5.- Análisis de riesgo

5.- Análisis del riesgo

Conocer las vulnerabilidades e implementar procedimientos para combatirlos es importante, sin embargo hasta ahora no existe ninguna medida de seguridad que garantize completamente la protección contra las vulnerabilidades.
Incluso cuando se desea evitar la materialización de un desastre, también es necesario conocer los efectos que provocan en los activos de una organización a corto y largo plazo.
El análisis de riesgo es el proceso encargado de identificar las amenazas y vulnerabilidades, conocer sus efectos e impacto que producen y conocer la probabilidad de que ocurran.
La información obtenida por este procedimiento permite identificar los controles de seguridad existentes, calcular vulnerabilidades y evaluar el efecto de las amenazas en cada área vulnerable.

cableado

No se necesita estar expuesto a grandes amenazas informáticas para que de un momento a otro ocurra un desastre

 

5.1 Terminología básica

5.1.1 Activos

Es todo aquello con valor para una organización y que necesita protección, en el ámbito informático pueden ser datos, infraestructura, hardware, software, personal, información, servicios.

5.1.2 Riesgo

Un riesgo es la posibilidad de que se presente algún daño o pérdida, esto es, la posibilidad de que se materialice una amenaza.

5.1.3 Aceptación del riesgo

Es la decisión de recibir, reconocer, tolerar o admitir un riesgo. Esta decisión se toma una vez que se han estudiado los diferentes escenarios posibles para una misma amenaza y se han aplicado todos los procedimientos posibles para contrarrestar sus efectos y probabilidad de que ocurra.

5.1.4 Análisis del riesgo

Uso sistemático de la información disponible para identificar las fuentes y para estimar la frecuencia de que determinados eventos no deseados pueden ocurrir y la magnitud de sus consecuencias.

5.1.5 Manejo del riesgo

Proceso de identificación, control y minimización o eliminación de riesgos de seguridad que pueden afectar a los sistemas de información, por un costo aceptable.

5.1.6 Evaluación del riesgo

Comparación de los resultados de un análisis del riesgo con los criterios estándares del riesgo u otros criterios de decisión.

5.1.7 Impacto

Son las pérdidas resultantes de la actividad de una amenaza, las pérdidas son normalmente expresadas en una o más áreas de impacto – destrucción, denegación de servicio, revelación o modificación-.

5.1.8 Pérdida esperada

El impacto anticipado y negativo a los activos debido a una manifestación de la amenaza.

5.1.9 Vulnerabilidad

Una vulnerabilidad informática es un elemento de un sistema informático que puede ser aprovechado por un atacante para violar la seguridad, así mismo pueden causar daños por sí mismos sin tratarse de un ataque intencionado.

5.1.10 Amenaza

Una acción o situación potencial que tiene la posibilidad de causar daño.

5.1.11 Riesgo residual

Es el nivel de riesgo que queda después de la consideración de todas las medidas necesarias, los niveles de vulnerabilidad y las amenazas relacionadas. Éste debe ser aceptado como es o reducirse a un punto donde pueda ser aceptado.

5.1.12 Controles

Protocolos y mecanismos de protección que permiten el cumplimiento de las políticas de seguridad de la organización. Un mismo control puede ser implementado para una o varias políticas de seguridad, lo que indica que la relación no es forzosamente de uno a uno.

5.2 Análisis cuantitativo

El análisis cuantitativo es una técnica de análisis que busca entender el comportamiento de las cosas por medio de modelos estadísticos y técnicas matemáticas para ello se encarga de asignar un valor numérico a las variables, e intenta replicar la realidad matemáticamente.
Un modelo cuantitativo habitual es aquel en el que las consecuencias de la materialización de amenazas se asocian a un determinado nivel de impacto en función de la estimación del coste económico que suponen para la organización
En resumen, el análisis de riesgo cuantitativo se ocupa específicamente de la revisión cuantitativa de los riesgos que pueden presentarse en los distintos tipos de industrias, determinando numéricamente  la frecuencia de ocurrencia de una amenaza,  el valor monetario del activo, el impacto económico y el daño producido.

