viernes, 14 de marzo de 2014

   
SEGURIDAD INFORMATICA

La seguridad informática es una disciplina de la informática que se encarga de proteger los objetivos básicos de la seguridad brindando a través políticas, métodos, estándares, etc., que debería ser implementados además de los conocimientos para proteger nuestros entornos informáticos y hacerlos más seguros.
  METODOLOGÍAS DE ANÁLISIS DE RIESGOS 
Que es el Análisis de Riesgos?

El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus siglas en inglés Process Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados, como lo son daños o consecuencias que éstas puedan producir.

El análisis de los riesgos determinará cuáles son los factores de riesgo que potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo tanto, deben ser gestionados por el emprendedor con especial atención.

Existen tres tipologías de métodos utilizados para determinar el nivel de riesgos de nuestro negocio. Los métodos pueden ser:
  1. Métodos Cualitativos
  2. Métodos Cuantitativos
  3. Métodos Semicuantitativos.
Métodos Cualitativos:

  1. Es el método de análisis de riesgos más utilizado en la toma de decisiones en proyectos empresariales, los emprendedores se apoyan en su juicio, experiencia e intuición para la toma de decisiones.
  2. Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el tiempo y los recursos necesarios para hacer un análisis completo.
  3. O bien porque los datos numéricos son inadecuados para un análisis mas cuantitativo que sirva de base para un análisis posterior y mas detallado del riesgo global del emprendedor.
  4. Los métodos cualitativos incluyen:
    • Brainstorming
    • Cuestionario y entrevistas estructuradas
    • Evaluación para grupos multidisciplinarios
    • Juicio de especialistas y expertos (Técnica Delphi)
Métodos Semi-cuantitativos:

  1. Se utilizan clasificaciones de palabra como alto, medio o bajo, o descripciones más detalladas de la probabilidad y la consecuencia.
  2. Estas clasificaciones se demuestran en relación con una escala apropiada para calcular el nivel de riesgo. Se debe poner atención en la escala utilizada a fin de evitar malos entendidos o malas interpretaciones de los resultados del cálculo.
Métodos Cuantitativos:

  1. Se consideran métodos cuantitativos a aquellos que permiten asignar valores de ocurrencia a los diferentes riesgos identificados, es decir, calcular el nivel de riesgo del proyecto. 
Los métodos cuantitativos incluyen: 
  •  Análisis de probabilidad
  • Análisis de consecuencias 
  • Simulación computacional
Normas Internacionales sobre el Análisis de riesgos:

  • AS/NZS 4360:2004: Norma australiana para la gestión de riesgos (en general).
  • BS7799-3:2006: Norma británica para la gestión de los riesgos de seguridad de la información.
  • ISO/IEC 27005:2008: Norma internacional sobre la gestión de los riesgos de seguridad de la información. Distinta a la anterior, aunque también sirve para dar cumplimiento a la ISO 27001.
  • UNE 71504:2008: Norma española que recoge una metodología de análisis y gestión de riesgos para los sistemas de información. No es equivalente a las anteriores, ya que esas eran para seguridad de la información.
 METODOLOGIAS PAR EL ANALISIS DE RIESGOS EN 
SEGURIDAD INFORMATICA

Existen diferentes métodos para el análisis de riesgos de la seguridad informática. Algunos de los métodos o metodologías son:
  1. Metodologia MEHARI
  2. Metodología OCTAVE.
  3. Metodologia CRAMM. 
  4. Metodología MAGERIT.
  5. Metodología CORAS
  6. Metodología NIST SP 800-30.
1. Metodologia MEHARI
MEHARI es la metodología de análisis y gestión de riesgos desarrollada por la CLUSIF (CLUb de la Sécurité de l’Information Français) en 1995 y deriva de las metodologías previas Melissa y Marion. La metodología ha evolucionado proporcionando una guía de implantación de la seguridad en una entidad a lo largo del ciclo de vida. Del mismo modo, evalúa riesgos en base a los criterios de disponibilidad, integridad y confidencialidad.

