Lectura 6 1 - rebeca molina

Vista previa del material en texto

Metodología de Análisis de Riesgos Informáticos 
 
En éste trabajo se presenta una metodología de rápida aplicación que 
implementa los pasos necesarios para analizar un sistema, identificar las 
amenazas, las vulnerabilidades asociadas, calcular la probabilidad de 
ocurrencia de esas amenazas, determinar del impacto en caso de su 
materialización y por último la obtención del riesgo al que se está expuesto. 
Así, esta metodología sería una herramienta de fácil implementación en una 
organización mediana o pequeña que le permitiría identificar y gestionar los 
riesgos de tecnología de la información. El análisis de riesgos es el primer 
punto de la gestión de la seguridad de la información de una organización, y es 
necesario para realizar la gestión de los riesgos, es decir, tomar la decisión de 
eliminarlos, ignorarlos, transferirlos o mitigarlos y controlarlos, es decir realizar 
la gestión de riesgos. 
 
Introducción 
El proceso para desarrollar la nueva metodología comenzó con la investigación 
y el estudio pormenorizado de las principales metodologías existentes en el 
mercado para al análisis de los riesgos informáticos. 
 
En éste trabajo se presenta el análisis de las tres metodologías más usadas, 
con el fin de determinar en forma detallada sobre cómo es su funcionamiento y 
cuáles son sus fortalezas y debilidades. Las metodologías estudiadas son 
Magerit, Octave y Mehari. 
 
Como resultado de este análisis se identificaron e incorporaron esas fortalezas 
en el diseño de la nueva metodología de análisis de riesgos informáticos en 
cuestión. Los límites en el alcance de este trabajo fueron no haber incorporado 
elementos de otras metodologías existentes, fuera de las que no se 
mencionaron anteriormente. 
 
Esto nos permitió obtener los mejores elementos de cada una de estas 
metodologías a fin de diseñar y obtener una nueva a partir de ellos. 
2. Objetivos de las metodologías 
Tanto las tres metodologías estudiadas como la que se desarrollará tienen por 
objetivo los siguientes puntos: 
 Planificación de la reducción de riesgos 
 Planificación de la prevención de accidentes 
 Visualización y detección de las debilidades existentes en los sistemas 
 Ayuda en la toma de las mejores decisiones en materia de seguridad de la 
información 
3. Enfoques del análisis de riesgos 
Existe una serie de diferentes enfoques para realizar el análisis de riesgos 
pero, en esencia, suelen dividirse en dos tipos fundamentales: 
• Cuantitativos 
• Cualitativos. 
 
El enfoque utilizado para el desarrollo de esta metodología es el cuantitativo. 
 
3.1. Enfoque cuantitativo del análisis de riesgos 
Este enfoque emplea dos elementos fundamentales, la probabilidad de que se 
produzca un evento y el impacto que ocasionaría la probable pérdida en caso 
de que ocurra el citado evento. 
El enfoque cuantitativo de análisis de riesgos consiste en la obtención de un 
valor a partir del producto de estos elementos. La forma de calcularlo, para un 
evento dado, es realizando la multiplicación del valor de la pérdida potencial 
por el valor de la probabilidad de ocurrencia. De esta manera es prácticamente 
concreto y posible valorar los eventos y calcular el riesgo a fin de tomar las 
decisiones correspondientes. 
Son numerosas las organizaciones que han adoptado y aplicado con éxito el 
análisis de riesgo cuantitativo. De hecho se recomienda fuertemente comenzar 
con un análisis de riesgo cuantitativo y luego, si el negocio lo amerita, hacer un 
análisis cualitativo. 
 
