Information Security and Risk Management
Content
INFORMATION SECURITY AND RISK MANAGEMENT
INFORMATION SECURITY
La administración de la seguridad implementa políticas, procedimientos, estándares y líneas guía lo que suministra un balance de los controles de seguridad con las operaciones de negocio, es decir, la seguridad debe soportar la visión, misión y objetivos de negocio de la organización.
PRINCIPIOS CLAVE DE LA SEGURIDAD DE LA INFORMACION: CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD (CIA por sus iniciales en Inglés)
CONFIDENCIALIDAD: Este principio indica que solamente los individuos autorizados, procesos autorizados o sistemas autorizados, podrían tener acceso a la información. A través de los últimos años, se ha dedicado una gran cantidad de esfuerzo a la privacidad de la información. El robo de identidad es el acto de asumir la identidad de alguien por medio del conocimiento de información confidencial. La información debe ser clasificada para poder determinar su nivel de confidencialidad y quien podría tener acceso a la misma. La identificación, autenticación y autorización, a través de controles de acceso, son prácticas que soportan y mantienen la confidencialidad. INTEGRIDAD: la información debe ser protegida de cambios intencionales no autorizados o accidentales. Es decir, la información debe ser siempre exacta y solo modificable por quien esté autorizado para ello. DISPONIBILIDAD: la información debe estar disponible por los usuarios cuando estos lo requieran. La denegación de servicios por carencia de controles adecuados y perdida de servicios por un desastre, afectan la disponibilidad. GOBIERNO DE LA GESTION DE LA SEGURIDAD DE LA INFORMACION Aunque no hay una definición universal para la gobernabilidad en seguridad, esta si debe garantizar que las actividades de seguridad de la información sean realizadas de manera que los riesgos sean efectivamente reducidos, las inversiones en seguridad sean bien dirigidas y que la dirección de la organización tenga la visión del programa de seguridad. El IT Governance Institute (ITGI), define la gobernabilidad de TI como “una estructura de relaciones y procesos para dirigir y controlar la empresa en orden al cumplimiento de los objetivos, agregando valor, haciendo un balance entre el riesgo y el retorno sobre TI y sus procesos”. El ITGI propone que la gobernabilidad de la seguridad de la información, podría ser considerada como parte de la gobernabilidad de TI y que la dirección esté informada de la seguridad de la información, conduzca la política y estrategia, suministre los recursos a los esfuerzos de seguridad, asigne las responsabilidades de administración, priorice, soporte los cambios requeridos y defina el valor cultural relacionado a la evaluación de riesgos, obtenga garantía de
auditorías internas y externas e insista en que las inversiones de seguridad sean medibles y reportadas en un programa de efectividad. El ITGI sugiere que la administración escriba las políticas de seguridad con el negocio, asegure que los roles y responsabilidades sean definidos y claramente entendidos, que las amenazas y vulnerabilidades sean identificadas, que la infraestructura de seguridad sea implementada, que los marcos de control sean implementados después de que la política sea aprobada por el gobierno corporativo, aplicar de manera oportuna la priorización, que las brechas de seguridad sean monitoreadas, que se hagan revisiones periódicas y que se realicen pruebas, que la educación en seguridad sea vista como critica, y que la seguridad sea construida como lo indica el ciclo de vida del desarrollo de los sistemas. POLITICA DE SEGURIDAD La política de seguridad, es un documento que debe ser realizado en conjunto entre las directivas del negocio y el personal encargado de la seguridad. Esto permite una amplia visión y cubrimiento de la política con respecto a los objetivos del negocio. Algunas de los lineamientos para la redacción de una política de seguridad:
• •
•
• •
•
Un proceso claro y definido para iniciar, crear, revisar, recomendar, aprobar y distribuir la política de seguridad. La política debe ser escrita por un periodo de tiempo de entre dos y tres años. Las políticas son declaraciones de alto nivel de los objetivos de la organización. Los métodos y tecnologías para las implementaciones pueden cambiar con una frecuencia mayor que la política. Estos cambios se pueden ver reflejados en otros documentos tales como procedimientos, estándares, líneas guía y líneas base. La declaración de la política necesitará menos cambios. Uso de palabras con directriz: en la declaración de la política el uso de palabras como Debe, Será, Tendrá, no dejará dudas al cumplimiento de la política. Por otra parte usar palabras como puede, quizás, deja huecos en el cumplimiento debido a que no enuncian obligatoriedad. Evitar detalles de implementación técnica. La política deberá ser independiente de la implementación técnica de los controles. Mantener la longitud en un mínimo. El objetivo de la política debe ser descrito en un mínimo de párrafos ya que su intención es que sea entendida por el usuario final. Una declaración extensa será más complicada de entender. Vinculación de la política a sus documentos de soporte. Hoy en día, al publicar documentos en línea a través de una intranet por ejemplo, permite enlazar estos documentos a otros relacionados. Enlazar la política a sus documentos de soporte es altamente efectivo ya que se asegura que los procedimientos adecuados son seguidos. Sin embargo se debe ser cauteloso ya que no todos los documentos de soporte podrían ser de dominio público en la organización.
•
• • • • •
Revisar antes de publicar. Antes de publicar la versión final de la política se recomienda sea revisada por un grupo si es posible interdisciplinario de la dirección para evitar posibles errores de un solo autor. Aprobar y firmar. Si la política es aceptada por todos y esta lista su versión final, la administración debe aprobar y firmar la política. Evitar lenguaje técnico. Revisar incidentes y ajustar la política. La revisión de los incidentes de seguridad podría provocar una actualización de la política, un cambio o un proceso de divulgación más efectiva. Revisión periódica de la política. Un proceso formal de revisión por la dirección asegura que la política este ajustada a los objetivos de la organización. Desarrollar sanciones para no cumplimiento. La política debe tener sanciones consistentes debido a su no cumplimiento. Estas sanciones pueden incurrir en acciones disciplinarias, terminación de contratos, etc.
Tipos de política de seguridad. • Organizacional: es emitida por un administrador senior individual que crea la autoridad y alcance del programa de seguridad. El propósito del programa es describir y asignar las responsabilidades para llevar a cabo la misión de la seguridad de la información. Aquí se abordan los objetivos de la confidencialidad, integridad y disponibilidad. La política de la organización define un alto nivel de autoridad y las sanciones apropiadas por caso de falla en el cumplimiento. Política funcional o de temas específicos. Este tipo de políticas tiene un menor alcance que la política organizacional y puede ser funcional o direccionada a áreas particulares que requieren claridad. Por ejemplo, su alcance puede ser un dominio específico como el control de acceso, plan de contingencia, etc. Política de sistema específico. Se usa en áreas donde se requiere de un control operacional o técnico bastante estricto que lo indicado en la política organizacional. Políticas a niveles más bajos y más detallados podrían requerir cambios con mayor frecuencia.
•
• •
ESTANDARES Las políticas definen las necesidades, los estándares, definen los requerimientos. Un estándar suministra el acuerdo que provee interoperabilidad dentro de la organización a través del uso de protocolos comunes. Los estándares suministran la especificación de tecnología para efectivamente habilitar a la organización a volverse exitosa en el cumplimiento de los requerimientos de la política.
PROCEDIMIENTOS
Son las instrucciones paso a paso en el soporte de las políticas, estándares, líneas guía y líneas base. El procedimiento indica cómo será la política implementada y quien debe hacer que para completar la tarea. Una documentación consistente del procedimiento permitirá la mejora del mismo. Una vez todos los involucrados entiendan el procedimiento, se pueden aplicar muchas mejoras y comunicado nuevamente. BASELINES (LINEAS BASE) Suministran una descripción de cómo implementar los paquetes de seguridad, para asegurar que la implementación sea consistente en todo sentido la organización. Existe software, hardware, plataformas y redes con diferentes métodos para su aseguramiento. Existen muchas configuraciones y opciones para su aseguramiento. Un análisis de estas opciones de configuración y la posterior configuración deseada forman la base para una implementación consistente del estándar. Las líneas base podrían ser revisadas periódicamente y posiblemente actualizadas de acuerdo a las amenazas emergentes y nuevas vulnerabilidades. GUIDELINES (Línea guía - directriz) Son controles opcionales usados para realizar algún tipo de juicio sobre acciones de seguridad. Si al realizar la declaración, se cambia la palabra directriz por opcional y esta es adecuada entonces esta es una directriz. De lo contrario, si se observa que la declaración de la directriz al cambiar la palabra por opcional se observa que no es adecuada ya que es considerada requerida, esta declaración no debe ser una directriz sino una política, estándar o línea base. Las líneas guía son también recomendaciones, mejores prácticas, y plantillas.
FRAMEWORKS DE AUDITORIA PARA CUMPLIMIENTO Existen una serie de marcos de trabajo para la auditoria de controles de seguridad, que han sido aceptados a nivel mundial y que cubren en diferentes aspectos la confidencialidad, integridad y disponibilidad.
COSO - Committee of Sponsoring Organizations Fue creado en 1985. Identifica 5 áreas de control interno necesarias para el cumplimiento para reporte financiero y divulgación de objetivos. Estas incluyen: • • • • Control del entorno Evaluación de riesgos Actividades de control Información y comunicaciones
•
Monitoreo.
ITIL - IT Infrastructure Library Es un conjunto de libros orientados a la prestación de servicios de IT.
COBIT - Control Objectives for Information and related Technology Marco de trabajo para control interno en tecnologías de la información y áreas relacionadas que cuenta con 34 proceso de alto nivel. 214 objetivos de control que son el soporte para los 34 procesos de alto nivel. COBIT define 4 dominios: Planear y organizar, adquisición e implementación, entrega y soporte, monitoreo.
ISO 27000 La administración de seguridad de la información, está definida en la familia ISO 27000. La ISO 27001 define lo que se requiere para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI y la ISO 27002 define 133 controles para la seguridad de la información.
ESTRUCTURA ORGANIZACIONAL - MEJORES PRÁCTICAS ROTACIÓN DE TRABAJO: reduce el riesgo de confabulación entre individuos. La rotación quizás permita descubrir actividades que un individuo está realizando fuera de los procedimientos normales. En pequeñas organizaciones tal vez sea difícil de implementar debido a habilidades particulares requeridas para el reemplazo de un puesto de trabajo. SEPARACION DE FUNCIONES: un solo individuo podría no ejecutar todos los pasos de un proceso. Esto es importante, ya que en los departamentos de sistemas de información se tienen privilegios para modificar, borrar o agregar datos al sistema. La separación de funciones reduce los errores o actos de fraude. Algunas organizaciones usan una matriz de dos dimensiones para determinar las posiciones que podrían ser separadas dentro del departamento. Cada posición es colocada en la matriz y debe marcarse cuando las responsabilidades no deben ser asumidas por el mismo individuo. Estas responsabilidades incompatibles, pueden variar entre las diferentes organizaciones. Sin embargo, funciones que no debe realizar un mismo individuo pueden ser: • • Administradores de sistema Administradores de red
• • • • • • •
Entrada de datos Operaciones computacionales Administración de seguridad Desarrollo de sistemas y mantenimiento. Auditoria de seguridad Administración de sistemas de información. Administración de cambios.
MENOR PRIVILEGIO: se refiere a que se garantiza a los usuarios el acceso únicamente a lo requerido para la realización de su trabajo. VACACIONES OBLIGATORIAS: los beneficios son similares a la rotación de trabajo. En un periodo de vacaciones de un individuo, este debe ser reemplazado, de manera que pueden ser observadas variaciones en los procedimientos. También pueden ser removidos temporalmente los permisos y accesos del individuo en vacaciones para asegurar que no esté ejecutando procesos mientras esta afuera. SENSIBILIDAD DE LA POSICION DE TRABAJO: evaluar el daño que un individuo puede hacer si hace mal uso de sus funciones o procesos de trabajo puede ser la entrada para clasificar el acceso y permisos que podría tener.
RESPONSABILIDADES DEL OFICIAL DE SEGURIDAD DE LA INFORMACION Es responsabilidad del oficial de seguridad de la información proteger los activos de información de todo el negocio contra perdida, divulgación, alteración, destrucción e indisponibilidad. Para ejecutar sus funciones, el oficial de seguridad depende de otros individuos en la organización para realizar todo su trabajo. COMUNICAR EL RIESGO A LA ADMINISTRACION: el oficial de segurida de la información, es responsable por entender los objetivos de negocio de la organización, asegurar que la evaluación de riesgo es realizada, tomar en consideración las amenazas y vulnerabilidades que impactan la organización, y comunicar el riesgo a la administración ejecutiva. Dependiendo de la organización y su naturaleza (Privada o no), se pueden incluir individuos con niveles de título “C” en la administración ejecutiva como: • • • • CEO Chief Executive Officer COO Chief Operative Officer CFO Chief Financial Officer CIO Chief Information Officer
El nivel ejecutivo también incluye vicepresidencias como: • Ventas y marketing
• • •
Administración Jurídico Recursos humanos
Al equipo ejecutivo no le conciernen los detalles técnicos. Sin embargo, si es de su interés mantener un balance apropiado entre el riesgo aceptable y las operaciones de negocio en el cumplimiento de los objetivos. Asimismo, el costo/beneficio de un control de seguridad y el riesgo residual después de su implementación. PRESUPUESTO PARA ACTIVIDADES DE SEGURIDAD DE LA INFORMACION: el oficial de seguridad de la información prepara el presupuesto para administrar el programa de seguridad de la información y asegura que en otros departamentos también se incluya presupuesto para seguridad como por ejemplo Helpdesk, desarrollo de aplicaciones, etc. ASEGURAR EL DESARROLLO DE POLITICAS, PROCEDIMIENTOS, LINEAS BASE, ESTANDARES Y LINEAS GUIA: El oficial de seguridad de la información es responsable porque estos documentos sean escritos con el fin de resolver las necesidades de seguridad de la organización. Sin embargo esto no significa que todas las políticas sean escritas por el departamento de seguridad. El negocio y el equipo de administración debe ser responsable también en la medida en que su participación lo requiera. DESARROLLAR Y PROVEER PROGRAMAS DE CAPACITACION EN SEGURIDAD: El oficial de seguridad debe liderar el programa de capacitaciones y concientización de seguridad de la información de manera que asegura que esa capacitación sea entendible para la audiencia. ENTENDER LOS OBJETIVOS DE NEGOCIO: parte del éxito dentro de la organización del oficial de seguridad, es entender la visión, misión y objetivos. Esto incrementa la oportunidad del éxito de la seguridad. El oficial debe entender la presión de competitividad que encara la organización, las fortalezas, debilidades, amenazas y oportunidades, así como las regulaciones que rigen la organización, de manera que los controles de seguridad sean adecuados. MANTENERSE AL TANTO DE AMENAZAS EMERGENTES Y VULNERABILIDADES: el entorno de las amenazas está en constante cambio, de manera que el oficial de seguridad debe estar al tanto de las mismas. EVALUAR LOS INCIDENTES DE SEGURIDAD Y LA RESPUESTA: el equipo de respuesta a incidentes (CIRT por sus siglas en ingles), es un grupo de individuos con las habilidades necesarias para evaluar los incidentes, el impacto, y el suministro de la correcta respuesta para reparar el sistema afectado y recolectar la evidencia para un potencial enjuiciamiento o sanción. El oficial de seguridad, asegura que los incidentes sean seguidos de manera oportuna.
