Académique Documents
Professionnel Documents
Culture Documents
GENERALIDADES
1.1. TITULO
Propuesta metodológica para la gestión de riesgos en PILAR y ERAMBA en la I.E.Pr. SAN FERNANDO en la
ciudad de Cajamarca
II. INTRODUCCION
Tanto si como trabajamos desde casa o en una oficina de una empresa
La incertidumbre y los riesgos son factores que siempre van estar siempre presentes en nuestra vida profesional,
cuando iniciemos un nuevo proyecto lo primero que nos recomiendan es un plan de negocio y un análisis DAFO
ese plan de empresa o plan de negocio es el primer plan de gestión de riesgos que vamos a realizar en nuestra
empresa, pues nos dictara los pasos para reducir o reaccionar ante las amenazas indicadas en el DAFO.
Su Objetivo es minimizar la incertidumbre y la improvisación a la hora de evitar o manejar situaciones que
perjudicaran nuestra empresa, desde el punto de vista de las tecnología de la información la gestión de riesgos
está orientada a minimizar de las amenazas que se cierran sobre nuestra infraestructura informática y de
comunicaciones, un buen plan de gestión de riesgos debe considerar Evitar La Improvisación y así poder
recuperarnos más rápidamente del incidente. Gestionar Riesgos: Es Identificar, Analizar y Aceptar las
Amenazas, el riesgo más peligroso es perder nuestra información.
En este sentido las áreas TIC de las empresas han sido uno de los ámbitos pioneros en acometer análisis de
riesgos, impulsado por ser un requisito de normas como la ISO 27001 y sus anteriores ediciones, o como
proyecto de entidad propia.
El análisis de riesgos es la herramienta a través de la cual se puede obtener una visión clara y priorizada de los
riesgos a los que se enfrenta una entidad: tiene como propósito identificar los principales riesgos a los que una
entidad está expuesta, ya sean desastres naturales, fallos en infraestructura o riesgos introducidos por el propio
personal. En este sentido pretende identificar los riesgos más significativos que pueden afectar a la operativa
de la entidad y priorizar medidas a implantar para minimizar la probabilidad de materialización de dichos riesgos
o el impacto en caso de materializarse.
La gestión del riesgo es una serie de procesos permanentes de decisión y de planificación que permite a las
comunidades analizar su entorno, tomar decisiones y desarrollan por etapas interrelacionadas y propuestas
concertadas para prevenir, mitigar o reducir los riesgos existentes. Su propósito es el desarrollo sostenible ha
surgido de la necesidad de preservar la
Vida y los recursos materiales ante las amenazas de la naturaleza y las que nosotros hemos contribuido a crear.
[1]
Definición:
ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra
las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos
del sistema de gestión de seguridad de la información definidos en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la
seguridad de la información de su organización. No recomienda una metodología concreta, dependerá de una serie de factores,
como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.
[2]
Características:
La norma ISO 27005 reemplaza a la norma ISO 13335-2 “Gestión de Seguridad de la Información y la tecnología de
las comunicaciones”. La norma fue publicada por primera vez en junio de 2008, aunque existe una versión mejorada
del año 2011.
Es compatible con los conceptos generales especificados en la norma ISO 27001 y se encuentra diseñada como soporte
para aplicar de forma satisfactoria un SGSI basado en el enfoque de gestión de riesgo. [3]
La gráfica a continuación permite visualizar los procesos que forman parte de la norma ISO 27005.
Proceso para la gestión de riesgos ISO 27005. Fuente:(Vásquez & López, 2016), (Moncayo Racines, 2014)
Las cinco etapas que comprende la ISO 27005 según (Vásquez & López, 2016) y (Crespo & Cordero, 2016), son las siguientes:
a) Comunicación inicial:
Aquí se conceptualiza el riesgo y sus implicaciones, las ventajas de la gestión, entre otros.
Consiste en presentar a cada uno de los miembros de la organización los resultados obtenidos durante el proceso de
establecimiento de un plan de mitigación de riesgos, con el fin de retroalimentar el proceso.
c) Comunicación de resultados:
Comunica los resultados considerando la confidencialidad de la misma, es decir que la información no será de
conocimiento público.
