Identificación y gestión de riesgos de seguridad de la información

Viernes, 19 Noviembre 2010

Identificacion1.tiffpActualmente cada negocio está conectado a Internet y cada red de negocio es parte de Internet. La capacidad para interactuar entre si es una parte clave de este entorno donde el riesgo va siendo creciente. Los ciber-delitos y el ciber-espionaje aumentan los riesgos en la reputación, en las operaciones, en el rendimiento financiero y en la posición competitiva en el mercado. Se observa en nuestra sociedad un crecimiento sin precedente de los riesgos debido al creciente grado de digitalización de la información multimedia donde se ha pasado por diferentes estadios, desde la mensajería, al almacenamiento de información, a los sistemas transaccionales, a la integración de tecnologías e incluso a los negocios basados en la total integración de la información.

Cada vez somos más conscientes de la vulnerabilidad de infraestructuras (instalaciones de agua, compañías de telecomunicaciones, entidades bancarias, power grid (red eléctrica), sistema sanitario, etc.) a todo tipo de ciber-ataques. Según McAfee los ciberdelitos aumentaron un 53% en 2008. En abril del 2010 los clientes de Optus sus proveedores de servicio Internet y un grupo numeroso de clientes corporativos importantes sufrieron una degradación de tráfico como resultado de un ataque DDoS originado desde China. Según Gartner & McAfee en 2009 se estimó un robo de la propiedad intelectual del orden de un trillón de dólares. Los ataques de red afectan a las infraestructuras de toda la red de modo que se dañan routers, se cambian tablas de routing, se sobrecargan servidores DNS, se provocan fallos en maquinas servidoras de correo electrónico, se envenenan caches ARP y DNS, etc.


Elementos del análisis de riesgos
Una vulnerabilidad es una debilidad o fallo/bug en un sistema que puede ser explotada para violar-atacar un sistema. Las amenazas son un conjunto de circunstancias o agentes que tienen el potencial de causar pérdida o daño en un sistema aprovechándose de la existencia de vulnerabilidades. Los ataques se dirigen contra servicios de seguridad claves como la confidencialidad (cifrado, privacidad, anonimato-esteganografía), integridad (firma digital convencional y a ciegas, hash, MAC) y disponibilidad (backup, hot/cold sites, redundancia), de forma conjunta CIA/Confidentiallity-Integrity-Availability). Asimismo, los ataques se dirigen contra objetivos de la seguridad como la autenticación (utilizando ataques MITM y spoofing de identidad/direcciones), identificación, autorización, no repudio, responsabilidad/logging/auditoría, etc. Las amenazas se aprovechan de las vulnerabilidades y pueden ser accidentales (errores involuntarios de personas) o maliciosas (virus). Los controles (salvaguardas, contramedidas, elementos de protección o medidas de seguridad) son mecanismos o procedimientos para mitigar vulnerabilidades (utilizando las tres direcciones de prevención, detección y recuperación, a veces incluso de disuasión). Es preciso ser consciente de los costos y cobertura de los controles, así mismo los controles están sujetos a análisis de vulnerabilidades y amenazas, por ejemplo un antivirus des-actualizado es un gran peligro (por causa de ignorancia/dejadez o malicia del usuario o por que el fabricante del antivirus no permite que el antivirus lo actualice el usuario manualmente además de permitir que se actualice en forma automática por ejemplo desde la nube/cloud-computing).