En cuanto al proceso de análisis de riesgos mediante esta metodología, se expone a continuación de un modo resumido:
 

Principales elementos:
  • Niveles de categorías de controles
  • Niveles de calidad de los servicios de seguridad
  • Evaluación de la calidad del servicio por medio de cuestionarios
  • Tabla modelo de impactos 
2. Metodología OCTAVE

Método de evaluación y de gestión de los riesgos para garantizar la seguridad del sistema informativo, desarrollado por el estándar internacional ISO270001.

El núcleo central de OCTAVE es un conjunto de criterios (principios, atributos y resultados) a partir de los cuales se pueden desarrollar diversas metodologías.

Octave Tiene dos objetivos específicos que son:
  • Desmitificar la falsa creencia: La Seguridad Informática es un asunto meramente técnico.
  • Presentar los principios básicos y la estructura de las mejores prácticas internacionales que guían los asuntos no técnicos.
Octave divide los activos en dos tipos que son:  
  • Sistemas, (Hardware. Software y Datos)
  • Personas
La metodología OCTAVE está compuesta en tres fases:
  1. Visión de organización: Donde se definen los siguientes elementos: activos, vulnerabilidades de organización, amenazas, exigencias de seguridad y normas existentes.
  2. Visión tecnológica: se clasifican en dos componentes o elementos: componentes claves y vulnerabilidades técnicas. 
  3. Planificación de las medidas y reducción de los riesgos: se clasifican en los siguientes elementos: evaluación de los riesgos, estrategia de protección, ponderación de los riesgos y plano de reducción de los riesgos.

Las fases del proceso OCTAVE pueden resumirse en el siguiente gráfico:



3. Metodologia CRAMM-CCTA
CRAMM, es la metodología de análisis de riesgos desarrollado por la Agencia Central de Comunicación y Telecomunicación del gobierno británico. El significado del acrónimo proviene de CCTA Risk Analysis and Management Method. Su versión inicial data de 1987 y la versión vigente es la 5.2. Al igual que MAGERIT, tiene un alto calado en administración pública británica, pero también en empresas e instituciones de gran tamaño. Dispone de un amplio reconocimiento.

La metodología de CRAMM incluye las siguientes 3 etapas:
  • La primera de las etapas recoge la definición global de los objetivos de seguridad entre los que se encuentra la definición del alcance, la identificación y evaluación de los activos físicos y software implicados, la determinación del valor de los datos en cuanto a impacto en el negocio y la identificación.
  • En la segunda etapa de la metodología se hace el análisis de riesgos, identificando las amenazas que afecta al sistema, así como las vulnerabilidades que explotan dichas amenazas y por último el cálculo de los riesgos de materialización de las mismas.
  • En la tercera etapa se identifican y seleccionan las medidas de seguridad aplicadas en la entidad obteniendo los riesgos residuales, CRAMM proporciona una librería unas 3000 medidas de seguridad.
4. Metodología MAGERIT 

Magerit es una metodología que se esfuerza por enfatizarse en dividir los activos de la organización en variados grupos, para identificar más riesgos y poder tomar contramedidas para evitar así cualquier inconveniente.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

En el periodo transcurrido desde la publicación de la primera versión de Magerit (1997) hasta la fecha, el análisis de riesgos se ha venido consolidando como paso necesario para la gestión de la seguridad.

La Evaluación del riesgo es fundamental para llevar  cabo planes de seguridad y de contingencia dentro de la organización, para poder gestionarlos y hacerse riguroso frente a posibles ataques a los datos y la información tanto de la organización, como de los servicios que presta.

Objetivos de Magerit:

Directos:
  • Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo. 
  • Ofrecer un método sistemático para analizar tales riesgos. 
  • Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
Indirectos:
  • Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
 
La metodología MAGERIT es una de las más utilizadas ya que se encuentra en español. MAGERIT está basado en tres submodelos, estos son:

  • Submodelo de elementos: Es este submodelo se clasifican 6 elementos básicos que son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.
  • Submodelo de eventos: Aquí se clasifican los elementos anteriores en tres formas: dinámico físico, dinámico organizativo y estático.
  • Submodelo de procesos: Se definen en 4 etapas: análisis de riesgo, planificación, gestión de riesgo y selección de salvaguardas.
La metodología consta de tres volúmenes:
  • Volumen I – Método, es el volumen principal en el que se explica detalladamente la metodología.
  • Volumen II – Catálogo de elementos, complementa el volumen principal proporcionando diversos inventarios de utilidad en la aplicación de la metodología. Los inventarios que incluye son:

