E.1 Evaluación del riesgo en seguridad de la información de alto nivel
La evaluación de alto nivel permite la definición de prioridades y de la cronología en las acciones. Por varias razones, como el presupuesto, puede no ser posible implementar todos los controles simultáneamente y sólo se pueden resolver los riesgos cruciales a través del proceso de tratamiento del riesgo. Asimismo, puede ser prematuro comenzar a hacer una gestión detallada del riesgo si se avizora que la implementación se debe realizar luego de uno o dos años. Para alcanzar este objetivo, la evaluación de alto nivel puede comenzar con una evaluación de las consecuencias de alto nivel en vez de comenzar con un análisis sistemático de amenazas, vulnerabilidades, activos y consecuencias.
Otra razón de comenzar con la evaluación de alto nivel es sincronizar otros planes relacionados con la gestión del cambio (o continuidad el negocio) por ejemplo, no hay que asegurar completamente un sistema o aplicación si se planea tercerizar en el futuro cercano, aunque quizás todavía vale la pena hacer la evaluación del riesgo para definir el contrato de tercerización.
Las características de la iteración de la evaluación del riesgo del alto nivel pueden incluir las siguientes:
- La evaluación del riesgo de alto nivel puede dirigirse a una visión más global de la organización y de sus sistemas de información, considerando los aspectos de la tecnología como independientes de las cuestiones empresariales. Al hacer esto, el análisis del contexto de concentra más en el negocio y el entorno operativo que en los elementos tecnológicos.
- La evaluación del riesgo de alto nivel puede resolver una lista más limitada de amenazas y vulnerabilidades agrupadas en dominios definidos o para hacer el proceso más expeditivo, puede centrarse en los escenarios de riesgo o ataque en vez
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 83 de 95
- Los riesgos que se presentan en una evaluación del riesgo de alto nivel frecuentemente son dominios de riesgo más generales que los riesgos específicos identificados.
- Como los escenarios o los riesgos se agrupan en dominios, el tratamiento del riesgo propone listas de controles. En este campo, las actividades de tratamiento del riesgo tratan entonces primero de proponer y seleccionar controles comunes que sean válidos en todo el sistema.
Sin embargo la evaluación del riesgo de alto nivel, como pocas veces se refiere a detalles de tecnología, es más apropiada para proveer controles organizacionales y no técnicos y aspectos de gestión de los controles técnicos o salvaguardas técnicas clave y comunes como los respaldos y los antivirus.
Las ventajas de una evaluación del riesgo de alto nivel son las siguientes:
- La incorporación de un enfoque simple inicial probablemente gane aceptación del programa de evaluación del riesgo.
- Debe ser posible construir una imagen estratégica de un programa de información organizacional, es decir actuará como una buena ayuda a la planificación.
- Se puede aplicar recursos y dinero allí donde sean más beneficiosos y se tratará primero los sistemas que tengan una mayor necesidad de protección.
- Como los análisis de riesgo inicial están en un alto nivel y son potencialmente menos exactos, la única desventaja potencial es que pueda no identificarse que algunos procesos o sistemas no empresariales requieren una segunda evaluación detallada del riesgo. Esto se puede evitar si existe una información adecuada sobre todos los aspectos de la organización y su información y sistemas, incluyendo información adquirida a partir de la evaluación de incidentes de seguridad de la información.
La evaluación del riesgo de alto nivel considera los valores empresariales de los activos de información y los riesgos desde el punto de vista del negocio de la organización. En el primer punto de decisión (véase la figura 1) varios factores ayudan a determinar si la
evaluación de alto nivel es adecuada para tratar los riesgos. Estos factores pueden incluir los siguientes:
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 84 de 95
- Los objetivos de negocio a lograrse utilizando varios activos de información.
- El grado en el cual el negocio de la organización depende de cada activo de información, es decir que funciones que la organización considera cruciales para su supervivencia o para el control eficaz del negocio dependen de cada activo o de la confidencialidad, integridad, disponibilidad, no repudio, rendición de cuentas, autenticidad y confiabilidad de la información almacenada y procesada en este activo. - El nivel de inversión en cada activo de información en términos de desarrollo, mantenimiento o reemplazo del activo y los activos de información para los cuales la organización asigna valor directamente.
Cuando se evalúa estos activos, la decisión se hace más fácil. Si los objetivos de un activo son extremadamente importantes para la conducción del negocio de una organización, o si los activos están en grave riesgo entonces se debe conducir a una segunda evaluación detallada del riesgo para el activo de información particular (o parte del mismo).