DESARROLLAR EL PROGRAMA DE CUMPLIMIENTO DE SEGURIDAD: el cumplimiento periódico por inspección interna o externa asegura que los procedimientos, checklist y líneas base sean documentadas
y seguidas en la práctica. El oficial de seguridad debe asegurar que lo que se encuentra escrito en las políticas sea realizad en la práctica. ESTABLECER MERICAS DE SEGURIDAD: las medidas son recopiladas para suministrar información sobre tendencias a largo plazo y la carga de trabajo día a día y demuestran el efecto del no cumplimiento. Las medidas de los procesos ayudan a mejorar dichos procesos. PARTICIPAR EN REUNIONES DE ADMINISTRACION: El oficial de seguridad debe estar involucrado en los equipos de administración y la planeación de reuniones que lo involucren para que sean efectivas. En este tipo de reuniones están incluidas las reuniones con la mesa directiva, comités de TI, reuniones administrativas y departamentales. ASEGURAR CUMPLIMIENTO CON REGULACIONES DEL GOBIERNO: el oficial de seguridad debe asegurar que los requerimientos de las leyes, reglas y regulaciones gubernamentales estén integradas y sean cumplidas por el programa de seguridad de la organización. ASISTIR A LOS AUDITORTES INTERNOS Y EXTERNOS: La visión independiente de los auditores en los temas de seguridad suministra información esencial del diseño, efectividad e implementación de los controles. MANTENERSE AL TANTO DE NUEVAS TECNOLOGIAS: El oficial de seguridad debe estar enterado de tecnologías emergentes para asegurar que las soluciones apropiadas estén implementadas basado en el apetito de riesgo de la organización, cultura, recursos disponibles y la decisión de innovar, liderar o continuar con los productos y prácticas de seguridad.
MODELO DE REPORTES El oficial de seguridad de la información y los reportes de seguridad en la organización, podrían ser reportados en un alto nivel en función de mantener visible la importancia de la seguridad de la información y limitar la distorsión o inexactitud en el traspaso de los mensajes que puede ocurrir debido a la profundidad en la jerarquía de la organización. No existe un modelo de cómo el oficial de seguridad debe reportar a la organización y a quien debe hacerlo. Las siguientes ítems podrían dar una visión de que opción se podría tomar en la organización. RELACIONES EMPRESARIALES: dondequiera que el oficial de seguridad reporte, es necesario que este tenga una alta credibilidad y una buena relación empresarial con los niveles alto y medio de administración, y también con los usuarios que seguirán la política. REPORTANDO AL CEO: al reportar al CEO se reduce altamente el filtrado de los mensajes, mejora la comunicación y demuestra a la organización la importancia de la seguridad de la información. La desventaja de reportar al CEO es que este puede tener otra cantidad de temas que atender y tal vez no asignar el tiempo necesario o el interés a los temas de seguridad.
REPORTAR AL DEPARTAMENTO DE TI: en este modelo, el oficial de seguridad reporta directamente al CIO, al vicepresidente de sistemas o quien este a la cabeza del departamento de TI. La ventaja de este modelo es que el individuo a quien el oficial de seguridad está reportando, tiene el entendimiento técnico y la influencia con administradores senior. También es benéfico debido a que el oficial y su equipo pueden tener un buen trato con todo el departamento de TI. La desventaja, puede ser el conflicto de intereses. En algunas ocasiones el CIO puede estar más orientado al cumplimiento de los objetivos de TI, como la rápida entrega de aplicaciones, ubicación de recursos, minimizar costos por lo que la seguridad quedaría de cierta manera relegada. REPORTAR A SEGURIDAD CORPORATIVA: la seguridad corporativa está enfocada en la seguridad física de la empresa. Aunque reportar a seguridad corporativa parece lógico, sin embargo, los individuos de estas áreas están más orientados a otro perfil como el de justicia criminal, protección y servicios de investigación, mientras que en seguridad de la información, los individuos tienen un perfil más orientado al negocio y a las tecnologías de la información. REPORTAR AL DEPARTAMENTO DE SERVICIOS ADMINISTARTIVOS: Es posible que el oficial de seguridad le reporte al vicepresidente de servicios administrativos, que quizá incluya seguridad física, recursos humanos, empleados de seguridad y HR. Su ventaja es que el acercamiento con HR permite enfocar de manera más adecuada todas las formas de información y no el oficial no está sesgado solamente a información electrónica. La limitación es que el líder del área de servicios administrativos, no tenga el suficiente conocimiento técnico y se disminuya su habilidad de comunicación en esta área con el CEO. REPORTAR AL DEPARTAMENTO DE SEGUROS Y ADMINISTRACION DE RIESGOS: este modelo de reporte puede ser útil para bancos, agentes de bolsa y compañías de investigación. El oficial de riesgos realmente conoce y está interesado en los riesgos que afectan la organización y los métodos de control de estos riesgos. La limitación es que el oficial de riesgos no esté al corriente de los sistemas de TI y su estrategia se enfoque menos en el tema los proyectos de seguridad del día a día. REPORTAR AL DEPARTAMENTO DE AUDITORIA INTERNA: este modelo puede crear un conflicto de intereses ya que el departamento de auditoria interna es responsable de evaluar la efectividad y la implementación de los controles, es decir, la seguridad de la información estaría también bajo su responsabilidad, por lo que la visión objetiva de las auditorias estaría sesgada. Como ventaja, el departamento de auditoria interna y seguridad de la información se enfocan en el mejoramiento de los controles. REPORTAR AL DEPARTAMENTO LEGAL: en industrias reguladas, quizás sea una buena idea. Sin embargo el énfasis en el cumplimiento de las actividades puede ser más estricto que otras áreas como la consultoría en temas de seguridad y el soporte. También, la distancia jerárquica entre el oficial de seguridad y el CEO es solo un nivel. DETERMINAR LA MEJOR OPCION: de acuerdo al tipo de organización, cultura, industria, tamaño, dependerá la adopción de alguno de los modelos nombrados. Se pueden minimizar el conflicto de intereses, incrementar la visión, financiación apropiada y efectiva comunicación cuando se escoge un modelo adecuado.
COMITÉ DE SUPERVISION DE SEGURIDAD DECLARACION DE LA VISION: debe existir una clara visión que esté alineada y soporte la visión de la organización. Normalmente esta declaración, aprovecha los conceptos de confidencialidad, integridad y disponibilidad para soportar los objetivos del negocio. Esta visión, no tiene un enfoque técnico. DECLARACION D ELA MISIÓN: son los objetivos que soportan la totalidad de la visión. Esta declaración es la fundamentación para el alcance de la visión. PLAN DE SEGURIDAD Los planes de seguridad Estratégicos, tácticos y operacionales están interrelacionados entre sí y cada uno suministra diferentes focos hacia el mejoramiento de la seguridad de la organización. PLAN ESTRATEGICO: están alineados con la estrategia de negocio y las metas de tecnología de información. Son a largo plazo – 3 o 5 años -. El plan estratégico hace énfasis en el entorno de la organización y en el entorno técnico en el futuro. Se ubican aquí las metas de alto nivel que suministran la visión para los proyectos en cumplimiento de los objetivos de negocio. Este plan debe ser revisado al menos una vez al año o cuando existan mayores cambios en el entorno de negocio o tecnológico qu afecten las metas propuestas. PLAN TACTICO: suministran una amplia iniciativa y soporte para el cumplimiento de las metas de negocio especificadas en el plan estratégico. Por ejemplo procesos de distribución, implementación de controles de cambio robustos, etc. Estos planes son desarrollados en plazos de tiempo entre 6 y 18 meses. PLANES DE OPERACIONES: planes específicos con objetivos, fechas y rendición de cuentas, esto con el fin de que el plan sea completado. Dependiendo del tamaño y del esfuerzo, estos planes pueden ser hechos por partes o si existen múltiples planes administrados por varios proyectos. La duración de estos planes es de corto tiempo. SEGURIDAD DE PERSONAL. Contratar individuos calificados y confiables depende de las políticas de contratación de personal en la organización. La baja moral de los empleados puede contribuir a la reducción del cumplimiento de los controles y con el tiempo bajos niveles de experticia. Las políticas de terminación de contratos son necesarios para asegurar que los empleados que ya nos son miembros de la compañía no tengan más acceso a los sistemas y así disminuir la posibilidad de daño o interrupción de las operaciones. PRÁCTICAS DE CONTRATACIÓN: antes de que una persona comience a laborar en la organización, deberían realizarse varias actividades como la descripción del rol, definir referencias de contacto, desarrollar acuerdos de confidencialidad, etc. Descripción del rol: contiene las responsabilidades de la posición a ocupar en la organización. También debe incluir la educación, experiencia y experticia requerida para realizar satisfactoriamente la función.
Una falla en la descripción del rol, podría generar una falsa sensación de seguridad así como que el individuo que aplica al rol puede carecer de los requerimientos necesarios. Todas las descripciones de roles en la organización deberían tener una referencia de las responsabilidades en seguridad y como estas responsabilidades son compartidas con la organización entera. Acuerdos con el empleado: Los acuerdos son usualmente firmados por el empleado antes de comenzar el nuevo trabajo o durante el primer día. Los acuerdos varían en forma y contenido de acuerdo con cada organización, pero el propósito general es proteger a la organización mientras el empelado labora en ella así como después de la terminación de sus labores. Referencias para verificación: durante la entrevista y proceso de contratación, debería ser posible determinar ciertos aspectos del pasado del aspirante, sus competencias, habilidades de liderazgo, perseverancia, ética, habilidades de planeación, etc. Parte de esta información es suministrada por el mismo individuo en su currículo o en la entrevista pero debe haber puntos de referencia para corroborar la información suministrada. Estas referencias son personas que el aspirante suministra y que deben contactarse para tener perspectivas diferentes del aspirante. Investigar de antecedentes: este tipo de información permite tener un punto de vista con respecto a la confiabilidad del individuo. Las organizaciones quieren en sus empresas, personas que minimicen futuras demandas. CONCIENTIZACION Y EDUCACION EN SEGURIDAD La concientización en seguridad puede ser definida como el entendimiento de la importancia de la seguridad en la organización. En los complejos entornos de negocios hoy en día, muchas organizaciones perciben el valor de promocionar la concientización en seguridad dentro de sus entornos. Educación en la concientización de la seguridad es un método por el cual muchas organizaciones informan a sus empleados acerca de los roles y expectativas alrededor de sus roles en el cumplimiento de los requerimientos de seguridad de la información. Educar a los usuarios, ayuda a la organización al cumplimiento de los objetivos de los programas de seguridad el cual quizá también incluya el cumplimiento de regulaciones legales como HIPAA o Sarbanes Oxley. La seguridad es una amplia disciplina y existen muchos tópicos que podrían ser cubiertos en la educación de los usuarios. Estos pueden incluir: • • • • • • • • • Educación en políticas de seguridad corporativas. Programa de seguridad de la organización. Cumplimientos regulatorios. Ingeniería social. Continuidad del negocio. Recuperación de desastres. Respuesta a incidentes de seguridad. Clasificación de datos. Etiquetado y manejo de información.
• • •
Personal de seguridad. Seguridad física Apropiado uso de recursos computacionales.
MÉTODOS Y ACTIVIDADES DE CONCIENTIZACIÓN: para promover la concientización en seguridad en la organización existen varios métodos aplicables. Algunos de ellos son: • • • • • Cursos formales entregados en un aula de clases, con presentaciones o libros, presentaciones web u otro material. Cartelera que llamen la atención con temas de seguridad. Publicación de recordatorios en la intranet. Nombramiento de un educador en seguridad para la organización que ayude a los usuarios con los interrogantes. Días de entrenamiento con actividades de reconocimiento.
Entrenamiento de funciones especiales: Distinto al entrenamiento general en seguridad, un entrenamiento especial en seguridad para ciertos roles debe ser llevado a cabo dentro de la organización, debido a que las funciones de estos roles lo requieren. Por ejemplo el personal de TI, contabilidad, nomina, etc.
RISK MANAGEMENT
Information Risk Management (IRM) es el proceso de identificar y evaluar riesgos con el fin de reducirlos a un nivel aceptable con la correspondiente implementación de los mecanismos necesarios para mantener ese nivel. Existen distintos tipos de riesgo. Las principales categorías son: • • • • • • • Daño físico: Fuego, inundación, bajo poder y desastres naturales. Interacción humana: acciones o falta de ellas de manera accidental o intencional que pueden interrumpir la productividad. Mal funcionamiento del equipo: falla de los sistemas y dispositivos periféricos. Ataques internos o externos: Hacking, cracking o ataques. Mal uso de datos: compartir secretos de marca, fraude, espionaje o robo. Perdida de datos: puede ser intencional o no. Error de aplicaciones: error de programación, errores de entrada y buffer overflows.
