Saludos a todas las personas que
leen este blog, que humildemente estoy construyendo en cumplimiento del
requerimiento del primer punto de la Actividad dos de la asignatura RIESGOS Y CONTROL INFORMÁTICO de la
Especialización Seguridad Informática de la UNAD. Como elementos principales de
este blog primero debemos conocer los siguientes conceptos:
Análisis de Riesgos: Es un método sistemático de recopilación, evaluación, registro y difusión de información necesaria para formular recomendaciones orientadas a la adopción de una posición o medidas en respuesta a un peligro determinado.
Análisis de Vulnerabilidades: Es una herramienta que permite poner a prueba la seguridad e integridad de las redes informáticas.
Exploración o Familiarización: En esta etapa se realizara un estudio o examen previo al inicio de la Auditoría con el propósito de conocer en detalle las características de la entidad a auditar para tener los elementos necesarios que permitan un adecuado planeamiento del trabajo a realizar y dirigirlo hacia las cuestiones que resulten de mayor interés de acuerdo con los objetivos previstos.
Método Cualitativo: Se trata de determinar la severidad del Riesgo, agrupándolos en algunas categorías, de acuerdo a unos criterios.
Método Cuantitativo: Clasifican su importancia en función de un cálculo de costos anuales estimados en función de su consecuencia y de su Probabilidad.
Metodología de Auditoria: Una metodología de auditoría es un conjunto de procedimientos documentados de auditoría diseñados para alcanzar los objetivos de auditoría planeados. Sus componentes son una declaración del alcance, una declaración de los objetivos de la auditoría y una declaración de los programas de auditoría.
Riesgo de control: Es decir, el riesgo de que los sistemas de control en vigencia no puedan detectar o evitar errores o irregularidades significativas en forma oportuna.
Riesgo inherente: Es la susceptibilidad a errores o irregularidades significativas, antes de considerar la efectividad de los sistemas de control, es el riesgo propio del negocio como tal.
Riesgos: Es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre.
Análisis de Riesgos: Es un método sistemático de recopilación, evaluación, registro y difusión de información necesaria para formular recomendaciones orientadas a la adopción de una posición o medidas en respuesta a un peligro determinado.
Análisis de Vulnerabilidades: Es una herramienta que permite poner a prueba la seguridad e integridad de las redes informáticas.
Exploración o Familiarización: En esta etapa se realizara un estudio o examen previo al inicio de la Auditoría con el propósito de conocer en detalle las características de la entidad a auditar para tener los elementos necesarios que permitan un adecuado planeamiento del trabajo a realizar y dirigirlo hacia las cuestiones que resulten de mayor interés de acuerdo con los objetivos previstos.
Método Cualitativo: Se trata de determinar la severidad del Riesgo, agrupándolos en algunas categorías, de acuerdo a unos criterios.
Método Cuantitativo: Clasifican su importancia en función de un cálculo de costos anuales estimados en función de su consecuencia y de su Probabilidad.
Metodología de Auditoria: Una metodología de auditoría es un conjunto de procedimientos documentados de auditoría diseñados para alcanzar los objetivos de auditoría planeados. Sus componentes son una declaración del alcance, una declaración de los objetivos de la auditoría y una declaración de los programas de auditoría.
Riesgo de control: Es decir, el riesgo de que los sistemas de control en vigencia no puedan detectar o evitar errores o irregularidades significativas en forma oportuna.
Riesgo inherente: Es la susceptibilidad a errores o irregularidades significativas, antes de considerar la efectividad de los sistemas de control, es el riesgo propio del negocio como tal.
Riesgos: Es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre.