Una regla general que debe aplicarse es si la falta de seguridad en la información puede resultar en consecuencias adversas significativas para la organización, sus procesos empresariales o sus activos, luego se hace necesaria una segunda iteración de la evaluación del riesgo a nivel más detallado para identificar los riesgos potenciales.
E.2 Evaluación detallada del riesgo en seguridad de la información
El proceso de evaluación detallada del riesgo en seguridad de la información incluye una identificación y valorización profunda de los activos, la evaluación de amenazas a esos activos y la evaluación de vulnerabilidades. Los resultados de esas actividades se utilizan entonces para evaluar los riesgos y luego identificar el tratamiento del riesgo.
El paso detallado generalmente requiere mucho tiempo, esfuerzo y experiencia y por lo tanto debe ser conveniente para sistemas de información en alto riesgo.
La etapa final de la evaluación detallada del riesgo en seguridad de la información es evaluar los riesgos generales, lo cual es materia de este anexo.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 85 de 95
Se puede evaluar las consecuencias de varias maneras, incluyendo el uso de medidas cuantitativas, por ejemplo monetarias, y cualitativas (las que se pueden basar en el uso de adjetivos como moderado o grave), o una combinación de ambas. Para evaluar la posibilidad de la ocurrencia de amenazas, se debe establecer el horizonte temporal sobre el cual el activo tendrá valor o requiera protección. La posibilidad de que ocurra una amenaza específica depende de lo siguiente:
- La atracción del activo, o el posible impacto aplicable cuando se considera una amenaza humana deliberada.
- La facilidad de conversión que explota una vulnerabilidad del activo en recompensa, aplicable si se considera una amenaza humana deliberada.
- Las capacidades técnicas del agente de la amenaza aplicables a amenazas humanas deliberadas, y
- La susceptibilidad de la vulnerabilidad a la explotación aplicable tanto a vulnerabilidades técnicas como no técnicas.
Muchos métodos utilizan tablas y combinan las medidas subjetivas y empíricas. Es importante que la organización utilice un método con el que esté cómoda, en el que la organización tenga confianza y que produzca resultados repetibles. A continuación se dan algunos ejemplos de técnicas basadas en tablas:
E.2.1 Ejemplo 1 Matriz con valores predefinidos
En los métodos de evaluación del riesgo de este tipo, se valoriza los activos físicos, reales o propuestos en términos de los costos de reemplazo o reconstrucción (es decir, medidas cuantitativas). Estos costos se convierten entonces a la misma escala cualitativa que la que se utiliza para la información (véase a continuación). Se valorizan activos de software reales o propuestos de la misma manera que los activos físicos con costos de compra o reconstrucción que se identifican y luego se convierten a la misma escala cualitativa que se utiliza para la información. Adicionalmente, si se encuentra que cualquier software de aplicación tiene sus necesidades intrínsecas de confidencialidad o integridad (por ejemplo si el código fuente por sí mismo es delicado comercialmente) se valoriza de la misma manera que para la información.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 86 de 95
Los valores para la información se obtienen entrevistando a gerentes empresariales seleccionados (los “propietarios de los datos”) que pueden hablar con autoridad sobre los datos, para determinar el valor y sensibilidad de los datos que están verdaderamente en uso o que se deben almacenar, procesar o a los que se tiene que tener acceso. Las entrevistas facilitan la evaluación del valor y la sensibilidad de la información en términos de los escenarios del peor caso que se podría esperar razonablemente ocurra debido a consecuencias adversas sobre el negocio por divulgación no autorizada, modificación no autorizada, no disponibilidad para períodos variables y destrucción.
La valorización se logra utilizando lineamientos de valorización de la información que cubren cuestiones como:
- Seguridad personal. - Información personal.
- Obligaciones legales y regulatorias. - Aplicación de la ley.
- Intereses comerciales y económicos .
- Pérdida financiera/ interrupción de actividades. - Orden público.
- Política y operaciones empresariales. - Pérdida de buen nombre.
- Contrato o acuerdo con un cliente.
Los lineamientos facilitan identificación de los valores en una escala numérica como la escala de 0 a 4 que se muestra en la matriz del ejemplo a continuación, permitiendo así el reconocimiento de valores cuantitativos donde sea posible y lógico y de valores cualitativos donde los valores cuantitativos no sean posibles, por ejemplo si se pone en peligro la vida humana.