POLITICA DE ADMINISTRACION DE RIESGO DE LA INFORMACION. Para una apropiada administración de riesgos, se requiere un administrador de nivel senior, procesos documentados, una política de IRM (administración de riesgos de la información), y un equipo IRM. La política de IRM, puede ser una parte de la política de riesgos de la organización. Esta política podría contener: • • • • • • • • • Los objetivos del equipo que informa el IRM El nivel de riesgo que la compañía aceptará y lo que es considerado un riesgo aceptable. Un proceso formal de identificación de riesgos. La conexión entre la política de IRM y el proceso de planeación estratégica de la organización. Responsabilidades y roles de IRM. Mapeo de riesgos y controles internos. Enfoque hacia cambios de comportamiento del staff y ubicación de recursos en respuesta al análisis de riesgos. El mapeo de riesgos a objetivos de rendimiento y presupuestos. Indicadores para monitorear la efectividad de los controles.
EQUIPO DE ADMINISTRACION DE RIESGO: La meta del equipo de administración de riesgos es proteger la información de manera balanceada costo-efectividad. Para que la meta pueda llegar a ser cumplida los siguientes componentes deben existir:
• • • • • • • • • • •
Un nivel de aceptación de riesgo establecido por un administrador senior. Procesos y procedimientos de evaluación de riesgos documentados. Procedimientos para evaluación y mitigación de riesgos. Recursos apropiados y asignación de presupuesto por parte del administrador senior. Planes de contingencia donde la evaluación indique la necesidad de estos planes. Entrenamiento y concientización en seguridad para todos los miembros con activos de información. La habilidad de establecer mejoras o mitigación. Desarrollo de métricas e indicadores de rendimiento para medir y administrar varios tipos de riesgo. Mapeo de requerimientos legales y regulación para controlar e implementar requerimientos. Habilidad de identificar y evaluar nuevos riesgos como del entorno y cambios de la organización. Integración del IRM y los procesos de control de cambios de la organización para asegurar que los cambios no introduzcan nuevas vulnerabilidades.
ANALISIS DE RIESGOS El análisis de riesgos, es un método de identificar vulnerabilidades y amenazas y evaluar el posible daño para determinar donde implementar salvaguardas. El análisis de riesgos, es usado para asegurar el balance costo-efectividad, relevancia, oportuno y respuesta a incidentes. El análisis de riesgos ayuda a las compañías a priorizar sus riesgos y a mostrar cómo administrar la cantidad de dinero que podría ser necesaria en la protección en contra de estos riesgos. Los objetivos principales del análisis de riesgos son: • • • • Identificar los activos y su valor Identificar las vulnerabilidades y amenazas. Cuantificar la probabilidad y el impacto al negocio de estas amenazas potenciales. Suministrar un balance entre el impacto de la amenaza y el costo de la contramedida.
El análisis de riesgos suministra una comparación costo-efectividad, la cual compara el costo anual de la contramedida con el costo potencial de la perdida. Una contramedida en muchos casos, podría no ser implementada a menos que el costo de la pérdida anual, exceda el costo de la contramedida. Antes de que la evaluación y el análisis de riesgos comiencen, el equipo de IRM debe dimensionar el proyecto, entendiendo cuales son los activos y amenazas a evaluar. Una de las tareas del equipo es realizar un informe detallado de la evaluación de los activos. El administrador senior debe revisar y aceptar la lista y definir el alcance del proyecto IRM. Si la administración determina en una etapa temprana del proyecto que algunos activos no son importantes, el equipo de evaluación de riesgos podría no gastar tiempo adicional o recursos evaluando estos activos.
Un análisis de riesgos ayuda a integrar los objetivos del programa de seguridad con los objetivos y requerimientos del negocio. Entre más alineados estén, mayor será el éxito de los dos. Una vez la compañía conoce cuantos son sus activos y su valor y la posibilidad de amenazas a las que están expuestos, pueden tomar decisiones acertadas acerca de cuánto dinero gastar para proteger estos activos. La administración debe soportar y dirigir a través de un administrador senior el análisis de riesgos. La administración debe definir el propósito y alcance de estos del análisis, designar el equipo para llevar a cabo la evaluación disponer del tiempo y recursos para conducir el análisis.
EL EQUIPO DE ANALISIS DE RIESGOS Para un análisis de riesgos efectivo, el equipo de análisis de riesgos, debe incluir individuos de varios departamentos para asegurar que todas las amenazas sean identificadas. Los miembros del equipo, podrían ser: • • • • • • Parte de la administración. Programadores de aplicaciones Ser parte del staff de TI Integradores de sistemas Administradores operacionales. Cualquier persona de las áreas claves de la organización.
Si por alguna razón, el equipo de análisis de riesgos no puede incluir a personas clave de cada área o departamento, se debe asegurar a través de entrevistas u otro medio que las áreas no incluidas sean tenidas en cuenta para entender completamente y poder cuantificar todas las amenazas. Propiedad del riesgo. El propietario de un riesgo en la organización dependerá de la situación y el riesgo evaluado. VALOR D ELA INFORMACION Y LOS ACTIVOS. El valor colocado en la información es relativo a las partes relacionadas, que trabajo es requerido para desarrollarla, cual es el costo de mantenerla, que daño podría causar si se destruyera, que enemigos podrían pagar por esta información. Si la compañía no conoce el valor de la información y sus activos, no conoce cuánto dinero y tiempo podría gastar en protegerla. Costos que conforman el valor Un activo puede tener medidas cuantitativas y cualitativas asignadas, pero estas medidas necesitan ser derivadas. El valor actual de un activo está determinado por el costo que toma adquirirlo, desarrollarlo y mantenerlo. El valor es determinado también por la importancia que tiene para los propietarios, usuarios autorizados y no autorizados. Alguna información es tan importante para una compañía que
puede llegar a ser secreto de marca. El valor de un activo podría reflejar los costos identificables de este activo en caso de surgir daños. Podrían ser consideradas los siguientes ítems para valorar los activos: • • • • • • • • Costo de adquirir o desarrollar el activo. Costo de mantener y proteger el activo. Valor del activo para los propietarios y usuarios. Valor de la propiedad intelectual dentro del desarrollo de la información. Precio que otros estarían dispuestos a pagar por el activo. Costo de reemplazar este activo si es perdido. Actividades operacionales y de producción afectadas si el activo no está disponible. Utilidad y rol del activo en la organización.
Entender el valor del activo es el primer paso para entender los mecanismos de seguridad y el presupuesto para protegerlo. Cuanto podría costar a la compañía no proteger el activo? Determinar el valor de los activos es importante y útil por diferentes razones. Estas podrían incluir: • • • • • Realizar un análisis costo efectividad Seleccionar contramedidas y salvaguardas específicas. Determinar el nivel de cobertura de seguros. Entender el riesgo de manera exacta. Cumplimiento legal y regulatorio.
Los activos pueden ser tangibles e intangibles. Usualmente es complicado cuantificar valores de los activos intangibles, los cuales pueden variar con el tiempo. ANALISIS DE RIESGO CUANTITATIVO Los dos enfoques para el análisis de riesgos son el cuantitativo y el cualitativo. En el análisis cuantitativo, se intenta asignar números reales y significativos a todos los elementos del análisis de riesgos. Estos números pueden incluir costos de salvaguarda, valor de los activos, impacto en el negocio, frecuencia de la amenaza, efectividad de la medida de control, probabilidades de explotación, y mas. Cuando estos valores son cuantificados. El análisis cuantitativo del riesgo, suministra porcentajes concretos de probabilidad cuando se determina la probabilidad de las amenazas. El análisis de riesgo cuantitativo puro no es posible debido al método que intenta calificar los ítems cualitativos. Y aquí siempre existe incertidumbre para dar valores reales a estos ítems. El análisis cuantitativo intenta predecir el nivel de perdida en dinero y el porcentaje de oportunidad de cada tipo de amenaza. El análisis cualitativo no usa cálculos. En vez de esto, es un escenario basado en la opinión.
Métodos de análisis de riesgo automatizado: La recopilación de los datos necesarios para ser colocados dentro de las ecuaciones de análisis de riesgos y la interpretación apropiada de los resultados pueden ser abrumadores si se hacen manualmente. Varias herramientas automatizadas pueden hacer la tarea más sencilla y exacta. El objetivo de las herramientas automatizadas es reducir el esfuerzo manual de estas tareas, realizar cálculos rápidamente, estimar perdidas y determinar la efectividad y los beneficios de las contramedidas seleccionadas. Estas herramientas tienen la capacidad de realizar varios recalculos en diferentes escenarios para varias situaciones. Esto da una idea más amplia de que riesgos son más críticos y su prioridad de resolución. Pasos de un análisis de riesgos: 1. Asignar valores a los activos: para cada activo, responder estas preguntas puede ayudar a asignar un valor: a. Cuál es el valor de este activo en la organización. b. Cuál es el costo de mantenerlo c. Cuánto cuestan los beneficios que este activo hace para la compañía. d. Cuánto podría costar recuperar el activo e. Cuánto cuesta adquirirlo o desarrollarlo f. Cuál es la responsabilidad que se tiene si el activo es comprometido. 2. Estimar la perdida potencial por amenaza a. Que daño físico podría causar la amenaza y cuánto podría costar. b. Que pérdida de productividad podría causar la amenaza y cuánto podría costar. c. Cuál es el valor de la perdida si información confidencial fuese divulgada. d. Cuál es el costo de recuperarse de esta amenaza. e. Cuál es el valor de la perdida si los dispositivos críticos fallaran. f. Cuál es la expectativa única de perdida(single loss expectancy - SLE)para cada activo y cada amenaza 3. Realizar un análisis de amenazas a. Obtenga la información de la probabilidad de cada amenaza de las personas en cada departamento. Examine registros anteriores y recursos de seguridad oficiales que puedan suministrar este tipo de datos. b. Calcule la tasa de ocurrencia anualizada (annualized rate of ocurrence – ARO), que indica cuantas veces puede suceder la amenaza en un periodo de 12 meses. 4. Derive el total anual de perdida potencial por amenaza a. Combine la perdida potencial y la probabilidad b. Calcule la expectativa anual de perdida (annualized loss expectancy - ALE) por amenaza usando la información calculada en los primeros tres pasos. c. Seleccione las medidas de remediación para contraatacar cada amenaza d. Llevar a cabo un análisis costo-beneficio para indicar las contramedidas.
5. Reducir, transferir evitar o aceptar el riesgo a. Métodos de reducción de riesgo: i. Instalar controles de seguridad y componentes ii. Mejorar procedimientos iii. Alterar el entorno iv. Suministrar métodos de detección temprana para captar la amenaza que está sucediendo y reducir el posible daño que esta puede causar. v. Producir un plan de contingencia de cómo el negocio puede continuar si una amenaza específica toma lugar, rediciendo los daños de la amenaza. vi. Colocar barreras a la amenaza vii. Llevar a acabo entrenamiento en seguridad b. Transferencia de riesgo: adquisición de seguros a través de compañías aseguradoras c. Aceptación de riesgo: vivir con el riesgo y no invertir en la protección. d. Evitar el riesgo: eliminar la actividad que está causando el riesgo. Aquí una definición de los conceptos utilizados en los anteriores pasos para el análisis de riesgo cuantitativo: La SLE – Singel loss expectancy - es una cantidad de dinero que es asignada a un único evento que representa una pérdida potencial si la amenaza específica tomara lugar. Valor del activo * factor de exposición (Exposure Factor – EF) = SLE El factor de exposición (EF), representa el porcentaje de perdida que una amenaza materializada podría tener en un activo especifico. EF: El valor de un activo, es de $ 1’000.000. Una amenaza de fuego podría dañar el 25% del activo, es decir, el factor de exposición para este activo por esta amenaza. Por tanto, el SLE para este activo y esta amenaza será 1’000.000 * 25% = 250.000 Para determinar el ALE (annualizad loss expectancy - ALE), se usa la ecuación: SLE * tasa de ocurrencia anual (annualizad rate of ocurrence – ARO) = ALE La tasa de ocurrencia anual ARO, es un valor que representa la frecuencia estimada de una amenaza específica que toma lugar dentro de un tiempo de 12 meses. El ranfro puede estar entre 0.0 (Nunca puede ser este valor) a 1.0 (al menos una vez al año) a más de uno (más de una vez al año). Por ejemplo si la probabilidad de inundación en el área geográfica es de una en 1000 años, el valor del ARO será 0.001. En nuestro ejemplo, si la probabilidad de fuego es de 0.1 y SLE es de 250.000 entonces: ALE = 250.000 * 0.1
ALE = 25.000 El valor del ALE, puede indicar a la compañía si colocar controles o salvaguardas para proteger el activo de la amenaza estudiada ya que el resultado indica que serán usados $25.000 o menos para proteger anualmente el activo. Conociendo la posibilidad real de la amenaza y el valor del daño en términos monetarios, la causa de la amenaza es importante para determinar cómo puede ser gastado para protegerse en contra de la amenaza en primer lugar y tomar la decisión si protegerse o no. Un análisis cuantitativo es considerado subjetivo y no objetivo por mucha gente. En el análisis cuantitativo se puede hacer el mayor esfuerzo en suministrar la correcta información con valores bastante cercanos a la realidad, pero no es posible predecir el futuro y cuanto el futuro le costara a la compañía.
Resultados del análisis de riesgos: En la lista siguiente se numeran las expectativas del resultado del análisis de riesgos: • • • • • Valores monetarios asignados a los activos Lista comprensiva de las amenazas más significativas y posibles. Probabilidad de ocurrencia de cada amenaza. Perdida potencial que la compañía puede soportar por cada amenaza en 12 meses. Recomendación de salvaguardas, contramedidas y recomendaciones.
