LAS METODOLOGÍAS DE ANÁLISIS DEL RIESGO
Es el estudio de las causas de las posibles
amenazas y probables eventos no deseados en una organización y los daños o
consecuencias que éstas puedan producir.
El análisis de los riesgos determinará cuáles son los factores de riesgo
que potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo
tanto, deben ser gestionados por el emprendedor con especial atención.
Objetivo de las metodologías es:
- Planificación de la reducción de riesgos
- Planificación de la prevención de accidentes
- Visualización y detección de las debilidades existentes en los
sistemas
- Ayuda en la toma de las mejores decisiones en materia de seguridad
de la información
Las metodologías a estudiar son: Magerit,
Octave, DAFP , Mehari y EBIOS. A continuación describiremos cada una de las
metodologías.
METODOLOGÍA OCTAVE
Considera
los temas organizacionales y técnicos.
No se centra
solo en la típica consultoría focalizada en la tecnología, su objetivo es el
riesgo organizacional y el foco son los temas relativos a la estrategia y a la práctica.
Tiene en cuenta
riesgos operativos y prácticas de seguridad y tecnología. El método fue
desarrollado teniendo en cuenta grandes organizaciones de 300 o más empleados.
El método aprovecha el conocimiento de múltiples niveles de la
organización, centrándose en:
- Identificar los elementos críticos y las amenazas a esos activos.
- La identificación de las vulnerabilidades, tanto organizativas y
tecnológicas, que exponen a las amenazas, creando un riesgo a la
organización.
- El desarrollo de una estrategia basada en la protección de
prácticas y planes de mitigación de riesgos para apoyar la misión de la
organización y las prioridades. Principales elementos de Octave
·
Medidas de probabilidad considerando un rango de
frecuencias.
·
Análisis del límite entre niveles de probabilidad.
Fase de desarrollo de Octave
Figura
Fase de desarrollo de Octave
fase 1: Visión
de la organización
Tiene en
cuenta los procesos de: Identificar el conocimiento de los altos directivos,
Identifica el conocimiento de los directivos de áreas operativas, identificar el conocimiento del personal y crear perfiles de amenaza.
Fase 2:
Visión Tecnológica
Tiene en
cuenta los siguientes procesos: Identificar componentes claves (los cuales son
sistemas importantes para activos críticos), Evaluación de componentes seleccionados
(donde debemos identificar las principales vulnerabilidades de los componentes
críticos)
Fase 3:
Planificación de las medidas y reducción de riesgos
Tiene en
cuenta los siguientes procesos: Realizar un análisis del riesgo, desarrollo de
estrategias de protección
METODOLOGÍA DAFP
Fortalece la
implementación y desarrollo de la política de la administración del riesgo a
través del adecuado tratamiento de los riesgos para garantizar el cumplimiento
de la misión y objetivos institucionales de las entidades de la Administración
Pública
Objetivos Específicos
- Generar una visión sistémica acerca de la
administración y evaluación de riesgos, consolidada en un Ambiente de
Control adecuado a la entidad y un Direccionamiento Estratégico que fije
la orientación clara y planeada de la gestión dando las bases para el
adecuado desarrollo de las Actividades de Control.
- Proteger los recursos del Estado,
resguardándolos contra la materialización de los riesgos.
- Involucrar y comprometer a todos los
servidores de las entidades de la Administración Pública en la búsqueda de
acciones encaminadas a prevenir y administrar los riesgos. Propender a que
cada entidad interactúe con otras para fortalecer su desarrollo y mantener
la buena imagen y las buenas relaciones
- Introducir dentro de los procesos y procedimientos
las acciones de mitigación resultado de la administración del riesgo
- Asegurar el cumplimiento de normas, leyes y
regulaciones.
METODOLOGÍA ARMONIZADA DEL ANÁLISIS DEL RIESGO (MEHARI)
Es una metodología desarrollada por la comisión de métodos
de Clusif (Club Francés de la Seguridad de la Información) en 1996 y es de
acceso público.