Un activo completamente aislado (un servidor sin conexión a red) es seguro pero no es útil, por tanto debe establecerse un compromiso entre seguridad y disponibilidad, así mismo no se deben gastar recursos para proteger entidades sin valor relevante. El control debe ser lo suficiente bueno para disuadir al enemigo, pero no absolutamente bueno por razones de costo. El riesgo es la probabilidad de que una amenaza concreta explote una vulnerabilidad específica, nunca existe certeza del hecho. Ejemplos de activos críticos son personas, hardware/software, datos, documentación, planta física, etc. El impacto del riesgo es la pérdida asociada con la explotación. Por tanto es necesario entender los riesgos de forma sistemática de un sistema y decidir la forma de controlarlos. El análisis de riesgos es el proceso de identificar, valorar y reducir los riesgos a un nivel aceptable. Define y controla amenazas y vulnerabilidades e implementa medidas de reducción del riesgo. El análisis del riesgo es una disciplina con tres partes: (i) Valoración del riesgo. Determina que riesgos hay. (ii) Gestión del riesgo. Evalúa las alternativas para mitigar el riesgo. (ii) Comunicación del riesgo. Presenta los resultados anteriores de una forma entendible a las personas que toman decisiones, no sólo a los gestores de seguridad sino más importante a los responsables de los negocios responsables máximos de lo que desean en sus organizaciones. Para organizar el proceso del análisis de riesgo se deben mirar activos-bienes, vulnerabilidades y amenazas. El riesgo es una función de los activos, vulnerabilidades y amenazas: (riesgo) = (activos) x (amenazas) x (vulnerabilidades). Durante el análisis de riesgos se asignan valores a los activos, vulnerabilidades y amenazas. La estructura básica del análisis de riesgos es: (1) Evaluar. Valorar los activos de información y de computación. Determinar las vulnerabilidades del sistema. Considerar las amenazas de dentro y fuera de la organización. Establecer prioridades a los riesgos. (2) Examinar. Disponibilidad de contramedidas de seguridad, revisar la efectividad de las contramedidas y determinar los costos (de instalación, licencias ocultas, funcionamiento, actualizaciones, etc.) de las contramedidas. (3) Implementar y monitorizar. Deberían implicarse en este proceso: expertos en seguridad, expertos del dominio interno (los que mejor saben como las cosas trabajan realmente), los gestores responsables de implementar los controles, abogados y los responsables del negocio/organización. En la identificación de los activos (o indi-viduos/entidades/objetos/cosas con algo de valor) se pueden encontrar personas, activos físicos (como edificios, redes, computadores) y activos lógicos (como reputación, propiedad intelectual, cumplimiento de leyes, software). A la hora de tratar el riesgo caben diversos planteamientos como: (i) Evitar el riesgo. Implementando un control o cambiando el diseño. (ii) Transferir el riesgo. Cambiando el diseño para introducir un riesgo diferente o bien contratando una empresa de seguros. (iii) Asumir el riesgo. Se trata de detectarlo y recuperarse para ello se establece un plan riguroso para el caso de ser atacados (por ejemplo utilizando infraestructuras de tolerancia a fallos, fail-over, alta disponibilidad, redundancia, backups, cold sites o hot sites).

Identificacion2.tiffpTipos de análisis de riesgos

Se pueden identificar dos enfoques a la hora de abordar el análisis de riesgos: (1) Análisis cuantitativo. Asigna números reales a los costos de las salvaguardas y al daño. Aquí se define la ALE (Annual Loss Exposure), el ROSI y la probabilidad de que ocurra un evento. Puede ser impreciso y no fiable. Las fases de este tipo de análisis son: (i) Identificar y valorar activos. (ii) Determinar las vulnerabilidades e impacto. (iii) Estimar la probabilidad de explotación. (iv) Calcular la ALE. (v) Resumir los controles aplicables y sus costos. (vi) Proyectar los ahorros anuales a partir de los controles. La exposición al riesgo (o pérdida esperada) es el producto del impacto del riesgo multiplicado por la probabilidad del riesgo. Por ejemplo en el caso de la pérdida de un servidor el impacto del riesgo es el costo para reemplazar el servidor, por ejemplo 17.000 euros y la probabilidad de pérdida, por ejemplo 0,10. Esto da lugar a una exposición al riesgo de 17.000 x 0,10 = 1.700. La exposición general medida por año es la ALE. En este tipo de análisis se debe realizar un análisis de los beneficios de costes debido a los controles.

El riesgo influencia para evaluar el valor del control. Una medida útil es el cociente: (exposición al riesgo antes de implantar el control) menos (exposición al riesgo después de implantar el control) partido por (el costo del control). (2) Análisis cualitativo. Juzga el riesgo relativo de la organización a las amenazas. Se basa en juicios, intuición y experiencia. Clasifica la gravedad de las amenazas según la sensibilidad de los activos. Es subjetivo, carece de números para justificar el retorno de inversión. Las etapas del análisis de riesgos cualitativo son: (i) Identificar el alcance. Limitar el problema. (ii) Crear un equipo. Incluye expertos conocedores del tema, gestores a cargo de implementarlo, usuarios. (iii) Identificar amenazas. Seleccionar a partir de listas de amenazas conocidas. Tormenta de ideas sobre nuevas amenazas, mezclar amenazas y vulnerabilidades. (iv) Priorizar amenazas para cada activo. Identificar la probabilidad de ocurrencia. Definir una valoración fija de amenazas, por ejemplo baja (valor 1) hasta alta (valor 5). Asociar el valor a cada amenaza. Es una aproximación a la probabilidad del riesgo del enfoque cuantitativo. (v) Impacto de la pérdida. Con cada amenaza determinar el impacto de la pérdida. Se define un ranking fijo, por ejemplo baja (valor 1) hasta alta (valor 5). Se utiliza para priorizar el daño a los activos debido a la amenaza. (vi) Impacto total o factor de riesgo. Es la suma de la prioridad de la amenaza y de la prioridad del impacto. Por ejemplo para la amenaza robo si la prioridad de la amenaza es 2 y la prioridad del impacto es 3 el factor de riesgo es 5; para la amenaza incendio si la prioridad de la amenaza es 3 y la prioridad del impacto es 5 el factor de riesgo es 8; para la amenaza inundación si la prioridad de la amenaza es 2 y la prioridad del impacto es 5 el factor de riesgo es 7. (vii) Identificar controles/salvaguardas. Se establece un conjunto inicial de posibles controles. Se asocian los controles a cada amenaza. Se empiezan con los riesgos de prioridad mayor. (viii) Se realizan análisis de beneficios-costo. Esta fase puede iterar con la fase 6. (ix) Clasificar controles-evaluar salvaguardas. Se orden por factor de riesgo. Por ejemplo para la amenaza incendio, si el factor de riesgo es 8 una posible salvaguarda es un sistema de supresión de incendios y el coste de la salvaguarda es de 18.000 euros. Para una amenaza del tipo inundación o huracán, si el factor de riesgo es 7 una posible salvaguarda es un plan de continuidad del negocio y el coste de la salvaguarda es de 87.000 euros.  (x) Comunicar los resultados. Se concluye con informe escrito y se presenta a todos los miembros en forma de reuniones específicas según el nivel jerárquico de los individuos dentro de la organización. No es lo mismo la reunión con los jefes que con los empleados de baja autorización.