Es obligatorio e imprescindible conocer el entorno organizacional, con el objetivo de determinar las afecciones que podrían
presentarse tanto a nivel interno como externo, además de evaluar y estipular lo que se requiere proteger, y los mecanismos para
realizar esta actividad.
En esta etapa lo que se recomienda es identificar los activos de información que se protegerán, así como sus debilidades y
amenazas.
Para una correcta valoración se debe priorizar los activos incluyendo procesos, información, datos y activos de soporte.
Sin olvidar de que se debe identificar los tipos de amenazas, los daños que implican cada una de estas amenazas, perdidas que
causan los riesgos en términos de impacto y un análisis sobre el negocia más conocido como BIA (Bussines Impact Analysis).
En esta etapa lo que se implementan las acciones (reducir, aceptar, eliminar, transferir) a tomar para mitigar los riesgos
anteriormente analizados.
Estas acciones junto con un plan de tratamiento en donde se definen recursos, responsabilidades se debe documentar para
finalmente definir las políticas a seguir.
3.2. MAGERIT
Es una metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica de España,
que ofrece un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones
para de esta forma implementar las medidas de control más adecuadas que permitan tener los riesgos mitigados. Cuenta con
todo un documento que reúne técnicas y ejemplos de cómo realizar el análisis de riesgos.
Puntualmente MAGERIT se basa en analizar el impacto que puede tener para la empresa la violación de la seguridad,
buscando identificar las amenazas que pueden llegar a afectar la compañía y las vulnerabilidades que pueden ser utilizadas por
estas amenazas, logrando así tener una identificación clara de las medidas preventivas y correctivas más apropiadas. [4]
Se encuentra muy relacionada con la generación en la que se utilizan los medios electrónicos, informáticos y telemáticos, lo que
genera grande beneficios para los empleados y los ciudadanos, aunque también puede dar lugar a diferentes riesgos que se
tienen que minimizar con medidas de seguridad que generan confianza. MAGERIT facilita que se pueda llevar a cabo:
El análisis de riesgo en cualquier tipo de Sistema de Seguridad de la Información (SSI), así como todos sus elementos,
obteniendo un índice único en el que se realicen las estimaciones de su vulnerabilidad ante todas las posibles amenazas
y el impacto que puede generar en la empresa.
La gestión de riesgos, se basa en todos los resultados obtenidos durante el análisis hecho, se seleccionan medidas de
seguridad adecuadas para poder conocer, prevenir, impedir, recudir o controlar todos los riesgos que se han identificado,
pudiendo de este modo reducir al mínimo la potencialidad del riesgo.
MAGERIT tiene una visión estratégica global de la Seguridad de los Sistemas de Información ISO 27001, esta visión comienza
en un modelo de análisis y gestión de riesgos que comprende tres modelos: entidades, eventos y procesos como podemos ver:
[5]
Elementos: Proporciona los componentes del sistema (Activos, Amenazas, Vulnerabilidades, Impacto, Riesgo,
Salvaguardas).
Eventos: Relaciona los elementos entre sí y con el tiempo.
Procesos: Describe el proyecto de seguridad a construir en 4 etapas (Planificación, Análisis de riesgos, Gestión de
Riesgos, Selección de Salvaguardias). [6]
3.2.1. HISTORIA Y EVOLUCIÓN
Actualmente se encuentra en la versión 3.0, el periodo transcurrido desde la publicación de la primera versión de Magerit
(1997). En Magerit v1.0, todos los conceptos resultan familiares con la v2.0, aunque hay cierta evolución. En particular
se reconocerá lo que se denominaba dimensiones de elementos: activos, amenazas, vulnerabilidades, impactos, riesgos
y salvaguardas. Esta parte conceptual ha sido refrendada por el paso del tiempo y sigue siendo el eje alrededor del cual
se vertebran las fases fundamentales de análisis y gestión. Si bien Magerit v1.0 ha resistido bien el paso del tiempo en
lo conceptual, no se puede decir lo mismo de los detalles técnicos de los sistemas de información con los que se trabaja.
