UNIVERSIDAD NACIONAL DEL SANTA F A C U LT A D D E I N G E N I E R I A E A P : S I S T E M A S E I N F O R M AT I C A
AUDITORIA DE SISTEMAS
Tema:
“Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.” Ing. Camilo Ernesto Suare
Docente:
Re!aa "
Ciclo: Integrantes: • • • • • •
C#á$e %tiniano Mel&uisedec 'ernánde 'ernánde I(ana&ue María )olanda )olanda Marcelo Góme *uis Ricardo *ó(e +orres ,e$in Marino Sil$a -uertas Consuelo Isa!el trilla Camones /a$ier
Nuevo Chimbote, Setiembre Setiembre del 2015
Magerit 3.0
Proyectos de análisis de riesgos
Magerit 3.0
Proyectos de análisis de riesgos
METODOLOGIA DE ANALISIS Y GESTION DE RIESGOS D ELOS SISTEMAS DE INFORMACION -MAGERIT-
1. IN INT TROD ODUC UCCI CION ON:: El uso de tecnologías de la información y comunicaciones !"#$ su%one unos beneficios e&identes %ara los ciudadanos' %ero tambi(n da lugar a ciertos riesgos )ue deben gestionarse %rudentemente con medidas de seguridad )ue sustenten la confian*a de los usuarios de los ser&icios. +.+
,-E /,"E12 a gestión de los riesgos es una %iedra angular en las guías de buen gobierno 4"5 36700 3670089 89 %úblic %úblico o o %ri&ad %ri&ado9 o9 donde donde se consid considera era un %rinci %rinci%io %io funda fundamen mental tal )ue las las decis decision iones es de gobie gobierno rno se funda fundamen menten ten en el conoci conocimie miento nto de los riesgo riesgoss )ue im%lican2 +.:.+; Pro%uesta Recopilación de los beneficios, costos, riesgos, oportunidades, y otros factores que deben tenerse en cuenta en las decisiones que se tomen .
#ubriendo riesgos en general y riesgos !"# en %articular2 Esta norma establece los principios para el uso eficaz, eficiente y aceptable de las tecnolo-gías de la información. Garantizando que sus organizaciones siguen estos principios principios ayuda-rá a los directores a equilibrar equilibrar riesgos y oportunidades oportunidades derivados del uso de las !.
+.;
+.3
#<"A=A2 a confian*a es la es%eran*a firme )ue se tiene de )ue algo res%onderá a lo %re&isto. a confian*a es un &alor crítico en cual)uier organi*ación )ue %reste ser&icios. as administraciones %úblicas son es%ecialmente sensibles a esta &aloración. /E5!"2 #onocer el riesgo al )ue están sometidos los elementos de traba>o es9 sim%lemente9 im%rescindi?ble %ara %oder gestionarlos. "# Evaluación del riesgo. $os participantes deben llevar a cabo evaluaciones de riesgo. %rtículo ". Gestión Gestión de la seguridad seguridad basada en los los riesgos. &. El análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente permanentemente actualizado. actualizado. '. $a gestió gestión n de riesgo riesgos s permit permitirá irá el manten mantenimi imient ento o de un entor entorno no contro controlad lado, o, minimizando minimizando los riesgos (asta niveles aceptables.
+.@
MA/E1"!2 Magerit res%onde a lo )ue se denomina Proceso de /estión de los 1iesgosB MA/E1"! im%lementa el Proceso de /estión de 1iesgos dentro de un marco de traba>o %ara )ue los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos deri&ados del uso de tecnologías de la información
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0
Proyectos de análisis de riesgos
METODOLOGIA DE ANALISIS Y GESTION DE RIESGOS D ELOS SISTEMAS DE INFORMACION -MAGERIT-
1. IN INT TROD ODUC UCCI CION ON:: El uso de tecnologías de la información y comunicaciones !"#$ su%one unos beneficios e&identes %ara los ciudadanos' %ero tambi(n da lugar a ciertos riesgos )ue deben gestionarse %rudentemente con medidas de seguridad )ue sustenten la confian*a de los usuarios de los ser&icios. +.+
,-E /,"E12 a gestión de los riesgos es una %iedra angular en las guías de buen gobierno 4"5 36700 3670089 89 %úblic %úblico o o %ri&ad %ri&ado9 o9 donde donde se consid considera era un %rinci %rinci%io %io funda fundamen mental tal )ue las las decis decision iones es de gobie gobierno rno se funda fundamen menten ten en el conoci conocimie miento nto de los riesgo riesgoss )ue im%lican2 +.:.+; Pro%uesta Recopilación de los beneficios, costos, riesgos, oportunidades, y otros factores que deben tenerse en cuenta en las decisiones que se tomen .
#ubriendo riesgos en general y riesgos !"# en %articular2 Esta norma establece los principios para el uso eficaz, eficiente y aceptable de las tecnolo-gías de la información. Garantizando que sus organizaciones siguen estos principios principios ayuda-rá a los directores a equilibrar equilibrar riesgos y oportunidades oportunidades derivados del uso de las !.
+.;
+.3
#<"A=A2 a confian*a es la es%eran*a firme )ue se tiene de )ue algo res%onderá a lo %re&isto. a confian*a es un &alor crítico en cual)uier organi*ación )ue %reste ser&icios. as administraciones %úblicas son es%ecialmente sensibles a esta &aloración. /E5!"2 #onocer el riesgo al )ue están sometidos los elementos de traba>o es9 sim%lemente9 im%rescindi?ble %ara %oder gestionarlos. "# Evaluación del riesgo. $os participantes deben llevar a cabo evaluaciones de riesgo. %rtículo ". Gestión Gestión de la seguridad seguridad basada en los los riesgos. &. El análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente permanentemente actualizado. actualizado. '. $a gestió gestión n de riesgo riesgos s permit permitirá irá el manten mantenimi imient ento o de un entor entorno no contro controlad lado, o, minimizando minimizando los riesgos (asta niveles aceptables.
+.@
MA/E1"!2 Magerit res%onde a lo )ue se denomina Proceso de /estión de los 1iesgosB MA/E1"! im%lementa el Proceso de /estión de 1iesgos dentro de un marco de traba>o %ara )ue los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos deri&ados del uso de tecnologías de la información
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0
+.7 +.7
+.:
Proyectos de análisis de riesgos
"!1 "!1C C-# -##" #" A AA" A"5" 5"5 5 CE /E5! /E5!" " CE CE 1"E5 1"E5/ /52 52 5eguridad es la ca%acidad de las redes o de los sistemas de información %ara resistir9 con con un de?t de?ter ermi mina nado do ni&e ni&ell de conf confia ian* n*a9 a9 los los acci accide dent ntes es o acci accion ones es ilíc ilícititas as o malinten malintencion cionadas adas )ue com%ro com%ro metan metan la dis%onibi dis%onibilida lidad9 d9 autentici autenticidad9 dad9 integrid integridad ad y confidencialidad confidencialidad de los datos almacenados almacenados o transmitidos transmitidos y de los ser&icios )ue dicDas redes y sistemas ofrecen o Dacen accesibles AA" AA"5"5 5"5 !1A !1A!AM"E! M"E! CE 5 1"E5/ 1"E5/5 5 E E 55- # #!EF !EF!2 !2 El análisis de riesgos %ermite determinar cómo es9 cuánto &ale y cómo de %rotegido se encuentra el sistema. En coordinación con los ob>eti&os9 estrategia y %olítica de la rgani*ación9 las acti&idades de tratamiento de los riesgos %ermiten elaborar un %lan de seguridad )ue9 im%lantado y o%erado9 satisfaga los ob>eti&os %ro%uestos con el ni&el de riesgo )ue ace%ta la Cirección. Al con>unto de estas acti&idades se le denomina Proceso de /estión de 1iesgos.
+.:. +.:.+ + ## ##"E "E# #"A# "A#" " <1M <1MA# A#" "22 Es %or ello )ue se re)uiere la creación de una cultura de seguridadB )ue9 emanan?d emanan?do o de la alta dirección dirección99 concien conciencie cie a todos todos los in&olucr in&olucrados ados de su necesidad y %ertinencia. %ertinencia. +.:. +.:.; ; # ## #"C "CE# E#"A5 "A5 1E# 1E#-P -PE1 E1A# A#" " © Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0 Proyectos de análisis de riesgos +.G 1/A"=A#" " CE A A5 //-"A5 "A5 Esta &ersión 3 de Magerit se Da estructurado en dos libros y una guía de t(cnicas2 I ibro " J M(todo I ibro "" J #atálogo de elementos I /uía de !(cnicas J 1eco%ilación de t(cnicas de diferente ti%o )ue %ueden ser de utilidad %ara la a%licación del m(todo. +.G +.G.+ MC C CE CE EM EMPE PE2 5iem%re se eK%lican informalmente las acti&idades a reali*ar9 y en ciertos casos se formali*an co?mo tareas )ue %ermiten una %lanificación y seguimiento
+.6
+.G. +.G.; ; #A! #A!A/ / CE CE EEM EEME E! !5 5 5e %ro%one un catálogo9 abierto a am%liaciones9 )ue marca unas %autas en cuanto a2 L ti%os de acti&os L dimensiones de &aloración de los acti&os L criterios de &aloración de los acti&os L amena*as tí%icas sobre los sistemas de información L sal&aguardas a considerar %ara %roteger sistemas de información EA EA-A#" -A#"9 9 #E1 #E1!"< !"<"#A "#A#" #"9 9 A-C"! A-C"!1 1"A "A A#1EC A#1EC"! "!A A#"2 #"2 El anál anális isis is de ries riesgo goss es una una %ied %iedra ra angu angula larr de los los %roc %roces esos os de e&al e&alua uaci ción ón99 certifica certificación ción99 auditoría auditoría y acreditac acreditación ión )ue formali*an formali*an la confian*a confian*a )ue merece merece un sistema de información
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0
Proyectos de análisis de riesgos
+.N O#-A O#-AC C P1#ECE P1#ECE AA"=A AA"=A1 1 /E5!"A1 /E5!"A1 5 1"E/52 En %articular en cual)uier entorno donde se %racti)ue la tramitación electrónica de bienes y ser&icios9 sea en conteKto %úblico o %ri&ado. 2. VI VISI SION ON DE DE CONJ CONJUN UNT TO: ". AA"5"5 CE 1"E5/52
3. MET METODO ODO DE AN ANALIS ALISISI ISI DE RIES RIESGOS GOS 3.+
##EP!5 PA PA5 A PA52
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0 Proyectos de análisis de riesgos El análisis de riesgos es una a%roKimación metódica %ara determinar el riesgo siguiendo unos %a?sos %autados2 +. determinar los acti&os rele&antes %ara la rgani*ación9 su interrelación y su &alor9 en el sen?tido de )u( %er>uicio coste$ su%ondría su degradación ;. determinar a )u( amena*as están eK%uestos a)uellos acti&os 3. determinar )u( sal&aguardas Day dis%uestas y cuán eficaces son frente al riesgo @. estimar el im%acto9 definido como el dao sobre el acti&o deri&ado de la materiali*ación de la amena*a 7. estimar el riesgo9 definido como el im%acto %onderado con la tasa de ocurrencia o eK%ecta?ti&a de materiali*ación$ de la amena*a
3.1.2. Paso 2: Amea!as El siguiente %aso consiste en determinar las amena*as )ue %ueden afectar a cada acti&o. as amena*as son cosas )ue ocurrenB. 9 de todo lo )ue %uede ocurrir9 interesa lo )ue %uede %asarle a nuestros acti&os y causar un dao. Identificación de las amenazas
El ca%ítulo 7 del Q#atálogo de ElementosQ %resenta una relación de amena*as tí%icas.
De o"#$e a%&"a' terremotos9 inundaciones9Retc$ De' e%o"o ()e o"#$e #)&s%"#a'* contaminación9 fallos el(ctricos9 ...$ De+e,%os )e 'as a'#,a,#oes Ca&sa)as o" 'as e"soas )e +o"ma a,,#)e%a' Ca&sa)as o" 'as e"soas )e +o"ma )e'#e"a)a
Valoración de las amenazas
Hay )ue &alorar su influencia en el &alor del acti&o9 en dos sentidos2
)e$"a)a,#/: cuán %er>udicado resultaría el 4&alor del8 acti&o "oa#'#)a): cuán %robable o im%robable es )ue se materialice la amena*a
3.1.3. De%e"m#a,#/ )e' #ma,%o o%e,#a'
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0 Proyectos de análisis de riesgos 5e denomina im%acto a la medida del dao sobre el acti&o deri&ado de la materiali*ación de una amena*a. #onociendo el &alor de los acti&os en &arias dimensiones$ y la degradación )ue causan las amena*as9 es directo deri&ar el im%acto )ue estas tendrían sobre el sistema. Impacto acumulado
Es el calculado sobre un acti&o teniendo en cuenta2 • •
5u &alor acumulado el %ro%io mas el acumulado de los acti&os )ue de%enden de (l$ as amena*as a )ue está eK%uesto
El im%acto acumulado9 al calcularse sobre los acti&os )ue so%ortan el %eso del sistema de información9 %ermite determinar las sal&aguardas de )ue Day )ue dotar a los medios de traba>o2 %ro? tección de los e)ui%os9 co%ias de res%aldo9 etc. Impacto repercutido
Es el calculado sobre un acti&o teniendo en cuenta • •
su &alor %ro%io las amena*as a )ue están eK%uestos los acti&os de los )ue de%ende
El im%acto re%ercutido se calcula %ara cada acti&o9 %or cada amena*a y en cada dimensión de &aloración9 siendo una función del &alor %ro%io y de la degradación causada.