ANALISIS DE RIESGO CUALITATIVO En un análisis de riesgo cualitativo, se estudian diferentes escenarios de posibilidades de riesgo y se valora la gravedad de las amenazas y se validan las diferentes contramedidas basados en opiniones. Las técnicas de análisis cualitativo incluyes el juzgar, las mejores prácticas, la intuición y la experiencia. Algunas técnicas cualitativas para la obtención de datos son Delphi, tormenta de ideas, grupos de foco, encuestas, cuestionarios, listas de chequeo, reuniones uno a uno o entrevistas. El equipo de análisis de riesgo determina la mejor técnica para las amenazas que deben ser evaluadas, así como la cultura e individuos de la compañía envueltos en el análisis. Principio de incertidumbre: En el análisis de riesgo se refiere al grado con el cual usted deja la confidencia en un estimado. Esto es expresado en porcentaje. Si se tiene un 30% de nivel de confidencia, entonces se puede decir que se tiene un 70% de nivel de incertidumbre. Tener el grado de incertidumbre cuando se lleva a cabo un análisis de riesgo es importante debido a que indica el nivel de confidencia que el equipo y la administración podrían tener en las cifras resultantes. El equipo que realiza el análisis consigue personal que tiene experiencia y educación en amenazas que están siendo evaluadas. Cuando este grupo es presentado en un escenario que describe las amenazas y
pérdidas potenciales, cada miembro responde con su instinto y experiencia sobre la probabilidad de la amenaza y extensión del daño que pueda resultar. Un escenario de aproximadamente de una página de longitud es escrito para cada amenaza importante. El experto que esta mas familiarizado con la amenaza, podría revisar el escenario para asegurar que este refleje como la actual amenaza puede materializarse. Las salvaguardas que minimizan el daño de esta amenaza son evaluadas y el escenario es colocado para cada salvaguarda. La posibilidad de exposición y posibilidad de pérdida pueden ser valoradas entonces como alta, media o baja o una escala de 1 a 5 o 1 a 10. Una vez el personal seleccionado valore la posibilidad de la ocurrencia de la amenaza, perdida potencia y ventajas de cada salvaguarda, esta información es compilada en un reporte y presentada a la administración para ayudar a tomar mejores decisiones de cómo implementar mejor las salvaguardas en el entorno. Los beneficios de este tipo de análisis, es que la comunicación debe suceder con todos los miembros del equipo para renquear el riesgo, fortaleza de las salvaguardas, identificar debilidades, y las personas quienes conocen estos temas que suministran sus mejores opiniones a la administración. Técnica DELPHI Es un método de decisión grupal usado para asegurar que cada miembro de su honesta opinión, de lo que él o ella piensa del resultado de la materialización de una amenaza. Esto evita la presión de otros procesos y habilita a los miembros a participar de forma independiente y anónima. Cada miembro del grupo suministra su propia opinión de cierta amenaza y la devuelve al equipo para que este realice el análisis. Los resultados son compilados y distribuidos a los miembros del grupo quienes escriben sus comentarios de manera anónima, y lo devuelven. Este proceso se repite hasta que exista un consenso de opiniones. Este método es usado para obtener un acuerdo en cuanto a costos, perdidas y probabilidades de ocurrencia sin que existan acuerdos verbales entre individuos.
Análisis Cuantitativo Vs Análisis Cualitativo: Cada método de análisis de riesgos tiene sus ventajas y desventajas. A continuación se numeran algunas. CARACTERISTICA CUANTITATIVO CUALITATIVO X X X
No requiere Cálculos Cálculos complejos X Alto grado de conjetura Suministra áreas generales e indicaciones de riesgo Fácil de automatizar y evaluar X Usado en seguimiento de rendimiento de risk management X Suministra análisis costo/*beneficio más creíbles X Usa métricas independientemente verificables y objetivas X Suministra las opiniones de individuos que conocen mejor el proceso Muestra claros valores acumulados de perdida en un año x
X
El equipo de análisis de riesgo, administración, herramientas de análisis de riesgos, y cultura de la compañía, dictarán el enfoque – cuantitativo o cualitativo – que será usado. El objetivo de ambos métodos es estimar el riesgo real de la compañía y calificar la severidad de las amenazas para que las correctas contramedidas sean implementadas dentro de un presupuesto adecuado. Desventajas del proceso cualitativo • • • • La evaluación y resultados son básicamente subjetivos Usualmente elimina la oportunidad de crear discusión alrededor de un valor costo/beneficio Difícil de hacer seguimiento de los objetivos de administración de riesgos con medidas subjetivas. No hay estándares disponibles. Cada proveedor tiene su propia forma de interpretación del proceso y sus resultados.
Desventajas del proceso cuantitativo • • • • Cálculos mucho más complejos. Sin herramientas automatizadas, este proceso es más laborioso. Se requiere de más trabajo preliminar para obtener información detallada acerca del entorno. No hay estándares disponibles. Cada proveedor tiene su propia forma de interpretación del proceso y sus resultados.
MECANISMOS DE PROTECCIÓN: Después de conocer los riesgos, la probabilidad de ocurrencia y el impacto, el siguiente paso es identificar los actuales mecanismos de seguridad y evaluar su efectividad. Debido a que una compañía tiene un amplio rango de amenazas, cada tipo de amenaza debe ser resuelta y planeada de manera individual. Mecanismos de control de acceso, consideraciones de software de aplicaciones, ubicación geográfica, protección contra fuego, construcción de sitios, pérdida de poder y malfuncionamiento de equipos, continuidad del negocio y recuperación de desastres, todos están sujetos a sus propios riesgos y amenazas y a planeación de requerimientos. Selección de contramedidas Una contramedida de seguridad, también llamada salvaguarda, debe tener buena sensibilidad en el negocio, es decir, tener costo/efectividad. Esto requiere otro tipo de análisis: Análisis de costo/beneficio. Un cálculo común de costo/beneficio de una salvaguarda es: ALE (antes de la salvaguarda) – ALE (Después de la salvaguarda) – Costo anual de la salvaguarda = valor de la salvaguarda para la compañía.
Por ejemplo, si el ALE de la amenaza de un hacker que penetra un servidor web, es $100.000 antes de implementar la salvaguarda, y el ALE después de la salvaguarda es de $25.000, mientras que el costo anual de la operación y mantenimiento de la salvaguarda es $5.000, el valor de la salvaguarda para la compañía es: $100.000 – $25.000 - $5.000 = $70.000. El costo de la contramedida es más que solo la cantidad gastada en la orden de compra. Los siguientes ítems podrían ser considerados y evaluados cuando derivan del costo total de una contramedida: • • • • • • • • • • • • Costo del producto Costos de planeación y diseño Costos de implementación Modificaciones de entorno Compatibilidad con otras contramedidas Requerimientos de mantenimiento. Requerimiento de pruebas. Reparación, reemplazos o costos de actualización. Costos de operación y soporte Efectos en la productividad. Costos de subscripción Horas hombre extra para monitoreo y respuesta de alertas.
Funcionalidad y efectividad de las contramedidas El equipo de análisis de riesgo, debe evaluar la efectividad y funcionalidad de las salvaguardas. Cuando se selecciona una salvaguarda, algunos atributos son más favorables que otras. Algunos de los atributos que podrían ser considerados son: DESCRIPCIÓN Puede ser instalada o removida de un entorno sin efectos adversos a otros mecanismos. Protección uniforme Un nivel de seguridad es aplicado a todos los mecanismos que está diseñado para proteger en un método estandarizado. Suministra funcionalidad de anulación Un administrador puede anular las restricciones si es necesario. Menor privilegio por defecto Cuando sea instalado, los permisos y derechos con menor privilegio deben quedar por defecto y no instalar con control total a todos. Independencia de la salvaguarda y el activo que se Una salvaguarda puede ser usada para proteger protege. varios activos y varios activos pueden ser protegidos por diferentes salvaguardas. Flexibilidad y seguridad A mayor seguridad mejor salvaguarda. Esta funcionalidad podría venir con flexibilidad, lo cual Modular CARACTERISTICA
habilita a seleccionar diferentes funciones en vez de todas o ninguna. Interacción con el usuario. No debe causar pánico a los usuarios. Clara distinción entre usuario y administrador. Un usuario podría tener pocos permisos cuando este intenta configurar o deshabilitar mecanismos de protección. Mínima intervención humana Cuando se deba configurar o modificar controles, esto abre las puertas a errores. La salvaguarda podría requerir poca intervención humana. Protección de activos El activo debe estar protegido aun si la contramedida debe ser reinicializada. Fácilmente actualizable El software continúa evolucionando y las actualizaciones no causan pánico. Funcionalidad de auditoria. Este podría ser un mecanismo que es parte de la salvaguarda para suministrar un mínimo o auditoria detallada Minimiza la dependencia de otros componentes. La salvaguarda podría ser flexible y no tener requerimientos estrictos acerca del entorno dentro del cual será instalada. Fácilmente utilizable, aceptable y tolerada por el Sí la salvaguarda suministra barreras a la personal. productividad o agrega pasos extra a simples tareas, los usuarios no la tolerarán Debe producir una salida utilizable y en formato Información importante debe ser presentada en entendible. un formato fácil de entender y usar. Debe ser reiniciable Los mecanismos deben estar hábiles para ser reiniciables y poder volver a la configuración original, sin afectar el sistema o activo que se está protegiendo. Puede ser probada La salvaguarda debería estar hábil para ser probada en diferentes entornos bajo diferentes situaciones. No introduce otros compromisos. La salvaguarda podría no suministrar canales encubiertos o puertas traseras. Aplicación universal La salvaguarda puede ser implementada a través de cualquier entorno y no requerir excepciones. Rendimiento de usuario y sistema El rendimiento de los usuarios y sistemas podría no ser altamente afectado. Alertas La herramienta debe estar hábil para configurar umbrales para alertar sobre una brecha de seguridad. No afecta a los activos Los activos del entorno podrían no verse afectados contrariamente por la salvaguarda.
Las salvaguardas pueden proveer atributos de impedimento si estas son altamente visibles. Estas indican a los potenciales atacantes, que protección adecuada está colocada, y que ellos podrían moverse a un objetivo más fácil. Aunque la salvaguarda sea altamente visible, los atacantes no deberían estar hábiles
para descubrir cómo esta trabaja, así habilitarlos a intentar modificar la salvaguarda, o conocer como saltarse los mecanismos de protección. En resumen, una compañía debe primero decidir cuales activos deben ser evaluados y cuales exceptuados del análisis. Aquí se indica el presupuesto para proteger los activos específicos. Después de realizar la evaluación, se debe revisar la funcionalidad y efectividad de las salvaguardas para determinar cuáles prestarán mayores beneficio en el entorno. Finalmente la compañía evaluara y comparará los costos de las salvaguardas. Estos pasos y la información resultante ayuda a la administración en la toma de decisiones inteligentes acerca de la adquisición de las contramedidas.
Activos e información de asignación del valor
Análisis de riesgo y evaluación.
Selección de contramedidas e implementación
Riesgo Total y Riesgo Residual. La razón de que una compañía implemente contramedidas es reducir el riesgo total a un nivel de riesgo aceptable. Ningún sistema es 100% seguro, lo que significa que siempre existirá algún riesgo. Este es llamado riesgo residual. El riesgo residual, es diferente al riesgo total, el cual es el riesgo que encara una compañía si9 no se implementa algún tipo de salvaguarda. Una compañía quizás opte por tomar el riesgo total si el análisis costo/beneficio, indica que esta es la mejor acción. Es importante diferenciar entre el riesgo total y el riesgo residual y que tipo de riesgo está dispuesta la compañía a aceptar. Algunas fórmulas conceptuales usadas solamente para mostrar la relación de los ítems que conforman el riesgo en forma de concepto. Amenaza * Vulnerabilidad * Valor del Activo = riesgo total (Amenaza * Vulnerabilidad * Valor del Activo) * Diferencia de control = riesgo residual Se pueden ver estos conceptos mostrados así:
Amenaza, Vulnerabilidad, Valor del Activo = riesgo total Riesgo total – contramedida = riesgo residual. Durante una evaluación de riesgos, las amenazas y vulnerabilidades son identificadas. La posibilidad de que una vulnerabilidad sea explotada, es multiplicada por el valor del activo que está siendo evaluado, lo cual resulta en el riesgo total. Una vez la diferencia del control (protección del control no suministrada) sea ubicada, el resultado es el riesgo residual. La implementación de las contramedidas, es una forma de mitigar los riesgos. Debido a que ninguna compañía puede eliminar todas las amenazas, siempre habrá un riesgo residual. La pregunta es qué nivel de riesgo está dispuesta la compañía a aceptar. Manejo del riesgo: Una vez que la compañía conoce el riesgo total y residual, esta debe decidir cómo manejarlo. El riesgo puede ser tratado de cuatro formas básicas: Transferirlo, rechazarlo, reducirlo o aceptarlo. Muchos tipos de seguro, están disponibles para que las compañías protejan sus activos. Si una compañía decide que el riesgo total o residual es muy alto para arriesgarse con este, puede adquirir un seguro, lo cual transferirá el riesgo a la compañía de seguros. Si la compañía decide terminar con la actividad que introduce el riesgo, esto es conocido como evitar el riesgo. Otro enfoque, es la mitigación del riesgo, donde el riesgo es disminuido a un nivel considerablemente aceptable suficiente para continuar con el negocio. Aceptar el riesgo, significa que la compañía entiende el nivel de riesgo que encara, así como el costo del potencial daño, y decide vivir con el riesgo y no implementar alguna contramedida. Muchas compañías aceptan el riesgo cuando la tasa costo/beneficio indica que el costo de la contramedida es mayor al beneficio y a la perdida potencial.
