2.5 Analisis de riesgo dentro del SGSI

Uno de los puntos clave de todo SGSI es el análisis de riesgos.

¿Por que medir el riesgo?

"La medición es el primer paso para el control y la mejora. Si algo no se puede medir, no se puede entender. Si no se entiende, no se puede controlar Si no se puede controlar no se puede mejorar“.

I.Conceptos básicos de un análisis de riesgos:

En primer lugar conviene clarificar qué se entiende por riesgo. Dentro del contexto de un análisis de riesgos, es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.  

Es importante conocer qué son otro tipo de conceptos muy relacionados con los Análisis de Riesgos y la seguridad de la información. Estos son los más importantes:

 

• Amenaza: Es la causa potencial de un daño a un activo.

• Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una amenaza.

• Impacto: consecuencias de que la amenaza ocurra.

• Riesgo intrínseco: cálculo del daño probable a un activo si se encontrara desprotegido.

• Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo.

• Riesgo residual: Riesgo remanente tras la aplicación de salvaguardas. 

 

El análisis de riesgos se define como la utilización sistemática de la información disponible, para identificar peligros y estimar los riesgos. A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los recursos de la organización para que se puedan cubrir las expectativas, llegando al nivel de seguridad requerido con los medios disponibles. Es relativamente sencillo calcular con cuantos recursos se cuenta (económicos, humanos, técnicos…) pero no es tan fácil saber a ciencia cierta cuáles son las necesidades de seguridad. 

Es aquí donde se muestra imprescindible la realización de un análisis de riesgos. Hacerlo permite averiguar cuáles son los peligros a los que se enfrenta la organización y la importancia de cada uno de ellos. Con esta información ya será posible tomar decisiones bien fundamentadas acerca de qué medidas de seguridad deben implantarse. Por tanto, un aspecto de gran importancia a la hora de realizar la implantació.

Fuentes de informacion: http://www.iso27000.es/download/Analisis_del_Riesgo_y_el_ISO_27001_2005.pdf

http://52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/17-ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit.pdf 

 

2.4 Factores de exito para la implementacion del SGSI

Los factores de éxito son varios, y pueden variar de acuerdo a la organización que los desarrolla y pone en practica, algunos ejemplos que proporcionare yo, como básicos o esenciales, serán los siguientes enumerados: 

 

1.- Definición de alcance, fijar todos los objetivos que se deben de alcanzar.
2.- Apoyo de la dirección.
3.- Elaborar un buen análisis de riesgo.

Tomando en cuenta los siguientes puntos: 

 
• La concienciación del empleado por la seguridad. Principal objetivo a conseguir.

• Realización de comités a distintos niveles (operativos, de dirección, etc.) con gestión continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos...

• Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados).

• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

• La seguridad no es un producto, es un proceso.

• La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito.

• La seguridad debe ser inherente a los procesos de información y del negocio.

Riesgo Inherente:  Es propio del trabajo o proceso, que no puede ser eliminado del sistema. Pueden ser el uso no apropiado de los activos de información debido a que no se ha asignado el rol de encargado de seguridad. Acceso no autorizado a los sistemas debido a la falta de comunicación entre RRHH y el área de SISTEMAS. Acceso no autorizado al datacenter debido a llaves físicas de acceso fácilmente duplicables. Perdida de equipo de compañía, como una laptop puede contener información y puede no contar con un sistema de seguridad optimo, cifrado y demás que evite el acceso de manera no autorizada.

Riesgo Residual:  Es aquel riesgo que subsiste, después de haber implementado controles. Es importante advertir que el nivel de riesgo al que está sometido una compañía nunca puede erradicarse totalmente. Por ello, se debe buscar un equilibrio entre el nivel de recursos y mecanismos que es preciso dedicar para minimizar o mitigar estos riesgos y un cierto nivel de confianza que se puede considerar suficiente (nivel de riesgo aceptable). El riesgo residual puede verse como aquello que separa a la compañía de la seguridad absoluta. 

