Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1. Introduccin
COMTEL 2012
IV Congreso Internacional de Computacin y Telecomunicaciones
organismo
encargado
de
supervisar
dicha
implementacin; ello origina la disyuntiva de cmo
iniciar un proceso que permita su implementacin exitosa.
Es en este contexto que surge la propuesta, el cual
pretende contribuir en la solucin de dicho problema, a
travs de la descripcin de un proceso de anlisis de
riesgos de activos de informacin.
En lneas generales, implantar un SGSI comprende los
procesos o actividades ilustradas en la Figura 2, que
pueden descomponerse en:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
a.
Estndar Australiano
(AS/NZS 4360:2004)
neozelands
b. ISO 31000:2009
Este estndar propone unas pautas genricas sobre cmo
gestionar los riesgos de forma sistemtica y transparente.
El enfoque est estructurado en tres elementos claves para
una efectiva gestin de riesgos:
c.
Figura 2. Actividades del SGSI. Fuente: Elaboracin
propia.
Siendo uno de los ms relevantes el proceso de Anlisis
de Riesgos, que comprende la identificacin, estimacin y
evaluacin de riesgos. Es por ello que este artculo
presenta un proceso de anlisis de riesgos de activos de
informacin y un software (prototipo) que lo asiste.
La estructura del artculo comienza con una breve
introduccin, en la cual se describe el problema y la
propuesta de solucin, consistente en la formulacin de
un proceso de Anlisis de Riesgos de activos de
Informacin. En la seccin 2, se hace un recuento breve
de trabajos relacionados y de los estndares de Gestin de
Riesgos y Seguridad de Informacin, para luego pasar a
detallar el proceso propuesto, continuando con el anlisis
de resultados y las posteriores conclusiones.
2. Trabajos Previos
En el contexto local, casi no existen publicaciones
relacionadas con la propuesta. La mayora de informacin
concerniente al tema es abordada por los estndares y
manuales de buenas prcticas en Gestin de Riesgos y
seguridad de la informacin, sin embargo un estudio
denominado ISRAM: Information security risk analysis
ISO/IEC 27005:2008
122
COMTEL 2012
IV Congreso Internacional de Computacin y Telecomunicaciones
5.
6.
7.
8.
9.
Determinacin de probabilidades.
Anlisis de impacto.
Determinacin del riesgo.
Recomendacin de controles.
Documentacin de resultados.
3. Proceso propuesto
El proceso de anlisis de riesgos de activos de
informacin propuesto ha sido elaborado con base en su
aplicacin en una Institucin del sector pblico,
obtenindose resultados satisfactorios, lo cual ha
permitido su validacin, haciendo a sta factible de
aplicar a las dems organizaciones del sector.
e.
Caracterizacin de Sistemas.
Identificacin de amenazas.
Identificacin de vulnerabilidades.
Anlisis de controles.
COMTEL 2012
IV Congreso Internacional de Computacin y Telecomunicaciones
2. Identificacin de riesgos
Comprende la identificacin de los riesgos de los activos
de informacin, por lo que demanda del inventario de
estos activos [9], incluyendo su valor, determinado a
partir de sus tres dimensiones de seguridad
(Disponibilidad, Integridad y Confidencialidad) como
mnimo. Para este proceso, los activos son agrupados en
las categoras consignadas en la Tabla 4.
Impacto
Valor Nivel
1
2
3
5
8
Descripcin
Impacta levemente en la
Insignificante
operatividad del proceso
Impacta en la operatividad
Menor
del proceso
Impacta en la operatividad
Moderado
del macro proceso
Impacta en la operatividad
Mayor
de los procesos
Impacta fuertemente en la
Desastroso
operatividad
de
los
procesos
Raro
Muy baja
Descripcin
Puede ocurrir una vez cada 2
aos
Al ao
Baja
En 6 meses
Media
Al mes
Alta
A la semana
Valor Nivel
Descripcin
Aceptable
Tolerable
Intolerable
Extremo
Retenido
Para activos no crticos,
pero intolerable para crticos
Atencin
inmediata
y
monitoreo permanente.
Tratado como intolerable,
pero a nivel de Gerencia
General.