Agregación de valores de impacto
Estos im%actos singulares %ueden agregarse ba>o ciertas condiciones2
•
Puede agregarse el im%acto re%ercutido sobre diferentes acti&os9
•
%uede agregarse el im%acto acumulado sobre acti&os )ue no sean de%endientes entre sí9 y no Dereden &alor de un acti&o su%erior común9
•
no debe agregarse el im%acto acumulado sobre acti&os )ue no sean inde%endientes9 %ues ello su%ondría sobre %onderar el im%acto al incluir &arias &eces el &alor acumulado de acti?&os su%eriores9
•
%uede agregarse el im%acto de diferentes amena*as sobre un mismo acti&o9 aun)ue con? &iene considerar en )u( medida las diferentes amena*as son inde%endientes y %ueden ser concurrentes9
•
%uede agregarse el im%acto de una amena*a en diferentes dimensiones.
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0
Proyectos de análisis de riesgos
3.1.0. De%e"m#a,#/ )e' "#es$o o%e,#a' 5e denomina riesgo a la medida del dao %robable sobre un sistema. #onociendo el im%acto de las amena*as sobre los acti&os9 es directo deri&ar el riesgo sin más )ue tener en cuenta la %roba?bilidad de ocurrencia. •
*ona + J riesgos muy %robables y de muy alto im%acto
•
*ona ; J fran>a amarilla2 cubre un am%lio rango desde situaciones im%robables y de im%acto medio9 Dasta situaciones muy %robables %ero de im%acto ba>o o muy ba>o
•
*ona 3 J riesgos im%robables y de ba>o im%acto
•
*ona @ J riesgos im%robables %ero de muy alto im%acto
Riesgo acumulado
Es el calculado sobre un acti&o teniendo en cuenta2 •
El im%acto acumulado sobre un acti&o debido a una amena*a y
•
a %robabilidad de la amena*a
El riesgo acumulado se calcula %ara cada acti&o9 %or cada amena*a y en cada dimensión de &alo? ración9 siendo una función del &alor acumulado9 la degradación causada y la %robabilidad de la amena*a.
Riesgo repercutido
Es el calculado sobre un acti&o teniendo en cuenta L
El im%acto re%ercutido sobre un acti&o debido a una amena*a y
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0 L a %robabilidad de la amena*a
Proyectos de análisis de riesgos
El riesgo re%ercutido se calcula %ara cada acti&o9 %or cada amena*a y en cada dimensión de &alo? ración9 siendo una función del &alor %ro%io9 la degradación causada y la %robabilidad de la ame?na*a. Agregación de riesgos
Estos riesgos singulares %ueden agregarse ba>o ciertas condiciones2 L
%uede agregarse el riesgo re%ercutido sobre diferentes acti&os9
L
%uede agregarse el im%acto acumulado sobre acti&os )ue no sean de%endientes entre sí9 y no Dereden &alor de un acti&o su%erior común9
L
Sno debe agregarse el riesgo acumulado sobre acti&os )ue no sean inde%endientes9 %ues
ello su%ondría sobre %onderar el riesgo al incluir &arias &eces el &alor acumulado de acti&os su?%eriores. 3.1.. Paso 3: Sa'a$&a")as 5e definen las sal&aguardas o contra medidas como a)uellos %rocedimientos o mecanismos tecnológicos )ue reducen el riesgo. Hay amena*as )ue se con>urar sim%lemente organi*ándose adecuadamente9 otras re)uieres elementos t(cnicos %rogramas o e)ui%os$9 otras seguridades físicas y9 %or último9 está la %olítica de %ersonal. Selección de salvaguardas
En esta criba se deben tener en cuenta los siguientes as%ectos2 +. ti%o de acti&os a %roteger9 %ues cada ti%o se %rotege de una forma es%ecífica ;. dimensión o dimensiones de seguridad )ue re)uieren %rotección 3. amena*as de las )ue necesitamos %rotegernos @. si eKisten sal&aguardas alternati&as #omo resultado de estas consideraciones dis%ondremos de una )e,'a"a,#/ )e a'#,a#'#)a)4 o relación de sal&aguardas )ue deben ser anali*adas como com%onentes nuestro sistema de %ro? tección. Efecto de las salvaguardas
as sal&aguardas entran en el cálculo del riesgo de dos formas2 L
1educiendo la %robabilidad de las amena*as.
L
imitando el dao causado.
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0
Proyectos de análisis de riesgos
Tipo de protección
Esta a%roKimación a &eces resulta un %oco sim%lificadora9 %ues es Dabitual Dablar de diferentes ti%os de %rotección %restados %or las sal&aguardas2 L L L L L L L L L L
4P18 %re&ención 4C18 disuasión 4E8 eliminación 4"M8 minimi*ación del im%acto T limitación del im%acto 4#18 corrección 41#8 recu%eración 4M8 monitori*ación 4C#8 detección 4AU8 concienciación 4AC8 administración
Eficacia de la protección
as sal&aguardas se caracteri*an9 además de %or su eKistencia9 %or su eficacia frente al riesgo )ue %retenden con>urar. a sal&aguarda ideal es +00V efica*9 eficacia )ue combina ; factores2
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0
Proyectos de análisis de riesgos
Vulnerabilidades
5e denomina &ulnerabilidad a toda debilidad )ue %uede ser a%ro&ecDada %or una amena*a9 o más detalladamente a las debilidades de los acti&os o de sus medidas de %rotección )ue facilitan el (Kito de una amena*a %otencial.
3.1.5. Paso 0: #ma,%o "es#)&a' El cálculo del im%acto residual es sencillo. #omo no Dan cambiado los acti&os9 ni sus de%endencias9 sino solamente la magnitud de la degradación9 se re%iten los cálculos de im%acto con este nue&o ni&el de degradación. 3.1.6. Paso : "#es$o "es#)&a' El cálculo del riesgo residual es sencillo. #omo no Dan cambiado los acti&os9 ni sus de%endencias9 sino solamente la magnitud de la degradación y la %robabilidad de las amena*as9 se re%iten los cálculos de riesgo usando el im%acto residual y la %robabilidad residual de ocurrencia. 3.2. Fo"ma'#!a,#/ )e 'as a,%##)a)es Este con>unto de acti&idades tiene los siguientes ob>eti&os2 L L
e&antar un modelo del &alor del sistema9 identificando y &alorando los acti&os rele&antes. e&antar un ma%a de riesgos del sistema9 identificando y &alorando las amena*as sobre
L L
a)uellos acti&os. e&antar un conocimiento de la situación actual de sal&aguardas. E&aluar el im%acto %osible sobre el sistema en estudio9 tanto el im%acto %otencial sin sal&a? guardas$9 como el im%acto residual incluyendo el efecto de las sal&aguardas des%legadas
L
%ara %roteger el sistema$. E&aluar el riesgo del sistema en estudio9 tanto el riesgo %otencial sin sal&aguardas$9 como el riesgo residual incluyendo el efecto de las sal&aguardas des%legadas %ara %roteger el sistema$.
El análisis de los riesgos se lle&a a cabo %or medio de las siguientes tareas2
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0
Proyectos de análisis de riesgos 3.2.1.
Ta"ea
MAR.1: Ca"a,%e"#!a,#/ )e
'os a,%#os
E
sta
acti&idad
consta de tres sub? tareas2 L L L
MA1.++2
"dentificación de los acti&os MA1.+;2 Ce%endencias entre acti&os MA1.+32 aloración de los acti&os
El ob>eti&o de estas tareas es reconocer los acti&os )ue com%onen el sistema9 definir las de%endencias entre ellos9 y determinar )ue %arte del &alor del sistema se so%orta en cada acti&o. Podemos resumirlo en la eK%resión conócete a ti mismoB.
3.2.2. Ta"ea MAR.2: Ca"a,%e"#!a,#/ )e 'as amea!as Esta acti&idad consta de dos sub?tareas2 L L
MA1.;+2 "dentificación de las amena*as MA1.;;2 aloración de las amena*as
El ob>eti&o de estas tareas es caracteri*ar el entorno al )ue se enfrenta el sistema9 )u( %uede %asar9 )u( consecuencias se deri&arían y cómo de %robable es )ue %ase. Podemos resumirlo en la eK%resión conoce a tu enemigoB. 3.2.3. Ta"ea MAR.3: Ca"a,%e"#!a,#/ )e 'as sa'a$&a")as Esta acti&idad consta de dos sub?tareas2 L L
MA1.3+2 "dentificación de las sal&aguardas %ertinentes MA1.3;2 aloración de las sal&aguardas
El ob>eti&o de estas tareas es doble2 saber )u( necesitamos %ara %roteger el sistema y saber si tenemos un sistema de %rotección a la altura de nuestras necesidades. 3.2.0. Ta"ea MAR.0: Es%#ma,#/ )e' es%a)o )e "#es$o En esta tarea se combinan los descubrimientos de las tareas anteriores MA1.+9 MA1.; y MA1.3$ %ara deri&ar estimaciones del estado de riesgo de la rgani*ación. Esta acti&idad consta de tres tareas2 L L
MA1.@+2 Estimación del im%acto MA1.@;2 Estimación del riesgo
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0 Proyectos de análisis de riesgos El ob>eti&o de estas tareas es dis%oner de una estimación fundada de lo )ue %uede ocurrir im%acto$ y de lo )ue %robablemente ocurra riesgo$.
3.3. Do,&me%a,#/ Documentación intermedia
L
Cocumentación auKiliar2 %lanos9 organigramas9 re)uisitos9 es%ecificaciones9 análisis funcio? nales9 cuadernos de carga9 manuales de usuario9 manuales de eK%lotación9 diagramas de flu>o de información y de %rocesos9 modelos de datos9 etc.
Documentación final
L
Modelo de &alor
L
Ma%a de riesgos
L
Ceclaración de a%licabilidad
L
"nforme de insuficiencias o &ulnerabilidades
L
Estado de riesgo
3.0. L#s%a )e ,o%"o'
0. P"o,eso )e $es%#/ )e "#es$os A la &ista de los im%actos y riesgos a )ue está eK%uesto el sistema9 Day )ue tomar una serie de decisiones condicionadas %or di&ersos factores2 L
la gra&edad del im%acto yTo del riesgo
L
las obligaciones a las )ue %or ley est( sometida la rgani*ación
L
las obligaciones a las )ue %or reglamentos sectoriales est( sometida la rgani*ación
L
las obligaciones a las )ue %or contrato est( sometida la rgani*ación
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0
Proyectos de análisis de riesgos
Centro del margen de maniobra )ue %ermita este marco9 %ueden a%arecer consideraciones adicionales sobre la ca%acidad de la rgani*ación %ara ace%tar ciertos im%actos de naturale*a intan?gible+: tales como2 L
relaciones con los clientes o usuarios9 tales como ca%acidad de retención9 ca%acidad de incrementar la oferta9 ca%acidad de diferenciarse frente a la com%etencia9 ...
L
relaciones con otras organi*aciones9 tales como ca%acidad de alcan*ar acuerdos estrat(gicos9 alian*as9 etc.
0.1. Co,e%os El análisis de riesgos determina im%actos y riesgos. os im%actos recogen daos absolutos9 inde? %endientemente de )ue sea más o menos %robable )ue se d( la circunstancia. En cambio9 el ries?go %ondera la %robabilidad de )ue ocurra. El im%acto refle>a el dao %osible lo %eor )ue %uede ocurrir$9 mientras )ue el riesgo refle>a el dao %robable lo )ue %robablemente ocurra$. A %artir de a)uí9 las decisiones son de los órganos de gobierno de la rgani*ación )ue actuarán en ; %asos2 L %aso +2 e&aluación L %aso ;2 tratamiento. a siguiente figura resume las %osibles decisiones )ue se %ueden tomar tras Daber estudiado los riesgos. a ca>a Westudio de los riesgosX %retende combinar el análisis con la e&aluación.