El objetivo de desarrollar un SGSI como una vía de mejorar los niveles de seguridad de la compañía. Se trataba de una necesidad interna que, por sí misma, justificaba el esfuerzo que suponía desarrollar un sistema de estas características.

La decisión de certificar el sistema o no hacerlo no resultaba relevante en el momento inicial, aunque, posteriormente, las áreas de desarrollo del negocio encontraron que podía suponer una ventaja competitiva para la empresa. Ese fue el principal motivo para la certificación.

El análisis de riesgos contempla dos actividades principales: unanálisis de riesgos de alto nivel que permite identificar y valorar los principales escenarios de riesgo susceptibles de impactar la buena marcha de la organización y, sobre los puntos anteriores, un análisis detallado cuya finalidad es conformar el mapa de riesgos efectivos y determinar el nivel de riesgo aceptable que la organización es capaz de asumir. El estudio y análisis de riesgos es crítico dado que sus resultados condicionarán el éxito de la implantación del SGSI. El gran reto de esta etapa consiste en aplicar un enfoque metodológico que facilite la identificación de los riesgos relevantes, evitando el fenómeno de dispersión. Además, debe garantizar la homogeneidad de los niveles de riesgos obtenidos en toda la organización, de forma que el análisis final sea coherente. La utilización de criterios simples será indispensable para presentar resultados que sean fácilmente entendibles y gestionables.

Fuentes de informacon: https://prezi.com/nrneak44_ka_/implementacion-sgsi-factores-de-exito/ 

http://www.revistadintel.es/Revista1/DocsNum26/PersEmpresarial/Sanchez.pdf 

2.3 Estandares para la gestion de la seguridad en la informacion

Para la correcta administración de la seguridad de la información, se deben establecer y mantener acciones que busquen cumplir con los tres requerimientos de mayor importancia para la información, estos son:

•Confidencialidad:  Busca prevenir el acceso no autorizado ya sea en forma intencional o no intencional a la información. La pérdida de la confidencialidad puede ocurrir de muchas maneras, como por ejemplo con la publicación intencional de información confidencial de la organización.

 

•Integridad:  Busca asegurar: o Que no se realicen modificaciones por personas no autorizadas a los datos o procesos. o Que no se realicen modificaciones no autorizadas por personal autorizado a los datos o procesos. o Que los datos sean consistentes tanto interna como externamente.

 

•Disponibilidad:  Busca asegurar acceso confiable y oportuno a los datos o recursos para el personal apropiado. Diferentes organizaciones internacionales han definido estándares y normas que apoyan en diferente medida el cumplimiento de los requerimientos indicados anteriormente. A continuación se detallan los de mayor utilización a nivel mundial, y que fueron tomados como base para el modelo propuesto.

 

 

 

ISO 17.799

Es un estándar para la administración de la seguridad de la información, e implica la implementación de toda una estructura documental que debe contar con un fuerte apoyo de la alta dirección de cualquier organización. Este estándar fue publicado por la International Organization for Standardization (ISO) en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. Esta norma internacional ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización.

ISO/IEC 27000-series

La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).

La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). la mayoría de estas normas se encuentran en preparación e incluyen:

• ISO/IEC 27000 - es un vocabulario estándar para el SGSI. Se encuentra en desarrollo actualmente.
• ISO/IEC 27001 - es la certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como estándar internacional en octubre de 2005.
• ISO/IEC 27002 - Information technology - Security techniques - Code of practice for information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es código de buenas prácticas para la gestión de seguridad de la información. Fue publicada en julio de 2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de julio de 2007.
• ISO/IEC 27003 - son directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001. Publicada el 1 de febrero del 2010, No está certificada actualmente.
• ISO/IEC 27004 - son métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información. Publicada el 7 de diciembre del 2009, no se encuentra traducida al español actualmente.
• ISO/IEC 27005 - trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standard BS 7799 parte 3. Publicada en junio de 2008.
• ISO/IEC 27006:2007 - Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información. Esta norma especifica requisitos específicos para la certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de acreditación.
• ISO/IEC 27007 - Es una guía para auditar al SGSI. Se encuentra en preparación.
• ISO/IEC 27799:2008 - Es una guía para implementar ISO/IEC 27002 en la industria de la salud.
• ISO/IEC 27035:2011 - Seguridad de la información – Técnicas de Seguridad – Gestión de Incidentes de Seguridad. Este standard hace foco en las actividades de: detección, reporte y evaluación de incidentes de seguridad y sus vulnerabilidades