Categora
Ejemplos
STI
Servicios TI
SW
Software / Aplicaciones
HW
Hardware / equipos
SI
COM
Soportes de informacin
Redes de comunicaciones
DAT
Datos / Informacin
AUX
INS
PER
SRV
124
COMTEL 2012
IV Congreso Internacional de Computacin y Telecomunicaciones
Desastres naturales
De origen industrial
Ataques intencionados
3. Estimacin de riesgos
El equipo de anlisis de riesgos (especialistas en riesgos,
en seguridad, y administradores de activos) determina el
impacto y probabilidad, calcula el riesgo actual, establece
los controles recomendados, y determina el riesgo
residual, es decir, el riesgo resultante luego de que se
implementen los controles establecidos. El resultado es el
Informe de Anlisis de Riesgos, que establece el modo de
tratamiento y los controles recomendados. El Riesgo de
un servicio de informacin Si, denominado riesgo
repercutido (RR) [2], es obtenido a partir de sus activos
por medio de una funcin, tal como promedio (simple o
ponderado) o mximo.
reas
Peso Relativo
30%
Financiero
20%
10%
30%
10%
RTO
TR 10' 30'
10
1
h
2
h
4
h
8
h
2
d
5
d
15
d
Impacto
125
COMTEL 2012
IV Congreso Internacional de Computacin y Telecomunicaciones
4. Evaluacin de riesgos
Con base en los resultados obtenidos en el anlisis y la
poltica de aceptacin / tolerancia al riesgo, se procede a
la evaluacin. Para cada activo, si el nivel de riesgo es
aceptable, el proceso concluye, caso contrario, se define
la estrategia de tratamiento (evitar, transferir o mitigar) y
se establecen los controles (salvaguardas) necesarios, pero
los mismos no aseguran que el nivel de riesgo sea
mnimo. La ejecucin de simulaciones permite conocer el
estado real de la implementacin de los controles [11]. En
el caso de mitigacin, los controles pueden ser
preventivos o correctivos, en el ltimo caso, ser
necesario definir un Plan de Continuidad de Servicios TI
(denominado tradicionalmente PRD - Plan de
Recuperacin ante Desastres). En esta actividad se
concluye el Informe de Anlisis de riesgos de activos de
informacin, a partir del cual se elabora el Plan de
Tratamiento de Riesgos (PTR).
5. Discusin de la Propuesta
El proceso establece una secuencia metdica para realizar
exitosamente el Anlisis de Riesgos de activos de
informacin. ste ha sido elaborado bajo las directrices
de estndares y buenas prcticas en gestin de riesgos y
seguridad de la informacin, especialmente MAGERIT.
La diferencia entre la propuesta y dichos estndares se
centra en que el proceso explica de manera detallada
cmo realizar el anlisis de riesgos (no slo qu se debe
hacer), y ste viene siendo aplicado en una institucin
pblica, observndose resultados favorables consistente
en la obtencin oportuna del Informe de Anlisis de
Riesgos de Activos de Informacin, a partir del cual se
elabora el Plan de Tratamiento de Riesgos (PTR) para su
posterior ejecucin y seguimiento.
Es importante precisar que la diferencia principal con
MAGERIT radica en la determinacin del impacto, que
en este caso se realiza a travs del proceso Business
Catlogo:
Facilita la gestin de la informacin sobre los
procesos, los servicios TI que los asisten y los activos
TI que constituyen dichos servicios permitiendo la
generacin de reportes y consultas de dicha
informacin.
b) Anlisis de impacto:
Asiste al subproceso de Anlisis Impacto al Negocio
(BIA) facilitando la solucin de cuestionarios en
lnea, a partir de los cuales se determina el impacto de
los procesos en el negocio y la criticidad de los
servicios TI.
126
COMTEL 2012
IV Congreso Internacional de Computacin y Telecomunicaciones
c)
Anlisis de riesgos:
Asiste al subproceso de anlisis de riesgos de activos
de informacin donde el especialista de TI asignado
para el anlisis de riesgos del activo, registra en lnea
su evaluacin en el sistema a travs de una interface
de usuario. Con esta informacin se realiza la
determinacin del nivel de riesgo y se genera el
Informe de anlisis de riesgos.
6. Conclusiones
El nmero de implantaciones de SGSI alineados al
estndar ISO 27001 en el pas es muy bajo, y ms an las
empresas que han alcanzado la certificacin. Los pocos
proyectos en el rubro tienden a fracasar usualmente
debido a la falta de patrocinio, poca conciencia en
seguridad de la informacin y adopcin de estndares.
El artculo pretende reducir esta brecha dando los
lineamientos generales para abordar un proyecto SGSI, y
tratando en detalle el proceso clave de anlisis de riesgos.
El proceso propuesto ha sido aplicado en una entidad
pblica obtenindose resultados satisfactorios, lo cual nos
permite inferir que el proceso en mencin es factible de
aplicarse en las dems organizaciones del sector, en un
contexto donde existe la necesidad cada vez mayor de
implantar un SGSI.
El proceso manual o asistido con herramientas de
ofimtica puede tornarse engorroso para un nmero
considerable de activos (ms de 500). Frente a esta
situacin y considerando que las herramientas para este
fin son escasas y costosas, se ha iniciado el desarrollo de
un software.
Referencias bibliogrficas
[1].
127