La siguiente actividad importante es completar las parejas de cuestionarios para cada tipo de amenazas, para cada agrupamiento de activos a los que se relaciona un tipo de amenaza, para permitir la evaluación de los niveles de amenazas (probabilidad de ocurrencia) y los
niveles de vulnerabilidades (facilidad de explotación por las amenazas para causar consecuencias adversas). Cada respuesta a una pregunta implica un puntaje. Estos puntajes se acumulan a través de una base de conocimientos y se comparan con rangos. Esto identifica niveles de amenaza en una escala de alta a baja y niveles de vulnerabilidad de manera similar, tal como se muestra en la matriz del ejemplo siguiente, diferenciando entre los tipos de consecuencias como relevantes. La información para completar los cuestionarios debe reunirse a partir de entrevistas con personal técnico apropiado y las
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 87 de 95
personas concernidas, así como inspecciones de la ubicación física y revisiones de la documentación.
TABLA E.1 a)
Posibilidad de ocurrencia –
amenaza
Baja Media Alta
Facilidad de explotación L H M L H M L H M 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 Valor del Activo 4 4 5 6 5 6 7 6 7 8
Los valores de los activos y los niveles de amenaza y vulnerabilidad relevantes para cada tipo de consecuencias se hacen corresponder en una matriz como la que se muestra a continuación de modo que se identifique para cada combinación la medida relevante de riesgo en una escala de 0 a 8. Los valores se colocan en la matriz de manera estructurada. A continuación se proporciona un ejemplo:
Para cada activo, se consideran las vulnerabilidades relevantes y sus amenazas correspondientes. Si hay una vulnerabilidad sin amenaza correspondiente, o una amenaza sin vulnerabilidad correspondiente, actualmente no hay riesgo (pero se debe tener cuidado en el caso en que esta situación cambie). Ahora la fila apropiada en la matriz se identifica por el valor del activo y la columna apropiada se identifica por la posibilidad de que ocurra la amenaza y la facilidad de explotación. Por ejemplo, si el activo tiene el valor 3 la amenaza es “alta” y la vulnerabilidad “baja”, la medición de riesgo es 5. Asumamos que un activo tiene un valor de 2, por ejemplo para modificación, el nivel de amenaza es “bajo” y la facilidad de explotación es “alta”, entonces la medida del riesgo es 4. El tamaño de la matriz, en términos del número de categorías con posibilidad de amenaza, facilidad de categorías de explotación y número de categorías de valorización de activos se puede ajustar a las necesidades de la organización. Las columnas y filas adicionales necesitarán medidas de riesgo adicional. El valor de este enfoque está en la calificación de los riesgos a resolverse.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 88 de 95
Una matriz similar como la que se muestra en la matriz E.1 b) resulta de la consideración de la posibilidad de un escenario de incidentes, mapeado contra el impacto estimado sobre el negocio. La posibilidad de un escenario de incidentes está dada por una amenaza que explota una vulnerabilidad con una cierta posibilidad. La tabla mapea esta posibilidad contra el impacto sobre el negocio relacionado al escenario de incidentes. El riesgo resultante se mide en una escala de 0 a 8 que se puede evaluar contra los criterios de aceptación del riesgo. Esta escala de riesgos puede también mapearse a un puntaje general de riesgo, por ejemplo del modo siguiente:
- Riesgo bajo: 0-2 - Riesgo medio: 3-5 - Riesgo alto: 6-8 TABLA E.1 b) Posibilidad de escenario de incidentes Muy baja (Muy poco probable) Baja (Probable) Mediano (Posible) Alta (Probable) Muy Alta (Frecuente) Muy bajo 0 1 2 3 4 Bajo 1 2 3 4 5 Medio 2 3 4 5 6 Alto 3 4 5 6 7 Impacto sobre el negocio Muy alto 4 5 6 7 8
E.2.2 Ejemplo 2 Calificación de las amenazas por mediciones del riesgo
Se puede utilizar una matriz o tabla como la que se muestra en la tabla E.2 para relacionar los factores de consecuencia (valor de activos) y la posibilidad de ocurrencia de las amenazas (tomando en cuenta los aspectos de vulnerabilidad). El primer paso es evaluar las consecuencias (valoración de activos en una escala predefinida, por ejemplo de 1 a 5, de cada activo amenazado (columna “b” en la tabla). El segundo paso es evaluar la posibilidad de la ocurrencia de amenazas en una escala predefinida, por ejemplo 1 a 5, de cada amenaza (columna “c” en la tabla). El tercer paso es calcular la medida del riesgo por medio de la multiplicación (b x c). Finalmente se puede calificar las amenazas en orden de su medida del riesgo asociada. Nótese que en este ejemplo se toma 1 como la consecuencia más baja y como la posibilidad más baja de ocurrencia.