El paso de Métrica v2.1 a Métrica v3.0 ha supuesto una completa revisión de este punto. En la v2.0 de Magerit aparece
en el capítulo de “Desarrollo de Sistemas Informáticos”, enfatizando primero el desarrollo de aplicaciones aisladas y luego
el proceso de desarrollo de sistemas de información completos. [7]
3.2.2. OBJETIVOS
Magerit persigue los siguientes objetivos:
3.2.3.1. EL MÉTODO
Describe los pasos y las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, y proporciona una
serie de aspectos prácticos:
I. Describe los pasos para realizar un análisis del estado de riesgo y para gestionar su mitigación. Es una
presentación netamente conceptual.
II. Describe las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, entendiendo que no basta
con tener los conceptos claros, sino que es conveniente pautar roles, actividades, hitos y documentación para que
la realización del proyecto de análisis y gestión de riesgos esté bajo control en todo momento.
III. Aplica la metodología al caso del desarrollo de sistemas de información, en el entendimiento que los proyectos de
desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a que están
expuestos, como los riesgos que las propias aplicaciones introducen en el sistema.
IV. Desgrana una serie de aspectos prácticos, derivados de la experiencia acumulada en el tiempo para la realización
de un análisis y una gestión realmente efectivos. [7]
PROCESOS
Establecimiento de la Planificación de la Seguridad de los SI.
Implantación de Salvaguardas y otras medidas de seguridad de los SI.
Monitorización, gestión de configuración y de cambios en la seguridad de los SI.
Determinación de la organización de la seguridad de los SI.
Concienciación de todos en la seguridad de los SI.
Reacción a cada evento, registro de incidencias y recuperación de estados de seguridad.
Determinación de objetivos, estrategia y política de seguridad de los SI.
Facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a
los que puedan adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.
Homogeneizar los resultados de los análisis, promoviendo una terminología y unos criterios uniformes que
permitan comparar e incluso integrar análisis realizados por diferentes equipos. [7]
3.2.4.1. VENTAJAS
Las decisiones que deben tomarse y que tengan que ser validadas por la dirección, estarán fundamentadas y serán
fácilmente defendibles. [8]
3.2.4.2. DESVENTAJAS.
El hecho de tener que traducir de forma directa todas las valoraciones en valores económicos hace que la aplicación
de esta metodología sea realmente costosa. [8]
3.3. PILAR
3.3.1. INTRODUCCIÓN
PILAR es una herramienta desarrollada para soportar el análisis y la gestión de riesgos de sistemas de información
siguiendo la metodología MAGERIT. Las siglas de PILAR provienen de “Procedimiento Informático Lógico para el Análisis
de Riesgos” creado por el Centro Nacional de Inteligencia, actualmente se encuentra disponible la versión 5.4. Analiza
los riesgos en varias dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
Para tratar el riesgo se proponen: salvaguarda o contramedidas, normas y procedimientos de seguridad. Esta
herramienta soporta las fases del método MAGERIT:
Caracterización de los activos: identificación, clasificación, dependencias y valoración
Caracterización de las amenazas
Evaluación de las salvaguardas
Evalúa el impacto y el riesgo, acumulado y repercutido, potencial y residual, presentándolo de forma que permita el
análisis de por qué se da cierto impacto o cierto riesgo. Las salvaguardas se califican por fases, permitiendo la
incorporación a un mismo modelo de diferentes situaciones temporales. Se puede incorporar el resultado de los diferentes
proyectos de seguridad a lo largo de la ejecución del plan de seguridad, monitorizando la mejora del sistema.
PILAR presenta los resultados en varias formas, ya sea en informes RTF, gráficas o tablas que se pueden agregar a una
hoja de cálculo, logrando elaborar diferentes tipos de informes y presentaciones de los resultados. Finalmente, la
herramienta calcula calificaciones de seguridad respecto a normas ampliamente conocidas, como son:
UNE-ISO/IEC 27002:2009: sistemas de gestión de seguridad
RD 1720/2007: datos de carácter personal
RD 3/2010: Esquema Nacional de Seguridad.