Identificacion3.tiffpConsideraciones finales
Nuestro grupo de investigación lleva trabajado más de veinte años en el campo del análisis de riesgos a nivel global en todo tipo de organizaciones y escenarios donde la información y el conocimiento se deben proteger adecuadamente desde sistemas empotrados a grandes organizaciones con despliegues en red Web/Web2.0 e infraestructuras de virtualización y nube.

Este artículo se enmarca en las actividades desarrolladas dentro del proyecto LEFIS-APTICE (financiado por Socrates. European Commission).

Bibliografía

-    Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2010.
-    Areitio, J. “Análisis en torno a la vulnerabilidad de información”. Revista Conectrónica. Nº 131. Octubre 2009.
-    Areitio, J. “Test de seguridad para evaluar y mejorar el nivel de riesgos de seguridad”. Revista Conectrónica. Nº 134. Febrero 2010.
-    Norman, T.L. “Risk Analysis and Security Countermeasure Selection”. CRC Press. 2009.
-    Kelsey, T. “Social Networking Spaces: From Facebook to Twitter and Everything in Between”. Apress. 2010.
-    Zittrain, J. “The Future of the Internet and How to Stop It”. Yale University Press. 2009.
-    Solove, D.J. “Understanding Privacy”. Harvard University Press. 2010.
-    Wacks, R. “Privacy: A Very Short Introduction”. Oxford University Press. 2010.
-    Nissenbaum, H. “Privacy in Context: Technology, Policy and the Integrity of Social Life”. Stanford Law Books. 2009.
-    Schneier, B. “Secrets and Lies: Digital Security in a Networked World”. Wiley. 2004.
-    O’Harrow, R. “No Place to Hide”. Free Press. 2006.
-    Solove, D.J. “The Digital Person: Technology and Privacy in the Information Age”. NYU Press. 2006.
-    Solove, D.J. and Schwartz, P. “Information Privacy Law”. Aspen Publishers, Inc. 2008.
-    Solove, D.J. and Schwartz, P. “Privacy and the Media”. Aspen Publishers, Inc. 2008.
-    Schwartz, P. and Solove, D.J. “Information Privacy: Statutes and Regulations”. Aspen Publishers, Inc. 2008.
-    Benkler, Y. “The Wealth of Networks: How Social Production Transforms Markets and Freedom”. Yale University. 2007.
-    Mather, T., Kmaraswamy, S. and Latif, S. “Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance”. O’Reilly Media. 2009.
-    Solove, D.J. and Schwartz, P. “Privacy, Information and Technology”. Aspen Publishers, Inc. 2008.

Autor:

Prof. Dr. Javier Areitio Bertolín – E.Mail: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Catedrático de la Facultad de Ingeniería.
Director del Grupo de Investigación  Redes y Sistemas. Universidad de Deusto .

Más información o presupuesto

Submit to FacebookSubmit to Google PlusSubmit to TwitterSubmit to LinkedIn
Identificación y gestión de riesgos de seguridad de la información

Conectores Revista FTTH Electrónica industrial. Cursos de fibra Óptica, Seminarios Online, Noticias Tecnología y Ferias Tecnologicas,Cables y Conectores Industriales de Fibra Optica, Noticias Empresas, Osciloscopios y Herramientas, Centros de datos.