Tomado de: CISSP All in One – Exam Guide – Fouth Edition Official (ISC)2 Guide to the CISSP CBK
INFORMATION SECURITY
La administración de la seguridad implementa políticas, procedimientos, estándares y líneas guía lo que suministra un balance de los controles de seguridad con las operaciones de negocio, es decir, la seguridad debe soportar la visión, misión y objetivos de negocio de la organización.
PRINCIPIOS CLAVE DE LA SEGURIDAD DE LA INFORMACION: CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD (CIA por sus iniciales en Inglés)
CONFIDENCIALIDAD: Este principio indica que solamente los individuos autorizados, procesos autorizados o sistemas autorizados, podrían tener acceso a la información. A través de los últimos años, se ha dedicado una gran cantidad de esfuerzo a la privacidad de la información. El robo de identidad es el acto de asumir la identidad de alguien por medio del conocimiento de información confidencial. La información debe ser clasificada para poder determinar su nivel de confidencialidad y quien podría tener acceso a la misma. La identificación, autenticación y autorización, a través de controles de acceso, son prácticas que soportan y mantienen la confidencialidad. INTEGRIDAD: la información debe ser protegida de cambios intencionales no autorizados o accidentales. Es decir, la información debe ser siempre exacta y solo modificable por quien esté autorizado para ello. DISPONIBILIDAD: la información debe estar disponible por los usuarios cuando estos lo requieran. La denegación de servicios por carencia de controles adecuados y perdida de servicios por un desastre, afectan la disponibilidad. GOBIERNO DE LA GESTION DE LA SEGURIDAD DE LA INFORMACION Aunque no hay una definición universal para la gobernabilidad en seguridad, esta si debe garantizar que las actividades de seguridad de la información sean realizadas de manera que los riesgos sean efectivamente reducidos, las inversiones en seguridad sean bien dirigidas y que la dirección de la organización tenga la visión del programa de seguridad. El IT Governance Institute (ITGI), define la gobernabilidad de TI como “una estructura de relaciones y procesos para dirigir y controlar la empresa en orden al cumplimiento de los objetivos, agregando valor, haciendo un balance entre el riesgo y el retorno sobre TI y sus procesos”. El ITGI propone que la gobernabilidad de la seguridad de la información, podría ser considerada como parte de la gobernabilidad de TI y que la dirección esté informada de la seguridad de la información, conduzca la política y estrategia, suministre los recursos a los esfuerzos de seguridad, asigne las responsabilidades de administración, priorice, soporte los cambios requeridos y defina el valor cultural relacionado a la evaluación de riesgos, obtenga garantía de
auditorías internas y externas e insista en que las inversiones de seguridad sean medibles y reportadas en un programa de efectividad. El ITGI sugiere que la administración escriba las políticas de seguridad con el negocio, asegure que los roles y responsabilidades sean definidos y claramente entendidos, que las amenazas y vulnerabilidades sean identificadas, que la infraestructura de seguridad sea implementada, que los marcos de control sean implementados después de que la política sea aprobada por el gobierno corporativo, aplicar de manera oportuna la priorización, que las brechas de seguridad sean monitoreadas, que se hagan revisiones periódicas y que se realicen pruebas, que la educación en seguridad sea vista como critica, y que la seguridad sea construida como lo indica el ciclo de vida del desarrollo de los sistemas. POLITICA DE SEGURIDAD La política de seguridad, es un documento que debe ser realizado en conjunto entre las directivas del negocio y el personal encargado de la seguridad. Esto permite una amplia visión y cubrimiento de la política con respecto a los objetivos del negocio. Algunas de los lineamientos para la redacción de una política de seguridad:
• •
•
• •
•
Un proceso claro y definido para iniciar, crear, revisar, recomendar, aprobar y distribuir la política de seguridad. La política debe ser escrita por un periodo de tiempo de entre dos y tres años. Las políticas son declaraciones de alto nivel de los objetivos de la organización. Los métodos y tecnologías para las implementaciones pueden cambiar con una frecuencia mayor que la política. Estos cambios se pueden ver reflejados en otros documentos tales como procedimientos, estándares, líneas guía y líneas base. La declaración de la política necesitará menos cambios. Uso de palabras con directriz: en la declaración de la política el uso de palabras como Debe, Será, Tendrá, no dejará dudas al cumplimiento de la política. Por otra parte usar palabras como puede, quizás, deja huecos en el cumplimiento debido a que no enuncian obligatoriedad. Evitar detalles de implementación técnica. La política deberá ser independiente de la implementación técnica de los controles. Mantener la longitud en un mínimo. El objetivo de la política debe ser descrito en un mínimo de párrafos ya que su intención es que sea entendida por el usuario final. Una declaración extensa será más complicada de entender. Vinculación de la política a sus documentos de soporte. Hoy en día, al publicar documentos en línea a través de una intranet por ejemplo, permite enlazar estos documentos a otros relacionados. Enlazar la política a sus documentos de soporte es altamente efectivo ya que se asegura que los procedimientos adecuados son seguidos. Sin embargo se debe ser cauteloso ya que no todos los documentos de soporte podrían ser de dominio público en la organización.
•
• • • • •
Revisar antes de publicar. Antes de publicar la versión final de la política se recomienda sea revisada por un grupo si es posible interdisciplinario de la dirección para evitar posibles errores de un solo autor. Aprobar y firmar. Si la política es aceptada por todos y esta lista su versión final, la administración debe aprobar y firmar la política. Evitar lenguaje técnico. Revisar incidentes y ajustar la política. La revisión de los incidentes de seguridad podría provocar una actualización de la política, un cambio o un proceso de divulgación más efectiva. Revisión periódica de la política. Un proceso formal de revisión por la dirección asegura que la política este ajustada a los objetivos de la organización. Desarrollar sanciones para no cumplimiento. La política debe tener sanciones consistentes debido a su no cumplimiento. Estas sanciones pueden incurrir en acciones disciplinarias, terminación de contratos, etc.
Tipos de política de seguridad. • Organizacional: es emitida por un administrador senior individual que crea la autoridad y alcance del programa de seguridad. El propósito del programa es describir y asignar las responsabilidades para llevar a cabo la misión de la seguridad de la información. Aquí se abordan los objetivos de la confidencialidad, integridad y disponibilidad. La política de la organización define un alto nivel de autoridad y las sanciones apropiadas por caso de falla en el cumplimiento. Política funcional o de temas específicos. Este tipo de políticas tiene un menor alcance que la política organizacional y puede ser funcional o direccionada a áreas particulares que requieren claridad. Por ejemplo, su alcance puede ser un dominio específico como el control de acceso, plan de contingencia, etc. Política de sistema específico. Se usa en áreas donde se requiere de un control operacional o técnico bastante estricto que lo indicado en la política organizacional. Políticas a niveles más bajos y más detallados podrían requerir cambios con mayor frecuencia.
•
• •
ESTANDARES Las políticas definen las necesidades, los estándares, definen los requerimientos. Un estándar suministra el acuerdo que provee interoperabilidad dentro de la organización a través del uso de protocolos comunes. Los estándares suministran la especificación de tecnología para efectivamente habilitar a la organización a volverse exitosa en el cumplimiento de los requerimientos de la política.
PROCEDIMIENTOS
Son las instrucciones paso a paso en el soporte de las políticas, estándares, líneas guía y líneas base. El procedimiento indica cómo será la política implementada y quien debe hacer que para completar la tarea. Una documentación consistente del procedimiento permitirá la mejora del mismo. Una vez todos los involucrados entiendan el procedimiento, se pueden aplicar muchas mejoras y comunicado nuevamente. BASELINES (LINEAS BASE) Suministran una descripción de cómo implementar los paquetes de seguridad, para asegurar que la implementación sea consistente en todo sentido la organización. Existe software, hardware, plataformas y redes con diferentes métodos para su aseguramiento. Existen muchas configuraciones y opciones para su aseguramiento. Un análisis de estas opciones de configuración y la posterior configuración deseada forman la base para una implementación consistente del estándar. Las líneas base podrían ser revisadas periódicamente y posiblemente actualizadas de acuerdo a las amenazas emergentes y nuevas vulnerabilidades. GUIDELINES (Línea guía - directriz) Son controles opcionales usados para realizar algún tipo de juicio sobre acciones de seguridad. Si al realizar la declaración, se cambia la palabra directriz por opcional y esta es adecuada entonces esta es una directriz. De lo contrario, si se observa que la declaración de la directriz al cambiar la palabra por opcional se observa que no es adecuada ya que es considerada requerida, esta declaración no debe ser una directriz sino una política, estándar o línea base. Las líneas guía son también recomendaciones, mejores prácticas, y plantillas.
FRAMEWORKS DE AUDITORIA PARA CUMPLIMIENTO Existen una serie de marcos de trabajo para la auditoria de controles de seguridad, que han sido aceptados a nivel mundial y que cubren en diferentes aspectos la confidencialidad, integridad y disponibilidad.
COSO - Committee of Sponsoring Organizations Fue creado en 1985. Identifica 5 áreas de control interno necesarias para el cumplimiento para reporte financiero y divulgación de objetivos. Estas incluyen: • • • • Control del entorno Evaluación de riesgos Actividades de control Información y comunicaciones
•
Monitoreo.
ITIL - IT Infrastructure Library Es un conjunto de libros orientados a la prestación de servicios de IT.
COBIT - Control Objectives for Information and related Technology Marco de trabajo para control interno en tecnologías de la información y áreas relacionadas que cuenta con 34 proceso de alto nivel. 214 objetivos de control que son el soporte para los 34 procesos de alto nivel. COBIT define 4 dominios: Planear y organizar, adquisición e implementación, entrega y soporte, monitoreo.
ISO 27000 La administración de seguridad de la información, está definida en la familia ISO 27000. La ISO 27001 define lo que se requiere para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI y la ISO 27002 define 133 controles para la seguridad de la información.
ESTRUCTURA ORGANIZACIONAL - MEJORES PRÁCTICAS ROTACIÓN DE TRABAJO: reduce el riesgo de confabulación entre individuos. La rotación quizás permita descubrir actividades que un individuo está realizando fuera de los procedimientos normales. En pequeñas organizaciones tal vez sea difícil de implementar debido a habilidades particulares requeridas para el reemplazo de un puesto de trabajo. SEPARACION DE FUNCIONES: un solo individuo podría no ejecutar todos los pasos de un proceso. Esto es importante, ya que en los departamentos de sistemas de información se tienen privilegios para modificar, borrar o agregar datos al sistema. La separación de funciones reduce los errores o actos de fraude. Algunas organizaciones usan una matriz de dos dimensiones para determinar las posiciones que podrían ser separadas dentro del departamento. Cada posición es colocada en la matriz y debe marcarse cuando las responsabilidades no deben ser asumidas por el mismo individuo. Estas responsabilidades incompatibles, pueden variar entre las diferentes organizaciones. Sin embargo, funciones que no debe realizar un mismo individuo pueden ser: • • Administradores de sistema Administradores de red
• • • • • • •
Entrada de datos Operaciones computacionales Administración de seguridad Desarrollo de sistemas y mantenimiento. Auditoria de seguridad Administración de sistemas de información. Administración de cambios.
MENOR PRIVILEGIO: se refiere a que se garantiza a los usuarios el acceso únicamente a lo requerido para la realización de su trabajo. VACACIONES OBLIGATORIAS: los beneficios son similares a la rotación de trabajo. En un periodo de vacaciones de un individuo, este debe ser reemplazado, de manera que pueden ser observadas variaciones en los procedimientos. También pueden ser removidos temporalmente los permisos y accesos del individuo en vacaciones para asegurar que no esté ejecutando procesos mientras esta afuera. SENSIBILIDAD DE LA POSICION DE TRABAJO: evaluar el daño que un individuo puede hacer si hace mal uso de sus funciones o procesos de trabajo puede ser la entrada para clasificar el acceso y permisos que podría tener.
RESPONSABILIDADES DEL OFICIAL DE SEGURIDAD DE LA INFORMACION Es responsabilidad del oficial de seguridad de la información proteger los activos de información de todo el negocio contra perdida, divulgación, alteración, destrucción e indisponibilidad. Para ejecutar sus funciones, el oficial de seguridad depende de otros individuos en la organización para realizar todo su trabajo. COMUNICAR EL RIESGO A LA ADMINISTRACION: el oficial de segurida de la información, es responsable por entender los objetivos de negocio de la organización, asegurar que la evaluación de riesgo es realizada, tomar en consideración las amenazas y vulnerabilidades que impactan la organización, y comunicar el riesgo a la administración ejecutiva. Dependiendo de la organización y su naturaleza (Privada o no), se pueden incluir individuos con niveles de título “C” en la administración ejecutiva como: • • • • CEO Chief Executive Officer COO Chief Operative Officer CFO Chief Financial Officer CIO Chief Information Officer
El nivel ejecutivo también incluye vicepresidencias como: • Ventas y marketing
• • •
Administración Jurídico Recursos humanos
Al equipo ejecutivo no le conciernen los detalles técnicos. Sin embargo, si es de su interés mantener un balance apropiado entre el riesgo aceptable y las operaciones de negocio en el cumplimiento de los objetivos. Asimismo, el costo/beneficio de un control de seguridad y el riesgo residual después de su implementación. PRESUPUESTO PARA ACTIVIDADES DE SEGURIDAD DE LA INFORMACION: el oficial de seguridad de la información prepara el presupuesto para administrar el programa de seguridad de la información y asegura que en otros departamentos también se incluya presupuesto para seguridad como por ejemplo Helpdesk, desarrollo de aplicaciones, etc. ASEGURAR EL DESARROLLO DE POLITICAS, PROCEDIMIENTOS, LINEAS BASE, ESTANDARES Y LINEAS GUIA: El oficial de seguridad de la información es responsable porque estos documentos sean escritos con el fin de resolver las necesidades de seguridad de la organización. Sin embargo esto no significa que todas las políticas sean escritas por el departamento de seguridad. El negocio y el equipo de administración debe ser responsable también en la medida en que su participación lo requiera. DESARROLLAR Y PROVEER PROGRAMAS DE CAPACITACION EN SEGURIDAD: El oficial de seguridad debe liderar el programa de capacitaciones y concientización de seguridad de la información de manera que asegura que esa capacitación sea entendible para la audiencia. ENTENDER LOS OBJETIVOS DE NEGOCIO: parte del éxito dentro de la organización del oficial de seguridad, es entender la visión, misión y objetivos. Esto incrementa la oportunidad del éxito de la seguridad. El oficial debe entender la presión de competitividad que encara la organización, las fortalezas, debilidades, amenazas y oportunidades, así como las regulaciones que rigen la organización, de manera que los controles de seguridad sean adecuados. MANTENERSE AL TANTO DE AMENAZAS EMERGENTES Y VULNERABILIDADES: el entorno de las amenazas está en constante cambio, de manera que el oficial de seguridad debe estar al tanto de las mismas. EVALUAR LOS INCIDENTES DE SEGURIDAD Y LA RESPUESTA: el equipo de respuesta a incidentes (CIRT por sus siglas en ingles), es un grupo de individuos con las habilidades necesarias para evaluar los incidentes, el impacto, y el suministro de la correcta respuesta para reparar el sistema afectado y recolectar la evidencia para un potencial enjuiciamiento o sanción. El oficial de seguridad, asegura que los incidentes sean seguidos de manera oportuna.