Mehari es un conjunto de herramientas y
funcionalidades metodológicas para la gestión de la seguridad y de las medidas
asociadas, basado en un análisis de riesgo preciso. Los aspectos fundamentales
de MEHARI son:
- ·
Su modelo de riesgo (cualitativo y cuantitativo),
- ·
El examen de la eficacia de las medidas de
seguridad en vigor previstas
- ·
La capacidad para evaluar y simular los niveles de
riesgo derivado de medidas adicionales
Los documentos oficiales de la metodología Mehari proporciona
un marco metodológico, componentes modulares y bases de datos de conocimiento,
con el fin de:
- ·
Analizar los principales problemas
- ·
Analizar las vulnerabilidades
- ·
Disminuir y controlar los riesgos
- ·
Supervisar la seguridad de la información
El principal objetivo de Mehari es proporcionar un
método para la evaluación y gestión de riesgos, concretamente en el dominio de
la seguridad de la información, conforme a los requerimientos ISO/IEC
27005:2008, proporcionando el conjunto de herramientas y elementos necesarios
para su implementación.
Otros objetivos adicionales son:
- ·
Permitir un análisis directo e individual de
situaciones de riesgos descritas en los escenarios
- ·
Proporcionar un completo conjunto de herramientas
específicamente diseñadas para la gestión de la seguridad a corto, medio y
largo plazo, adaptables a diferentes niveles de madurez y tipos de acciones consideradas.
LA METODOLOGÍA EBIOS
Una herramienta de gestión de los riesgos SSI El
método EBIOS permite apreciar y tratar los riesgos relativos a la seguridad de
los sistemas de información (SSI). Posibilita también la comunicación dentro
del organismo y también con los asociados para contribuir al proceso de la gestión
de los riesgos SSI
Comprendido
por un juego de guías más una herramienta de código libre gratuita, enfocada a
gestores del riesgo de TI. Desarrollada en un principio por el gobierno
francés, ha tenido una gran difusión y se usa tanto en el sector público como
en el privado no sólo de Francia sino en otros países. La tecnología EBIOS
consta de un ciclo de cinco fases:
- ·
Fase 1. Análisis del contexto, estudiando cuales
son las dependencias de los procesos del negocio respecto a los sistemas de
información.
- ·
Fases 2 y 3, Análisis de las necesidades de
seguridad y de las amenazas, determinando los puntos de conflicto.
- ·
Fases 4 y 5,
Resolución del conflicto, estableciendo los objetivos de seguridad necesarios y
suficientes, con pruebas de su cumplimiento y dejando claros cuales son los
riesgos residuales.
EBIOS
es ampliamente utilizado en el sector público (la totalidad de los ministerios
y de los organismos bajo la tutela estatal), en el sector privado (gestorías,
pequeñas y grandes empresas), en Francia y en el extranjero (Unión Europea,
Quebec, Bélgica, Túnez, Luxemburgo…), a través de numerosos organismos, como
usuarios o beneficiarios de análisis de riesgos SSI.
Se publica en forma gratuita en el sitio de la DCSSI (http://www.ssi.gouv.fr).
El
riesgo SSI es la combinación de una amenaza y de las pérdidas que ésta puede
generar.Contrariamente a los enfoques de análisis de los riesgos por situaciones, el
procedimiento estructurado del método EBIOS permite identificar los elementos
constitutivos de los riesgos (entidades y vulnerabilidades, métodos de ataque y
elementos peligrosos, elementos esenciales y necesidades de seguridad…). Esta
construcción metódica garantiza la exhaustividad del análisis de los riesgos.
El
software libre de asistencia para la utilización del método puede obtenerse
solicitándolo a la DCSSI (ebios.dcssi@sgdn.pm.gouv.fr).
LA METODOLOGÍA QUE SELECCIONO ES
MAGERIT
Porque
Ofrece un método sistemático para analizar los riesgos derivados del uso de
tecnologías de la información y comunicaciones y de esta forma implementar las
medidas de control más adecuadas que permitan tener los riesgos mitigados.
