Metodología de análisis de riesgos

Se define la metodología de análisis y gestión de riesgos Magerit, la cual es una metodología elaborada por el Consejo Superior de Administración Electrónica español, para dar respuesta al análisis de riesgos que pueden generar las tecnologías de la información organizacional. Por tanto, se pretende aplicar de acuerdo a los controles a implementar en la empresa LINEA S.A.S para el tratamiento de riesgos por amenazas.

Se va utilizar la metodología de riesgos Magerit, las etapas a desarrollar serán:

3_{Img 6. Metodología de análisis de riesgos para la empresa LINEA S.A.S}

Máster Interuniversitario en Seguridad de las TIC (MISTIC)

Edición: o1 Guía de referencia: TMF-SGSI-CAST.doc.x Documento: Memoria-TMF

Autor: Rubén Darío Zuleta Arango 38

2.7.1 Identificación de Activos

. Permite la gestión de riesgos organizacional. Los activos a

proteger han de tener asignado un propietario en la compañía. A cada propietario de los activos debe tener unas medidas para tratamiento de los riegos.

Los tipos de activos identificables para el análisis de riesgos:

 Físicos: Activos de Hardware como: ordenadores, teléfonos móviles, Tablets, Impresoras, entre otros.

 Lógicos: Activos de software, como los sistemas operativos, utilidades, instalación de aplicaciones de terceros, entre otros.

 Personas: Personal de la organización, proveedores, visitantes.

 Entorno e Infraestructura: Elementos de la infraestructura tecnológica, red de datos, red eléctrica, entre otros.

 Intangibles: Elementos no materiales de la organización (confianza de los clientes, experiencia, “know-how” entre otros).

 Los datos que se manejan: especificaciones y documentación de los sistemas, código fuente, manuales del operador y del usuario, datos de prueba.

2.7.2 Identificación de amenazas

. Son asociadas a los activos una vez se haya detectado los activos importante en la empresa LINEA S.A.S, se debe iniciar la respectiva identificación de la amenazas a los que están expuestos los sistemas de información en especial las identificadas en el servidor ICG de la compañía

Relación a seguir: Activo – Amenaza

La identificación de amenazas se analiza con los siguientes criterios:

 Perdida de continuidad de servicios de red, ICG, alteración de bases de datos SQL, intrusiones a sistemas por salto de privilegios por usuarios mal intencionados.

 Requerimientos legales, contractuales de la organización, las soluciones realizadas e implementadas, entre otros.

 Hallazgos de amenazas en sistemas de información.

 Servidores de puntos de venta ICG afectados por virus informáticos.

 Identificación y tratamiento de amenazas por el personal de TI.

 Socialización de riesgos de la información al personal de la organización.

 Programas de sensibilización y concienciación sobre el valor y cuidado de la información.

Registro de Riesgos: Identificación de amenazas

Se registrarán todos aquellos riesgos que tengan una probabilidad no nula de ocurrir en el período de un año y que, de materializarse, tendrían un efecto negativo en activos de información de la organización.

El registro de riesgos se hará en el documento “Mapa de riesgos” que está bajo la responsabilidad del Responsable de Seguridad de la Información y con el soporte de la persona o personas que hubieran identificado la vulnerabilidad.

En el momento del registro de riesgos se identificarán:

 Activo o tipo de activo afectado y su propietario

 Vulnerabilidad del activo

 Amenazas que pueden explotar la vulnerabilidades

 Probabilidad o frecuencia con la que las amenazas podrían materializarse

 Impacto esperado en caso de materializarse la amenaza

 Alternativas de tratamiento de los riesgos.

Máster Interuniversitario en Seguridad de las TIC (MISTIC)

Edición: o1 Guía de referencia: TMF-SGSI-CAST.doc.x Documento: Memoria-TMF

Autor: Rubén Darío Zuleta Arango 39

2.7.3 Valoración de activos. Se define criterio para otorgar a los activos un valor que puede ser cualitativo, cuantitativo o ambos.