0.1.1. Ea'&a,#/: #%e""e%a,#/ )e 'os a'o"es )e #ma,%o 7 "#es$o "es#)&a'es. 5i el &alor residual es igual al &alor %otencial9 las sal&aguardas eKistentes no &alen %ara nada9 tí%icamente no %or)ue no Daya nada DecDo9 sino %or)ue Day elementos fundamentales sin Dacer. 0.1.2. A,e%a,#/ )e' "#es$o a Cirección de la rgani*ación sometida al análisis de riesgos debe determinar el ni&el de im%acto y riesgo ace%table. Más %ro%iamente dicDo9 debe ace%tar la res%onsabilidad de las insuficiencias. Esta decisión no es t(cnica. Puede ser una decisión %olítica o gerencial o %uede &enir determinada %or ley o %or com%romisos contractuales con %ro&eedores o usuarios. 0.1.3. T"a%am#e%o a Cirección %uede decidir a%licar algún tratamiento al sistema de seguridad des%legado %ara %roteger el sistema de información. Hay dos grandes o%ciones2 © Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0 Proyectos de análisis de riesgos 1educir el riesgo residual ace%tar un menor riesgo$. Am%liar el riesgo residual ace%tar un mayor riesgo$ Para tomar una u otra decisión Day )ue enmarcar los riesgos so%ortados %or el sistema de información dentro de un conteKto más am%lio )ue cubre un am%lio es%ectro de consideraciones de las )ue %odemos a%untar algunas sin %retender ser eKDausti&os2 #um%limiento de obligaciones' sean legales9 regulación %ública o sectorial9 com%romisos internos9 misión de la rgani*ación9 res%onsabilidad cor%orati&a9 etc. Posibles beneficios deri&ados de una acti&idad )ue en sí entraa riesgos #ondicionantes t(cnicos9 económicos9 culturales9 %olíticos9 etc. E)uilibrio con otros ti%os de riesgos2 comerciales9 financieros9 regulatorios9 medioambientales9 laborales. 0.1.0. Es%&)#o ,&a%#%a%#o )e ,os%es 8 ee+#,#os Es de sentido común )ue no se %uede in&ertir en sal&aguardas más allá del &alor )ue )ueremos %roteger. A%arecen en la %ráctica gráficos como el siguiente )ue %onen uno frente al otro el coste de la in? seguridad lo )ue costaría no estar %rotegidos$ y el coste de las sal&aguardas.
En la %ráctica9 cuando Day )ue %rotegerse de un riesgo )ue se considera significati&o9 a%arecen &arios escenarios Di%ot(ticos2 E9: si no se Dace nada E1: si se a%lica un cierto con>unto de sal&aguardas E2: si se a%lica otro con>unto de sal&aguardas así N escenarios con diferentes combinaciones de sal&aguardas. ? recurrente$ coste anual de mantenimiento de las sal&aguardas Y recurrente$ me>ora en la %roducti&idad;; Y recurrente$ me>oras en la ca%acidad de la rgani*ación %ara %restar nue&os ser&icios9 conseguir me>ores condiciones de los %ro&eedores9 entrar en asociación con otras organi*aciones9 etc. El escenario E0 es muy sim%le2 todos los aos se afronta un gasto marcado %or el riesgo9 )ue se acumula ao tras ao.
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0
Proyectos de análisis de riesgos
En E0 se sabe lo )ue cada ao se estima )ue$ se %ierde L El escenario E+ a%arece como mala idea9 %ues su%one un gasto aadido el %rimer ao' %ero este gasto no se recu%era en aos &enideros. L o así el escenario E; )ue9 su%oniendo un mayor desembolso inicial9 em%ie*a a ser rentable a %artir del cuarto ao. L Más atracti&o aún es el escenario E3 en el )ue a costa de un mayor desembolso inicial9 se em%ie*a a aDorrar al tercer ao9 e incluso se llega a obtener beneficios o%erati&os a %artir del )uinto ao. 5e %uede decir )ue en escenario E3 se Da DecDo una buena in&ersión. 0.1.. Es%&)#o ,&a'#%a%#o )e ,os%es 8 ee+#,#os Entre los as%ectos intangibles se suelen contem%lar2 As%ectos re%utacionales o de imagen. As%ectos de com%etencia2 com%aración con otras organi*aciones de mismo ámbito de acti&idad #um%limiento normati&o9 )ue %uede ser obligatorio o &oluntario #a%acidad de o%erar Producti&idad 0.1.5. Es%&)#o m#%o )e ,os%es 8 ee+#,#os En análisis de riesgos meramente cualitati&os9 la decisión la marca el balance de costes y beneficios intangibles9 si bien siem%re Day )ue Dacer un cálculo de lo )ue cuesta la solución y cerciorarse de )ue el gasto es asumible.
0.1.6. O,#oes )e %"a%am#e%o )e' "#es$o: e'#m#a,#/ Más &iable es %rescindir de otros com%onentes no esenciales9 )ue están %resentes sim%le y llanamente %ara im%lementar la misión9 %ero no son %arte constituyente de la misma. Esta o%ción %uede tomar diferentes formas2 Eliminar cierto ti%o de acti&os9 em%lean otros en su lugar. Por e>em%lo2 cambiar de sistema o%erati&o9 de fabricante de e)ui%os. 1eordenar la ar)uitectura del sistema. Por e>em%lo2 segregar redes9 e)ui%os %ara atender a necesidades concretas9 ale>ando lo más &alioso de lo más eK%uesto9 0.1.;. O,#oes )e %"a%am#e%o )e' "#es$o: m#%#$a,#/
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0 a mitigación del riesgo se refiere a una de dos o%ciones2
Proyectos de análisis de riesgos
1educir la degradación causada %or una amena*a a &eces se usa la eK%resión Wacotar el im%actoX$ 1educir la %robabilidad de )ue una amena*a de materiali*a. 0.1.<. O,#oes )e %"a%am#e%o )e' "#es$o: ,oma"%#,#/ Hay dos formas básicas de com%artir riesgo2 1iesgo cualitati&o2 se com%arte %or medio de la eKternali*ación de com%onentes del sistema9 de forma )ue se re%arten res%onsabilidades2 unas t(cnicas %ara el )ue o%era el com%onen?te t(cnico. 1iesgo cuantitati&o2 se com%arte %or medio de la contratación de seguros9 de forma )ue a cambio de una %rima9 el tomador reduce el im%acto de las %osibles amena*as y el asegurador corre con las consecuencias. 0.1.19. O,#oes )e %"a%am#e%o )e' "#es$o: +#a,#a,#/ #uando se ace%ta un riesgo9 la rgani*ación Dará bien en reser&ar fondos %ara el caso de )ue el riesgo se concrete y Daya )ue res%onder de sus consecuencias. A &eces de Dabla de Wfondos de contingenciaX y tambi(n %uede ser %arte de los contratos de aseguramiento. 0.2. Fo"ma'#!a,#/ )e 'as a,%##)a)es
0.2.1. Ro'es 7 +&,#oes En el %roceso de gestión de riesgos a%arecen &arios actores. os siguientes %árrafos intentan identificarlos de forma somera y eK%licitar cuales son sus funciones y res%onsabilidades. ="$aos )e $o#e"o En este e%ígrafe se incluyen a)uellos )ue órganos colegiados o uni%ersonales )ue deciden la misión y los ob>eti&os de la rgani*ación. D#"e,,#/ e>e,&%#a En este e%ígrafe se incluyen a)uellos órganos colegiados o uni%ersonales )ue toman deci? siones )ue concretan cómo alcan*ar los ob>eti&os de negocio marcados %or los órganos de gobierno. D#"e,,#/ oe"a,#oa' En este e%ígrafe se incluyen a)uellos órganos colegiados o uni%ersonales )ue toman deci? siones %rácticas %ara materiali*ar las indicaciones dadas %or los órganos e>ecuti&os. Es?&ema Na,#oa' )e Se$&"#)a) En el Es)uema acional de 5eguridad de identifican ciertos roles )ue %ueden &erse in&olucrados en el %roceso de gestión de riesgos2 Resosa'e )e 'a #+o"ma,#/ © Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0 Resosa'e )e' se"#,#o Resosa'e )e 'a se$&"#)a) Resosa'e )e' s#s%ema A)m##s%"a)o"es 7 oe"a)o"es
Proyectos de análisis de riesgos
Ma%"#! RACI
0.2.2. Co%e%o Hay )ue identificar las obligaciones legales9 reglamentarias y contractuales. Por e>em%lo9 suele Daber obligaciones asociadas a2 !ratamiento de datos de carácter %ersonal. !ratamiento de información clasificada. !ratamiento de información y %roductos sometidos a derecDos de %ro%iedad intelectual. Prestación de ser&icios %úblicos. %eración de infraestructuras críticas. 0.2.3. C"#%e"#os Múlti%les as%ectos relacionados con los riesgos son ob>eto de estimaciones. #on&iene )ue las estimaciones sean lo más ob>eti&as )ue sea %osible o. al menos9 )ue sean re%etibles9 eK%licables y com%arables. 0.2.0. Ea'&a,#/ )e 'os "#es$os 5e sigue la metodología descrita en el ca%ítulo anterior. a %rimera &e* )ue se e>ecuta esta acti&idad %uede ser con&eniente lan*ar un %royecto es%ecífico de análisis de riesgos. 0.2.. De,#s#/ )e %"a%am#e%o Hay múlti%les formas de reducir el riesgo2 Eliminar el riesgo eliminando sus causas2 información tratada9 ser&icios %restados9 ar)uitectura del sistema. 1educir o limitar el im%acto 0.2.5. Com&#,a,#/ 7 ,os&'%a Antes de tomar ninguna decisión relati&a al tratamiento de un riesgo Day )ue entender %ara )u( se usa el sistema y cómo se usa. 0.2.6. Se$m#e%o 7 "e#s#/ El análisis de los riesgos es un e>ercicio formal9 basado en múlti%les estimaciones y &aloraciones )ue %ueden no com%adecerse con la realidad. 0.3. Do,&me%a,#/ )e' "o,eso Documentación interna
+ ; 3 @
Cefinición de roles9 funciones y es)uemas de re%orte #riterios de &aloración de la información #riterios de &aloración de los ser&icios #riterios de e&aluación de los escenarios de im%acto y riesgo
Documentación para otros
+ Plan de 5eguridad 0.0. I)#,a)o"es )e ,o%"o' )e' "o,eso )e $es%#/ )e "#es$os © Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0
Proyectos de análisis de riesgos
. P"o7e,%os )e a@'#s#s )e "#es$os En esta sección se %resentan las consideraciones )ue se deben tener en cuenta %ara )ue este %royecto llegue a buen t(rmino. PA1.+ J Acti&idades %reliminares PA1.; J Elaboración del análisis de riesgos PA1.3 J #omunicación de resultados .1. Ro'es 7 +&,#oes Com#% )e Se$m#e%o Está constituido %or los res%onsables de las unidades afectadas %or el %royecto E?o )e "o7e,%o
A,%##)a)es "e'#m#a"es © Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0
Proyectos de análisis de riesgos
Tarea PAR.! Estudio de oportunidad
5e fundamenta la o%ortunidad de la reali*ación9 aDora9 del %royecto de análisis de riesgos9 enmarcándolo en el desarrollo de las demás acti&idades de la rgani*ación. El resultado de esta acti&idad es el informe denominado %reliminarB. Tarea PAR."! Determinación del alcance del pro#ecto
5e definen los ob>eti&os finales del %royecto9 su dominio y sus límites. El resultado de esta acti&idad es un %erfil de %royecto de análisis de riesgos. Tarea PAR.$! Planificación del pro#ecto
El resultado de esta acti&idad está constituido %or2 -n %lan de traba>o %ara el %royecto Procedimientos de traba>o Tarea PAR.%! &anzamiento del pro#ecto
El resultado de esta acti&idad está constituido %or2 os cuestionarios %ara las entre&istas El catálogo de ti%os de acti&os a relación de dimensiones de seguridad os criterios de &aloración .2.2. Ta"ea PAR.12: De%e"m#a,#/ )e' a',a,e )e' "o7e,%o -n %royecto de análisis de riesgos %uede %erseguir ob>eti&os a muy corto %la*o tales como el aseguramiento de cierto sistema o un cierto %roceso de negocio9 o %uede %retender ob>eti&os más am%lios como fuera el análisis global de la seguridad de la rgani*ación. Para incor%orar las restricciones al análisis y ges?tión de riesgos9 estas se agru%an %or distintos conce%tos9 tí%icamente2
• • • • • • • • • • •
1estricciones %olíticas o gerenciales 1estricciones estrat(gicas 1estricciones geográficas 1estricciones tem%orales 1estricciones estructurales 1estricciones funcionales 1estricciones legales 1estricciones relacionadas con el %ersonal 1estricciones metodológicas 1estricciones culturales 1estricciones %resu%uestarias
A',a,e Para )ue el alcance )uede determinado debemos concretar2 Los a,%#os ese,#a'es2 información )ue se mane>a y ser&icios )ue se %restan Los &%os )e #%e",am#o de interconeKión con otros sistemas9 aclarando )u( información se intercambia y )u( ser&icios se %restan mutuamente Los "oee)o"es e%e"os en los )ue se a%oya nuestro sistema de información • •
•
© Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0
Proyectos de análisis de riesgos
PAR! Pro#ecto de an'lisis de riesgos PAR.! Actividades preliminares PAR."! Determinación del alcance del pro#ecto
P"o)&,%os )e e%"a)a 1eco%ilación de la documentación %ertinente de la rgani*ación •
P"o)&,%os )e sa'#)a Es%ecificación detallada de los ob>eti&os del %royecto •
•
1elación de restricciones generales
•
1elación de unidades de la rgani*ación )ue se &erán afectadas como %arte del %royecto
•
ista de roles rele&antes en la unidades incluidas en el alcance del %royecto
•
los acti&os esenciales
•
los %untos de interconeKión con otros sistemas
T,#,as "@,%#,as 7 a&%as Entre&istas &er Q/uía de !(cnicasQ$ •
•
1euniones
•
)&*&*+.&+ rainstorming
•
)&*&*+.'+ tructured or semi-structured intervies