4. Descripción de la metodología básica 
Para el diseño y desarrollo de la nueva metodología de análisis de riesgos 
informáticos se partió de una metodología base, de la cual se procede a 
continuación a dar una breve descripción de cada una de sus etapas: 
• Caracterización del sistema 
• Identificación de amenazas 
• Identificación de vulnerabilidades 
• Análisis de controles 
• Determinación de la probabilidad de ocurrencia 
• Análisis de impacto 
• Determinación del riesgo 
• Recomendaciones de control 
• Documentación de resultados 
5. Lisis de la metodología base 
Se realizó un estudio detallado de cada uno de los elementos funcionales que 
intervienen en cada etapa de la metodología a fin de determinar los puntos 
débiles que la misma presenta. En síntesis se obtuvo como resultado lo 
siguiente: 
• Escasez de material teórico para cada una de las etapas. 
• Ausencia de un procedimiento práctico que mida las debilidades y calidad 
de los servicios de seguridad. 
• Las escalas de la probabilidad de ocurrencia, impacto y del riesgo 
presentan niveles simples de valoración. 
• Ausencia de un análisis de la frecuencia de una amenaza. 
• Ausencia de un método que registre el nivel del impacto y del riesgo en sus 
reales dimensiones. 
• Falta de un mecanismo o procedimiento práctico que permita la 
interpretación de los resultados obtenidos. 
6. Análisis funcional de las metodologías Magerit, Octave y Mehari 
Magerit 
• Análisis de Riesgos 
• Gestión de Riesgos 
Octave 
• Construcción de los Perfiles de Amenazas Basados en Activos 
• Identificación de la Infraestructura de Vulnerabilidades 
• Desarrollo de Planes y Estrategias de Seguridad 
Mehari 
• Diagnóstico de Seguridad 
• Análisis de los Intereses Implicados por la Seguridad 
• Análisis de Riesgos 
Del análisis de cada una de ellas se identificó como elementos funcionales 
importantes a incorporar en la metodología básica los siguientes: 
6.1. Principales elementos de Magerit 
• Escalas de valores cualitativos, cuantitativos y de indisponibilidad del 
servicio. 
• Modelo de frecuencia de una amenaza como una tasa anual de ocurrencia. 
• Escala alternativa de estimación del riesgo. 
• Catálogos de amenazas 
• Catálogos de medidas de control 
6.2. Principales elementos de Octave 
• Medidas de probabilidad considerando un rango de frecuencias. 
• Análisis del límite entre niveles de probabilidad. 
6.3. Principales elementos de Mehari 
• Niveles de categorías de controles 
• Niveles de calidad de los servicios de seguridad 
• Evaluación de la calidad del servicio por medio de cuestionarios 
• Tabla modelo de impactos 
6.4. Aportes seleccionados para agregar a la nueva metodología base 
• Reestructuración de escala de niveles de probabilidad de ocurrencia de 
una amenaza. 
• Reestructuración de escala de niveles de valoración del impacto. 
• Reestructuración de escala de niveles de determinación del riesgo. 
• Incorporación de nuevo material bibliográfico aportado por las 
metodologías investigadas. 
7. Diseño de fases y procesos de la nueva metodología de análisis de 
riesgos informáticos 
 En este punto de desarrollo, se procedió a rediseñar la metodología base 
modificando e incorporando nuevos elementos y valores que nos proporcionen 
una metodología nueva y consistente y que a su vez nos permita aplicarla a la 
realidad organizacional en cuanto a riesgos informáticos se trate. 
El procedimiento se llevó a cabo a través de unificar etapas de la metodología 
básica con similitudes y características propias de cada una de ellas, logrando 
obtener como resultado cuatros fases y con procedimientos implementados en 
cada uno de ellos. 
A continuación se detalla una breve descripción de cómo se abordó el diseño 
de estas cuatro fases mencionadas: 
a) Caracterización del sistema etapas de la metodología base 
b) Identificación de vulnerabilidades 
c) Análisis de controles 
 
De las etapas anteriores se obtiene la Fase I de la siguiente manera: 
Fase I: identificación y evaluación de los elementos críticos de la organización 
Esta fase contempla 2 procesos: 
1. Identificar, Analizar y Valorar los Activos de la Organización. 
2. Analizar la Vulnerabilidad y Determinar la Calidad de los Controles o 
Servicios de Seguridad 
Continuando de igual manera con otras dos etapas de la metodología base, 
tenemos: 
a) Identificación de amenazas 
b)Determinación de la probabilidad de ocurrencia 
 De las etapas anteriores se obtiene la Fase II de la siguiente manera: 
Fase II: determinación de las amenazas e impactos sobre los activos 
relacionados 
Esta fase contempla 2 procesos: 
1. Identificar y Determinar las Amenazas en Relación a los Activos Críticos. 
2. Definir la Probabilidad de ocurrencia de una amenaza. 
Seguimos con otras dos etapas de la metodología base: 
a) Análisis del impacto 
b) Determinación del Riesgo 
 
De las etapas anteriores se obtiene la Fase III de la siguiente manera: 
Fase III: análisis del impacto y del riesgo 
Esta fase contempla 2 procesos: 
1. Valorizar y Estimar el Impacto sobre los Activos Críticos. 
2. Analizar y Estimar el Riesgo 
Finalmente tomamos las dos últimas etapas de la metodología base: 
a) Recomendaciones de Control 
b) Documentación de resultados 
 
De las etapas anteriores se obtiene la Fase IV de la siguiente manera: 
Fase IV: gestión de riesgos 
Esta fase contempla 3 procesos: 
1. Interpretación de los Resultados 
2. Determinar Medidas de Seguridad 
3. Documentación del Proceso de Análisis de los Riesgos 
 
Fuente: Este contenido ha sido publicado originalmente http://www.cyta.com.ar/ta1001/v10n1a3.htm 
http://www.cyta.com.ar/ta1001/v10n1a3.htm