  1. Tipos de activos o
  2. Dimensiones y criterios de valoración o
  3. Amenazas
  4. Salvaguardas
  • Volumen III – Guía de técnicas, complementa el volumen principal proporcionando una introducción de algunas de técnicas a utilizar en las distintas fases del análisis de riesgos. Las técnicas que recoge son:
  1. Análisis mediante tablas
  2. Análisis algorítmico
  3. Árboles de ataque
  4. Técnicas generales o
  5. Análisis coste-beneficio
  6. Diagramas de flujo de datos (DFD)
  7. Diagramas de procesos
  8. Técnicas gráficas
  9. Planificación de proyectos
  10. Sesiones de trabajo: entrevistas, reuniones y presentaciones
  11. Valoración Delphi

5. Metodología CORAS

(Construct a platform for Risk Analysis of Security critical system)

Desarrollado a partir de 2001 por SINTEF, un grupo de investigación noruego financiado por organizaciones del sector público y privado. Se desarrolló en el marco del Proyecto CORAS (IST-2000-25031) financiado por la Unión Europea [STOL01] [STOL02A] [STOL02B] [STOL06] [STOL07A] [STOL07B] [HOGG07A].

El método CORAS proporciona:
  • Una metodología de análisis de riesgos basado en la elaboración de modelos, que consta de siete pasos, basados fundamentalmente en entrevistas con los expertos. 
  • Un lenguaje gráfico basado en UML (Unified Modelling Language) para la definición de los modelos (activos, amenazas, riesgos y salvaguardas), y guías para su utilización a lo largo del proceso. El lenguaje se ha definido como un perfil UML.
  • Un editor gráfico para soportar la elaboración de los modelos, basado en Microsoft Visio.  
  • Una biblioteca de casos reutilizables.
  • Una herramienta de gestión de casos, que permite su gestión y reutilización. 
  • Representación textual basada en XML (eXtensible Mark-up Language) del lenguaje gráfico. 
  • Un formato estándar de informe para facilitar la comunicación de distintas partes en el proceso de análisis de riesgos.

Los siete pasos del método CORAS pueden representarse gráficamente de la siguiente forma:






Los siete pasos del método CORAS son:
  1. Presentación: Reunión inicial, para presentar los objetivos y el alcance del análisis y recabar información inicial. 
  2. Análisis de alto nivel: Entrevistas para verificar la comprensión de la información obtenida y la documentación analizada. Se identifican amenazas, vulnerabilidades, escenarios e incidentes.
  3. Aprobación: Descripción detallada de los objetivos, alcance y consideraciones, para su aprobación por parte del destinatario del análisis de riesgos.
  4. Identificación de riesgos: Identificación detallada de amenazas, vulnerabilidades, escenarios e incidentes.
  5. Estimación de riesgo: Estimación de probabilidades e impactos de los incidentes identificados en el paso anterior. 
  6. Evaluación de riesgo: Emisión del informe de riesgos, para su ajuste fino y correcciones.
  7. Tratamiento del riesgo: Identificación de las salvaguardas necesarias, y realización de análisis coste/beneficio.
6. Metodología NIST SP 800-30

(National Institute of Standards and Technology)

El NIST (National Institute of Standards and Technology) ha dedicado una serie de publicaciones especiales, la SP 800 a la seguridad de la información. Esta serie incluye una metodología para el análisis y gestión de riesgos de seguridad de la información, alineada y complementaria con el resto de documentos de la serie.

El proceso de análisis de riesgos definido en la metodología NIST SP 800-30 puede resumirse en el siguiente gráfico [NIST800-30.02]:





El proceso de gestión de riesgos definido en la metodología NIST SP 800-30 puede resumirse en el siguiente gráfico:



La Metodología NIST SP 800-30 está compuesta por 9 pasos básicos para el análisis de riesgo: 
  1. Caracterización del sistema.
  2. Identificación de amenazas.
  3. Identificación de vulnerabilidades.
  4. Control de análisis.
  5. Determinación del riesgo. 
  6. Análisis de impacto.
  7. Determinación del riesgo. 
  8. Recomendaciones de control. 
  9. Resultado de la implementación o documentación.


Publicado por en
Ubicación: América del Sur

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)