Pa"%#,#a%es El comit( de seguimiento •
-n %royecto de análisis de riesgos %uede %erseguir ob>eti&os a muy corto %la*o tales como el ase? guramiento de cierto sistema o un cierto %roceso de negocio9 o %uede %retender ob>eti&os más am%lios como fuera el análisis global de la seguridad de la rgani*ación. En todo caso9 Day )ue determinarlo. Es%ecialmente a la Dora de tomar acciones correctoras9 Day )ue tener en cuenta )ue no todo &a? leB9 sino )ue el %royecto se encontrará con una serie de restricciones9 no necesariamente t(cni? cas9 )ue establecen un marco al )ue atenerse. Para incor%orar las restricciones al análisis y ges? tión de riesgos9 estas se agru%an %or distintos conce%tos9 tí%icamente2 1estricciones %olíticas o gerenciales !í%icas de organi*aciones gubernamentales o fuertemente relacionadas con organismos gubernamentales9 bien como %ro&eedores o como suministradores de ser&icios. 1estricciones estrat(gicas Ceri&adas de la e&olución %re&ista de la estructura u ob>eti&os de la rgani*ación. 1estricciones geográficas Ceri&adas de la ubicación física de la rgani*ación o de su de%endencia de medios físicos de comunicaciones. "slas9 em%la*amientos fuera de las fronteras9 etc. 1estricciones tem%orales Zue toman en consideración situaciones coyunturales2 conflicti&idad laboral9 crisis interna? cional9 cambio de la %ro%iedad9 reingeniería de %rocesos9 etc. © Ministerio de Hacienda y Administraciones Públicas
Magerit 3.0
© Ministerio de Hacienda y Administraciones Públicas
Proyectos de análisis de riesgos
1estricciones estructurales !omando en consideración la organi*ación interna2 %rocedimientos de toma de decisiones9 de%endencia de casas matrices internacionales9 etc. 1estricciones funcionales Zue tienen en cuenta los ob>eti&os de la rgani*ación. 1estricciones legales eyes9 reglamentos9 regulaciones sectoriales9 contratos eKternos e internos9 etc. 1estricciones relacionadas con el %ersonal Perfiles laborales9 com%romisos contractuales9 com%romisos sindicales9 carreras %rofesiona? les9 etc. 1estricciones metodológicas Ceri&adas de la naturale*a de la organi*ación y sus Dábitos o Dabilidades de traba>o )ue %ueden im%oner una cierta forma de Dacer las cosas. 1estricciones culturales a culturaB o forma interna de traba>ar %uede ser incom%atible con ciertas sal&aguardas teó? ricamente ideales. 1estricciones %resu%uestarias a cantidad de dinero es im%ortante' %ero tambi(n la forma de %lanificar el gasto y de e>ecu? tar el %resu%uesto
A',a,e Esta tarea identifica las unidades ob>eto del %royecto y es%ecifica las características generales de dicDas unidades en cuanto a res%onsables9 ser&icios %ro%orcionados y ubicaciones geográficas. !ambi(n identifica las %rinci%ales relaciones de las unidades ob>eto del %royecto con otras entida? des9 %or e>em%lo el intercambio de información en di&ersos so%ortes9 el acceso a medios informá? ticos comunes9 etc. Para )ue el alcance )uede determinado debemos concretar2 —
'os a,%#os ese,#a'es2 información )ue se mane>a y ser&icios )ue se %restan
—
'os &%os )e #%e",am#o de interconeKión con otros sistemas9 aclarando )u( información se intercambia y )u( ser&icios se %restan mutuamente
—
'os "oee)o"es e%e"os en los )ue se a%oya nuestro sistema de información
Ta"ea PAR.13: P'a#+#,a,#/ )e' "o7e,%o Pro#ecto de an'lisis de riesgos PAR.! Actividades preliminares PAR.$! Planificación del pro#ecto
O>e%#os Cefinir los gru%os de interlocutores2 usuarios afectados en cada unidad •
•
•
•
•
Planificar las entre&istas de recogida de información Ceterminar el &olumen de recursos necesarios %ara la e>ecución del %royecto2 Dumanos9 tem%orales y financieros Elaborar el calendario concreto de reali*ación de las distintas eta%as9 acti&idades y tareas del %royecto Establecer un calendario de seguimiento )ue defina las fecDas tentati&as de reuniones del comit( de dirección9 el %lan de entregas de los %roductos del %royecto9 las %osibles
P"o)&,%os )e e%"a)a 1esultados de la acti&idad A+.;9 Ceterminación del alcance del %royecto •
P"o)&,%os )e sa'#)a 1elación de %artici%antes en los gru%os de interlocutores •
•
Plan de entre&istas
•
"nforme de recursos necesarios
T,#,as "@,%#,as 7 a&%as Planificación de %royectos •
Pa"%#,#a%es El director de %royecto •
•
El comit( de seguimiento
El %lan de entre&istas debe detallar a )u( %ersona se &a a entre&istar9 cuándo y con )u( ob>eti&o. Este %lan %ermite determinar la carga )ue el %royecto &a a su%oner %ara las unidades afectadas9 bien del dominio9 bien del entorno.
Ta"ea PAR.10: La!am#e%o )e' "o7e,%o Esta acti&idad com%leta las tareas %re%aratorias del lan*amiento del %royecto2 em%e*ando %or se? leccionar y ada%tar los cuestionarios )ue se utili*arán en la recogida de datos y %or reali*ar la cam%aa informati&a de sensibili*ación a los im%licados.
Pro#ecto de an'lisis de riesgos PAR.! Actividades preliminares PAR.%! &anzamiento del pro#ecto
O>e%#os Cis%oner de los elementos de traba>o %ara acometer el %royecto •
P"o)&,%os )e e%"a)a Marco de traba>o establecido en el Proceso de /estión de 1iesgos2 criterios y relaciones con las %artes afectadas •
P"o)&,%os )e sa'#)a #uestionarios ada%tados •
•
Ceterminar el catálogo de ti%os de acti&os
•
Ceterminar las dimensiones de &aloración de acti&os
•
•
•
•
Ceterminar los ni&eles de &aloración de acti&os9 incluyendo una guía unificada de criterios %ara asignar un cierto ni&el a un cierto acti&o Ceterminar los ni&eles de &aloración de las amena*as2 frecuencia y degradación Asignar los recursos necesarios Dumanos9 de organi*ación9 t(cnicos9 etc.$ %ara la reali*a? ción del %royecto "nformar a las unidades afectadas
T,#,as "@,%#,as 7 a&%as #uestionarios &er Q#atálogo de ElementosQ$ •
Pa"%#,#a%es El director del %royecto •
•
El e)ui%o de %royecto
a tarea ada%ta los cuestionarios a utili*ar en la recogida de información en el %roceso P+ en fun? ción de los ob>eti&os del %royecto9 del dominio y de los temas a %rofundi*ar con los usuarios. os cuestionarios se ada%tan con el ob>eti&o de identificar correctamente los elementos de traba>o2 acti&os9 amena*as9 &ulnerabilidades9 im%actos9 sal&aguardas eKistentes9 restricciones generales9 etc. en %re&isión de las necesidades de las acti&idades A;.+ caracteri*ación de los acti&os$9 A;.; caracteri*ación de las amena*as$ y A;.3 caracteri*ación de las sal&aguardas$.
PAR.2 B E'ao"a,#/ )e' a@'#s#s )e "#es$os 5e siguen los %asos del m(todo descrito en el ca%ítulo F anterior. a mayor %arte de las tareas re)uerirán dos o tres entre&istas con los interlocutores a%ro%iados2
© Ministerio de Hacienda y Administraciones Públicas
%ágina G0 de +;G$
—
una %rimera entre&ista %ara eK%oner las necesidades y recabar los datos
—
una segunda entre&ista %ara &alidar )ue los datos son com%letos y se Dan entendido correc? tamente
—
según las circunstancias %uede ser necesaria alguna entre&ista adicional si la &alidación le? &anta mucDas ineKactitudes o dudas
El todas estas tareas debe %rocurarse mane>ar documentación escrita sometida a un %roceso for? mal de gestión' es decir9 a%robada y con unos %rocedimientos de re&isión continua. a información de carácter &erbal o informal debe limitarse a facilitar la com%rensión9 no a transmitir elementos sustanciales )ue no están documentados en %arte alguna.
PAR.3 B Com&#,a,#/ )e "es&'%a)os a salida de la fase de análisis es la entrada de la fase de tratamiento. Para la tomar decisiones de tratamiento es necesario conocer tanto los indicadores residuales como los indicadores %oten? ciales de im%acto y riesgo. %ara cada escenario de riesgo es necesario dis%oner de información suficiente %ara %oder entender en )u( consiste el riesgo9 así como su dinámica y los ra*onamien? tos o la base de las estimaciones em%leadas %ara deri&ar resultados. o basta conocer el &alor final del indicador9 sino )ue Day )ue %oder anali*ar el %or )u( de ese &alor.
Co%"o' )e' "o7e,%o #%os )e ,o%"o' #%o )e ,o%"o' 1.1: a Cirección %rocederá a la a%robación o no de la reali*ación del %royecto de análisis de riesgos9 basándose en el estudio de o%ortunidad reali*ado %or el %romotor. #%o )e ,o%"o' 1.2: El comit( de seguimiento del %royecto &alidará el informe de QPlanificación del Proyecto de Análisis de 1iesgosQ )ue contendrá una síntesis de los %roductos obtenidos en las acti&ida? des reali*adas en el %roceso P+.
Do,&me%a,#/ "es&'%a%e Documentación intermedia •
•
•
•
•
•
1esultados de las entre&istas. Cocumentación de otras fuentes2 estadísticas9 obser&aciones de eK%ertos y obser&aciones de los analistas. Cocumentación auKiliar2 %lanos9 organigramas9 re)uisitos9 es%ecificaciones9 análisis funcio? nales9 cuadernos de carga9 manuales de usuario9 manuales de eK%lotación9 diagramas de flu>o de información y de %rocesos9 modelos de datos9 etc. Análisis de los resultados9 con la detección de las áreas críticas cla&es. "nformación eKistente utili*able %or el %royecto %or e>em%lo in&entario de acti&os$ 1esultados de %osibles a%licaciones de m(todos de análisis y gestión de riesgos reali*adas anteriormente %or e>em%lo catalogación9 agru%ación y &aloración de acti&os9 amena*as9 &ulnerabilidades9 im%actos9 riesgo9 mecanismos de sal&aguarda9 etc.$.
© Ministerio de Hacienda y Administraciones Públicas
%ágina G+ de +;G$
Documentación final •
Modelo de &alor2 identificación de acti&os >unto con sus de%endencias y &aloración %ro%ia y acumulada
•
Ma%a de amena*as >unto con sus consecuencias y %robabilidad de ocurrencia.
•
Cocumento de a%licabilidad de las sal&aguardas.
•
"nforme de &aloración de la efecti&idad de las sal&aguardas %resentes.
•
"nforme de insuficiencias o debilidades del sistema de sal&aguardas.
•
"ndicadores de im%acto y riesgo9 %otenciales y residuales.
Magerit 3.0
Plan de seguridad
:. P'a )e se$&"#)a) Esta sección trata de cómo lle&ar a cabo %lanes de seguridad9 entendiendo %or tales %royectos %ara materiali*ar las decisiones ado%tadas %ara el tratamiento de los riesgos. Estos %lanes reciben diferentes nombres en diferentes conteKtos y circunstancias2 •
•
%lan de me>ora de la seguridad
•
%lan director de seguridad
•
%lan estrat(gico de seguridad
%lan de adecuación en concreto es el nombre )ue se usa en el E5$ 5e identifican 3 tareas2 PS Plan !e Seg"ri!a! 0S.1 2 Identi3cación de (royectos de seguridad 0S.4 2 0lan de e5ecución 0S.6 2 E5ecución
Ta"ea PS.1: I)e%#+#,a,#/ )e "o7e,%os )e se$&"#)a) 5e traducen las decisiones de tratamiento de los riesgos en acciones concretas. PS! Plan de seguridad PS.! Identificación de pro#ectos de seguridad
O>e%#os Elaborar un con>unto armónico de %rogramas de seguridad P"o)&,%os )e e%"a)a •
•
1esultados de las acti&idades de análisis y tratamiento de riesgos
•
#onocimientos de t(cnicas y %roductos de seguridad
•
P"o)&,%os )e sa'#)a 1elación de %rogramas de seguridad T,#,as "@,%#,as 7 a&%as •
•
Planificación de %royectos
Pa"%#,#a%es •
El e)ui%o de %royecto
•
Es%ecialistas en seguridad
•
Ta"ea PS.2: P'a#+#,a,#/ )e 'os "o7e,%os )e se$&"#)a) PS! Plan de seguridad PS."! Plan de
O>e%#os rdenar tem%oralmente los %rogramas de seguridad P"o)&,%os )e e%"a)a •
•
1esultados de las acti&idades de análisis y tratamiento de riesgos
1esultados de la tarea P5.+ Programas de seguridad P"o)&,%os )e sa'#)a •
•
#ronograma de e>ecución del %lan
P'a )e Se$&"#)a) T,#,as "@,%#,as 7 a&%as •
•
Análisis de riesgos &er M(todo de Análisis de 1iesgosB$
Planificación de %royectos Pa"%#,#a%es •
•
Ce%artamento de desarrollo
•
Ce%artamento de com%ras
Hay )ue ordenar en el tiem%o los %royectos de seguridad teniendo en cuenta los siguientes facto? res2 •
•
•
•
la criticidad9 gra&edad o con&eniencia de los im%actos yTo riesgos )ue se afrontan9 teniendo máKima %rioridad los %rogramas )ue afronten situaciones críticas el coste del %rograma la dis%onibilidad del %ersonal %ro%io %ara res%onsabili*arse de la dirección y9 en su caso9 e>ecución$ de las tareas %rogramadas otros factores como %uede ser la elaboración del %resu%uesto anual de la rgani*ación9 las relaciones con otras organi*aciones9 la e&olución del marco legal9 reglamentario o contrac? tual9 etc.