Cabe destacar que esta herramienta incorpora tanto los modelos cualitativos como cuantitativos, logrando alternarse
entre estos para extraer el máximo beneficio de las posibilidades teóricas de cada uno de ellos. [9]
3.3.2. ESPECIFICACIONES
3.3.2.1. HARDWARE
Servidores: Se consideran todos los equipos físicos de tipo torre y rack que alojan algún programa o aplicación,
se encuentran dentro del centro de datos y son administrados por el personal de infraestructura y sistemas.
Equipos de comunicaciones: Se consideran todos los equipos que conforman la red de voz y datos ubicados en
el centro de datos que son administrados por personal de infraestructura.
Robot de cintas: Equipo físico que realiza los respaldos en cinta de la información de los servidores ubicado en
el centro de datos y es administrado por el personal de infraestructura.
Computador de personal: Equipo de computación que utiliza el personal de GTSI para trabajar. [9]
3.3.2.2. SOFTWARE
Sistemas académicos, financieros y administrativos: Se consideran a los sistemas prioritarios para la
administración de la organización que son gestionados por los desarrolladores.
Almacenamiento – bases de datos: Se considera a la información almacenada y respaldada originada de los
datos de los servicios prestados, esto es administrado por administrador de bases de datos. También se
consideran a las cintas magnéticas que almacenan la información respaldada.
Correo electrónico: se considera al sistema de correo electrónico.
Virtualización: se considera al servicio que permite el funcionamiento de los servidores virtuales. [9]
3.3.2.3. COMUNICACIONES
Internet.- Se considera al servicio y demás elementos necesarios para lograr el acceso hacia el Internet.
Red alámbrica.- se considera a las conexiones alámbricas ya sean de fibra óptica o cable UTP.
Red inalámbrica.- se considera a la señal de red emitida por los puntos de acceso.
Enlace con proveedor.- se considera al servicio y equipos que conlleva la comunicación exitosa con el proveedor
de Internet. [9]
3.3.3. VERSIONES
PILAR: versión íntegra de la herramienta
PILAR Basic: versión sencilla para Pymes y Administración Local
μPILAR: versión de PILAR reducida, destinada a la realización de análisis de riesgos muy rápidos
RMAT (Risk Management Additional Tools) Personalización de herramientas. [10]
3.4. ERAMBA
Eramba Open Source es una aplicación web que ayuda a los profesionales de Tecnología, Seguridad de TI, Cumplimiento y
Auditoría con el análisis, administración y reportería de Gobernanza de Seguridad relacionada a tópicos tales como Riesgos,
Cumplimiento, Auditorias Interna, Catálogos de Controles, Concienciación basada en roles y mucho más.
Blue Hat Consultores es partner oficial de Eramba desde octubre de 2014 para el mercado ecuatoriano.
Características
Deje a un lado las hojas de cálculo. Simplifique y haga más eficiente su gobernanza. Impresione a su jefe con métricas
de hechos, información y reportes
Gestión de cumplimiento
Defina sus requerimientos de cumplimiento, mapa de controles y conozca y comprenda sus Brechas de Cumplimiento y
el costo que representan para su institución.
Gestión de riesgos
Simplifique el análisis, la administración y la reportería de Activos, Socios Terceros y Riesgos del negocio. Haga que la
Gestión de Riesgos sea ÚTIL.
Gestión de excepciones
¿Aprobó temporalmente una política, permiso, etc., y nunca lo volvió a su estado original? Administre las notificaciones
de excepciones de Riesgos, Cumplimientos y Políticas.
Es momento para impresionar al directorio con Indicadores gráficos orientados al negocio y en tiempo real sobre Riesgos,
Auditoría, Cumplimiento, Utilización de Recursos, Proyectos y Control de Eficiencia.
Gestión de auditoria
Auditorías sobre Controles de Seguridad, Continuidad de Negocio y Notificaciones a Socios Terceros, Gestión de
Auditorías y Reportería.