DESARROLLAR EL PROGRAMA DE CUMPLIMIENTO DE SEGURIDAD: el cumplimiento periódico por inspección interna o externa asegura que los procedimientos, checklist y líneas base sean documentadas
y seguidas en la práctica. El oficial de seguridad debe asegurar que lo que se encuentra escrito en las políticas sea realizad en la práctica. ESTABLECER MERICAS DE SEGURIDAD: las medidas son recopiladas para suministrar información sobre tendencias a largo plazo y la carga de trabajo día a día y demuestran el efecto del no cumplimiento. Las medidas de los procesos ayudan a mejorar dichos procesos. PARTICIPAR EN REUNIONES DE ADMINISTRACION: El oficial de seguridad debe estar involucrado en los equipos de administración y la planeación de reuniones que lo involucren para que sean efectivas. En este tipo de reuniones están incluidas las reuniones con la mesa directiva, comités de TI, reuniones administrativas y departamentales. ASEGURAR CUMPLIMIENTO CON REGULACIONES DEL GOBIERNO: el oficial de seguridad debe asegurar que los requerimientos de las leyes, reglas y regulaciones gubernamentales estén integradas y sean cumplidas por el programa de seguridad de la organización. ASISTIR A LOS AUDITORTES INTERNOS Y EXTERNOS: La visión independiente de los auditores en los temas de seguridad suministra información esencial del diseño, efectividad e implementación de los controles. MANTENERSE AL TANTO DE NUEVAS TECNOLOGIAS: El oficial de seguridad debe estar enterado de tecnologías emergentes para asegurar que las soluciones apropiadas estén implementadas basado en el apetito de riesgo de la organización, cultura, recursos disponibles y la decisión de innovar, liderar o continuar con los productos y prácticas de seguridad.
MODELO DE REPORTES El oficial de seguridad de la información y los reportes de seguridad en la organización, podrían ser reportados en un alto nivel en función de mantener visible la importancia de la seguridad de la información y limitar la distorsión o inexactitud en el traspaso de los mensajes que puede ocurrir debido a la profundidad en la jerarquía de la organización. No existe un modelo de cómo el oficial de seguridad debe reportar a la organización y a quien debe hacerlo. Las siguientes ítems podrían dar una visión de que opción se podría tomar en la organización. RELACIONES EMPRESARIALES: dondequiera que el oficial de seguridad reporte, es necesario que este tenga una alta credibilidad y una buena relación empresarial con los niveles alto y medio de administración, y también con los usuarios que seguirán la política. REPORTANDO AL CEO: al reportar al CEO se reduce altamente el filtrado de los mensajes, mejora la comunicación y demuestra a la organización la importancia de la seguridad de la información. La desventaja de reportar al CEO es que este puede tener otra cantidad de temas que atender y tal vez no asignar el tiempo necesario o el interés a los temas de seguridad.
REPORTAR AL DEPARTAMENTO DE TI: en este modelo, el oficial de seguridad reporta directamente al CIO, al vicepresidente de sistemas o quien este a la cabeza del departamento de TI. La ventaja de este modelo es que el individuo a quien el oficial de seguridad está reportando, tiene el entendimiento técnico y la influencia con administradores senior. También es benéfico debido a que el oficial y su equipo pueden tener un buen trato con todo el departamento de TI. La desventaja, puede ser el conflicto de intereses. En algunas ocasiones el CIO puede estar más orientado al cumplimiento de los objetivos de TI, como la rápida entrega de aplicaciones, ubicación de recursos, minimizar costos por lo que la seguridad quedaría de cierta manera relegada. REPORTAR A SEGURIDAD CORPORATIVA: la seguridad corporativa está enfocada en la seguridad física de la empresa. Aunque reportar a seguridad corporativa parece lógico, sin embargo, los individuos de estas áreas están más orientados a otro perfil como el de justicia criminal, protección y servicios de investigación, mientras que en seguridad de la información, los individuos tienen un perfil más orientado al negocio y a las tecnologías de la información. REPORTAR AL DEPARTAMENTO DE SERVICIOS ADMINISTARTIVOS: Es posible que el oficial de seguridad le reporte al vicepresidente de servicios administrativos, que quizá incluya seguridad física, recursos humanos, empleados de seguridad y HR. Su ventaja es que el acercamiento con HR permite enfocar de manera más adecuada todas las formas de información y no el oficial no está sesgado solamente a información electrónica. La limitación es que el líder del área de servicios administrativos, no tenga el suficiente conocimiento técnico y se disminuya su habilidad de comunicación en esta área con el CEO. REPORTAR AL DEPARTAMENTO DE SEGUROS Y ADMINISTRACION DE RIESGOS: este modelo de reporte puede ser útil para bancos, agentes de bolsa y compañías de investigación. El oficial de riesgos realmente conoce y está interesado en los riesgos que afectan la organización y los métodos de control de estos riesgos. La limitación es que el oficial de riesgos no esté al corriente de los sistemas de TI y su estrategia se enfoque menos en el tema los proyectos de seguridad del día a día. REPORTAR AL DEPARTAMENTO DE AUDITORIA INTERNA: este modelo puede crear un conflicto de intereses ya que el departamento de auditoria interna es responsable de evaluar la efectividad y la implementación de los controles, es decir, la seguridad de la información estaría también bajo su responsabilidad, por lo que la visión objetiva de las auditorias estaría sesgada. Como ventaja, el departamento de auditoria interna y seguridad de la información se enfocan en el mejoramiento de los controles. REPORTAR AL DEPARTAMENTO LEGAL: en industrias reguladas, quizás sea una buena idea. Sin embargo el énfasis en el cumplimiento de las actividades puede ser más estricto que otras áreas como la consultoría en temas de seguridad y el soporte. También, la distancia jerárquica entre el oficial de seguridad y el CEO es solo un nivel. DETERMINAR LA MEJOR OPCION: de acuerdo al tipo de organización, cultura, industria, tamaño, dependerá la adopción de alguno de los modelos nombrados. Se pueden minimizar el conflicto de intereses, incrementar la visión, financiación apropiada y efectiva comunicación cuando se escoge un modelo adecuado.
COMITÉ DE SUPERVISION DE SEGURIDAD DECLARACION DE LA VISION: debe existir una clara visión que esté alineada y soporte la visión de la organización. Normalmente esta declaración, aprovecha los conceptos de confidencialidad, integridad y disponibilidad para soportar los objetivos del negocio. Esta visión, no tiene un enfoque técnico. DECLARACION D ELA MISIÓN: son los objetivos que soportan la totalidad de la visión. Esta declaración es la fundamentación para el alcance de la visión. PLAN DE SEGURIDAD Los planes de seguridad Estratégicos, tácticos y operacionales están interrelacionados entre sí y cada uno suministra diferentes focos hacia el mejoramiento de la seguridad de la organización. PLAN ESTRATEGICO: están alineados con la estrategia de negocio y las metas de tecnología de información. Son a largo plazo – 3 o 5 años -. El plan estratégico hace énfasis en el entorno de la organización y en el entorno técnico en el futuro. Se ubican aquí las metas de alto nivel que suministran la visión para los proyectos en cumplimiento de los objetivos de negocio. Este plan debe ser revisado al menos una vez al año o cuando existan mayores cambios en el entorno de negocio o tecnológico qu afecten las metas propuestas. PLAN TACTICO: suministran una amplia iniciativa y soporte para el cumplimiento de las metas de negocio especificadas en el plan estratégico. Por ejemplo procesos de distribución, implementación de controles de cambio robustos, etc. Estos planes son desarrollados en plazos de tiempo entre 6 y 18 meses. PLANES DE OPERACIONES: planes específicos con objetivos, fechas y rendición de cuentas, esto con el fin de que el plan sea completado. Dependiendo del tamaño y del esfuerzo, estos planes pueden ser hechos por partes o si existen múltiples planes administrados por varios proyectos. La duración de estos planes es de corto tiempo. SEGURIDAD DE PERSONAL. Contratar individuos calificados y confiables depende de las políticas de contratación de personal en la organización. La baja moral de los empleados puede contribuir a la reducción del cumplimiento de los controles y con el tiempo bajos niveles de experticia. Las políticas de terminación de contratos son necesarios para asegurar que los empleados que ya nos son miembros de la compañía no tengan más acceso a los sistemas y así disminuir la posibilidad de daño o interrupción de las operaciones. PRÁCTICAS DE CONTRATACIÓN: antes de que una persona comience a laborar en la organización, deberían realizarse varias actividades como la descripción del rol, definir referencias de contacto, desarrollar acuerdos de confidencialidad, etc. Descripción del rol: contiene las responsabilidades de la posición a ocupar en la organización. También debe incluir la educación, experiencia y experticia requerida para realizar satisfactoriamente la función.
Una falla en la descripción del rol, podría generar una falsa sensación de seguridad así como que el individuo que aplica al rol puede carecer de los requerimientos necesarios. Todas las descripciones de roles en la organización deberían tener una referencia de las responsabilidades en seguridad y como estas responsabilidades son compartidas con la organización entera. Acuerdos con el empleado: Los acuerdos son usualmente firmados por el empleado antes de comenzar el nuevo trabajo o durante el primer día. Los acuerdos varían en forma y contenido de acuerdo con cada organización, pero el propósito general es proteger a la organización mientras el empelado labora en ella así como después de la terminación de sus labores. Referencias para verificación: durante la entrevista y proceso de contratación, debería ser posible determinar ciertos aspectos del pasado del aspirante, sus competencias, habilidades de liderazgo, perseverancia, ética, habilidades de planeación, etc. Parte de esta información es suministrada por el mismo individuo en su currículo o en la entrevista pero debe haber puntos de referencia para corroborar la información suministrada. Estas referencias son personas que el aspirante suministra y que deben contactarse para tener perspectivas diferentes del aspirante. Investigar de antecedentes: este tipo de información permite tener un punto de vista con respecto a la confiabilidad del individuo. Las organizaciones quieren en sus empresas, personas que minimicen futuras demandas. CONCIENTIZACION Y EDUCACION EN SEGURIDAD La concientización en seguridad puede ser definida como el entendimiento de la importancia de la seguridad en la organización. En los complejos entornos de negocios hoy en día, muchas organizaciones perciben el valor de promocionar la concientización en seguridad dentro de sus entornos. Educación en la concientización de la seguridad es un método por el cual muchas organizaciones informan a sus empleados acerca de los roles y expectativas alrededor de sus roles en el cumplimiento de los requerimientos de seguridad de la información. Educar a los usuarios, ayuda a la organización al cumplimiento de los objetivos de los programas de seguridad el cual quizá también incluya el cumplimiento de regulaciones legales como HIPAA o Sarbanes Oxley. La seguridad es una amplia disciplina y existen muchos tópicos que podrían ser cubiertos en la educación de los usuarios. Estos pueden incluir: • • • • • • • • • Educación en políticas de seguridad corporativas. Programa de seguridad de la organización. Cumplimientos regulatorios. Ingeniería social. Continuidad del negocio. Recuperación de desastres. Respuesta a incidentes de seguridad. Clasificación de datos. Etiquetado y manejo de información.
• • •
Personal de seguridad. Seguridad física Apropiado uso de recursos computacionales.
MÉTODOS Y ACTIVIDADES DE CONCIENTIZACIÓN: para promover la concientización en seguridad en la organización existen varios métodos aplicables. Algunos de ellos son: • • • • • Cursos formales entregados en un aula de clases, con presentaciones o libros, presentaciones web u otro material. Cartelera que llamen la atención con temas de seguridad. Publicación de recordatorios en la intranet. Nombramiento de un educador en seguridad para la organización que ayude a los usuarios con los interrogantes. Días de entrenamiento con actividades de reconocimiento.
Entrenamiento de funciones especiales: Distinto al entrenamiento general en seguridad, un entrenamiento especial en seguridad para ciertos roles debe ser llevado a cabo dentro de la organización, debido a que las funciones de estos roles lo requieren. Por ejemplo el personal de TI, contabilidad, nomina, etc.
RISK MANAGEMENT
Information Risk Management (IRM) es el proceso de identificar y evaluar riesgos con el fin de reducirlos a un nivel aceptable con la correspondiente implementación de los mecanismos necesarios para mantener ese nivel. Existen distintos tipos de riesgo. Las principales categorías son: • • • • • • • Daño físico: Fuego, inundación, bajo poder y desastres naturales. Interacción humana: acciones o falta de ellas de manera accidental o intencional que pueden interrumpir la productividad. Mal funcionamiento del equipo: falla de los sistemas y dispositivos periféricos. Ataques internos o externos: Hacking, cracking o ataques. Mal uso de datos: compartir secretos de marca, fraude, espionaje o robo. Perdida de datos: puede ser intencional o no. Error de aplicaciones: error de programación, errores de entrada y buffer overflows.