!í%icamente un %lan de seguridad se %lanifica en tres ni&eles de detalle2 P'a )#"e,%o" (&o*. A menudo denominado %lan de actuaciónB9 traba>a sobre un %eriodo largo tí%icamente en? tre 3 y 7 aos$9 estableciendo las directrices de actuación. P'a a&a' (&a se"#e )e 'aes a&a'es*. !raba>a sobre un %eriodo corto tí%icamente entre + y ; aos$9 estableciendo la %lanificación de los %rogramas de seguridad. P'a )e "o7e,%o (& ,o>&%o )e "o7e,%os ,o s& 'a#+#,a,#/*. !raba>a en el corto %la*o tí%icamente menos de + ao$9 estableciendo el %lan detallado de e>ecución de cada %rograma de seguridad.
Ta"ea PS.3: E>e,&,#/ )e' 'a PS! Plan de seguridad PS.$! E(ecución
O>e%#os Alcan*ar los ob>eti&os %re&istos en el %lan de seguridad %ara cada %royecto %lanificado P"o)&,%os )e e%"a)a •
•
1esultados de las acti&idades P5.+ %royectos de seguridad$ y P5.; %lanificación$
•
Proyecto de seguridad )ue nos ocu%a
P"o)&,%os )e sa'#)a •
5al&aguardas im%lantadas
•
ormas de uso y %rocedimientos de o%eración
•
5istema de indicadores de eficacia y eficiencia del desem%eo de los ob>eti&os de seguri? dad %erseguidos
•
Modelo de &alor actuali*ado
•
Ma%a de riesgos actuali*ado
T,#,as "@,%#,as 7 a&%as •
Análisis de riesgos &er M(todo de Análisis de 1iesgosB$
Planificación de %royectos Pa"%#,#a%es •
•
El e)ui%o de %royecto2 e&olución del análisis de riesgos
•
Personal es%eciali*ado en la sal&aguarda en cuestión
L#s%a )e ,o%"o' )e 'os 'aes )e se$&"#)a) √
a,%##)a)
%a"e
5e Dan definido los %royectos constituyentes
P5.
5e Dan definido las interde%endencias entre %royectos necesidades de )ue uno a&an? ce %ara )ue %rogrese otro$
P5. +
5e Dan asignado recursos — dis%onibles %ara los %royectos en curso
P5. ;
re&istos ara los ro ectos ue se uirán en el futuro 5e Dan definido roles y res%onsabilidades
P5.
5e Da establecido un calendario de e>ecución
P5.
5e Dan definido indicadores de %rogreso
P5.
5e Dan %re&isto necesidades de concienciación y formación
P5.
5e Dan %re&isto necesidades de documentación2 — normati&a de seguridad y
P5. +
—
—
rocedimientos o erati&os de se uridad
Magerit 3.0
Cesarrollo de sistemas de información
G. Desa""o''o )e s#s%emas )e #+o"ma,#/ as a%licaciones /softare# constituyen un ti%o de acti&os frecuente y nuclear %ara el tratamiento de la información en general y %ara la %restación de ser&icios basados en a)uella información El Es)uema acional de 5eguridad recoge el riesgo como %ie*a fundamental de la seguridad de los sistemas en &arios de sus %rinci%ios básicos2 A"%,&'o . La se$&"#)a) ,omo & "o,eso #%e$"a'. +. a seguridad se entenderá como un %roceso integral constituido %or todos los elementos t(cnicos9 Dumanos9 materiales y organi*ati&os9 relacionados con el sistema. a a%licación del Es)uema acional de 5eguridad estará %residida %or este %rinci%io9 )ue eKcluye cual)uier actuación %untual o tratamiento coyuntural. ;. 5e %restará la máKima atención a la concienciación de las %ersonas )ue inter&ienen en el %roceso y a sus res%onsables >erár)uicos9 %ara )ue9 ni la ignorancia9 ni la falta de organi? *ación y coordinación9 ni instrucciones inadecuadas9 sean fuentes de riesgo %ara la segu? ridad. A"%,&'o 5. Ges%#/ )e 'a se$&"#)a) asa)a e 'os "#es$os. +. El análisis y gestión de riesgos será %arte esencial del %roceso de seguridad y deberá mantenerse %ermanentemente actuali*ado. ;. a gestión de riesgos %ermitirá el mantenimiento de un entorno controlado9 minimi*ando los riesgos Dasta ni&eles ace%tables. a reducción de estos ni&eles se reali*ará mediante el des%liegue de medidas de seguridad9 )ue establecerá un e)uilibrio entre la naturale*a de los datos y los tratamientos9 los riesgos a los )ue est(n eK%uestos y las medidas de seguridad. A"%,&'o <. Reea'&a,#/ e"#/)#,a. as medidas de seguridad se ree&aluarán y actuali*arán %eriódicamente9 %ara adecuar su eficacia a la constante e&olución de los riesgos y sistemas de %rotección9 llegando in? cluso a un re%lanteamiento de la seguridad9 si fuese necesario. Curante el desarrollo de un sistema de información9 se %ueden identificar dos ti%os de acti&idades diferenciadas2 •
•
SSI2 acti&idades relacionadas con la %ro%ia seguridad del sistema de información )ue se es? tá desarrollando. SPD2 acti&idades )ue &elan %or la seguridad del %roceso de desarrollo del sistema de infor? mación.
I#,#a'#!a,#/ )e 'os "o,esos Hay &arias ra*ones )ue %ueden lle&ar a %lantear el desarrollo de un nue&o sistema de información o la modificación de uno ya eKistente2
N&eos se"#,#os 78o )a%os. •
•
1e)uiere el desarrollo de un nue&o sistema o la modificación de un sistema ya o%erati&o. Puede im%licar la desa%arición de %artes actualmente o%erati&as. a iniciati&a la lle&a el res%onsable de desarrollo9 actuando el res%onsable de seguridad como subsidiario.
Eo'&,#/ %e,o'/$#,a. as tecnologías !"# se encuentran en e&olución continua9 %udiendo %resentarse cambios en las t(cnicas de desarrollo de sistemas9 en los lengua>es o las %lata? formas de desarrollo9 en las %lataformas de eK%lotación9 en los ser&icios de eK%lotación9 en los ser&icios de comunicaciones9 etc. •
•
1e)uiere el desarrollo de un nue&o sistema o la modificación de un sistema ya o%erati&o. Puede im%licar la desa%arición de %artes actualmente o%erati&as. a iniciati&a la lle&a el res%onsable de desarrollo9 actuando el res%onsable de seguridad como subsidiario.
Mo)#+#,a,#/ )e 'a ,a'#+#,a,#/ )e se$&"#)a) )e se"#,#os o )a%os. •
•
!í%icamente re)uiere la modificación de un sistema ya o%erati&o. 1aramente im%lica el desarrollo de un nue&o sistema o la desa%arición de %artes actualmente o%erati&as. a iniciati&a la lle&a el res%onsable de seguridad9 actuando el res%onsable de sistemas como subsidiario.
Cos#)e"a,#/ )e &eas amea!as. a e&olución de las tecnologías y los ser&icios de co? municaciones %ueden Dabilitar nue&as amena*as o con&ertir amena*as )ue eran des%recia? bles en el %asado en amena*as rele&antes en el futuro. •
•
!í%icamente re)uiere la modificación del sistema9 bien en sus com%onentes o9 más fre? cuentemente9 en sus condiciones de eK%lotación. 1aramente im%lica el desarrollo de un nue&o sistema o la desa%arición de %artes actualmente o%erati&as. a iniciati&a la lle&a el res%onsable de seguridad9 actuando el res%onsable de sistemas como subsidiario.
Mo)#+#,a,#/ )e 'os ,"# %e"#os )e ,a'#+#,a,#/ )e "#es$os. Puede &enir inducido %or criterios de calidad o%erati&a9 %or no&edades en la legislación a%licable9 en la reglamentación secto? rial o %or acuerdos o contratos con terceros. •
•
!í%icamente re)uiere la modificación del sistema. 1aramente im%lica el desarrollo de un nue&o sistema o la desa%arición de %artes actualmente o%erati&as. a iniciati&a la lle&a el res%onsable de seguridad9 actuando el res%onsable de sistemas como subsidiario.
SSI B Se$&"#)a) )e' s#s%ema )e #+o"ma,#/ !oda la eKistencia de un sistema de información %uede &erse como eta%as de concreción crecien? te9 desde una %ers%ecti&a muy global durante los %rocesos de %lanificación Dasta una &isión en detalle durante el desarrollo y eK%lotación. o obstante9 este ciclo de &ida no es lineal9 sino )ue frecuentemente Dabrá )ue tantear o%ciones alternati&as y re&isar decisiones tomadas.
C#,'o )e #)a )e 'as a'#,a,#oes !í%icamente9 una a%licación sigue un ciclo de &ida a tra&(s de &arias fases2
es(eci3cación
desarrollo (ro(io ad&uisición 7estándar8 desarrollo su!contratado
ace%tació
des%liegu
o%eració mantenimiento
!lustración &". 0iclo de vida de las aplicaciones
Ese,#+#,a,#/. En esta fase se determinan los re)uisitos )ue debe satisfacer la a%licación y se elabora un %lan %ara las siguientes fases. A)?s#,#/ o )esa""o''o. Para traducir una es%ecificación en una realidad9 se %uede ad)uirir un %roducto9 o se %uede desarrollar9 bien en casa9 bien %or subcontratación eKterna. A,e%a,#/. !anto si es una a%licación nue&a como si es modificación de una a%licación ante? rior9 nunca una a%licación debe entrar en o%eración sin Daber sido formalmente ace%tada. Des'#e$&e. #onsistente en instalar el código en el sistema y configurarlo %ara )ue entre en o%eración. Oe"a,#/. a a%licación se usa %or %arte de los usuarios9 siendo atendidos los incidentes %or %arte de usuarios yTo los o%eradores. Ma%e#m#e%o. ,ien %or)ue a%arecen nue&os re)uisitos9 bien %or)ue se Da detectado un fa? llo9 la a%licación %uede re)uerir un mantenimiento )ue obligue a regresar a cual)uiera de las eta%as anteriores9 en última instancia a la es%ecificación básica.
MTRICA e"s#/ 3 a metodología M[!1"#A ersión 3 ofrece a las rgani*aciones un instrumento %ara la sistemati?
*ación de las acti&idades )ue dan so%orte al ciclo de &ida del softare. M[!1"#A &ersión 3 identi? fica los siguientes elementos2
(lani3cación 0SI gestión de con3guración planificación PSI
desarrollo E9SASI EVS
:SI
ASI
DSI
CSI CSI
aseguramiento de la calidad IAS IAS
gestión de (royectos
desarrollo
mantenimiento MSI EVS
ASI
DSI
CSI
IAS
seguridad
!lustración &1. 23trica ) - %ctividades
M(trica 3 es%ecificación
P5" J Planificación del sistema de información E5 J Estudio de &iabilidad del sistema
ad)uisición o desarrollo
C5" J Ciseo del sistema de información. #5" J #onstrucción del sistema de información
ace%tación
"A5 J "m%lantación y ace%tación del sistema
des%liegue o%eración mantenimiento
M5" J Mantenimiento del sistema de información
abla 1. 0iclo de vida y actividades en 23trica )
Co%e%o 5e debe determinar el conteKto general2 —
%olítica de seguridad y normas
—
re)uisitos de cum%limiento normati&o
—
obligaciones contractuales
—
roles y funciones
—
criterios de &aloración de información y ser&icios
—
criterios de &aloración de riesgos
—
criterios de ace%tación de riesgos
Fase )e ese,#+#,a,#/: a)?s#,#/ )e )a%os 5e debe reco%ilar información sobre —
la información esencial y sus re)uisitos de seguridad
© Ministerio de Hacienda y Administraciones Públicas
%ágina 60 de +;G$
—
los ser&icios esenciales y sus re)uisitos de seguridad
—
el conteKto en el )ue se &a a desarrollar y eK%lotar el sistema
Fase )e )#seo: es%&)#o )e o,#oes a toma de decisiones de tratamiento de los riesgos %uede recomendar sal&aguardas e&aluando su efecto en los indicadores de im%acto y riesgo. as decisiones )ue se ado%ten de%enderán de los criterios establecidos en la %olítica de seguridad de la rgani*ación y de otras consideraciones es%ecíficas de cada caso. An'lisis # tratamiento de los riesgos
a seguridad re)uerida %ara la información )ue se mane>a y los ser&icios )ue se %restan )uedó fi>ada en la fase de es%ecificación y no se %uede modificar aDora.