Gestión de proyectos
Tiene muchas ideas y nadie para seguir su implementación? Centralice sus mejoras en una sola herramienta y su tenga
visibilidad clara de su estado.
Automatice las campañas de Concienciación en Seguridad basadas en roles con videos y cuestionarios de selección
múltiple. Asegúrese que todo el personal de su empresa conozca el rol que desempeña en Seguridad de la Información.
Administre un catálogo de Controles de Seguridad. Comprenda cuánto le cuesta mantenerlos, y si funcionan o no, que
hacen y su importancia.
Defina y Audite sus Planes de Continuidad de Negocio, identifique propietarios y esté seguro de su adherencia a través
de notificaciones automatizadas.
Flujo de trabajo
Eramba le ayuda a asegurar que cada cambio en el sistema es validado, aprobado y cuenta con los registros existentes.
Iso 27001
Simplifique su proceso de cumplimiento mediante formularios fáciles, reportes y notificaciones que le mantendrán al tanto
de las actualizaciones de los documentos clave.
https://www.bluehatconsultores.com/index.php/es/productos/eramba.html
Especificaciones
Hardware
Software
Versiones
Community, Basada en la versión empresarial actualizada cada año, pero con ciertas limitaciones.
Enterprise, Se actualiza todas las semanas y tiene los últimos parches y características.
http://www.eramba.org/resources/documentation/
IV. PROBLEMÁTICA
4.1. PLANTEAMIENTO DEL PROBLEMA
En ESESANFER existe actualmente una falta de control relacionado con seguridad de los activos de información en
la infraestructura de red, equipos y dispositivos de comunicación, servidores físicos y virtuales, por las cuales hacen
posible otorgar los servicios que brinda la institución. Por la naturaleza del servicio, se requiere que estos equipos
estén en funcionamiento las 24 horas del día los siete (07) días de la semana.
Actualmente no existen mecanismos implementados que minimicen la ocurrencia o el impacto de las amenazas a
que están expuestos los activos.
V. OBJETIVOS
Enlistar y evaluar las los procesos metodológicos de SGSI (ISO 27005 y Magerit).
Aportar con una propuesta metodológica para la gestión de riesgos en PILAR y ERAMBA.
6.2. ROLES
Gerente general
Director de colegio
Director de preparatoria
Administrador de red
6.3. PLANIFICACIÓN
6.3.1. Determina el dominio y límites.
El análisis de riesgo y plan de contingencia abarca:
El funcionamiento del área de infraestructura de red de la empresa ESESANFER S.R.L.
La gestión de los activos del área de infraestructura de red en la organización.
6.3.2. Estima las dimisiones.
Un activo puede ser valioso desde diferentes puntos de vista. A estos distintos puntos de vista es
a lo que se llama dimensiones.
Un aspecto, diferenciado de otros posibles aspectos, respecto del que podemos medir el valor de
un activo en el sentido del perjuicio que nos causaría su pérdida de valor.
Las dimensiones definidas por Magerit de acuerdo con las especificaciones se dividen en las
siguientes dimensiones.
1. [D] Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo
requieran a la información y sus activos asociados.
Las amenazas que se van a contemplar son las especificadas en Magerit y recomendadas por la UNE-
ISO/IEC 177992. De estas amenazas se van a suprimir las que se consideran no factibles o irrelevantes
para el estudio del sistema.
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos
pasos pautados:
4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectación
de materialización) de la amenaza.
A la hora de identificar activos hay que saber a qué se puede considerar un activo. Esta actividad
puede llegar a ser una de las más complicadas en todo el Análisis de Riesgo.
1. Información. 1. Intangibles.
- Administradores.
- Encargados.
- Desarrolladores.
Servicios.
Datos/Información.
Aplicaciones (software).
Equipos informáticos (hardware).
Redes de comunicaciones.
Equipamiento auxiliar.
Instalaciones.
Personal.
[E] Equipamiento.
[SW] Aplicaciones
[HW] Equipos.
[COM] Comunicaciones.
[AUX] Elementos auxiliares.