 

5.3 Análisis cualitativo

Las métricas asociadas con el impacto causado por la materialización de las
amenazas se valoran en términos subjetivos(Impacto Muy Alto, Alto, Medio,
Bajo o Muy Bajo). Las consecuencias de la materialización de amenazas se
asocian a un determinado nivel de impacto en función de multitud de factores
(Pérdidas económicas efectivas, pérdida de conocimiento, pérdida de
competitividad, interrupción de negocio, pérdida de imagen, etc)

5.4 Pasos del análisis de riesgo

El  proceso de análisis de riesgo consiste en ocho pasos interrelacionados:

1-Identificación y evaluación de activo

2-Identificar las amenazas correspondientes

3-Identificar las vulnerabilidades

4-Determinar el impacto de la ocurrencia de una amenaza

5-Determinar los controles en el lugar

6-Determinar los riesgos residuales (Conclusiones)

7-Identificar los controles adicionales (Recomendaciones)

8-Preparar el informe del análisis de riesgo

 

pasos

  Como en todos los procesos, los pasos de un analisis de riesgos pueden variar pero comparten enfoques comunes importantes

5.4.1 Identificación y evaluación de los activos

El primer paso en la evaluación de riesgo es identificar y asignar un valor a los activos que necesitan protección.
El valor de los activos  es un factor significante en la decisión para realizar cambios operacionales o para incrementar la protección  de los activos. El valor del activo se basa en su costo, sensibilidad, misión crítica, o la combinación de estas propiedades.
El valor del activo se usará para determinar la magnitud de la pérdida cuando la amenaza ocurra.

5.4.2 Identificación de amenazas

Después de identificar los activos que requieren protección, las amenazas a éstos deben identificarse y examinarse para determinar cuál sería la pérdida si dichas amenazas se presentan. Este paso envuelve la identificación y la descripción de las amenazas correspondientes al sistema que está siendo utilizado y se estima qué tan seguido se puede presentar.

5.4.3 Identificación de vulnerabilidades

 

El nivel de riesgo se determina analizando la relación entre las amenazas y las vulnerabilidades. Un riesgo existe cuando una amenaza tiene una vulnerabilidad correspondiente, aunque hay áreas de alta vulnerabilidad que no tienen consecuencias si no presentan amenazas.

 

5.4.4 Impacto de la ocurrencia de una amenaza

Cuando la explotación de una amenaza ocurre, los activos sufren cierto impacto. Las pérdidas son catalogadas en áreas de impacto llamadas:

Revelación: Cuando la información es procesada y se pierde la confidencialidad

Modificación: El efecto de la manifestación de una amenaza cambia el estado original del activo.

Destrucción: El activo se pierde completamente.

Denegación de servicio: Pérdida temporal de los servicios.

 

5.4.5 Controles en el lugar

La identificación de los controles es parte de la recolección de datos en cualquier proceso de análisis de riesgo. Existen dos tipos principales de controles:

1.- Controles requeridos: Todos los controles de esta categoría pueden ser definidos con base en una o mas reglas escritas. La clasificación de los datos almacenados y procesados en un sistema o red y su modo de operación determinan las reglas a aplicar, y éstas indican cuáles son los controles requeridos.

2.-Controles discrecionales: Este tipo de controles es elegido por los administradores. En muchos casos los controles requeridos no reducen el nivel de vulnerabilidad a un nivel aceptable, por lo que se deben elegir e implementar este tipo de controles para ajustar el nivel de vulnerabilidad a un nivel aceptable.

 

5.4.6 Riesgos residuales

Siempre existirá un riesgo residual por lo tanto, debe determinarse cuando el riesgo residual, es aceptable o no. El riesgo residual toma la forma de las conclusiones alcanzadas en el proceso de evaluación. Las conclusiones deben identificar:

-Las áreas que tienen alta vulnerabilidad junto con la probabilidad de ocurrencia de la amenaza.

-Todos los controles que no están dentro del lugar.

El resultado de estos pasos permite comenzar la selección necesaria de controles adicionales.