NORMA TÉCNICA NTP-ISO/IEC 27005 PERUANA 89 de 95 TABLA E.2 Descriptor de la amenaza (a) Valor de la consecuencia (activo) (b) Posibilidad de la ocurrencia de amenaza (c) Medida del riesgo (d) Calificación de la amenaza (e) Amenaza A 5 2 10 2 Amenaza B 2 4 8 3 Amenaza C 3 5 15 1 Amenaza D 1 3 3 5 Amenaza E 4 1 4 4 Amenaza F 2 4 8 3
Tal como se muestra arriba, éste es un procedimiento que permite comparar distintas amenazas con diferentes consecuencias y probabilidades de ocurrencia y colocarlas en orden de prioridad tal como se muestra aquí. En algunas instancias será necesario asociar valores monetarios con las escalas empíricas que se utilizan aquí.
E.2.3 Ejemplo 3 - Evaluación del valor para la probabilidad y las consecuencias posibles de los riesgos
En este ejemplo, se enfatiza las consecuencias de los incidentes en seguridad de la información (es decir escenario de incidencias) y el determinar a cuál sistema se debe dar prioridad. Esto se hace evaluando dos valores para cada activo y riesgo, lo cual en
combinación determinará el puntaje para cada activo. Cuando todos los puntajes activos para el sistema se suman, se determina una medida de riesgo para ese sistema.
Primero, se asigna un valor a cada activo. Este valor se relaciona a las consecuencias adversas potenciales que pueden surgir si se amenaza el activo. Para cada amenaza aplicable al activo, este valor del activo se asigna al activo.
Luego se evalúa el valor de probabilidad. Esto se evalúa a partir de una combinación de la probabilidad de que la amenaza ocurra y la facilidad de explotación de la vulnerabilidad.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 90 de 95
TABLA E.3
Probabilidades de la
amenaza Baja Media Alta
Niveles de Vulnerabilidad L M H L M H L M H Valor de vulnerabilidad de un escenario de incidentes 0 1 2 1 2 3 2 3 4
Luego, se asigna un puntaje de activo/amenaza encontrando la intercepción del valor del activo y el valor de probabilidad en la tabla E.4. Los puntajes de activo/amenaza se totalizan para producir un puntaje total de activos. Esta figura se puede utilizar para diferenciar entre los activos que forman parte de un sistema.
TABLA E.4
Valor del activo 0 1 2 3 4 Valor de la probabilidad 0 0 1 2 3 4 1 1 2 3 4 5 2 2 3 4 5 6 3 3 4 5 6 7 4 4 5 6 7 8
El paso final es totalizar todos los puntajes totales del activo para los activos del sistema, produciendo un puntaje del sistema. Esto se puede utilizar para diferenciar entre sistemas y para determinar a que protección del sistema debería dársele prioridad.
En los siguientes ejemplos se elige todos los valores de manera aleatoria.
Supongamos que el sistema S tiene tres activos A1, A2 y A3. También supongamos que hay dos amenazas T1 y T2 aplicables al sistema S. Digamos que el valor de A1 es 3, de manera similar digamos que el valor del activo de A2 sea 2 y que el valor del activo de A3 sea 4.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 91 de 95
Si para A1 y T1 la probabilidad de amenaza es baja y la facilidad de la explotación de la vulnerabilidad es media, entonces el valor de probabilidad es 1 (véase la tabla E.3).
El puntaje de activo/amenaza A1/T1 se puede derivar de la tabla E.4 como la intercepción del valor 3 del activo y el valor de probabilidad 1, es decir 4. De manera similar, para A1/T2 digamos que la probabilidad de la amenaza es media y la facilidad de explotación de la vulnerabilidad es alta, dado un puntaje A1/T2 de 6.
Ahora el puntaje total del activo A1T se puede calcular, es decir, 10. El puntaje total del activo se calcula para cada activo y amenaza aplicable. El puntaje total del sistema se calcula añadiendo A1 T + A2 T + A3 T para dar ST.
Ahora se puede comparar diferentes sistemas para establecer prioridades y distintos activos dentro de un sistema también.
El ejemplo de arriba se plantea en términos de sistemas de información. Sin embargo, se puede aplicar un enfoque similar a los procesos empresariales.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 92 de 95