Material adicional del Seminario Taller Riesgo vs. Seguridad de la Informacin Gestin del riesgo Desde hace varias dcadas la informacin ha pasado de ser un producto del desarrollo de las actividades de las organizaciones a ser un insumo de alto valor, fundamental para el cumplimiento de los objetivos y subsistencia de las mismas. En muchas de estas organizaciones, y con el objeto de brindar eficiencia y agilizar la administracin, los procesos incorporan la utilizacin de sistemas automatizados de procesamiento de informacin. El auge en el rol que ha tomado la informacin, sin embargo, no exime a las organizaciones de una serie de peligros, que se han visto incrementados por las nuevas amenazas surgidas del uso de tecnologas de la informacin y las comunicaciones. De esta manera, toda organizacin se encuentra constantemente expuesta a una serie de riesgos mientras que resulta imposible establecer un entorno totalmente seguro. !a gestin de riesgos se presenta entonces como una actividad clave para el resguardo de los activos de informacin de una organizacin y en consecuencia protege la capacidad de cumplir sus principales objetivos. Es un proceso constante que permite a la administracin balancear los costos operacionales y econmicos causados por la interrupcin de las actividades y la prdida de activos, con los costos de las medidas de proteccin a aplicar sobre los sistemas de informacin y los datos que dan soporte al funcionamiento de la organizacin, reduciendo los riegos que presentan los activos de informacin a niveles aceptables para la misma. El proceso de gestin de riesgos involucra cuatro actividades cclicas" la identificacin de activos y los riesgos a los que est#n expuestos el an#lisis de los riesgos identificados para cada activo la seleccin e implantacin de controles que reduzcan los riesgos el seguimiento, medicin y mejora de las medidas implementadas Esta breve gua se centrar# en las primeras dos actividades del proceso de gestin de riesgos, llegando hasta la definicin de recomendaciones de controles a implementar que permitan reducir el riesgo al que el sistema en estudio est# expuesto. Pgina 1 de 7 TRATAMIENTO TRATAMIENTO DE RIESGOS DE RIESGOS EVALUACIN EVALUACIN DE RIESGOS DE RIESGOS IDENTIFICACIN IDENTIFICACIN DE RIESGOS DE RIESGOS ANLISIS ANLISIS DE RIESGOS DE RIESGOS SELECCIN E SELECCIN E IMPLANTACIN IMPLANTACIN SEGUIMIENTO SEGUIMIENTO Y MEDICIN Y MEDICIN Universidad Nacional de Lujn Departamento de Seguridad Informtica $ntes de continuar definiremos al riesgo como funcin de la probabilidad de que una amenaza aproveche o explote una potencial vulnerabilidad en un activo de informacin, y de la magnitud del da%o resultante de tal evento adverso en la organizacin. I. Identificacin de activos de informacin El primer paso en la gestin de los riesgos es la definicin del alcance que tendr# el estudio. En este paso se definen los lmites del sistema en estudio a la vez que se detallan los recursos y la informacin que constituyen el sistema, que se denominar#n activos de informacin, algo esencial para posteriormente definir el riesgo. Desde ya, es necesario un amplio conocimiento del ambiente en cuestin. El primer concepto a contemplar es el de activo de informacin. &e denominan Ati!os de In"or#$in a todos aquellos recursos de valor para una organizacin que generan, procesan, almacenan o transmiten informacin. Esto comprende" funciones de la organizacin, informacin y datos, recursos fsicos 'equipamiento, edificios(, recursos humanos, recursos de soft)are, servicios, etc. $sociado al concepto de activo est# el rol de Pro%iet$rio de In"or#$in, quin es responsable de clasificar al activo de informacin de acuerdo con su grado de criticidad y de definir qu usuarios podr#n acceder al mismo. II. Clasificacin de activos de informacin &e define la ritiid$d de un activo en funcin de cu#n necesario resulta para las actividades de un #rea o la misin de la