Margerit está
directamente relacionado con la generalización del uso de las tecnologías de
información que suponen beneficios evidentes para los usuarios; pero también da
lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que
generan confianza.
Interesa a
todos aquellos que trabajan con información digital y sistemas informáticos
para tratarla. Si dicha información, o los servicios que se prestan gracias a
ella, son valiosos, Magerit les permitirá saber cuánto valor está en juego y
les ayudará a protegerlo. Conocer el riesgo al que están sometidos los
elementos de trabajo es, simplemente, imprescindible para poder gestionarlos.
Con Magerit se persigue una aproximación metódica que no deje lugar a la improvisación,
ni dependa de la arbitrariedad del analista.
En particular se reconocerá lo que se denominaba
submodelo de elementos: activos, amenazas, vulnerabilidades, impactos, riesgos
y salvaguardas.
Dentro del concepto activo, cabe hablar de sus dimensiones que se pueden
calibrar desde diferentes ángulos: la autenticidad, la confidencialidad, la
integridad, la disponibilidad y la trazabilidad.
Figura:
Dimensiones de un activo según Magerit
Magerit persigue los siguientes objetivos:
- Concientizar a los responsables de los sistemas de
información de la existencia de riesgos y de la necesidad de atajarlos a
tiempo.
- Ofrecer un método sistemático para analizar tales riesgos.
- Ayudar a descubrir y planificar las medidas oportunas para
mantener los riesgos bajo control.
- Preparar a la Organización para procesos de evaluación,
auditoría, certificación o acreditación, según correspondan en cada caso.
Principales elementos de Magerit
- Escalas de valores cualitativos, cuantitativos y de
indisponibilidad del servicio.
- Modelo de frecuencia de una amenaza como una tasa anual de
ocurrencia.
- Escala alternativa de estimación del riesgo.
- Catálogos de amenazas
- Catálogos de medidas de control
El proceso de análisis de riesgos debe contemplar las siguientes fases:
- ·
Determinar los activos relevantes para la
Organización
- ·
Valorar los activos identificados
- ·
Determinar las amenazas a las que están expuestos
los activos
- ·
Estimar el impacto de la amenaza
- ·
Calcular el nivel de riesgo. Estimar el riesgo.
Figura Marco
del análisis del riesgo de Magerit
Lo
interesante de esta metodología, es que presenta una guía completa y paso a
paso de cómo llevar a cabo el análisis de riesgos. Esta metodología está
dividida en tres libros. El primero de ellos hace referencia al Método,
donde se describe la estructura que debe tener el modelo de gestión de riesgos.
Este libro está de acuerdo a lo que propone ISO para la gestión de riesgos.
El segundo
libro es un Catálogo de Elementos, el cual es una especie de inventario que
puede utilizar la empresa para enfocar el análisis de riesgo. Es así como
contiene una división de los activos de información que deben considerarse, las
características que deben tenerse en cuenta para valorar los activos
identificados y además un listado con las amenazas y controles que deben
tenerse en cuenta.
Finalmente
el tercer libro es una Guía de Técnicas, lo cual lo convierte en un factor
diferenciador con respecto a otras metodologías. En este tercera parte se
describen diferentes técnicas frecuentemente utilizadas en el análisis de
riesgos. Contiene ejemplos de análisis con tablas, algoritmos, árboles de
ataque, análisis de costo beneficio, técnicas gráficas y buenas prácticas para
llevar adelante sesiones de trabajo para el análisis de los riesgos.
Esta
metodología es muy útil para aquellas empresas que inicien con la gestión de la
seguridad de la información, pues permite enfocar los esfuerzos en los riesgos
que pueden resultar más críticos para una empresa, es decir aquellos
relacionados con los sistemas de información. Lo interesante es que al estar
alineado con los estándares de ISO es que su implementación se convierte en el
punto de partida para una certificación o para mejorar los sistemas de gestión.
Fases del análisis de riesgos