POLITICA DE ADMINISTRACION DE RIESGO DE LA INFORMACION. Para una apropiada administración de riesgos, se requiere un administrador de nivel senior, procesos documentados, una política de IRM (administración de riesgos de la información), y un equipo IRM. La política de IRM, puede ser una parte de la política de riesgos de la organización. Esta política podría contener: • • • • • • • • • Los objetivos del equipo que informa el IRM El nivel de riesgo que la compañía aceptará y lo que es considerado un riesgo aceptable. Un proceso formal de identificación de riesgos. La conexión entre la política de IRM y el proceso de planeación estratégica de la organización. Responsabilidades y roles de IRM. Mapeo de riesgos y controles internos. Enfoque hacia cambios de comportamiento del staff y ubicación de recursos en respuesta al análisis de riesgos. El mapeo de riesgos a objetivos de rendimiento y presupuestos. Indicadores para monitorear la efectividad de los controles.
EQUIPO DE ADMINISTRACION DE RIESGO: La meta del equipo de administración de riesgos es proteger la información de manera balanceada costo-efectividad. Para que la meta pueda llegar a ser cumplida los siguientes componentes deben existir:
• • • • • • • • • • •
Un nivel de aceptación de riesgo establecido por un administrador senior. Procesos y procedimientos de evaluación de riesgos documentados. Procedimientos para evaluación y mitigación de riesgos. Recursos apropiados y asignación de presupuesto por parte del administrador senior. Planes de contingencia donde la evaluación indique la necesidad de estos planes. Entrenamiento y concientización en seguridad para todos los miembros con activos de información. La habilidad de establecer mejoras o mitigación. Desarrollo de métricas e indicadores de rendimiento para medir y administrar varios tipos de riesgo. Mapeo de requerimientos legales y regulación para controlar e implementar requerimientos. Habilidad de identificar y evaluar nuevos riesgos como del entorno y cambios de la organización. Integración del IRM y los procesos de control de cambios de la organización para asegurar que los cambios no introduzcan nuevas vulnerabilidades.
ANALISIS DE RIESGOS El análisis de riesgos, es un método de identificar vulnerabilidades y amenazas y evaluar el posible daño para determinar donde implementar salvaguardas. El análisis de riesgos, es usado para asegurar el balance costo-efectividad, relevancia, oportuno y respuesta a incidentes. El análisis de riesgos ayuda a las compañías a priorizar sus riesgos y a mostrar cómo administrar la cantidad de dinero que podría ser necesaria en la protección en contra de estos riesgos. Los objetivos principales del análisis de riesgos son: • • • • Identificar los activos y su valor Identificar las vulnerabilidades y amenazas. Cuantificar la probabilidad y el impacto al negocio de estas amenazas potenciales. Suministrar un balance entre el impacto de la amenaza y el costo de la contramedida.
El análisis de riesgos suministra una comparación costo-efectividad, la cual compara el costo anual de la contramedida con el costo potencial de la perdida. Una contramedida en muchos casos, podría no ser implementada a menos que el costo de la pérdida anual, exceda el costo de la contramedida. Antes de que la evaluación y el análisis de riesgos comiencen, el equipo de IRM debe dimensionar el proyecto, entendiendo cuales son los activos y amenazas a evaluar. Una de las tareas del equipo es realizar un informe detallado de la evaluación de los activos. El administrador senior debe revisar y aceptar la lista y definir el alcance del proyecto IRM. Si la administración determina en una etapa temprana del proyecto que algunos activos no son importantes, el equipo de evaluación de riesgos podría no gastar tiempo adicional o recursos evaluando estos activos.
Un análisis de riesgos ayuda a integrar los objetivos del programa de seguridad con los objetivos y requerimientos del negocio. Entre más alineados estén, mayor será el éxito de los dos. Una vez la compañía conoce cuantos son sus activos y su valor y la posibilidad de amenazas a las que están expuestos, pueden tomar decisiones acertadas acerca de cuánto dinero gastar para proteger estos activos. La administración debe soportar y dirigir a través de un administrador senior el análisis de riesgos. La administración debe definir el propósito y alcance de estos del análisis, designar el equipo para llevar a cabo la evaluación disponer del tiempo y recursos para conducir el análisis.
EL EQUIPO DE ANALISIS DE RIESGOS Para un análisis de riesgos efectivo, el equipo de análisis de riesgos, debe incluir individuos de varios departamentos para asegurar que todas las amenazas sean identificadas. Los miembros del equipo, podrían ser: • • • • • • Parte de la administración. Programadores de aplicaciones Ser parte del staff de TI Integradores de sistemas Administradores operacionales. Cualquier persona de las áreas claves de la organización.
Si por alguna razón, el equipo de análisis de riesgos no puede incluir a personas clave de cada área o departamento, se debe asegurar a través de entrevistas u otro medio que las áreas no incluidas sean tenidas en cuenta para entender completamente y poder cuantificar todas las amenazas. Propiedad del riesgo. El propietario de un riesgo en la organización dependerá de la situación y el riesgo evaluado. VALOR D ELA INFORMACION Y LOS ACTIVOS. El valor colocado en la información es relativo a las partes relacionadas, que trabajo es requerido para desarrollarla, cual es el costo de mantenerla, que daño podría causar si se destruyera, que enemigos podrían pagar por esta información. Si la compañía no conoce el valor de la información y sus activos, no conoce cuánto dinero y tiempo podría gastar en protegerla. Costos que conforman el valor Un activo puede tener medidas cuantitativas y cualitativas asignadas, pero estas medidas necesitan ser derivadas. El valor actual de un activo está determinado por el costo que toma adquirirlo, desarrollarlo y mantenerlo. El valor es determinado también por la importancia que tiene para los propietarios, usuarios autorizados y no autorizados. Alguna información es tan importante para una compañía que
puede llegar a ser secreto de marca. El valor de un activo podría reflejar los costos identificables de este activo en caso de surgir daños. Podrían ser consideradas los siguientes ítems para valorar los activos: • • • • • • • • Costo de adquirir o desarrollar el activo. Costo de mantener y proteger el activo. Valor del activo para los propietarios y usuarios. Valor de la propiedad intelectual dentro del desarrollo de la información. Precio que otros estarían dispuestos a pagar por el activo. Costo de reemplazar este activo si es perdido. Actividades operacionales y de producción afectadas si el activo no está disponible. Utilidad y rol del activo en la organización.
Entender el valor del activo es el primer paso para entender los mecanismos de seguridad y el presupuesto para protegerlo. Cuanto podría costar a la compañía no proteger el activo? Determinar el valor de los activos es importante y útil por diferentes razones. Estas podrían incluir: • • • • • Realizar un análisis costo efectividad Seleccionar contramedidas y salvaguardas específicas. Determinar el nivel de cobertura de seguros. Entender el riesgo de manera exacta. Cumplimiento legal y regulatorio.
Los activos pueden ser tangibles e intangibles. Usualmente es complicado cuantificar valores de los activos intangibles, los cuales pueden variar con el tiempo. ANALISIS DE RIESGO CUANTITATIVO Los dos enfoques para el análisis de riesgos son el cuantitativo y el cualitativo. En el análisis cuantitativo, se intenta asignar números reales y significativos a todos los elementos del análisis de riesgos. Estos números pueden incluir costos de salvaguarda, valor de los activos, impacto en el negocio, frecuencia de la amenaza, efectividad de la medida de control, probabilidades de explotación, y mas. Cuando estos valores son cuantificados. El análisis cuantitativo del riesgo, suministra porcentajes concretos de probabilidad cuando se determina la probabilidad de las amenazas. El análisis de riesgo cuantitativo puro no es posible debido al método que intenta calificar los ítems cualitativos. Y aquí siempre existe incertidumbre para dar valores reales a estos ítems. El análisis cuantitativo intenta predecir el nivel de perdida en dinero y el porcentaje de oportunidad de cada tipo de amenaza. El análisis cualitativo no usa cálculos. En vez de esto, es un escenario basado en la opinión.
Métodos de análisis de riesgo automatizado: La recopilación de los datos necesarios para ser colocados dentro de las ecuaciones de análisis de riesgos y la interpretación apropiada de los resultados pueden ser abrumadores si se hacen manualmente. Varias herramientas automatizadas pueden hacer la tarea más sencilla y exacta. El objetivo de las herramientas automatizadas es reducir el esfuerzo manual de estas tareas, realizar cálculos rápidamente, estimar perdidas y determinar la efectividad y los beneficios de las contramedidas seleccionadas. Estas herramientas tienen la capacidad de realizar varios recalculos en diferentes escenarios para varias situaciones. Esto da una idea más amplia de que riesgos son más críticos y su prioridad de resolución. Pasos de un análisis de riesgos: 1. Asignar valores a los activos: para cada activo, responder estas preguntas puede ayudar a asignar un valor: a. Cuál es el valor de este activo en la organización. b. Cuál es el costo de mantenerlo c. Cuánto cuestan los beneficios que este activo hace para la compañía. d. Cuánto podría costar recuperar el activo e. Cuánto cuesta adquirirlo o desarrollarlo f. Cuál es la responsabilidad que se tiene si el activo es comprometido. 2. Estimar la perdida potencial por amenaza a. Que daño físico podría causar la amenaza y cuánto podría costar. b. Que pérdida de productividad podría causar la amenaza y cuánto podría costar. c. Cuál es el valor de la perdida si información confidencial fuese divulgada. d. Cuál es el costo de recuperarse de esta amenaza. e. Cuál es el valor de la perdida si los dispositivos críticos fallaran. f. Cuál es la expectativa única de perdida(single loss expectancy - SLE)para cada activo y cada amenaza 3. Realizar un análisis de amenazas a. Obtenga la información de la probabilidad de cada amenaza de las personas en cada departamento. Examine registros anteriores y recursos de seguridad oficiales que puedan suministrar este tipo de datos. b. Calcule la tasa de ocurrencia anualizada (annualized rate of ocurrence – ARO), que indica cuantas veces puede suceder la amenaza en un periodo de 12 meses. 4. Derive el total anual de perdida potencial por amenaza a. Combine la perdida potencial y la probabilidad b. Calcule la expectativa anual de perdida (annualized loss expectancy - ALE) por amenaza usando la información calculada en los primeros tres pasos. c. Seleccione las medidas de remediación para contraatacar cada amenaza d. Llevar a cabo un análisis costo-beneficio para indicar las contramedidas.
5. Reducir, transferir evitar o aceptar el riesgo a. Métodos de reducción de riesgo: i. Instalar controles de seguridad y componentes ii. Mejorar procedimientos iii. Alterar el entorno iv. Suministrar métodos de detección temprana para captar la amenaza que está sucediendo y reducir el posible daño que esta puede causar. v. Producir un plan de contingencia de cómo el negocio puede continuar si una amenaza específica toma lugar, rediciendo los daños de la amenaza. vi. Colocar barreras a la amenaza vii. Llevar a acabo entrenamiento en seguridad b. Transferencia de riesgo: adquisición de seguros a través de compañías aseguradoras c. Aceptación de riesgo: vivir con el riesgo y no invertir en la protección. d. Evitar el riesgo: eliminar la actividad que está causando el riesgo. Aquí una definición de los conceptos utilizados en los anteriores pasos para el análisis de riesgo cuantitativo: La SLE – Singel loss expectancy - es una cantidad de dinero que es asignada a un único evento que representa una pérdida potencial si la amenaza específica tomara lugar. Valor del activo * factor de exposición (Exposure Factor – EF) = SLE El factor de exposición (EF), representa el porcentaje de perdida que una amenaza materializada podría tener en un activo especifico. EF: El valor de un activo, es de $ 1’000.000. Una amenaza de fuego podría dañar el 25% del activo, es decir, el factor de exposición para este activo por esta amenaza. Por tanto, el SLE para este activo y esta amenaza será 1’000.000 * 25% = 250.000 Para determinar el ALE (annualizad loss expectancy - ALE), se usa la ecuación: SLE * tasa de ocurrencia anual (annualizad rate of ocurrence – ARO) = ALE La tasa de ocurrencia anual ARO, es un valor que representa la frecuencia estimada de una amenaza específica que toma lugar dentro de un tiempo de 12 meses. El ranfro puede estar entre 0.0 (Nunca puede ser este valor) a 1.0 (al menos una vez al año) a más de uno (más de una vez al año). Por ejemplo si la probabilidad de inundación en el área geográfica es de una en 1000 años, el valor del ARO será 0.001. En nuestro ejemplo, si la probabilidad de fuego es de 0.1 y SLE es de 250.000 entonces: ALE = 250.000 * 0.1
ALE = 25.000 El valor del ALE, puede indicar a la compañía si colocar controles o salvaguardas para proteger el activo de la amenaza estudiada ya que el resultado indica que serán usados $25.000 o menos para proteger anualmente el activo. Conociendo la posibilidad real de la amenaza y el valor del daño en términos monetarios, la causa de la amenaza es importante para determinar cómo puede ser gastado para protegerse en contra de la amenaza en primer lugar y tomar la decisión si protegerse o no. Un análisis cuantitativo es considerado subjetivo y no objetivo por mucha gente. En el análisis cuantitativo se puede hacer el mayor esfuerzo en suministrar la correcta información con valores bastante cercanos a la realidad, pero no es posible predecir el futuro y cuanto el futuro le costara a la compañía.
Resultados del análisis de riesgos: En la lista siguiente se numeran las expectativas del resultado del análisis de riesgos: • • • • • Valores monetarios asignados a los activos Lista comprensiva de las amenazas más significativas y posibles. Probabilidad de ocurrencia de cada amenaza. Perdida potencial que la compañía puede soportar por cada amenaza en 12 meses. Recomendación de salvaguardas, contramedidas y recomendaciones.
