ANÁLISIS DE RIESGOS

Tercer Corte

INTRODUCCIÓNCada día va en aumento la cantidad de casos de incidentes relacionados con la seguridad de los sistemas de información que comprometen los activos de las empresas, Lo que antes era ficción, en la actualidad se convierte, en muchos casos, en realidad. Las amenazas siempre han existido, la diferencia es que ahora, el enemigo es más rápido, más difícil de detectar y mucho más atrevido. Es por esto, que toda organización debe estar en alerta y saber implementar sistemas de seguridad basados en un análisis de riesgos para evitar o minimizar las consecuencias no deseadas.Sin embargo es importante enfatizar que antes de implementar la seguridad, es fundamental conocer con detalle el entorno que respalda los procesos de negocio de las organizaciones en cuanto a su composición y su criticidad para priorizar las acciones de seguridad de los procesos clave de negocio más críticos y vinculados al logro de los objetivos de la organización.

ANÁLISIS DE RIESGOSEs una actividad centrada en la identificación de fallas de seguridad que

evidencien vulnerabilidades que puedan ser explotadas por amenazas, provocando impactos en los negocios de la organización. Es una actividad de análisis que pretende, a través del rastreo, identificar los riesgos a los cuales los activos se encuentran expuestos.

Encontrar la consolidación de las vulnerabilidades para identificar los pasos a seguir para su corrección.

Identificar las amenazas que pueden explotar esas vulnerabilidades y de esta manera se puede llegar a su corrección o eliminación.

Identificar los impactos potenciales que pudieran tener los incidentes y de esta forma aprovechar las vulnerabilidades encontradas.

 

El análisis de riesgos es … …además una actividad que tiene por resultado:

Determinar las recomendaciones para que las amenazas sean corregidas o reducidas.

Otro punto importante a considerar en la realización del análisis de riesgos es la relación costo-beneficio. Este cálculo permite que sean evaluadas las medidas de seguridad con relación a su aplicabilidad y el beneficio que se agregará al negocio.

MOMENTO DEL ANÁLISIS DE RIESGOS

El análisis de riesgos puede ocurrir antes o después de la definición

de una política de seguridad. Según la norma internacional

BS/ISO/IEC 17799, esta actividad puede ser hecha después de la

definición de la política.

El propósito de tomar en cuenta una política de seguridad en el

análisis se debe a varias razones:

La política de seguridad delimita el alcance del análisis.

Permite ser selectivo en la verificación de activos que la política

establece como vulnerables.

El análisis toma en cuenta la lista de amenazas potenciales que la

misma política contempla. 

POLÍTICAS DE SEGURIDADEs una medida que busca establecer los estándares de seguridad a ser seguidos por todos los involucrados con el uso y mantenimiento de los activos.

Es una forma de suministrar un conjunto de normas internas para guiar la acción de las personas en la realización de sus trabajos. Es el primer paso para aumentar la conciencia de la seguridad de las personas, pues está orientada hacia la formación de hábitos, por medio de manuales de instrucción y procedimientos operativos.

Sin embargo, la realización del análisis de riesgos como primer elemento de la acción de seguridad, es un hecho determinante para procesos críticos en que son analizadas todas las amenazas. De esta manera son considerados y analizados todos los activos de la organización, sea por muestreo o en su totalidad, para que estén libres de vulnerabilidades con el propósito de reducir los riesgos.

ÁMBITOS DEL ANÁLISIS DE RIESGOS

El análisis de riesgos realizado en el entorno tecnológico pretende el conocimiento de las configuraciones y de la disposición topológica de los activos de tecnología que componen toda la infraestructura de respaldo de la información para comunicación, procesamiento, tránsito y almacenamiento.Los activos son de tipo aplicación y equipo, sin dejar de considerar también la sensibilidad de las informaciones que son manipulados por ellos. Los usuarios que los utilizan. Ejemplo: La infraestructura que les ofrece respaldo. Los servidores de ficheros, en los que se encuentran la información sobre el producto, un servidor de banco de datos que almacena la información de las cuentas de los clientes del Internet Banking; un ruteador, un servidor de correo electrónico (para envío de estado de cuenta por correo electrónico); un servidor Web, que permite que se hagan consultas al productopor Internet (en sus distintas plataformas: Windows®, Unix ®, Solaris®, etc.), además de loselementos de una red de comunicación para el envío y recepción de la información (como firewall, ruteador, parámetro, conexión, puente, etc.)