organizacin. Dado que en una organizacin no todos los activos de informacin poseen el mismo valor, a la vez que un mismo activo puede poseer un valor diferente para distintas #reas, se establece una valoracin estandarizada donde el propietario de la informacin clasifica cada activo seg*n las tres caractersticas b#sicas de la seguridad de la informacin" la confidencialidad, la integridad, y la disponibilidad a la que debe estar sometido. +na posible escala para la clasificacin es la siguiente" CONFIDENCIALIDAD VALOR ,nformacin que puede ser conocida y utilizada sin autorizacin por cualquier persona, dentro o fuera de la +niversidad. & ,nformacin que puede ser conocida y utilizada por todos los agentes de la +niversidad. ' ,nformacin que slo puede ser conocida y utilizada por un grupo de agentes, que la necesiten para realizar su trabajo. ( ,nformacin que slo puede ser conocida y utilizada por un grupo muy reducido de agentes, cuya divulgacin podra ocasionar un perjuicio a la +niv. o terceros. ) Pgina 2 de 7 Universidad Nacional de Lujn Departamento de Seguridad Informtica INTEGRIDAD VALOR ,nformacin cuya modificacin no autorizada puede repararse f#cilmente, o que no afecta a las actividades de la +niversidad. & ,nformacin cuya modificacin no autorizada puede repararse aunque podra ocasionar un perjuicio para la +niversidad o terceros. ' ,nformacin cuya modificacin no autorizada es de difcil reparacin y podra ocasionar un perjuicio significativo para la +niversidad o terceros. ( ,nformacin cuya modificacin no autorizada no podra repararse, impidiendo la realizacin de las actividades. ) DISPONI*ILIDAD VALOR ,nformacin cuya inaccesibilidad no afecta la actividad normal de la +niversidad. & ,nformacin cuya inaccesibilidad permanente durante una semana podra ocasionar un perjuicio significativo para la +niversidad. ' ,nformacin cuya inaccesibilidad permanente durante la jornada laboral podra impedir la ejecucin de las actividades de la +niversidad. ( ,nformacin cuya inaccesibilidad permanente durante una hora podra impedir la ejecucin de las actividades de la +niversidad. ) El valor m#ximo de las tres caractersticas determinar# la criticidad del activo de informacin analizado. Si todos son & ++, Critiid$d &-N./$ Si e/ #01i#o es ' ++, Critiid$d '-*$2$ Si e/ #01i#o es ( ++, Critiid$d (-Medi$ Si e/ #01i#o es ) ++, Critiid$d )-A/t$ E2e#%/o3 Identi"i$in de $ti!os ACTIVO CONFIDEN- CIALIDAD INTEGRIDAD DISPONI- *ILIDAD CRITICIDAD $lta de movimientos mensuales ( ( ' ( -ase de Datos de .aberes ( ( ( ( /ed de 0elefona & ' ' ' Destructoras de papel & & & & 1 1 1 1 ... III. Identificacin de vulnerabilidades y amenazas El objetivo de este paso es identificar las vulnerabilidades en los activos y compilar un listado de amenazas potenciales que son aplicables al sistema que est# siendo evaluado. +na !./ner$4i/id$d es toda debilidad en un activo de informacin, dada com*nmente por la inexistencia o ineficacia de un control. +na $#en$5$ es todo elemento que, haciendo uso o aprovechando una vulnerabilidad, atenta o puede atentar contra la seguridad de un activo de informacin. !as amenazas surgen a partir de la existencia de vulnerabilidades, e independientemente de que se comprometa o no la seguridad de un sistema. Pgina 3 de 7 Universidad Nacional de Lujn Departamento de Seguridad Informtica &on ejemplos de vulnerabilidades, entre muchas otras" la falta de mantenimiento en las instalaciones. la falta de capacitacin al personal. la falta de manuales de procedimientos. la inexistencia de respaldos de informacin y equipamiento redundante. la falta de polticas de acceso a los sistemas inform#ticos. la divulgacin o utilizacin de contrase%as inseguras. la transmisin de informacin por medios inseguros. los errores de programacin en las aplicaciones. la falta de mobiliario de oficina con llave. el acceso irrestricto al lugar de trabajo. la eliminacin insegura de la informacin. &on ejemplos