 

5.4.7 Identificación de los controles adicionales

Una vez que el riesgo residual haya sido determinado, el siguiente paso es identificar la forma mas efectiva y menos costosa para reducir el riesgo a un nivel aceptable. Un intercambio operacional –el cual puede tomar la forma de costo, conveniencia, tiempo, o una mezcla de los anteriores- debe realizarse al mismo tiempo que los controles adicionales son implementados. Las recomendaciones son:

-Controles requeridos: Controles requeridos u obligatorios que no se encuentran en el lugar son la primera recomendación.

-Controles discrecionales: La segunda recomendación generalmente identifica los controles discrecionales necesarios para reducir el nivel de riesgo.

 

5.4.8 Preparación de un informe del análisis del riesgo.

El proceso de análisis de riesgo ayuda a identificar los activos de información en riesgo y añade un valor a los riesgos, adicionalmente identifica las medidas protectoras y minimiza los efectos del riesgo y asigna un costo a cada control. El proceso de análisis del riesgo también determina si los controles son efectivos. Cuando el análisis está completo, un informe de la evaluación de riesgo debe prepararse. Los detalles técnicos del reporte deben incluir como mínimo:

-Amenazas correspondientes y su frecuencia.

-El ambiente usado.

-Conexión del sistema.

-Nivel o niveles de sensibilidad e los datos

-Riesgo residual, expresado en una base individual de vulnerabilidad.

-Cálculos detallados de la expectativa de pérdida anual.

El análisis del riesgo de seguridad es fundamental en la seguridad de cualquier organización ya que es un método formal para investigar los riesgos de un sistema informático y recomendar las medidas apropiadas que deben adoptase para controlar estos riesgos. Es esencial asegurarse que los controles y el gasto que implican sean completamente proporcionales a los riesgos a los cuales se expone la organización.

 

5.5 Análisis costo-beneficio

El análisis costo/beneficio es una importante técnica que nos ayuda en la toma de decisiones, pues brinda información necesaria para determinar si una actividad es rentable, o por el contrario representa un impractico desperdicio de recursos.
Este tipo de análisis consiste básicamente  en la comparación de los costos invertidos en un proyecto con los beneficios que se planean obtener de su realización.
Primero debe entenderse que los costos son tangibles, es decir, se pueden medir en alguna unidad económica, mientras que los beneficios pueden ser intangibles, es decir, pueden darse en forma objetiva o subjetiva.
Dependiendo del enfoque que use una organización, el análisis costo beneficio puede ser un proceso independiente del análisis de riesgo, pero es necesario que todos los controles instaurados sean evaluados en términos de funcionalidad y viabilidad.

En el campo de seguridad informática, tanto para el análisis de riesgo como para el análisis costo beneficio deben tomarse en cuenta tres costos o valores fundamentales:

- Costo del sistema informático (Ca): valor de los recursos y la información a proteger.

- Costos de los medios necesarios (Cr): los medios y el costo respectivo que un criptoanalista requiere para romper las medidas de seguridad establecidas en el sistema.

- Costo de las medidas de seguridad necesarias (Cs): medidas y su costo para salvaguardar los bienes informáticos.

Para que la política de seguridad del sistema sea lógica debe cumplirse la siguiente relación:

Cr > Ca >Cs

El que Cr sea mayor que Ca significa que el ataque al sistema debe ser mas costoso que el valor del sistema. Por lo que los beneficios obtenidos al romper las medidas de seguridad no compensan el costo de desarrollar el ataque.

El que Ca sea mayor que Cs significa que no debe costar mas la información que la información protegida. Si esto ocurre, resultaría conveniente no proteger el sistema y volver a obtener la información en caso de pérdida.

 

 

 


 

Cuestionario

¿Qué es el análisis de riesgo?

¿Qué es la aceptación del riesgo?

¿Qué es el riesgo residual?

¿Qué son los controles?

¿Qué es el análisis cuantitativo?

¿Qué es el análisis cualitativo?

¿Cuáles son los pasos del análisis de riesgo?

Explique brevemente que actividades se desarrollan en cada paso del análisis de riesgo

¿En que consiste el análisis costo beneficio?