ISO/IEC 27001 es un estándar para la seguridad de la información

Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002

Fuentes de informacion: http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/normas_iso_sobre_gestin_de_seguridad_de_la_informacin.html 

http://www.dnvba.com/cl/certificacion/sistemas-de-gestion/Seguridad-de-la-Informacion/Pages/ISO-27001.aspx 

 

2.2.1 Elaboracion del plan de seguridad

Desarrollar un sistema de seguridad significa “planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad física de los recursos informáticos, así como resguardar los activos de la Universidad”.

Los objetivos que se desean alcanzar luego de implantar nuestro sistema de seguridad son los siguientes:

• Establecer   un    esquema   de   seguridad   con   perfecta   claridad  y  transparencia  en  la administración del riesgo.
• Compromiso de   todo  el  personal  de  la   Universidad con el proceso de seguridad, agilizando la aplicación de los controles con dinamismo y armonía.
• Ganar calidad con la prestación del servicio de seguridad Convertir a  los   empleados en interventores del sistema de seguridad.

Análisis de las razones que impiden la aplicación de las políticas de seguridad informática

Una de las primeras razones que se enfrenta es convencer a los altos directivos de la necesidad y beneficios de buenas políticas de seguridad informática.

Los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los administradores de Informática. Lo que conlleva que se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa.

Los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos.

 Responsabilidades

Es responsabilidad del supervisor de Seguridad Informática, desarrollar, someter a revisión y divulgar en adición a los demás medios de difusión (intranet, email, sitio web oficial, revistas internas) de los Procedimientos de Seguridad.  Asimismo, es responsabilidad del supervisor inmediato capacitar a sus empleados en lo relacionado con los Procedimientos de Seguridad.

 Definición de políticas de seguridad informática

Al equipo integrado por el Rector, Directores Académicos y Directores Departamentales y el personal administrativo (ocasionalmente) convocado para fines específicos como:

• Adquisiciones de Hardware y software
• Establecimiento      de   estándares  de  la   Universidad   tanto  de hardware como de software
• Establecimiento dela Arquitectura tecnológica de grupo.
• Establecimiento de lineamientos para concursos de ofertas

Etapas para el desarrollo de un plan
Las organizaciones que conocen cómo utilizar y evaluar la información corporativa consideran el proceso de planeamiento de seguridad relativamente fácil. Aquellas que no saben cómo hacerlo y esperan encontrar una solución rápida, posiblemente se encuentren con un proceso penoso. Estas cinco etapas básicas pueden ser útiles para el desarrollo de un plan de seguridad de información:

1. Identificar los tipos de información que exigen protección
2. Estimar el valor de la información perteneciente a cada tipo
3. Desarrollar/actualizar una política de seguridad de información que exija la protección según el tipo de información
4. Definir estándares de protección para cada tipo de información
5. Crear estándares de monitoreo y administración para verificar la adecuación con los estándares de protección de la información

A medida que las organizaciones realizan estas etapas, el procedimiento de la evaluación de riesgos es esencial para los siguientes aspectos:

• Identificar la información que exige protección
• Establecer el valor de esa información en términos de costo de creación, recreación, divulgación o modificación no autorizada
• Proyectar mecanismos de protección que identifiquen los riesgos residuales
• Analizar los riesgos/beneficios de los costos residuales relativos a la protección de un determinado tipo de información
• Establecer medidas de protección adicionales para lograr un mayor nivel de seguridad

Las evaluaciones de los riesgos es parte del programa total de administración de riesgos que la compañía aplica a otras partes de sus operaciones. Así como ocurre con otras actividades de administración de riesgos, la evaluación de la importancia de una información debe ser realizada siempre que hubiera modificaciones en el uso, en el almacenamiento o en el procesamiento. Los resultados de la evaluación de riesgo pueden causar impacto y exigir actualizaciones en el plan general de seguridad de la información y también la adecuación de los requisitos de ese plan. 