Soo"%e a' )esa""o''o: &%os ,"%#,os Curante el desarrollo Day )ue incor%orar las sal&aguardas a%robadas en la fase de diseo9 así como controles )ue %ermitan monitori*ar su eficacia. Estos re)uisitos de monitori*ación se suelen concretar en los siguientes as%ectos2 —
registros de acti&idad
—
mecanismos %ara %rocesar estos registros e informar de la efecti&idad del sistema de %rotec? ción
—
dis%aro de alarmas cuando los DecDo e&idencian un %roblema de seguridad
© Ministerio de Hacienda y Administraciones Públicas
A,e%a,#/ 7 &es%a e ma",Ha: &%os ,"%#,os #uando el sistema se %rueba antes de %onerlo en funcionamiento9 debe re&isarse )ue todos los registros de acti&idad funcionan correctamente9 así como los sistemas de %rocesamiento y de alarma incor%orados al sistema. !ambi(n debe com%robarse )ue el sistema res%onde al diseo %re&isto9 concretamente )ue las sal&aguardas están des%legadas9 )ue su des%liegue es efecti&o y )ue no eKisten formas de cir? cun&alarlas u ob&iarlas2 es decir )ue el sistema no %ermite %uertas traseras fuera de control. 5istemas$ de identificación y autenticación2 —
todo acceso al sistema re)uiere )ue el usuario se identifi)ue y se autenti)ue según lo %re&is? to9 blo)ueando cual)uier otra forma de acceso
—
los mecanismos de identificación y autenticación están %rotegidos %ara e&itar )ue un atacan? te %ueda acceder a información o mecanismos )ue %ongan en %eligro su efecti&idad
5istemas$ de control de acceso2 —
todo acceso a la información y a los ser&icios &erifica %re&iamente )ue el usuario tiene las au? tori*aciones %ertinentes
5er&icios eKternali*ados2 cuando %arte de la o%eración del sistema está delegada en un tercero2 —
Day )ue re&isar los contratos de %restación del ser&icio
—
Day )ue re&isar la com%letitud de los %rocedimientos de re%orte y gestión de incidencias
5i el sistema no refle>a el modelo cuyos riesgos Dan sido anali*ados9 será recDa*ado sin %asar a %roducción. Hay )ue &erificar )ue la documentación de seguridad es clara y %recisa. Esto incluye normati&a9 %rocedimientos o%eracionales9 material de concienciación y de formación. 5in %oder ser eKDausti&os9 las siguientes líneas muestran %ruebas de ace%tación )ue con&iene reali*ar2 —
—
—
datos de %rueba •
si no son reales9 deben ser realistas
•
si no se %uede e&itar )ue sean reales9 Day )ue controlar co%ias y acceso
%ruebas funcionales de los ser&icios de seguridad$ •
simulación de ata)ues2 &erificando )ue se detectan y re%ortan
•
%ruebas en carga2 &erificando )ue no se ob&ian las medidas de %rotección
•
intrusión controlada (ac4ing (tico$
ins%ección de ser&icios T ins%ección de código •
fugas de información2 canales encubiertos9 a tra&(s de los registros9 etc.
•
%uertas traseras de acceso
•
escalado de %ri&ilegios
•
%roblemas de desbordamiento de registros /buffer overflo#
Oe"a,#/: a@'#s#s 7 $es%#/ )#@m#,os Curante la &ida o%erati&a del sistema %odemos encontrarnos con cambios en el escenario )ue in? &alidan el análisis de riesgos reali*ado anteriormente. En entornos formales9 el sistema re)uiere una re?acreditación %ara seguir o%erando ba>o las nue&as condiciones. )uevas amenazas Vulnerabilidades sobrevenidas
Por e>em%lo9 defectos re%ortados %or los fabricantes. Incidentes de seguridad
os incidentes de seguridad %ueden indicarnos un fallo en nuestra identificación de amena*as o en su &aloración9 obligando a re&isar el análisis. *ambios en la utilización del sistema
A &eces un sistema ya o%eracional no se utili*a como estaba %re&isto2 —
nue&a información con diferentes re)uisitos de seguridad
—
nue&os ser&icios con diferentes re)uisitos de seguridad
—
nue&os %rocedimientos o%erati&es
C#,'os )e ma%e#m#e%o: a@'#s#s ma"$#a' #uando se %ro%one una modificación del sistema9 los nue&os elementos deben lle&ar a un nue&o análisis de riesgos9 regresando a los ciclos iterati&os de %ro%uestas y soluciones de la fase de di? seo.
Te"m#a,#/ #uando un sistema de información se retira del ser&icio9 Day )ue reali*ar una serie de tareas de seguridad %ro%orcionadas al riesgo al )ue están sometidos los com%onentes del sistema a retirar.
Do,&me%a,#/ )e se$&"#)a) a documentación de seguridad e&oluciona con el ciclo de &ida del sistema2 fase
documentación de seguridad
conteKto
se re&isa la %olítica de seguridad se re&isa la normati&a de
es%ecificación
se am%lia la normati&a de seguridad
diseo
se %re%ara el índice de %rocedimientos o%eracionales de
desarrollo
se elaboran los %rocedimientos o%eracionales de seguridad
ace%tación y %uesta en
se &alidan los %rocedimientos o%eracionales de seguridad
o%eración
se actuali*an los %rocedimientos o%eracionales de seguridad
mantenimiento
se actuali*an los %rocedimientos o%eracionales de seguridad
abla 5. 6ocumentación de seguridad a lo largo del ciclo de vida de las aplicaciones
SPD B Se$&"#)a) )e' "o,eso )e )esa""o''o o )ue se comenta en esta sección afecta a todas y cada uno de los %rocesos y sub%rocesos de M(trica2 P5"9 E59 A5"9 C5"9 #5"9 "A5 y M5". a interfa* de seguridad de M(trica identifica Dasta @ tareas )ue se re%iten en cada %roceso. A)uí se tratan de forma com%acta2 Activos a considerar
En cada %roceso se re)uiere un análisis de riesgos es%ecífico )ue contem%le2 •
los datos )ue se mane>an
•
el entorno softare de desarrollo
•
el entorno (ardare de desarrollo2 e)ui%os centrales9 %uestos de traba>o9 e)ui%os de arcDi? &o9 etc.
•
el entorno de comunicaciones de desarrollo
•
las instalaciones
•
el %ersonal in&olucrado2 desarrolladores9 %ersonal de mantenimiento y usuarios de %ruebas$
Actividades
5e siguen los siguientes %asos +. el e)ui%o de desarrollo eK%one a tra&(s del >efe de %royecto los elementos in&olucrados ;. el e)ui%o de análisis de riesgos recibe a tra&(s del director de seguridad la información de los acti&os in&olucrados 3. el e)ui%o de análisis de riesgos reali*a el análisis @. el e)ui%o de análisis de riesgos eK%one a tra&(s de su director el estado de riesgo9 %ro%o? niendo una serie de medidas a tomar 7. el e)ui%o de desarrollo elabora un informe del coste )ue su%ondrían las medidas recomen? dadas9 incluyendo costes de desarrollo y des&iaciones en los %la*os de entrega :. la dirección califica el riesgo y decide las sal&aguardas a im%lantar oyendo el informe con? >unto de análisis de riesgos y coste de las soluciones %ro%uestas G. el e)ui%o de análisis de riesgos elabora los informes corres%ondientes a las soluciones ado%tadas 6. el e)ui%o de seguridad elabora la normati&a de seguridad %ertinente N. la dirección a%rueba el %lan %ara e>ecutar el %roceso con la seguridad re)uerida Resultados del an'lisis # gestión de riesgos
En todos los casos •
sal&aguardas recomendadas
•
normas y %rocedimientos de tratamiento de la información
Re+e"e,#as •
•
5eguridad de las !ecnologías de la "nformación. a construcción de la confian*a %ara una sociedad conectadaB9 E. o 5u%erior de "nformática y %ara el "m%ulso de la Administración Electrónica9 ;000.
Magerit 3.0
#onse>os %rácticos
6. Cose>os "@,%#,os !odo el %lanteamiento anterior %uede )uedar un %oco abstracto y no %ermitir al analista %rogresar con sol&encia a tra&(s de los %asos indicados si confundiera lo im%ortante con lo esencial. Por ello se Da considerado con&eniente incluir algunos comentarios )ue %uedan ser&ir de guía %ara a&an? *ar. 5e recomienda tambi(n la consulta del Q#atálogo de ElementosQ )ue reco%ila ti%os de acti&os9 di? mensiones de &aloración9 guías de &aloración9 catálogos de amena*as y de sal&aguardas.
A',a,e 7 "o+&)#)a) Magerit cubre un es%ectro muy am%lio de intereses de sus usuarios. En el %lanteamiento de estas guías se Da seguido un criterio de máKimosB9 refle>ando todo ti%o de acti&os9 todo ti%o de as%ec? tos de seguridad' en definiti&a9 todo ti%o de situaciones. En la %ráctica9 el usuario %uede encon? trarse ante situaciones donde el análisis es más restringido. 5iguen algunos casos %rácticos fre? cuentes2 •
sólo se re)uiere un estudio de los ficDeros afectos a la legislación de datos de carácter %ersonal
•
sólo se re)uiere un estudio de las garantías de confidencialidad de la información
•
sólo se re)uiere un estudio de la seguridad de las comunicaciones
•
sólo se re)uiere un estudio de la seguridad %erimetral
•
•
•
•
sólo se re)uiere un estudio de la dis%onibilidad de los ser&icios tí%icamente %or)ue se busca el desarrollo de un %lan de contingencia$ se busca una Domologación o acreditación del sistema o de un %roducto se busca lan*ar un %royecto de m(tricas de seguridad9 debiendo identificar )u( %untos interesa controlar y con )u( grado de %eriodicidad y detalle etc.
Pa"a #)e%#+#,a" a,%#os #on&iene re%etir )ue sólo interesan los recursos de los sistemas de información )ue tienen un &a? lor %ara la rgani*ación9 bien en sí mismos9 bien %or)ue sobre sus Dombros descansan acti&os de &alor. &os intangibles
#iertos elementos de &alor de las organi*aciones son de naturale*a intangible2 •
credibilidad o buena imagen
•
conocimiento acumulado
•
inde%endencia de criterio o actuación
•
intimidad de las %ersonas
•
integridad física de las %ersonas
Identificación de activos
Zui*ás la me>or a%roKimación %ara identificar los acti&os sea %reguntar directamente2 •
OZu( acti&os son esenciales %ara )ue usted consiga sus ob>eti&os\
•
OHay más acti&os )ue tenga )ue %roteger %or obligación legal\
•
OHay acti&os relacionados con los anteriores\
o esencial es siem%re la información )ue se mane>a y los ser&icios )ue se %restan. A &eces nos interesa singulari*ar la diferente información y los diferentes ser&icios9 mientras )ue otras &eces %odemos agru%ar &arias informaciones o &arios ser&icios )ue son e)ui&alentes a efectos de re)ui? sitos de seguridad. "ncluso es frecuente Dacer %a)uetes de ] información Y ser&icios ^ )ue la Ci? rección entiende como un uno. o siem%re es e&idente )u( es un acti&o en singular.
Errores t+picos
a 4seguridad de la8 información de%ende de la a%licación )ue la mane>a. En t(rminos de ser&icio9 se %uede decir )ue la a%licación no &ale %ara nada sin datos. A tra&(s de la a%licación %uede accederse a la información9 con&irti(ndose la a%licación en la &ía de ata)ue. Cado )ue datos y a%licaciones suelen aunar esfuer*os %ara la %restación de un ser&icio9 el &alor del ser&icio se transmite tanto a los datos como a las a%licaciones inter&inientes.
a información es un bien esencial9 siendo los datos una concreción !"# de la información9 a información )ue mane>a un sistema o bien se %one %or encima de los ser&icios9 o bien se agru%a. +. información _ ser&icios _ e)ui%amiento incluyendo datos9 a%licaciones9 e)ui%os9 R$ ;.] información Y ser&icios ^ _ e)ui%amiento incluyendo datos9 a%licaciones9 e)ui%os9 R$
os errores comentados a &eces %asan desa%ercibidos mientras el sistema es muy reducido sólo Day un ser&icio9 una a%licación y un e)ui%o$.
,Est'n bien modeladas las dependencias-
Antes de dar %or bueno un modelo de de%endencias Day )ue tra*ar %ara cada acti&o todos los acti&os de los )ue de%ende directa o indirectamente. se debe res%onder %ositi&amente a las %reguntas de si OEstán todos los )ue son\ Es decir9 si se Dan identificado todos los acti&os en los )ue %ue?de ser atacado indirectamente el acti&o &alorado. O5on todos los )ue están\ Es decir9 si realmente el acti&o &alorado %uede ser atacado en todos esos acti&os de los )ue de%ende #omo la relación de de%endencia %ro%aga el &alor acumulado9 encontrar un acti&o sin &alor acu?mulado es síntoma de )ue las de%endencias están mal modeladas o9 sim%lemente9 )ue el acti&o es irrele&ante.
