Evaluación de Riesgos

La gestión del riesgo de seguridad de la información permite a una organización evaluar lo que está tratando de proteger, y por qué, como elemento de apoyo a la decisión en la identificación de medidas de seguridad. Una evaluación integral del riesgo de seguridad de la información debería permitir a una empresa evaluar sus necesidades y riesgos de seguridad en el contexto de sus necesidades empresariales y organizativas.

El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.

  • Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).
  • Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su costo potencial desarrollando un plan de acción adecuado.
  • Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.

La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; pero se puede presuponer algunas preguntas que ayudan en la identificación de lo anteriormente expuesto:

  • ¿Qué puede ir mal?
  • ¿Con qué frecuencia puede ocurrir?
  • ¿Cuáles serían sus consecuencias?
  • ¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?
  • ¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuanto tiempo?
  • ¿Cuál es el costo de una hora sin procesar, un día, una semana…?
  • ¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?
  • ¿Se tiene forma de detectar a un empleado deshonesto en el sistema?
  • ¿Se tiene control sobre las operaciones de los distintos sistemas?
  • ¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?
  • ¿A que se llama información confidencial y/o sensitiva?
  • ¿La información confidencial y sensitiva permanece así en los sistemas?
  • ¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?
  • ¿A quien se le permite usar que recurso?
  • ¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?
  • ¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?
  • ¿Cómo se actuará si la seguridad es violada?

Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del tipo:

Tabla 1 – Tipo de Riesgo-Factor

Niveles de riesgo

Como puede apreciarse en la Tabla 1, los riesgos se clasifican por su nivel de importancia y por la severidad de su pérdida:

  • Estimación del riesgo de pérdida del recurso (R i )
  • Estimación de la importancia del recurso (I i )

Para la cuantificación del riesgo de perder un recurso, es posible asignar un valor numérico de 0 a 10, tanto a la importancia del recurso (10 es el recurso de mayor importancia) como al riesgo de perderlo (10 es el riesgo más alto).

El riesgo de un recurso será el producto de su importancia por el riesgo de perderlo:

Luego, con la siguiente fórmula es posible calcular el riesgo general de los recursos de la red:

Otros factores que debe considerar para el análisis de riesgo de un recurso de red son su disponibilidad, su integridad y su carácter confidencial, los cuales pueden incorporarse a la fórmula para ser evaluados.

Identificación de Amenazas

Una vez conocidos los riesgos, los recursos que se deben proteger y como su daño o falta pueden influir en la organización es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencionó existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco.

Se suele dividir las amenazas existentes según su ámbito de acción:

  • Desastre del entorno (Seguridad Física).
  • Amenazas del sistema (Seguridad Lógica).
  • Amenazas en la red (Comunicaciones).
  • Amenazas de personas (Insiders-Outsiders).

Se debería disponer de una lista de amenazas (actualizadas) para ayudar a los administradores de seguridad a identificar los distintos métodos, herramientas y técnicas de ataque que se pueden utilizar. Es importante que los Administradores actualicen constantemente sus conocimientos en esta área, ya que los nuevos métodos, herramientas y técnicas para sortear las medidas de seguridad evolucionan de forma continua.

Evaluación de Costos

El desafío de responder la pregunta del valor de la información ha sido siempre difícil, y más difícil aún hacer estos costos justificables, siguiendo el principio que si desea justificarlo, debe darle un valor.

Establecer el valor de los datos es algo totalmente relativo, pues la información constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, la documentación o las aplicaciones.

Además, las medidas de seguridad no influyen en la productividad del sistema por lo que las organizaciones son reticentes a dedicar recursos a esta tarea. Por eso es importante entender que los esfuerzos invertidos en la seguridad son costeables.

La evaluación de costos más ampliamente aceptada consiste en cuantificar los daños que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades. Un planteamiento posible para desarrollar esta política es el análisis de lo siguiente:

  • ¿Qué recursos se quieren proteger?
  • ¿De qué personas necesitan proteger los recursos?
  • ¿Qué tan reales son las amenazas?
  • ¿Qué tan importante es el recurso?
  • ¿Qué medidas se pueden implantar para proteger sus bienes de una manera económica y oportuna?

Con esas sencillas preguntas (más la evaluación de riesgo) se debería conocer cuáles recursos vale la pena proteger y justifican su costo, y entender que algunos son más importantes que otros.

El objetivo que se persigue es lograr que un ataque a los bienes sea más costoso que su valor, invirtiendo menos de lo que vale. Para esto se define tres costos fundamentales:

  • CP: Valor de los bienes y recursos protegidos.
  • CR: Costo de los medios necesarios para romper las medidas de seguridad establecidas.
  • CS: Costo de las medidas de seguridad.

Para que la política de seguridad sea lógica y consistente se debe cumplir que:

  • CR > CP: o sea que un ataque para obtener los bienes debe ser más costoso que el valor de los mismos. Los beneficios obtenidos de romper las medidas de seguridad no deben compensar el costo de desarrollo del ataque.
  • CP > CS: o sea que el costo de los bienes protegidos debe ser mayor que el costo de la protección.

Luego, CR > CP > CS y lo que se busca es:

  • Minimizar el costo de la protección manteniéndolo por debajo del de los bienes protegidos. Si proteger los bienes es más caro de lo que valen (el lápiz dentro de la caja fuerte), entonces resulta más conveniente obtenerlos de nuevo en vez de protegerlo.
  • Maximizar el costo de los ataques manteniéndolo por encima del de los bienes protegidos. Si atacar el bien es más caro de lo que valen, al atacante le conviene más obtenerlo de otra forma menos costosa.

Se debe tratar de valorar los costos en que se puede incurrir en el peor de los casos contrastando con el costo de las medidas de seguridad adoptadas. Se debe poner especial énfasis en esta etapa para no incurrir en el error de no considerar costos, muchas veces, ocultos y no obvios (costos derivados).

Valor Intrínseco

Es el más fácil de calcular (pero no fácil) ya que solo consiste en otorgar un valor a la información contestando preguntas como las mencionadas y examinando minuciosamente todos los componentes a proteger.

Costos derivados de la pérdida

Una vez más deben abarcar todas las posibilidades, intentando descubrir todos los valores derivados de la pérdida de algún componente del sistema. Muchas veces se trata del valor añadido que gana un atacante y la repercusión de esa ganancia para el entorno, además del costo del elemento perdido. Deben considerarse elementos como:

  • Información aparentemente inocua como datos personales, que pueden permitir a alguien suplantar identidades.
  • Datos confidenciales de acuerdos y contratos que un atacante podría usar para su beneficio.
  • Tiempos necesarios para obtener ciertos bienes. Un atacante podría acceder a ellos para ahorrarse el costo (y tiempo) necesario para su desarrollo.

Punto de Equilibrio

Una vez evaluados los riesgos y los costos en los que se está dispuesto a incurrir y decidido el nivel de seguridad a adoptar, podrá obtenerse un punto de equilibrio entres estas magnitudes:

Como puede apreciarse los riesgos disminuyen al aumentar la seguridad (y los costos en los que incurre) pero como ya se sabe los costos tenderán al infinito sin lograr el 100% de seguridad y por supuesto nunca se logrará no correr algún tipo de riesgo. Lo importante es lograr conocer cuán seguro se estará conociendo los costos y los riesgos que se corren (Punto de Equilibrio).

Fuente: Segu-Info Seguridad de la información.

Adaptado por la División consultoría de EvaluandoSoftware.com

 

¿qué software es apto para su empresa?

Acceda a nuestros evaluadores

Deja un comentario