Retorno de inversión
Aunque un plan de seguridad de información exija una inversión inicial, una implementación y una administración, el costo que esto significa puede justificarse al considerar el impacto causado en los negocios en caso de que la información valiosa sea comprometida en virtud de robo, destrucción o modificación. De estos casos, el robo y la modificación son, probablemente, los más perjudiciales - asumiendo que un plan de backup de datos haya sido implementado.
El impacto causado por el robo de información por un competidor es relativamente fácil de entender, mientras que los efectos del impacto generado por la modificación de la información son menos obvios. La sutil modificación en la información puede ser perjudicial, afectando decisiones u operaciones, y resultando en daños financieros para la organización.
 

Fuente de informacion: http://www.youblisher.com/p/588309-Metodologia-plan-de-seguridad/

http://instituciones.sld.cu/dnspminsap/files/2013/08/Metodologia-PSI-NUEVAProyecto.pdf 

  

2.2 Administracion de la seguridad

El proceso de administración de riesgos es un proceso continuo, dado que es necesario evaluar de manera periódica si los riesgos identificados y la exposición de la organización a éstos, calculada en etapas anteriores, se mantiene vigente. La dinámica en la cual se encuentran inmersas las organizaciones actualmente, requiere que ante cada nuevo cambio, se realice en etapas tempranas un análisis de riesgo del proyecto así como su impacto futuro en la estructura de riesgos de la organización. 

A continuación se presenta una matriz simplificada, donde en cada fila se presenta una amenaza identificada, y en las columnas se indica, en primer orden la probabilidad de que esa amenaza actúe, y en las columnas siguientes, para cada uno de los activos a proteger cuál es el importe de la pérdida media estimada que ocasionaría esa amenaza en ese activo. La suma de los datos precedentes permiten calcular la columna “Riesgo total”, a la cual se le aplica la efectividad del control actuante, para obtener el riesgo residual.
Como verán en la tabla, y por poner algunos ejemplos, la amenaza de inundación puede ser mitigada ubicando el Centro de Cálculo en un piso elevado, o por razones de seguridad bajo tierra. Por otra parte, los accesos no autorizados vía Internet pueden ser mitigados con un cortafuegos (barrera de control de accesos desde fuera y hacia fuera) correctamente configurado.

Acabamos de mencionar la presencia de controles, pero, ¿qué es un control? Un control es una medida técnica, organizativa, legal o de cualquier otro tipo que mitiga el riesgo intrínseco del escenario de riesgo, reduciéndolo y generando lo que denominamos riesgo residual, que es el riesgo que obtenemos tras la valoración de la efectividad de los controles. Puede decirse que existe una relación biunívoca entre riesgo y control, por la cual se establece que el coste de un control no debe nunca superar el coste de la materialización del escenario de riesgo. Esto no obstante tiene el problema de poder cuantificar adecuadamente el coste de una amenaza, ya que más allá de costes económicos directos, es necesario considerar costes indirectos, tales como reputabilidad o pérdida de productividad.

Los distintos controles que hemos indicado pueden ser agrupados, sobre la base de los objetivos primarios que quieren satisfacer, en tres categorías no excluyentes: aquellos integrantes del sistema de control interno, aquellos referidos a brindar seguridad y aquellos destinados a brindar calidad de las operaciones. El control interno busca asegurar la eficiencia y eficacia de las operaciones, el cumplimiento de leyes, normas y regulaciones, y la confiabilidad de la información (básicamente aquella publicable). La Seguridad busca asegurar la disponibilidad, confidencialidad e integridad de las operaciones, mientras que la gestión de calidad busca asegurar la adecuada calidad, entrega y coste de las operaciones.