Luego de haber vistos estos conceptos debemos saber que en la actualidad cualquier empresa tiene Riesgos Informáticos, que pueden afectar su funcionamiento y una forma, que se utiliza para brindar continuidad al negocio y prevenir desastres de cualquier tipo en una empresa es el de realizar una Evaluación de Riesgos Informáticos. Esta evaluación se puede llevar a cabo de forma cualitativa, semicualitativa y cuantitativa utilizando los siguientes métodos o metodologías:
MAGERIT: metodología
española de análisis y gestión de riesgos para los sistemas de información,
promovida por el MAP y diferente a la UNE 71504.[1]
EBIOS: metodología
francesa de análisis y gestión de riesgos de seguridad de sistemas de
información.[2]
CRAMM: metodología de
análisis y gestión de riesgos desarrollada por el CCTA inglés.[3]
OCTAVE: metodología de
evaluación de riesgos desarrollada por el SEI (Software Engineering Institute)
de la Carnegie Mellon University.[4]
CORAS: Desarrollado a
partir de 2001 por SINTEF, un grupo de investigación noruego financiado por
organizaciones del sector público y privado. Se desarrolló en el marco del
Proyecto CORAS (IST-2000-25031) financiado por la Unión Europea. Basado en la
elaboración de modelos, que consta de siete pasos, basados fundamentalmente en
entrevistas con los expertos.[5]
NIST SP 800-30: El NIST
(National Institute of Standards and Technology) ha dedicado una serie de
publicaciones especiales, la SP 800 a la seguridad de la información. Esta
serie incluye una metodología para el análisis y gestión de riesgos de
seguridad de la información, alineada y complementaria con el resto de
documentos de la serie.[6]
MEHARI: Es la
metodología de análisis y gestión de riesgos desarrollada por la CLUSIF (CLUb
de la Sécurité de l’Information Français) en 1995 y deriva de las metodologías
previas Melissa y Marion. La metodología ha evolucionado proporcionando una
guía de implantación de la seguridad en una entidad a lo largo del ciclo de
vida. Del mismo modo, evalúa riesgos en base a los criterios de disponibilidad,
integridad y confidencialidad.[7]
ANÁLISIS HOLANDÉS A&K: Es método de
análisis de riesgos, del que hay publicado un manual, que ha sido desarrollado
por el Ministerio de Asuntos Internos de Holanda, y se usa en el gobierno y a
menudo en empresas holandesas.[7]
Para
finalizar la presentación de las metodologías de evaluación de riesgos informáticos
explicare detalladamente la metodología CRAMM:
Es la metodología de análisis de
riesgos desarrollado por el Centro de Informática y la Agencia Nacional de
Telecomunicaciones (CCTA) del gobierno del Reino Unido. El significado del
acrónimo proviene de CCTARisk Análisis and Management Method. Su versión inicial
data de 1987 y la versión vigente es la 5.2.
Está basado en las mejores prácticas de la administración pública
británica, por lo que es más adecuado para organizaciones grandes, tanto
públicas como privadas.[8]
Características:
- Sirve para el análisis y gestión de riesgos.
- Aplica conceptos de una manera formal, disciplinada y estructurada.
- Orientada a proteger la confidencialidad, integridad y disponibilidad de un sistema y de sus activos.
- Que, aunque es considerada cuantitativa, utiliza evaluaciones cuantitativas y cualitativas, y por esto se considera mixta.
- Aplica a activos de modelado de dependencia
- Sirve para la evaluación de impacto empresarial
- Identificación y evaluación de amenazas y vulnerabilidades
- Evaluar los niveles de riesgo
- La identificación de los controles necesarios y justificados sobre la base de la evaluación del riesgo.
- Un enfoque flexible para la evaluación de riesgos.
Alcance: Es aplicable a todo tipo de sistemas y redes de información y se puede
aplicar en todas las etapas del ciclo de vida del sistema de información, desde
la planificación y viabilidad, a través del desarrollo e implementación del
mismo. CRAMM se puede utilizar siempre que sea necesario para identificar la
seguridad y/o requisitos de contingencia para un sistema de información o de la
red.
La metodología de CRAMM tiene
tres etapas:
La primera de las
etapas recoge la definición global de los objetivos de seguridad entre los que
se encuentra la definición del alcance, la identificación y evaluación de los
activos físicos y software implicados, la determinación del valor de los datos
en cuanto a impacto en el negocio y la identificación.
En la segunda etapa
de la metodología se hace el análisis de riesgos, identificando las amenazas
que afecta al sistema, así como las vulnerabilidades que explotan dichas
amenazas y por último el cálculo de los riesgos de materialización de las
mismas.
En la tercera etapa
se identifican y seleccionan las medidas de seguridad aplicadas en la entidad
obteniendo los riesgos residuales, CRAMM proporciona una librería de 3000
medidas de seguridad.
A continuación se gráfica estas tres etapas en el
ciclo de CRAMM
Asimismo, Cramm
calcula los riesgos para cada grupo de activos contra las amenazas a las que es
vulnerable en un escala de 1 a 7, utilizando una matriz de riesgo con valores
predefinidos comparando los valores de activos a las amenazas y niveles de
vulnerabilidad. En esta escala, "1" indica una línea de base de bajo
nivel de exigencia de seguridad y el “7 " indica un requisito de seguridad
muy alto.
Basándose en los
resultados del análisis de riesgos, Cramm produce una serie de contramedidas
aplicable al sistema o red que se consideran necesarias para gestionar los
riesgos identificados. El perfil de seguridad recomendado a continuación, se
compara con los existentes para Contramedidas, luego de identificar las áreas
de debilidad o de mayor exposición.
Cramm contiene una gran
selección predefinidas de contramedidas (alrededor de 3000), todas se reúnen en
grupos y subgrupos con los mismos aspectos de seguridad, incluyendo, activos de
software, hardware e incluso protecciones medioambientales. Por lo que se
recomienda la utilización de una versión de prueba que puede ser descargada de
su sitio Web.[9]