de amenazas" de origen natural" eventos tales como inundaciones, terremotos, tornados, incendios, tormentas elctricas y otros desastres naturales. de origen humano" eventos que son permitidos o causados por seres humanos, sean estos actos involuntarios tales como errores en la operatoria, errores de programacin, ausencia de personal tcnico responsable2 o bien acciones intencionales tales como la comisin de robo o fraude, el acceso no autorizado a la informacin, la suplantacin de identidad, etc. del entorno" tales como interrupciones prolongadas de servicios elctricos o de comunicaciones, fallas por obsolescencia o mal funcionamiento de equipamiento, etc. E2e#%/o3 Identi"i$in de !./ner$4i/id$des ACTIVO CRITICIDAD VULNERA*ILIDAD $lta de movimientos mensuales ( ,nexistencia de copias de respaldo Eliminacin insegura de la informacin Errores de programacin en el sistema 1 1 1 E2e#%/o3 Identi"i$in de $#en$5$s ACTIVO CRITICI- DAD VULNERA*ILIDAD AMENA6A $lta de movimientos mensuales ( ,nexistencia de copias de respaldo 3allo en el disco rgido -orrado accidental de la informacin Eliminacin insegura de la informacin Divulgacin no autorizada de la informacin Errores de programacin en el sistema /obo de informacin 3raude electrnico 1 1 ... ... Pgina de 7 Universidad Nacional de Lujn Departamento de Seguridad Informtica IV. Valoracin de amenazas y determinacin del impacto El paso siguiente para la medicin del nivel de riesgo es la determinacin del impacto adverso como resultado de la ejecucin de una amenaza. Este impacto se puede describir en trminos de prdida o degradacin de alguna de las tres caractersticas b#sicas" confidencialidad, integridad y disponibilidad. 4ara cada activo y amenaza debe estimarse la degr$d$in, es decir el porcentaje en que la amenaza da%a al activo en estudio estableciendo un valor entre 5 6 'no lo da%a( y 755 6 'lo da%a absolutamente( para cada una de las caractersticas de confidencialidad, integridad y disponibilidad. P7rdid$ de Integrid$d3 &e refiere al requerimiento de que el activo o la informacin sea protegido contra la modificacin no autorizada. &e pierde integridad si se realizan cambios no autorizados en los sistemas o se pierde parte de los datos almacenados sea por un evento accidental o intencionado. P7rdid$ de Dis%oni4i/id$d3 El hecho de que la informacin o un sistema no est disponible para sus usuarios, ya sea por la prdida de datos o la destruccin de elementos necesarios, puede afectar a la efectividad operacional y consecuentemente al cumplimiento de la misin de una organizacin. P7rdid$ de Con"ideni$/id$d3 !a confidencialidad hace referencia a la proteccin de la informacin contra la divulgacin no autorizada. El impacto producido por un evento de estas caractersticas, sea en forma no autorizada, intencional o inadvertida, puede variar entre la prdida de confianza en la institucin hasta la posibilidad de acciones legales contra la misma. 4or ejemplo, podra estimarse que tras un incendio controlado, un archivo de legajos se vera afectado un 85 6 en su integridad. En el caso de un sistema inform#tico, una falla elctrica podra afectar en un 755 6 la disponibilidad del mismo, sin afectar '5 6( su confidencialidad. El i#%$to se calcula en base al m#ximo valor de degradacin que la amenaza produce sobre un activo, y la criticidad del activo definida en los pasos anteriores, por ejemplo, mediante la multiplicacin de tales valores. E2e#%/o3 V$/or$in de $#en$5$s AMENA6A DEGRADACIN IMPACTO 8TOTAL9 CONFID: INTEG: DISP: 3allo en el disco rgido de la 49 5,556 :5,556 85,556 ; x 856 < ' -orrado accidental de informacin 5,556 755,556 =5,556 ; x 7556 < ( 1 1 1 1 ... V. Determinacin del riesgo El propsito de este paso es establecer el nivel de riesgo que cada amenaza conlleva al sistema. !a determinacin del riesgo que cada par activo>amenaza resulta como funcin de" la %ro4$4i/id$d de que ocurra el evento, es decir, que la amenaza explote la vulnerabilidad, y la #$gnit.d del impacto que el evento produce sobre el activo en estudio. Pgina ! de 7 Universidad Nacional de Lujn Departamento de Seguridad Informtica El cmputo de la probabilidad suele basarse en los valores histricos de frecuencia con la que ocurre 'o podra ocurrir( un evento en forma anual. 