4_{Valoración Cualitativa:}

Escala de valoración Valor Descripción

MB: Muy bajo 1 No importante en los procesos

prácticos

B: Bajo 2 Importancia menor

M: Medio 3 Importante para el proyecto

A: Alto 4 Altamente importante para el

proyecto

MA: Muy alto 5 Muy importante para el logro de objetivos del SGSI.

Tabla 3. Valoración cualitativa de los riesgos por amenazas Valoración cuantitativa:

Escala de valoración Escala cuantitativa Descripción Muy Alto = MA 5 $ 5.000.000 Alto = A 4 $ 3.001.000 Medio = M 3 $ 1.501.000 Bajo = B 2 $ 500.000 Muy Bajo = MB 1 $ 300.000 Tabla 4. Valoración cualitativa de los riesgos por amenazas

Si se toma en cuenta tanto la escala cuantitativa como cualitativa se deben promediar riegos haciendo relevancia en aquellos con valor mayor a 3

2.7.4 Identificación y valoración de las Vulnerabilidades

. Se identifican las amenazas y se valoran de acuerdo a la frecuencia de ocurrencia.

FRECUENCIA / ARO (Annualized Rate of Occurrence)

EF 0,9973 Extremadamente frecuente Menos que 1 día

MF 0,1425 Muy Frecuente Menos que 1 semana

F 0,0329 Frecuente Menos que un mes

FN 0,0055 Frecuencia Normal Menos que medio año

PF 0,0027 Poco Frecuente Menos que un año

EPF 0,0003 Extremadamente Poco Frecuente Menos que diez años

Tabla 5. Frecuencia de ocurrencia de amenazas.

La forma como se realiza el cálculo es de la siguiente manera:

Ejemplo:

Si tengo la frecuencia de que ocurra una vulnerabilidad 1 vez cada semana y partiendo de que el año tiene 52 semanas, entonces el cálculo sería: número de semanas/número de días año 52/365=0,142465

La relación a considerar es: Activo-amenaza-vulnerabilidad-valoración-probabilidad de ocurrencia Sirve para estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza.

Máster Interuniversitario en Seguridad de las TIC (MISTIC)

Edición: o1 Guía de referencia: TMF-SGSI-CAST.doc.x Documento: Memoria-TMF

Autor: Rubén Darío Zuleta Arango 40

2.7.5 5_{Identificación y valoración de impactos. La organización valora los impactos frente}

amenaza de acuerdo a los siguientes criterios:

IMPACTO TÉCNICOS ORGANIZACIONALES Pérdida de confidencialidad Pérdida de integridad Pérdida de disponibilidad

Trazabilidad Autenticidad Pérdidas económicas

Pérdida de imagen

Calificación de los daños

Tabla 6. Calificación de los daños generados por los riegos.

2.7.5.1 Criterios para evaluar los impactos por activo. Se otorga un nivel de daño o riesgo que puede causar una amenaza en un activo, para ello se determina una escala de degradación del activo, los valores para determinar la disminución de los impactos y de las vulnerabilidades representadas por una amenaza.

IMPACTO / EF (Exposure Factor)

C

Crítico

90%

90% de degradación

A

Alto

75%

75% de degradación

M

Medio

50%

50% de degradación

B

Bajo

20%

20% de degradación

DISMINUCIÓN DEL IMPACTO

MA Alta 90% A Media 60% M Baja 30% B Nula 0% DISMINUCIÓN DE LA VULNERABILIDAD MA Alta 90% A Media 60% M Baja 30% B Nula 0%

Tabla 7. Valores para los impactos a considerar para evaluar los riesgos.

Máster Interuniversitario en Seguridad de las TIC (MISTIC)

Edición: o1 Guía de referencia: TMF-SGSI-CAST.doc.x Documento: Memoria-TMF

Autor: Rubén Darío Zuleta Arango 41

Fase 3: Análisis de Riesgos.

Se verifican, valoran los activos de la organización LIENA S.AS

se procede a buscar los riesgos asociados a causa de una amenaza y sus impactos.

3.1 Inventario de activos

In document Elaboración de un plan de implementación de la ISO/IEC 27001:2013 (página 37-41)