informacin que manejan. Esta parte formal de la seguridad, es necesaria para realizar diseos de arquitecturas y seleccin de mecanismos de seguridad coherentes con la Poltica de Seguridad de la organizacin por parte del rea tcnica. Sin duda, la fase de Anlisis y Gestin de Riesgos aporta una informacin muy til tanto a altos directivos que pueden conocer de forma ms precisa cual es el entorno de su sistema de informacin y por tanto tomar mejores decisiones como a las reas tcnicas, a las que proporciona medios de diagnstico de sistemas, pudiendo seleccionar los mecanismos de salvaguarda que optimicen la inversin en Seguridad Informtica con la que se dote a la organizacin en su presupuesto.
InforMAS N2
Pgina 5
InforMAS
Fecha: 07/03/2005 Recursos relacionados: MAGERIT. Consejo Superior de Informtica, Ministerio de Administraciones Pblicas http://www.csi.map.es/csi/pg5m20.htm
InforMAS N2
Pgina 6