Esto ha sido únicamente una introducción muy básica a los riesgos en el entorno TIC. Existe numerosa documentación sobre el tema, así como diversas metodologías: OWASP, MAGERIT II, CRAMM o la relativamente reciente norma ISO/IEC 27005:2008, cada una con su enfoque y su propia aproximación. Más allá de otros artículos que previsiblemente escribiremos sobre el tema, les dejo que indaguen sobre ellas y descubran sus virtudes y defectos. Sea como sea, no se debe olvidar nunca que los riesgos están presentes en el quehacer diario, aún cuando no se puedan o no se quieran identificar. Por ello, independientemente de la metodología y las herramientas utilizadas para la administración de los riesgos, la administración del riesgo informático debe ser una actividad llevada a cabo, del mismo modo que la implementación y funcionamiento de los sistemas de información. La única manera que evitar un riesgo es eliminar la, o las actividades que lo generan, pero debido a que algunas actividades no pueden ser eliminadas, eso nos obliga a un proceso continuo de administración del riesgo de las TIC.


Fuente de informacion: http://www.microton.mx/soluciones/costo/administracion-centralizada-de-seguridad-tic.html
http://cidge.gob.mx/cursos/curso042014-1/proceso5.html 

2.1 Seguridad y cultura de calidad en la geston de las TIC

 

La calidad y la seguridad en el entorno de las TIC no pueden ser consideradas elementos aislados del resto de la organización. 

El disponer de un modelo de gestión que propugne la búsqueda de la excelencia a través de la mejora continua, y cuando sea posible de mejoras en escalón, en todos los procesos de la organización, es un condicionante fundamental. 

Ese modelo permitirá crear una cultura en la que todos aporten valor, todos se esfuercen en maximizar la eficacia y la eficiencia de sus procesos para proporcionar productos y servicios a los clientes. Todos asumirán como propias las medidas de seguridad de sus sistemas TIC para evitar que los potenciales problemas puedan impactar negativamente a sus clientes. Todos entenderán su red de procesos, comprenderán la importancia de gestionarlos y mejorarlos, aportarán sugerencias e ideas de mejora; en definitiva vivirán su actividad organizativa como una experiencia vital y enriquecedora.

Cómo los ciberatacantes pueden disponer más fácilmente de aplicaciones para poder provocar ciberataques.

• Aparición del nuevo fenómeno Malware as a service: la capacidad de que un ciberatacante o una organización que quiere perpetrar un ciberataque le sea muy fácil, ya que cada vez se dispone de más infraestructura, herramientas y troyanos personalizados para cometer este tipo de ataques.
• Cada vez se disponen de mayores capacidades de ataque a un precio muy asequible para cualquier persona. Se están utilizando alrededor de un 90% de las url’s utilizadas en ataques anteriores. El ciberatacante ya no necesita disponer de sus recursos propios.

Atribución de un ataque 

Cuando una compañía sufre un ciberataque lo primero que suele interesar a la gerencia es quién ha sido. Se pueden cometer muchos errores en la atribución indebida de un ataque. Cuando se sufre un ciberataque se invierte mucho tiempo en saber quién está detrás de ese ataque, lo que se recomienda es dejar eso a las agencias oportunas, y ocuparse de la contención.


Capacidad de elevar el conocimiento en ciberseguridad 
Cada vez es más fácil para un ciberatacante disponer de más herramientas, incluso dentro el mercado negro hay cursos para aprender a realizar ciberataques. Con tal de poder hacer frente a los ciberataques las empresas deben desarrollar cursos de información, pero debido a los pocos recursos, tanto a nivel humano como económico, se hace necesario también que las herramientas utilizadas puedan proporcionar una inteligencia que permita tomar una decisión a la hora de hacer frente a estos ciberataques.


Usuario interno 
Ha sido el principal riesgo para la fuga de información y podemos diferenciar dos tipos:

• Alguien que para seguir trabajando en casa sube información confidencial en Gmail, Dropbox o algún disco duro virtual, y con eso facilita que otro usuario o atacante infiltrado en los sistemas pueda acceder fácilmente.
• Usuarios que cogen información de forma malintencionada, normalmente personas que están a punto de abandonar la organización. 

Fuente de informacion: http://www.mintic.gov.co/portal/604/w3-propertyvalue-6082.html