.%. Para valorar activos
5iem%re con&iene &alorar la información )ue constituye la ra*ón de ser del sistema de información. 5i se Dan modelado ser&icios esenciales %restados a usuarios eKternos al dominio de análisis$9 con&iene &alorarlos igualmente. En otras %alabras2 %ara saber si las de%endencias están bien establecidas9 estudie el &alor acumulado. os acti&os más sencillos de &alorar son a)uellos )ue se ad)uieren en un comercio. 5i se a&ería9 Day )ue %oner otro. Esto cuesta dinero y tiem%o o sea9 más dinero$. 5e Dabla de un coste de re?%osición. 5al&o notorias eKce%ciones9 frecuentemente ocurre
)ue el coste de los acti&os físicos es des%reciable frente a otros costes9 %udiendo ob&iarse. ./. Para identificar amenazas
5e %uede %artir de la eK%eriencia %asada9 %ro%ia o de organi*aciones similares. o )ue Da ocurrido %uede re%etirse y9 en cual)uier caso9 sería im%resentable no tenerlo en cuenta. #om%lementariamente9 un catálogo de amena*as como el incluido en el Q#atálogo de ElementosQ ayuda a locali*ar lo )ue con&iene considerar en función del ti%o de acti&o y de las dimensiones en las )ue tiene un &alor %ro%io o acumulado. .0. Para valorar amenazas
5iem%re )ue sea %osible con&iene %artir de datos estándar. En el caso de desastres naturales o accidentes industriales9 se %uede dis%oner de series Distóricas9 gen(ricas o del lugar en el )ue se ubican los e)ui%os de nuestro sistema de información ba>o estudio. Probablemente tambi(n se dis%onga de un Distorial )ue informe de lo )ue es frecuente y de lo )ue no %asa nuncaB. Más com%licado es calificar los errores Dumanos' %ero la eK%eriencia %ermite ir a)uilatando &alo?res realistas. lo más com%le>o es calificar los ata)ues deliberados %ues de%enden de la suerte9 buena o mala. Hay mucDos moti&os )ue agudi*an el %eligro de una amena*a2
.1. Para seleccionar salvaguardas
Probablemente la única forma es tirar de catálogo. -se un sistema$ eK%erto )ue le ayude a &er )u( solución es adecuada %ara cada combinación de L !i%o de acti&o L Amena*a a la )ue está eK%uesto L Cimensión de &alor )ue es moti&o de %reocu%ación L i&el de riesgo A menudo encontrará mucDas soluciones %ara un %roblema9 con diferentes calidades. En estos casos debe elegir una solución %ro%orcionada a los ni&eles de im%acto y riesgo calculados.
.. Apro2imaciones sucesivas
5e em%ie*a %or un análisis somero9 de alto ni&el9 identificando rá%idamente lo más crítico2 acti&os de gran &alor9 &ulnerabilidades manifiestas o9 sim%lemente9 recomendaciones de libro de teKto %or)ue no Day nada más %rudente )ue a%render en cabe*a a>ena9 a%ro&ecDando la eK%eriencia de los demás.
... Protección b'sica!
Es frecuente oír Dablar de medidas básicas de %rotección /baseline# )ue deberían im%lantarse en todos los sistemas9 sal&o )ue se demuestre )ue no son %ertinentes a algún caso %articular.
Para a%licar un tratamiento básico se re)uiere un catálogo de sal&aguardas. EKisten numerosas fuentes9 entre las )ue cabe destacar2 L ormas internacionales9 %or e>em%lo 4"5 ;G00;8 L ormas sectoriales L ormas cor%orati&as9 es%ecialmente frecuentes en %e)ueas delegaciones de grandes organi*aciones as &enta>as de %rotegerse %or catálogo son2 L es muy rá%ido L cuesta menos esfuer*o )ue %onerse a anali*ar y decidir L 5e logra un ni&el Domog(neo con otras organi*aciones %arecidas
A)#,e
1.
G'osa"#o
Ciferentes autores u organi*aciones definen los mismos t(rminos de diferentes formas y maneras. A1.1. T"m#os e esao' •
•
•
A,e%a,#/ )e' "#e$o : Cecisión informada a fa&or de tomar un riesgo A,"e)#%a,#/: Acción de facultar a un sistema o red de información %ara )ue %rocese da?tos sensibles9 determinando el grado en el )ue el diseo y la materiali*ación de dicDo sistema cum%le los re)uerimientos de seguridad t(cnica %reestablecidos. A,%#o: Comoe%e o funcionalidad de un sistema de información susce%tible de ser atacado deliberada o accidentalmente con consecuencias
%ara la organi*ación. "ncluye2 información9 datos9 ser&icios9 a%licaciones soft`are$9 e)ui%os Dard`are$9 comunicaciones9 recursos administrati&os9 recursos físicos y recursos Dumanos. •
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Amea!a : #ausa %otencial de un incidente )ue %uede causar daos a un sistema de información o a una organi*ación A,e%a,#/ )e' "#es$o : Cecisión informada a fa&or de tomar un riesgo A@'#s#s )e #ma,%o: Estudio de las consecuencias )ue tendría una %arada de F tiem%o sobre la rgani*ación . A%a?&e : "ntento de destruir9 eK%oner9 alterar o inDabilitar un sistema de información o la información )ue el sistema mane>a9 o &iolar alguna %olítica de segu?ridad de alguna otra manera. A&)#%o"#a )e se$&"#)a) : Estudio y eKamen inde%endiente del Distorial y acti&idades de un sistema de información9 con la finalidad de com%robar la idoneidad de los controles del sistema9 asegurar su conformidad con la estructura de seguridad y %rocedimientos o%erati&os establecidos9 a fin de detectar brecDas en la seguridad y recomendar cambios en los %rocedimientos9 controles y es?tructuras de seguridad. A&%e%#,#)a) Pro%iedad o característica consistente en )ue una entidad es )uien dice ser o bien )ue garanti*a la fuente de la )ue %roceden los datos. Co+#)e,#a'#)a): Pro%iedad o característica consistente en )ue la información ni se %one a dis?%osición ni se re&ela a indi&iduos9 entidades o %rocesos no autori*ados . A,e%a,#/ )e "#es$o: Cecisión informada a fa&or de tomar un riesgo. De,'a"a,#/ )e a'#,a#'#)a) : Cocumento formal en el )ue9 %ara un con>unto de sal&aguardas9 se indica sin son de a%licación en el sistema de información ba>o estudio o si9 %or el contrario9 carecen de sentido De$"a)a,#/: P(rdida de &alor de un acti&o como consecuencia de la materiali*ación de una amena*a. D#mes#/ )e se$&"#)a): -n as%ecto9 diferenciado de otros %osibles as%ectos9 res%ecto del )ue se %uede medir el &alor de un acti&o en elsentido del %er>uicio )ue causaría su %(rdida de &alor D#so##'#)a) : Aseguramiento de )ue los usuarios autori*ados tienen acceso cuando lo re)uieran a la información y sus acti&os asociados Ima,%o "es#)&a' : "m%acto remanente en el sistema tras la im%lantación de las sal&aguardas determinadas en el %lan de seguridad de la información I,#)e%e )e se$&"#)a): 5uceso ines%erado o no deseado$ con consecuencias en detrimento de la seguridad del sistema de información. Maa )e "#es$o: I+o"me: 1elación de las amena*as a )ue están eK%uestos los acti&os.
•
•
•
•
•
•
•
•
•
•
•
•
•
Mo)e'o )e a'o": "nforme2 #aracteri*ación del &alor )ue re%resentan los acti&os %ara la rgani*ación así como de las de%endencias entre los diferentes acti&os. P'a )e se$&"#)a): Co>&%o de %royectos de seguridad )ue %ermiten materiali*ar las decisiones de gestión de riesgos. P"oa#'#)a): Probabilidad /li4eli(ood# J Posibilidad de )ue un DecDo se %rodu*ca. P"o7e,%o )e se$&"#)a): Agru%ación de tareas orientadas a tratar el riesgo del sistema. R#es$o A,&m&'a)o: Cícese del calculado tomando en consideración el &alor %ro%io de un acti&o y el &alor de los acti&os )ue de%ende de (l R#es$os o%e,#a'es. os riesgos del sistema de información en la Di%ótesis de )ue no Dubieran sal&aguardas %resentes. R#es$o Res#)&a'2 1iesgo remanente en el sistema des%u(s del tratamiento del riesgo. Se$&"#)a) )e 'a #+o"ma,#/ : #onfian*a en )ue los sistemas de información están libres y eKentos de todo %eligro o dao inace%tables S#s%ema )e #+o"ma,#/ 2 os ordenadores y redes de comunicaciones electrónicas9 así como los datos electrónicos almacenados9 %rocesados9 recu%erados o transmitidos %or los mismos %ara su o%eración9 uso9 %rotección y mantenimiento . T"a!a#'#)a): Aseguramiento de )ue en todo momento se %odrá determinar )ui(n Di*o )u( y en )u( momento . Va'o": Ce un acti&o. Es una estimación del coste inducido %or la materiali*ación de una amena*a. Va'o" a,&m&'a)o: #onsidera tanto el &alor %ro%io de un acti&o como el &alor de los acti&os )ue de%enden de (l. V&'e"a#'#)a): Cefecto o debilidad en el diseo9 im%lementación u o%eración de un sistema )ue Dabilita o facilita la materiali*ación de una amena*a.
A1.2. T"m#os a$'osa>oes : ,re&e diccionario ingl(s?es%aol de t(rminos Dabituales en análisis y gestión de riesgos2 A,"/#mos ALE ARO IA GRC
Annual oss EK%ectancy Annual 1ate of ccurrence ,usiness "m%act Analysis /o&ernance9 1is Management9
and
#om%liance A,,o&%a#'#%7 A&%He%#,#%7 Aa#'a#'#%7 Asse% &s#ess Ima,% Aa'7s#s Com'#a,e Co+#)e%#a'#%7 Co&%e"meas&"e F"e?&e,7 Ima,% I+o"ma%#o se,&"#%7 I+o"ma%#o se,&"#%7 #,#)e% I+o"ma%#o s7s%em I%e$"#%7 Res#)&a' "#s R#s R#s a,,e%a,e R#s aa'7s#s R#s assessme% R#s maa$eme% R#s ma R#s %"ea%me% Sa+e$&a") Se,&"#%7 S%a%eme% o+ a'#,a#'#%7 T"a,ea#'#%7 TH"ea% Va'&e V&'e"a#'#%7
!ra*abilidad Autenticidad Cis%onibilidad Acti&o Análisis de im%acto #um%limiento #onfidencialidad #ontra medida
A1.3. ISO B Ges%#/ )e' "#es$o . De+##,#oes: • •
R#es$o: Efecto de la incertidumbre sobre la consecución de los ob>eti&os. P"o,eso )e $es%#/ )e' "#es$o: A%licación sistemática de %olíticas9 %rocedimientos y %rácticas de gestión a las acti&i?dades de comunicación9 consulta9 establecimiento del conteKto9 e identificación9 análi?sis9 e&aluación9 tratamiento9 seguimiento y re&isión del riesgo. D&eo )e' "#es$o :Persona o entidad )ue tiene la res%onsabilidad y autoridad %ara gestionar un riesgo. T"a%am#e%o )e' "#es$o :Proceso destinado a modificar el riesgo.
A)#,e 3. Ma",o 'e$a'
5e a%unta cierta normati&a legal9 nacional e internacional9 rele&ante al caso del análisis y gestión de riesgos9 bien %or eKigirlo9 bien %or sustentarlo9 bien %or ser de utilidad en el Proceso de /estión de 1iesgos. 5e Dan incluido algunas referencias a acuerdos de carácter %olítico o de otra naturale*a a los cuales con&iene tambi(n %restar atención. Por e>em%lo9 las /uías de la #CE. A3.1. Se$&"#)a) e e' @m#%o )e 'a A)m##s%"a,#/ e'e,%"/#,a A3.2. P"o%e,,#/ )e )a%os )e ,a"@,%e" e"soa' A3.3. F#"ma e'e,%"/#,a A3.0. I+o"ma,#/ ,'as#+#,a)a A3.. Se$&"#)a) )e 'as "e)es 7 )e 'a #+o"ma,#/ A)#,e 0. Ma",o )e ea'&a,#/ 7 ,e"%#+#,a,#/ a com%le>idad de los sistemas de información conlle&a un gran esfuer*o %ara determinar la calidad de las medidas de seguridad de )ue se Da dotado y la confian*a )ue merecen. Es frecuente la a%arición de terceras %artes )ue de forma inde%endiente emiten >uicios sobre dicDos as%ectos9 >uicios )ue se emiten tras una e&aluación rigurosa y )ue se %lasman en un documento reconocido. En este ca%ítulo se re%asan someramente dos marcos en los )ue se Da formali*ado el %roceso de e&aluación y certificación o registro$2 L En los sistemas de gestión de la seguridad de la información L En los %roductos de seguridad A0.1. S#s%emas )e $es%#/ )e 'a se$&"#)a) )e 'a #+o"ma,#/ (SGSI* 5e define sistema de gestiónB %ara gestionar sus %rocesos o acti&idades9 de forma )ue los %roductos )ue fabrica o los ser&icios )ue %resta satisfagan los ob>eti&os )ue la %ro%ia organi*ación L satisfacer la calidad demandada %or los clientes L cum%lir con las obligaciones legales9 regulatorias y contractuales os sistemas de gestión deben a>ustarse al llamado ciclo de Cenning PC#A$9 Dabitual en sistemas de gestión de la calidad2
A0.1.1. La ,e"%#+#,a,#/ #ertificar un sistema de gestión de la seguridad consiste en )ue alguien9 eKterno a la rgani*ación y acreditado %ara la tarea9 afirma )ue Da auditado el sistema y lo
considera a>ustado a la norma corres%ondiente. En el caso )ue nos ocu%a9 la norma es la -E?"5T"E# ;G00+2;00G. El )ue certifica com%romete en ello su %alabra %or escrito$. #on todas las cautelas de alcance y tiem%o )ue se consideren o%ortunas y se reco>an eK%lícitamente$. sabiendo )ue lo )ue se ase?gura Doy9 Day )ue re&isarlo a medio %la*o %ues todo e&oluciona. Para obtener un certificado Day )ue seguir una serie de formalismos. 5in entrar en eKcesi&o detalle nos centraremos en )u( e&alúa el e)ui%o )ue en&ía el organismo de certificación a >u*gar a la rgani*ación. Antes de )ue &enga el e)ui%o e&aluador9 Day )ue tener una foto del estado de riesgo de la rgani*ación. Es decir9 )ue Day )ue Dacer un análisis de riesgos identificando acti&os9 &alorándolos9 identificando y &alorando las amena*as significati&as. En este %roceso se determina )u( sal&aguardas re)uiere el sistema y con )u( calidad. El e)ui%o e&aluador ins%ecciona el sistema de información )ue se desea certificar contrastándolo con una referencia reconocida )ue %ermita ob>eti&ar la e&aluación a fin de e&itar cual)uier ti%o de arbitrariedad o sub>eti&idad y %ermitir la utili*ación uni&ersal de las certificaciones emitidas. 5e utili*a un es)uema de certificaciónB en el caso )ue nos ocu%a9 la norma -E?"5T"E# ;G00+2;00G$. A0.1.2. La a,"e)#%a,#/ )e 'a e%#)a) ,e"%#+#,a)o"a a credibilidad del certificado es la confian*a )ue mere*ca el certificador. O#ómo se construye esta confian*a\ -n com%onente esencial es la credibilidad del es)uema de certificación. -n segundo com%onente es la credibilidad de la organi*ación )ue emite los certificados. Esta organi*ación es res%onsable de la com%etencia del e)ui%o e&aluador y de la e>ecución del %roceso de e&aluación. Para certificar )ue estas res%onsabilidades se cum%len se %rocede al llamado %roceso de acreditaciónB donde una nue&a organi*ación e&alúa al e&aluador. A0.1.3. Te"m#o'o$a 5e recogen a continuación los t(rminos usados en las acti&idades de certificación de sistemas de información9 tal y como se entienden en este conteKto. •
• •
•
A,"e)#%a,#/: #uando un rganismo autori*ado reconoce formalmente )ue una organi*ación es com%etente %ara la reali*ación de una determinada acti&idad de e&aluación de la conformidad. A&)#%o"a: er e&aluaciónB. Ce"%#+#,a,#/: El ob>eti&o es declarar %úblicamente )ue un %roducto9 %roceso o ser&icio es conforme con re)uisitos establecidosB. Do,&me%o )e ,e"%#+#,a,#/ (o "e$#s%"o*: Cocumento )ue afirma )ue el 5/5"$ de una organi*ación es conforme a la normati&a de referencia ada%tada a la singularidad de la organi*ación certificada. Do,&me%o )e se'e,,#/ )e ,o%"o'es: Cescribe los ob>eti&os de control y los controles rele&antes y a%licables al 5/5"$ de la organi*ación. [ste documento debe estar basado en los resultados y conclusiones del %roceso de análisis y gestión de riesgos. Es?&ema )e ,e"%#+#,a,#/: Marco t(cnico y administrati&o )ue establece la referencia de traba>o
•
•
Ea'&a,#/: #on>unto de acti&idades )ue %ermiten determinar si la organi*ación satisface los criterios a%licables dentro del es)uema de certificación. O"$a#smo )e ,e"%#+#,a,#/ (o "e$#s%"o*: certifica o registra$ la satisfacción %or la organi*ación de los re)uisitos establecidos en el es)uema de certificación. O"$a#smos )e ea'&a,#/ )e 'a ,o+o"m#)a): 5on los encargados de e&aluar y reali*ar una declaración ob>eti&a de )ue los ser&icios y %roductos cum%len unos re)uisitos es%ecíficos. S#s%ema )e $es%#/: recursos )ue utili*a una organi*ación %ara alcan*ar 5/5"$ S#s%ema )e $es%#/ )e 'a se$&"#)a) )e 'a #+o"ma,#/: basado en los riesgos %ara el negocio9 establece9 im%lementa9 o%era9 monitori*a9 re&isa9 mantiene y me>ora la seguridad de la información. Po'%#,a )e se$&"#)a): #on>unto de normas reguladoras9 reglas dentro de una organi*ación.
A0.2. C"#%e"#os ,om&es )e ea'&a,#/ (CC* El ob>eti&o es es%ecificar sin ambigedad )u( se necesita %or %arte del com%rador y )u( se ofrece %or %arte del &endedor9 de forma )ue no Daya malentendidos sino un es)uema trans%arente de e&aluación9 garanti*ando la ob>eti&idad de las ad)uisiciones. os ## %ermiten2 definir las funciones de seguridad de los %roductos y sistemas en tecnologías de la información$ y determinar los criterios %ara e&aluar la calidad de dicDas funciones. •
•
Es esencial la %osibilidad )ue los ## abren %ara )ue la e&aluación sea ob>eti&a y %ueda reali*arse %or una tercera %arte ni %or el %ro&eedor9 ni %or el usuario$ de forma )ue la elección de sal&a?guardas adecuadas se &ea notablemente sim%lificada %ara las organi*aciones )ue necesitan mitigar sus riesgos. a e&aluación de un sistema es la base %ara su certificación. Para certificar es necesario dis%oner de +. unos criterios9 )ue definen el significado de los elementos )ue se &an a e&aluar ;. una metodología9 )ue mar)ue cómo se lle&a a cabo la e&aluación 3. un es)uema de certificación3G )ue fi>e el marco administrati&o y regulatorio ba>o el )ue se reali*a la certificación
Cado )ue la calidad de la seguridad re)uerida de un sistema no es siem%re la misma9 sino )ue de%ende de %ara )u( se )uiera em%lear9 ## establece una escala de ni&eles de aseguramiento362 EA02 sin garantías EAL1: %robado funcionalmente EAL2: %robado estructuralmente EAL3: %robado y cDe)ueado metódicamente EAL0: diseado9 %robado y re&isado metódicamente EAL: diseado y %robado semiformalmente EAL5: diseado9 %robado y &erificado semiformalmente EAL6: diseado9 %robado y &erificado formalmente
A0.2.1. ee+#,#a"#os os ## se dirigen a una am%lia audiencia de %otenciales beneficiarios de la formali*ación de los conce%tos y elementos de e&aluación2 los consumidores usuarios de %roductos de seguridad$9 los desarrolladores y los e&aluadores. -n lengua>e común entre todos ellos se traduce en &enta>as a%reciables2 • • • •
Para los consumidores Para los desarrolladores Para los e&aluadores Para todo el mundo
#uando un análisis de riesgos eK%one la relación de sal&aguardas adecuadas9 estas %ueden &enir eK%resadas en terminología ##9 lo )ue %ermite engar*ar con las &enta>as citadas9 con&irti(ndose en una es%ecificación normali*ada.
A0.2.2. Re?s#%os )e se$&"#)a)
Cado un sistema se %ueden determinar9 a tra&(s de un análisis de riesgos9 )u( sal&aguardas se re)uieren y con )u( calidad.
A0.2.3. C"ea,#/ )e e"+#'es )e "o%e,,#/ a generación de un PP o un 5! es básicamente un %roceso de análisis de riesgos donde el analista9 Dabiendo determinado el dominio del análisis el !E en terminología de ##$9 identifica amena*as y determina9 a tra&(s de los indicadores de im%acto y riesgo9 las sal&aguardas )ue se re)uieren. En la terminología de ##9 las sal&aguardas re)ueridas se denominan "e?s#%os )e se$&"#)a) y se subdi&iden en dos grandes gru%os • •
"e?s#%os +&,#oa'es "e?s#%os )e $a"a%a
A0.2.0. Uso )e "o)&,%os ,e"%#+#,a)os
#uando un !E Da sido certificado de acuerdo a un PP o un 5!9 según con&enga en cada caso9 se %uede tener la certe*a de )ue dicDo !E satisface las necesidades y además las satisface con la calidad re)uerida %or e>em%lo9 EA@$. a certificación de un sistema o %roducto no es garantía ciega de idoneidad2 es necesario cerciorarse de )ue el PP o 5! res%ecto del )ue se Dan certificado satisface los re)uisitos de nuestro sistema. En la medida en )ue un %roducto certificado se a>usta a un PP o 5! )ue satisface nuestras necesidades9 la gestión de riesgos se reduce a ad)uirir el %roducto9 instalarlo y o%erarlo en las condiciones adecuadas.
A0.2.. Te"m#o'o$a Cebido a )ue su ob>eti&o es ser&ir de referencia internacional y sustentar e&aluaciones y certificaciones9 los criterios comunes deben ser muy %recisos en su terminología. En el teKto %re&io se Dan &enido introduciendo los t(rminos según se necesitaban' estos t(rminos se recogen formalmente a continuación2 • • • • • • • • • • • • • • • • •
Assurance garantía$ E&aluation e&aluación$ E&aluation Assurance e&el EA$ ni&el de garantía de e&aluación$ E&aluation autDority autoridad de e&aluación$ E&aluation scDeme es)uema de e&aluación$ ecti&e ob>eti&o de seguridad$ 5ecurity !arget 5!$ declaración de seguridad$ 5emiformal 5ystem sistema$ !arget of E&aluation !E$ ob>eto a e&aluar$ !E 5ecurity
A)#,e . e""am#e%as !odo ello nos indica )ue Day )ue mane>ar multitud de datos y combinaciones entre ellos9 lo )ue lle&a lógicamente a buscar a%oyo de Derramientas automáticas. #omo re)uisitos generales9 una Derramienta de a%oyo al análisis de riesgos debe2 • •
•
•
%ermitir traba>ar con un con>unto am%lio de acti&os9 amena*as y sal&aguardas' %ermitir un tratamiento fleKible del con>unto de acti&os %ara acomodar un modelo cercano a la realidad de la rgani*ación' ser utili*ada a lo largo de los tres %rocesos )ue constituyen el %royecto9 es%ecialmente como so%orte al %roceso P;9 Análisis de 1iesgos y no ocultar al analista el ra*onamiento )ue lle&a a las conclusiones.
as Derramientas %ueden Dacer un tratamiento cualitati&o o cuantitati&o de la información.
5ean Derramientas cualitati&as o cuantitati&as9 estas deben2 Mane>ar un catálogo ra*onablemente com%leto de ti%os de acti&os. En esta línea se orienta el ca%ítulo ; del Q#atálogo de ElementosQ. Mane>ar un catálogo ra*onablemente com%leto de dimensiones de &aloración. En esta línea se orienta el ca%ítulo 3 del Q#atálogo de ElementosQ. Ayudar a &alorar los acti&os ofreciendo criterios de &aloración. En esta línea se orienta el ca%ítulo @ del Q#atálogo de ElementosQ. Mane>ar un catálogo ra*onablemente com%leto de amena*as. En esta línea se encamina el ca%ítulo 7 del Q#atálogo de ElementosQ. Mane>ar un catálogo ra*onablemente com%leto de sal&aguardas. En esta línea se orienta el ca%ítulo : del Q#atálogo de ElementosQ. E&aluar el im%acto y el riesgo residuales. FM J EKtended Maru% anguage )ue es la o%ción tomada en esta guía9 )ue establece formatos FM de intercambio #5 J #omma 5e%arated alues •
•
•
•
•
• •
•
A.1. PILAR P"A19 acrónimo de Procedimiento "nformático?ógico %ara el Análisis de 1iesgosB es una Derramienta desarrollada ba>o es%ecificación del #entro acional de "nteligencia %ara so%ortar el análisis de riesgos de sistemas de información siguiendo la metodología Magerit. a Derramienta so%orta todas las fases del m(todo Magerit2 •
• •
#aracteri*ación de los acti&os2 identificación9 clasificación9 de%endencias y &aloración #aracteri*ación de las amena*as E&aluación de las sal&aguardas
a Derramienta incor%ora los catálogos del Q#atálogo de ElementosQ %ermitiendo una Domogeneidad en los resultados del análisis2 • • • •
ti%os de acti&os dimensiones de &aloración criterios de &aloración catálogo de amena*as
A)#,e 5. Eo'&,#/ )e Ma$e"#% a %rimera de Magerit9 %ublicada en +NNG Da resistido en su mayor %arte el %aso del tiem%o9 ratificándose en lo fundamental. a segunda &ersión9 %ublicada en ;0079 se %lanteó como re&isión constructi&a9 ada%tándola al tiem%o %resente e incor%orando la eK%eriencia de estos aos. Esta tercera &ersión busca una nue&a ada%tación9 teniendo en cuenta no solo la eK%eriencia %ráctica sino tambi(n la e&olución de las normas internacionales de "5 )ue constituyen un referente obligado. A5.1. Pa"a 'os ?&e Ha %"aa>a)o ,o Ma$e"#% 1 5i usted Da traba>ado con Magerit &+.09 todos los conce%tos le resultarán familiares9 aun)ue Day cierta e&olución. En %articular reconocerá lo )ue se denominaba