Para realizar esto se tienen en cuenta la tarea de Identificación de los Activos así
como los diagramas de flujo y de procesos realizados en la planificación. La figura
muestra la dependencia entre activos de forma general. Se puede comprobar como los
servicios dados por el sistema de información dependen de forma directa de la
información manejada y las aplicaciones usadas; y de forma indirecta de todos los activos
del sistema. Por este motivo la valoración posterior deberá hacerse en los activos de nivel
superior (servicios e información), dejando que las dependencias den la valoración
al resto de activos.
Automáticamente este valor se acumula en los inferiores, lo que no es óbice para que también
puedan merecer, adicionalmente, su valoración propia.
La valoración es la determinación del coste que supondría salir de una incidencia que
destrozara el activo.
La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna
escala de niveles). Los criterios más importantes a respetar son:
La valoración cualitativa busca relativizar el modelo de tal forma que la valoración entre todos
los activos del análisis sea homogénea y comparable. Para ello se ayuda de una escala.
Cada activo, en cada dimensión, recibe un valor en la escala. Esto es así porque cada
dimensión recibe un análisis independiente. Las dimensiones que se van a valorar para área
infraestructura de red en la empresa es:
[D] disponibilidad,
[C] confidencialidad.
VALOR CRITERIO
10 Extremado Daño extremadamente grave
9 Muy Alto Daño muy Grande a la Organización
6-8 Alto Daño Grave a la Organización
3-5 Medio Daño Importante a la Organización
1-2 Bajo Daño Menor a la Organización
0 Despreciable Irrelevante a Efectos Prácticos
En la valoración de los activos del área de informática se detalla todo lo referente a los
activos del área de infraestructura de red. Hay que tener en cuenta que tanto la
caracterización de activos como su valoración, son tareas subjetivas que, a pesar de
tener información para hacerlas, dependen del analista y su forma de entender el sistema.
La valoración de los activos estudiados y clasificados en el área de infraestructura de red
es la que se muestra a continuación:
Una amenaza es aquel evento que puede desencadenar un incidente en la Organización, produciendo
daños materiales o pérdidas inmateriales en sus activos.
Las amenazas pueden ser causadas de forma accidental o intencionada. Las causas accidentales
pueden darse por causas:
Las causas intencionadas pueden ser robo, fraude, espionaje, intercepción pasiva o activa, etc.
Hay varias formas de identificar las amenazas existentes en cada activo. Uno de los métodos es
mediante una clasificación por activos, relacionando cada activo con las amenazas que se cree que
pueden sufrir. Lo bueno de este método es que la relación amenaza-activo es directa.
[A.29] Extorsión
La degradación, se suele caracterizar como una fracción del valor del activo
y así aparecen expresiones como que un activo se ha visto “totalmente
degradado”, o “degradado en una pequeña fracción”. Cuando las amenazas
no son intencionales, probablemente baste conocer la fracción físicamente
perjudicada de un activo para calcular la pérdida proporcional de valor que
se pierde. Pero cuando la amenaza es intencional, no se puede pensar en
proporcionalidad alguna pues el atacante puede causar muchísimo daño de
forma selectiva.
Hay amenazas que provocan impactos mayores que otras sobre el mismo activo. En
las tablas presentadas a continuación sólo se presentan los activos clasificados
según el impacto que pueden sufrir.