ANALISIS DE RIESGO CUALITATIVO En un análisis de riesgo cualitativo, se estudian diferentes escenarios de posibilidades de riesgo y se valora la gravedad de las amenazas y se validan las diferentes contramedidas basados en opiniones. Las técnicas de análisis cualitativo incluyes el juzgar, las mejores prácticas, la intuición y la experiencia. Algunas técnicas cualitativas para la obtención de datos son Delphi, tormenta de ideas, grupos de foco, encuestas, cuestionarios, listas de chequeo, reuniones uno a uno o entrevistas. El equipo de análisis de riesgo determina la mejor técnica para las amenazas que deben ser evaluadas, así como la cultura e individuos de la compañía envueltos en el análisis. Principio de incertidumbre: En el análisis de riesgo se refiere al grado con el cual usted deja la confidencia en un estimado. Esto es expresado en porcentaje. Si se tiene un 30% de nivel de confidencia, entonces se puede decir que se tiene un 70% de nivel de incertidumbre. Tener el grado de incertidumbre cuando se lleva a cabo un análisis de riesgo es importante debido a que indica el nivel de confidencia que el equipo y la administración podrían tener en las cifras resultantes. El equipo que realiza el análisis consigue personal que tiene experiencia y educación en amenazas que están siendo evaluadas. Cuando este grupo es presentado en un escenario que describe las amenazas y
pérdidas potenciales, cada miembro responde con su instinto y experiencia sobre la probabilidad de la amenaza y extensión del daño que pueda resultar. Un escenario de aproximadamente de una página de longitud es escrito para cada amenaza importante. El experto que esta mas familiarizado con la amenaza, podría revisar el escenario para asegurar que este refleje como la actual amenaza puede materializarse. Las salvaguardas que minimizan el daño de esta amenaza son evaluadas y el escenario es colocado para cada salvaguarda. La posibilidad de exposición y posibilidad de pérdida pueden ser valoradas entonces como alta, media o baja o una escala de 1 a 5 o 1 a 10. Una vez el personal seleccionado valore la posibilidad de la ocurrencia de la amenaza, perdida potencia y ventajas de cada salvaguarda, esta información es compilada en un reporte y presentada a la administración para ayudar a tomar mejores decisiones de cómo implementar mejor las salvaguardas en el entorno. Los beneficios de este tipo de análisis, es que la comunicación debe suceder con todos los miembros del equipo para renquear el riesgo, fortaleza de las salvaguardas, identificar debilidades, y las personas quienes conocen estos temas que suministran sus mejores opiniones a la administración. Técnica DELPHI Es un método de decisión grupal usado para asegurar que cada miembro de su honesta opinión, de lo que él o ella piensa del resultado de la materialización de una amenaza. Esto evita la presión de otros procesos y habilita a los miembros a participar de forma independiente y anónima. Cada miembro del grupo suministra su propia opinión de cierta amenaza y la devuelve al equipo para que este realice el análisis. Los resultados son compilados y distribuidos a los miembros del grupo quienes escriben sus comentarios de manera anónima, y lo devuelven. Este proceso se repite hasta que exista un consenso de opiniones. Este método es usado para obtener un acuerdo en cuanto a costos, perdidas y probabilidades de ocurrencia sin que existan acuerdos verbales entre individuos.
Análisis Cuantitativo Vs Análisis Cualitativo: Cada método de análisis de riesgos tiene sus ventajas y desventajas. A continuación se numeran algunas. CARACTERISTICA CUANTITATIVO CUALITATIVO X X X
No requiere Cálculos Cálculos complejos X Alto grado de conjetura Suministra áreas generales e indicaciones de riesgo Fácil de automatizar y evaluar X Usado en seguimiento de rendimiento de risk management X Suministra análisis costo/*beneficio más creíbles X Usa métricas independientemente verificables y objetivas X Suministra las opiniones de individuos que conocen mejor el proceso Muestra claros valores acumulados de perdida en un año x
X
El equipo de análisis de riesgo, administración, herramientas de análisis de riesgos, y cultura de la compañía, dictarán el enfoque – cuantitativo o cualitativo – que será usado. El objetivo de ambos métodos es estimar el riesgo real de la compañía y calificar la severidad de las amenazas para que las correctas contramedidas sean implementadas dentro de un presupuesto adecuado. Desventajas del proceso cualitativo • • • • La evaluación y resultados son básicamente subjetivos Usualmente elimina la oportunidad de crear discusión alrededor de un valor costo/beneficio Difícil de hacer seguimiento de los objetivos de administración de riesgos con medidas subjetivas. No hay estándares disponibles. Cada proveedor tiene su propia forma de interpretación del proceso y sus resultados.
Desventajas del proceso cuantitativo • • • • Cálculos mucho más complejos. Sin herramientas automatizadas, este proceso es más laborioso. Se requiere de más trabajo preliminar para obtener información detallada acerca del entorno. No hay estándares disponibles. Cada proveedor tiene su propia forma de interpretación del proceso y sus resultados.
MECANISMOS DE PROTECCIÓN: Después de conocer los riesgos, la probabilidad de ocurrencia y el impacto, el siguiente paso es identificar los actuales mecanismos de seguridad y evaluar su efectividad. Debido a que una compañía tiene un amplio rango de amenazas, cada tipo de amenaza debe ser resuelta y planeada de manera individual. Mecanismos de control de acceso, consideraciones de software de aplicaciones, ubicación geográfica, protección contra fuego, construcción de sitios, pérdida de poder y malfuncionamiento de equipos, continuidad del negocio y recuperación de desastres, todos están sujetos a sus propios riesgos y amenazas y a planeación de requerimientos. Selección de contramedidas Una contramedida de seguridad, también llamada salvaguarda, debe tener buena sensibilidad en el negocio, es decir, tener costo/efectividad. Esto requiere otro tipo de análisis: Análisis de costo/beneficio. Un cálculo común de costo/beneficio de una salvaguarda es: ALE (antes de la salvaguarda) – ALE (Después de la salvaguarda) – Costo anual de la salvaguarda = valor de la salvaguarda para la compañía.
Por ejemplo, si el ALE de la amenaza de un hacker que penetra un servidor web, es $100.000 antes de implementar la salvaguarda, y el ALE después de la salvaguarda es de $25.000, mientras que el costo anual de la operación y mantenimiento de la salvaguarda es $5.000, el valor de la salvaguarda para la compañía es: $100.000 – $25.000 - $5.000 = $70.000. El costo de la contramedida es más que solo la cantidad gastada en la orden de compra. Los siguientes ítems podrían ser considerados y evaluados cuando derivan del costo total de una contramedida: • • • • • • • • • • • • Costo del producto Costos de planeación y diseño Costos de implementación Modificaciones de entorno Compatibilidad con otras contramedidas Requerimientos de mantenimiento. Requerimiento de pruebas. Reparación, reemplazos o costos de actualización. Costos de operación y soporte Efectos en la productividad. Costos de subscripción Horas hombre extra para monitoreo y respuesta de alertas.
Funcionalidad y efectividad de las contramedidas El equipo de análisis de riesgo, debe evaluar la efectividad y funcionalidad de las salvaguardas. Cuando se selecciona una salvaguarda, algunos atributos son más favorables que otras. Algunos de los atributos que podrían ser considerados son: DESCRIPCIÓN Puede ser instalada o removida de un entorno sin efectos adversos a otros mecanismos. Protección uniforme Un nivel de seguridad es aplicado a todos los mecanismos que está diseñado para proteger en un método estandarizado. Suministra funcionalidad de anulación Un administrador puede anular las restricciones si es necesario. Menor privilegio por defecto Cuando sea instalado, los permisos y derechos con menor privilegio deben quedar por defecto y no instalar con control total a todos. Independencia de la salvaguarda y el activo que se Una salvaguarda puede ser usada para proteger protege. varios activos y varios activos pueden ser protegidos por diferentes salvaguardas. Flexibilidad y seguridad A mayor seguridad mejor salvaguarda. Esta funcionalidad podría venir con flexibilidad, lo cual Modular CARACTERISTICA
habilita a seleccionar diferentes funciones en vez de todas o ninguna. Interacción con el usuario. No debe causar pánico a los usuarios. Clara distinción entre usuario y administrador. Un usuario podría tener pocos permisos cuando este intenta configurar o deshabilitar mecanismos de protección. Mínima intervención humana Cuando se deba configurar o modificar controles, esto abre las puertas a errores. La salvaguarda podría requerir poca intervención humana. Protección de activos El activo debe estar protegido aun si la contramedida debe ser reinicializada. Fácilmente actualizable El software continúa evolucionando y las actualizaciones no causan pánico. Funcionalidad de auditoria. Este podría ser un mecanismo que es parte de la salvaguarda para suministrar un mínimo o auditoria detallada Minimiza la dependencia de otros componentes. La salvaguarda podría ser flexible y no tener requerimientos estrictos acerca del entorno dentro del cual será instalada. Fácilmente utilizable, aceptable y tolerada por el Sí la salvaguarda suministra barreras a la personal. productividad o agrega pasos extra a simples tareas, los usuarios no la tolerarán Debe producir una salida utilizable y en formato Información importante debe ser presentada en entendible. un formato fácil de entender y usar. Debe ser reiniciable Los mecanismos deben estar hábiles para ser reiniciables y poder volver a la configuración original, sin afectar el sistema o activo que se está protegiendo. Puede ser probada La salvaguarda debería estar hábil para ser probada en diferentes entornos bajo diferentes situaciones. No introduce otros compromisos. La salvaguarda podría no suministrar canales encubiertos o puertas traseras. Aplicación universal La salvaguarda puede ser implementada a través de cualquier entorno y no requerir excepciones. Rendimiento de usuario y sistema El rendimiento de los usuarios y sistemas podría no ser altamente afectado. Alertas La herramienta debe estar hábil para configurar umbrales para alertar sobre una brecha de seguridad. No afecta a los activos Los activos del entorno podrían no verse afectados contrariamente por la salvaguarda.
Las salvaguardas pueden proveer atributos de impedimento si estas son altamente visibles. Estas indican a los potenciales atacantes, que protección adecuada está colocada, y que ellos podrían moverse a un objetivo más fácil. Aunque la salvaguarda sea altamente visible, los atacantes no deberían estar hábiles
para descubrir cómo esta trabaja, así habilitarlos a intentar modificar la salvaguarda, o conocer como saltarse los mecanismos de protección. En resumen, una compañía debe primero decidir cuales activos deben ser evaluados y cuales exceptuados del análisis. Aquí se indica el presupuesto para proteger los activos específicos. Después de realizar la evaluación, se debe revisar la funcionalidad y efectividad de las salvaguardas para determinar cuáles prestarán mayores beneficio en el entorno. Finalmente la compañía evaluara y comparará los costos de las salvaguardas. Estos pasos y la información resultante ayuda a la administración en la toma de decisiones inteligentes acerca de la adquisición de las contramedidas.
Activos e información de asignación del valor
Análisis de riesgo y evaluación.
Selección de contramedidas e implementación
Riesgo Total y Riesgo Residual. La razón de que una compañía implemente contramedidas es reducir el riesgo total a un nivel de riesgo aceptable. Ningún sistema es 100% seguro, lo que significa que siempre existirá algún riesgo. Este es llamado riesgo residual. El riesgo residual, es diferente al riesgo total, el cual es el riesgo que encara una compañía si9 no se implementa algún tipo de salvaguarda. Una compañía quizás opte por tomar el riesgo total si el análisis costo/beneficio, indica que esta es la mejor acción. Es importante diferenciar entre el riesgo total y el riesgo residual y que tipo de riesgo está dispuesta la compañía a aceptar. Algunas fórmulas conceptuales usadas solamente para mostrar la relación de los ítems que conforman el riesgo en forma de concepto. Amenaza * Vulnerabilidad * Valor del Activo = riesgo total (Amenaza * Vulnerabilidad * Valor del Activo) * Diferencia de control = riesgo residual Se pueden ver estos conceptos mostrados así:
Amenaza, Vulnerabilidad, Valor del Activo = riesgo total Riesgo total – contramedida = riesgo residual. Durante una evaluación de riesgos, las amenazas y vulnerabilidades son identificadas. La posibilidad de que una vulnerabilidad sea explotada, es multiplicada por el valor del activo que está siendo evaluado, lo cual resulta en el riesgo total. Una vez la diferencia del control (protección del control no suministrada) sea ubicada, el resultado es el riesgo residual. La implementación de las contramedidas, es una forma de mitigar los riesgos. Debido a que ninguna compañía puede eliminar todas las amenazas, siempre habrá un riesgo residual. La pregunta es qué nivel de riesgo está dispuesta la compañía a aceptar. Manejo del riesgo: Una vez que la compañía conoce el riesgo total y residual, esta debe decidir cómo manejarlo. El riesgo puede ser tratado de cuatro formas básicas: Transferirlo, rechazarlo, reducirlo o aceptarlo. Muchos tipos de seguro, están disponibles para que las compañías protejan sus activos. Si una compañía decide que el riesgo total o residual es muy alto para arriesgarse con este, puede adquirir un seguro, lo cual transferirá el riesgo a la compañía de seguros. Si la compañía decide terminar con la actividad que introduce el riesgo, esto es conocido como evitar el riesgo. Otro enfoque, es la mitigación del riesgo, donde el riesgo es disminuido a un nivel considerablemente aceptable suficiente para continuar con el negocio. Aceptar el riesgo, significa que la compañía entiende el nivel de riesgo que encara, así como el costo del potencial daño, y decide vivir con el riesgo y no implementar alguna contramedida. Muchas compañías aceptan el riesgo cuando la tasa costo/beneficio indica que el costo de la contramedida es mayor al beneficio y a la perdida potencial.
Tomado de: CISSP All in One – Exam Guide – Fouth Edition Official (ISC)2 Guide to the CISSP CBK