4or ejemplo, si ocurren fallas elctricas al menos una vez al mes, la frecuencia de dicha amenaza ser# 7;2 si ocurre una inundacin cada cuatro a%os, la frecuencia de dicha amenaza ser# 7>:. El riesgo al que est# expuesto un activo surge de la multiplicacin de la frecuencia anual por el impacto estimado en el paso anterior. E2e#%/o3 Deter#in$in de/ riesgo ACTIVO AMENA6A FREC: 8ANUAL9 IMPACTO 8TOTAL9 RIESGO $lta de movimientos mensuales 3allo en el disco rgido de la 49 ' ' 7 x 7 < ' -orrado accidental de la informacin ) ( ? x ; < ; 1 1 1 1 ... VI. Recomendacin de controles !a salida del paso anterior constituye un detalle de los riesgos a los cuales el sistema est# expuesto, a la vez que brinda un orden de prioridades de los riesgos a tratar" aquellos activos con un alto nivel de riesgo son los que probablemente deber#n ser tratados en el corto plazo, buscando la forma de contrarrestar las vulnerabilidades y amenazas2 los riesgos de nivel medio tambin son relevantes pero suelen tratarse a m#s largo plazo2 finalmente los riesgos de bajo nivel suelen aceptarse directamente en los casos donde la implementacin de controles implica un mayor coste que el costo de la prdida producida por el evento adverso. !a recomendacin de controles comprende la identificacin de medidas adecuadas que mitiguen o eliminen los riesgos encontrados previamente. +n ontro/ o s$/!$g.$rd$ contribuye reduciendo el impacto que produce una amenaza o bien la frecuencia con la que sta sucede. El objetivo es reducir el nivel de riesgo al que el sistema en estudio est# expuesto, llev#ndolo a un nivel aceptable, y constituye la base inicial para la actividad siguiente de seleccin e implantacin de controles. $ la hora de determinar las recomendaciones de controles y alternativas de solucin deben de tenerse en cuenta ciertos factores tales como" @ la efectividad de las opciones recomendadas @ la adecuacin a leyes y normas existentes @ el impacto operacional de las modificaciones @ la confiabilidad de tales controles 4or ejemplo, la incorporacin de energa a bateras permitira reducir la frecuencia de los cortes de energa elctrica a slo ? por a%o2 la incorporacin de alarmas contra incendios permitira detectar tal evento en forma temprana reduciendo la degradacin que se produzca sobre los activos afectados. Pgina " de 7 Universidad Nacional de Lujn Departamento de Seguridad Informtica E2e#%/o3 Reo#end$in de ontro/es ACTIVO VULNERA*ILIDAD AMENA6A SALVAGUARDAS $lta de movimientos mensuales ,nexistencia de copia de respaldo -orrado accidental de la informacin A9opias de seguridad A9apacitacin al usuario A/estriccin de permisos 3allo en el disco rgido de la 49 A9opias de seguridad ABantenimiento preventivo 1 1 1 ... 3inalmente, la documentacin elaborada en el transcurso de esta serie de pasos constituir# un reporte de suma utilidad para la toma de decisiones en lo que respecta a cambios operacionales y administrativos en polticas, procedimientos, presupuestos y de utilizacin de sistemas inform#ticos. Pgina 7 de 7
Disciplina con amor para adolescentes (Discipline With Love for Adolescents): Guía para llevarte bien con tu adolescente (A Guide for Getting Along Well With Your Adolescent)
Batidos Verdes Depurativos y Antioxidantes: Aumenta tu Vitalidad con Smoothie Detox Durante 10 Días Para Adelgazar y Bajar de Peso: Aumenta tu vitalidad con smoothie detox durante 10 días para adelgazar y bajar de peso
¡Basta ya de ser un Tipo Lindo! (No More Mr. Nice Guy): Un Plan Probado para Que Obtengas Lo Que Quieras en La Vida El Sexo y El Amor (A Proven Plan for Getting What You Want in Love, Sex and Life)