En esta tarea se estima el riesgo al que están sometidos los activos del Área:
Una vez valoradas las amenazas se puede concluir que existe un riesgo intrínseco
(potencial) en el Área de infraestructura de red de la empresa ESESANFER S.R.L es
decir, sin tomar ninguna medida de seguridad:
Marco de gestión
Relaciones con terceros
Servicios
Datos / Información
Aplicaciones informáticas (SW)
Equipos informáticos (HW)
Comunicaciones
Elementos auxiliares
Seguridad física
Personal
CLASIFICACIÓN DE SALVAGUARDAS
ASPECTO
G Gestión
T Técnico
F Seguridad Física
P Gestión Personal
TIPO DE PROTECCION
PR Prevención
DR Disuasión
EL Eliminación
IM Minimización del Impacto
CR Corrección
RC Recuperación
AD Administración
AW Concienciación
DC Detección
MN Monitorización
PESO
3 Máximo Peso Critica
2 Peso Alto Muy Importante
1 Peso Normal Importante
0 Peso Bajo Interesante
Aseguramiento: Componentes Certificados
Las salvaguardas se caracterizan, además
de por su existencia, por su eficacia frente al riesgo que
pretenden conjurar. La salvaguarda ideal es 100% eficaz,
eficacia que combina dos factores:
Entre una eficacia del 0% para aquellas que faltan y el 100% para
aquellas que son idóneas y que están perfectamente implantadas,
se estimará un grado de eficacia real en cada caso concreto. Para
medir los aspectos organizativos, se puede emplear una escala de
madurez que recoja en forma de factor corrector la confianza que
merece el proceso de gestión de la salvaguarda:
Es necesario definir las reglas para llevar a cabo la gestión de riesgo, ya que se
querrá que toda la empresa lo haga de la misma forma, el principal problema
del plan de tratamiento de riesgos para la infraestructura de red es que
la organización lo ejecute de diferente forma en distintas partes de la
organización.
Una vez que se conocen las reglas, se puede comenzar localizando los
problemas potenciales que pueden ocurrir. Es necesario realizar un listado de
todos los recursos, de las amenazas y vulnerabilidades que se relacionan con
los recursos, evaluar el impacto y la probabilidad de ocurrencia para
cada combinación de recursos, amenazas, vulnerabilidades y finalmente se
debe calcular el nivel de riesgo. [5]
3. Implementar el tratamiento del riesgo
No todos los riesgos tienen el mismo origen, se debe enfocar en los más
importantes, los llamados riesgos no aceptables.
Existen cuatro opciones que puede escoger para mitigar el riesgo no aceptable.
Aplicar controles de seguridad obtenidos del Anexo A para disminuir el
riesgo.
Transferir el riesgo a otras personas, es decir, comprando un seguro con
una compañía aseguradora.
Evitar riegos al detener la ejecución de la actividad que genera un elevado
riesgo, o al hacerla de forma diferente.
Aceptar el riesgo, por ejemplo, si el costo de atenuación es mayor que el
daño en sí mismo.
Sería mucho más fácil si su presupuesto fuese ilimitado. [5]
4. Reporte de la evaluación del riesgo en el Sistema de Gestión de la
infraestructura de red
Este es algo más tedioso ya que es necesario documentar todo lo que ha hecho
hasta ahora. No sólo es tedioso para los auditores, ya que usted mismo puede
querer verificar los resultados en uno o dos años. [5]
5. Declaración de aplicabilidad
Este documento muestra el perfil de seguridad de su empresa, basado en los
resultados del tratamiento de riesgos, necesita realizar un listado de todos los
controles que han implementado, por qué los implementó y cómo lo hizo. Este
documento también es muy importante porque el auditor de certificación lo
utilizará como su guía principal durante la auditoría. [5]
6. Plan para el tratamiento de riesgos
Este es el paso en el que tiene que moverse de la teoría a la práctica. Hasta
este momento el trabajo del plan de tratamiento de riesgos para infraestructura
de red ha sido teórico, pero en este momento en donde se deben mostrar los
resultados.
Este es el propósito del plan de tratamiento de riesgos para la infraestructura
de red, es decir, definir de forma exacta quien va a implantar cada control,
cuándo, con qué presupuesto cuenta, etc. Es preferible llamar a este documento
“plan de implementación” o “plan de acción”, pero debemos utilizar la
terminología de la norma ISO 27001.
Es crucial que se obtenga la aprobación de la dirección, ya que llevará tiempo
y esfuerzo para implantar todos los controles que ha planificado. Y sin su
compromiso no obtendrá los recursos necesarios. [5]
1. Ordenación y Filtrado:
VII. RESULTADOS
VIII. CONCLUSIONES
La metodología propuesta por el grupo de trabajo abarca procesos de los cuales se llega a
tener un mejor entendimiento para su aplicación y sobre todo para darle solución a los
Riesgos que se presentan en una Infraestructura de Red.