Tecnológico:

ÁMBITOS DEL ANÁLISIS DE RIESGOS

El análisis de riesgos también se destina a la comprensión de las maneras en que las personas se relacionan con los activos. Así, es posible detectar cuáles vulnerabilidades provenientes de acciones humanas, se encuentran sometidos los activos, y es posible dirigir recomendaciones para mejorar la seguridad en el trabajo humano y garantizar la continuidad de los negocios de la organización.Este análisis pretende inicialmente identificar vulnerabilidades en los activos de tipo usuario y organización. El nivel de acceso que las personas tienen en la red o en las aplicaciones. Las restricciones y permisos que deben tener para realizar sus tareas con los activos. El nivel de capacitación y formación educativa que necesitan tener acceso para manipularlos, etc. Ejemplo: Las personas que hacen uso del Internet, Banking; quienes dan soporte a los usuarios o administran los activos en la organización, las responsables de la planeación y coordinación del trabajo, los equipos que actúan en la definición de las políticas y procedimientos para la realización del proceso de negocio.

Humano:

ÁMBITOS DEL ANÁLISIS DE RIESGOS

Análisis de los flujos de información de la organización y la manera en que la información transita de un área a otra, cómo son administrados los recursos en relación a la organización y manutención. De esta manera, será posible identificar los eslabones entre las actividades y los insumos necesarios para su realización con el objetivo deidentificar las vulnerabilidades que puedan afectar la confidencialidad, la disponibilidad y la integridad de la información y en consecuencia, del negocio de la organización. En este ámbito, el activo de enfoque principal es del tipo usuario e información. Identificar a las personas involucradas en el flujo de información, es posible evaluar la necesidad real de acceso que ellas tienen a los activos.Evaluar el impacto proveniente del uso indebido de la información por personas no calificadas. Ejemplo: La estructura organizacional humana que ha sido establecida para la realización del proceso de negocio. Podemos considerar, en Internet, la definición de los equipos para la manutención y garantía de la continuidad de los activos de tecnología del proceso; las personas y el flujo de actividades relacionadas a la atención a los clientes; el flujo necesario de información para la realización de una transacción por el banco virtual, etc.

Procesos:

ÁMBITOS DEL ANÁLISIS DE RIESGOS

El análisis físico de seguridad pretende identificar en la infraestructura física del ambiente en que los activos encuentran vulnerabilidades que puedan traer algún perjuicio a la información y a todos los demás activos. El enfoque principal de este ámbito de análisis son los activos de tipo organización, pues son los que proveen el soporte físico al entorno en que está siendo manipulada la información. Identificar posibles fallas en la localización física de los activos tecnológicos. Evaluar el impacto de accesos indebidos a las áreas en donde se encuentran activos tecnológicos. Evaluar el impacto de desastres ambientales en la infraestructura de tecnología de la empresa.. El ambiente operativo que incluye las actividades del producto Internet Banking, como los locales de trabajo de los equipos involucrados, los locales de almacenamiento de la información crítica, las agencias o puestos de atención al cliente, las centrales de proceso de información como los centros de proceso de datos, las salas de servidores, las centrales de procesamientos por teléfono, la sala caja fuerte, etc.

Físico:

La definición del equipo humano es muy importante, tanto para dimensionar la fuerza de trabajo necesaria para la realización del análisis de riesgos (analistas de seguridad), como para aquellos que se encargaran de entrevistar a las personas involucradas en procesos de negocio (entrevistadores) que proveerán de información vital para el proyecto de análisis de riesgos; y además, serán los responsables por el acceso a los activos para la recolección de información.Es necesario que las personas que integren en equipo de analistas sean sólo personas de confianza:

Equipo Involucrado

ANÁLISIS TÉCNICO

Son la forma con que estas están configuradas para evitar que los usuarios (con frecuencia de forma inconsciente) permiten la acción de amenazas. A través de éste se hacen las colectas de información sobre la forma en que los activos: fueron configurados, estructurados en la red de comunicación, y la forma en que son administrados por sus responsables.En el proceso de análisis técnico de seguridad, diversos tipos de activos son considerados, según sea el ámbito definido al inicio del proyecto, con el propósito de monitorear las vulnerabilidades presentes a través de errores de configuración o desconocimiento de las posibilidades de ataque por amenazas potenciales. Dentro delos activos tecnológicos analizados técnicamente, podemos listar los siguientes: Estaciones de trabajo. Servidores y Redes Bases de Datos

ANÁLISIS DE SEGURIDAD FÍSICA

El análisis de seguridad física se inicia con la visita técnica en los entornos en donde se realizan actividades relacionadas directa o indirectamente con los procesos de negocio que están siendo analizados, a los cuales se deben atribuir soluciones de seguridad.Estos ambientes deben ser observados con relación a lo siguiente:Disposición organizativaSistemas de combate a incendioControl de accesoExposición a clima y medio ambienteTopografía

CONCLUSIONESEl análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización.