8.2
Análisis del riesgo
8.2.1
Identificación del riesgo
8.2.1.1 Introducción a la identificación identificación del riesgo riesgo El propósito de la identificación del riesgo es determinar qué podría suceder que cause una pérdida pérdida potencial potencial y entender entender cómo, dónde dónde y por qué podría podría ocurrir la pérdida. pérdida. Los pasos pasos escritos en los apartados que siguen al apartado 8.2.1 deben recolectar datos de insumos para la actividad de estimación del riesgo. NOTA: Las actividades descritas en los capítulos siguientes deben describirse en el siguiente orden dependiendo de la metodología aplicada.
8.2.1.2 8.2.1.2 Identifica Identificación ción de activos activos Insumo: Alcance y límites para la evaluación del riesgo a conducirse, lista de interesados con propietarios, propietarios, ubicación, ubicación, función, función, etc. Acción: Se debe identificar los activos dentro del alcance establecido (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 d) 1)). Guía de implementación: Un activo es cualquier cosa que tenga valor para la organización y que por lo tanto requiera protección. protección. Para la identificació identificación n de activos activos debe recordarse que un sistema de información información es más que hardware y software. La identificación de activos debe realizarse a un nivel adecuado de detalle que proporcione suficie suficiente nte informa informació ción n para la evalua evaluació ción n del riesgo. riesgo. El nivel nivel de detall detallee utiliza utilizado do en la identificació identificación n de activos activos influenciará influenciará la cantidad cantidad general general de información información recolectada recolectada durante la evaluación del riesgo. El nivel puede refinarse en iteraciones posteriores de la evaluación del riesgo. Se debe identificar al propietario de un activo para cada activo, para determinar las disposiciones sobre responsabilidad y rendición de cuentas por el activo. El propietario del activo puede no tener derechos de propiedad sobre el activo, pero tiene responsabilidad sobre su producción, desarrol desarrollo, lo, manten mantenimi imient ento, o, uso y segurid seguridad, ad, según según correspo corresponda nda.. El propiet propietario ario del activo activo a menudo es la persona más apropiada para determinar el valor que el activo tiene para la organización (véase la valorización de activos en el apartado 8.2.2). El límite de revisión es el perímetro de activos de la organización que el proceso de gestión del riesgo en seguridad de la información debe administrar según definición.
El Anexo Anexo B contie contiene ne más informa informació ción n sobre sobre la identi identifica ficació ción n y valori valorizac zación ión de activos activos relacionados con la seguridad de la información. Producto: Una lista de activos a administrarse respecto de su riesgo y una lista de procesos de negocio relativos a activos y su relevancia.
8.2.1.3 Identificación de amenazas amenazas Insumo: Información sobre amenazas obtenida a partir de la revisión de incidentes, propietarios de activos, usuarios y otras fuentes, incluyendo catálogos externos de amenazas. Acción: Se debe identificar las amenazas y sus fuentes (relativas a la norma ISO/IEC 27001, apartado 4.2.1 d) 2)). Guía de implementación: Una amenaza tiene el potencial de dañar activos como la información, los procesos y los sistemas y, por tanto, las organizaciones. Las amenazas pueden ser de origen natural o humano y pueden ser accidentales o deliberadas. Deben identificarse tanto las fuentes de amenazas accidentales como las deliberadas. Una amenaza puede surgir desde adentro o desde afuera de la organización. Se debe identificar las amenazas de manera genérica y por tipo (por ejemplo acciones no autori autorizad zadas, as, daño daño físico, físico, fallas fallas técnic técnicas) as) y entonc entonces es cuando cuando sea apropia apropiado, do, las amenaz amenazas as individuales dentro de la clase genérica identificada. Esto significa que no se desatiende ninguna amenaza, incluyendo las inesperadas, pero que el e l volumen de trabajo requerido es limitado. Algunas amenazas pueden afectar a más de un activo. En dichos casos, pueden causar distintos impactos dependiendo de qué activos sean afectados. Se puede obtener insumos respecto de la identificación de la amenaza y de la estimación de la posibilidad posibilidad de ocurrencia ocurrencia (véase el apartado apartado 8.2.2.3) 8.2.2.3) que hacen los propietarios propietarios o usuarios usuarios de activos, del personal de recursos humanos, de la gerencia de planta y de los especialistas en segur segurid idad ad de la infor informa maci ción ón,, exper experto toss de seguri segurida dad d físic física, a, depar departa tame ment nto o lega legall y otras otras organizacio organizaciones, nes, incluyendo incluyendo organismos organismos legales, legales, autoridades autoridades meteorológi meteorológicas, cas, compañías compañías de seguros y autoridades del gobierno nacional. Se debe considerar aspectos de medioambiente y cultura cuando se enfrentan amenazas Se debe considerar la experiencia interna de incidentes y las evaluaciones de amenazas pasadas en la evaluación actual. Puede valer la pena consultar otros catálogos de amenazas (quizás específicos a una organización o empresa) para completar la lista de amenazas genéricas, cuando sea relevan relevante. te. Se dispon disponee de catálo catálogos gos y estadí estadísti sticas cas de amenaz amenazas as en gremio gremioss indust industrial riales, es, gobiernos nacionales, organismos legales, compañías de seguros, etc. Cuando se usa catálogos de amenazas o evaluaciones de los resultados de amenazas pasadas,
debemos ser conscientes de que hay un cambio continuo en las amenazas relevantes, especialmente si el entorno empresarial o los sistemas de información cambian. El Anexo C presenta más información sobre tipos de amenazas. Producto: Una lista de amenazas con la identificación del tipo y fuente de la amenaza.
8.2.1.4 Identificación de controles existentes Insumo: Documentación de controles, planes de implementación de tratamiento de riesgos. Acción: Se debe identificar los controles existentes y planificados. Guía de implementación: Se debe identificar los controles existentes para evitar trabajo o costo innecesarios, por ejemplo en la duplicación de controles. Además, a la vez que se identifican los controles existentes, se debe hacer una verificación para asegurar que los controles están funcionando correctamente -una referencia a los informes de auditoría ya existentes sobre el ISMS limita el tiempo que se emplea en esta tarea. Si un control no funciona como se esperaba, esto puede causar vulnerabilidades. Se debe considerar la situación en la que un control (o estrategia) seleccionado falle y, por lo tanto se requieran controles complementarios para tratar de manera eficaz el riesgo identificado. En un ISMS, de acuerdo con ISO/IEC 27001, esto se logra gracias a la medición de la eficacia de los controles. Una manera de estimar el efecto del control es ver cómo reduce la posibilidad de amenaza y la facilidad de explotación de la vulnerabilidad o impacto del incidente. Las revisiones de la gerencia y los informes de auditoría también proporcionan información sobre la eficacia de los controles existentes. Se debe considerar los controles que se ha planificado implementar de acuerdo con los planes de implementación de tratamiento de riesgo de la misma manera que aquellos que ya se implementaron. Un control existente y planificado puede identificarse como ineficaz, o no suficiente, o no justificado. Si no es justificado ni suficiente, se debe verificar el control para determinar si se le debe eliminar, si se le debe reemplazar por otro control más adecuado o si debería continuarse con el mismo, por ejemplo, por razones de costos. Las siguientes actividades pueden ser útiles para la identificación de controles existentes o planeados: Revisión de documentos que tienen información sobre los controles (por ejemplo, planes de implementación de tratamiento del riesgo). Si los procesos de gestión de seguridad de la información están bien documentados, se debe disponer de todos los controles
existentes o planeados y de su situación de implementación; Verificación de la seguridad de la información con las personas responsables (por ejemplo el funcionario encargado de la seguridad de la información y el funcionario encargado de la seguridad del sistema de información, el gerente de construcción o el gerente de operaciones) y los usuarios respecto de qué controles se implementan realmente para el proceso de información o el sistema de información que se está considerando; Conducción de una revisión in-situ de los controles físicos, comparando los implementados con la lista de qué controles debería tenerse y verificando los implementados respecto de si están funcionando de manera correcta y eficaz, o Revisión de resultados de auditorías internas: Producto: Una lista de todos los controles existentes y planeados, su implementación y su condición de uso.
8.2.1.5 Identificación de vulnerabilidades Insumo: Una lista de amenazas conocidas, listas de activos y controles existentes. Acción: Se debe identificar las vulnerabilidades que las amenazas pueden explotar para causar daño a los activos o a la organización (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 d) 3)). Guía de implementación: Se puede identificar vulnerabilidades en las áreas siguientes: Organización Procesos y procedimientos Rutinas administrativas Personal Entorno físico Configuración del sistema de información Hardware, software o equipo de comunicaciones Dependencia de partes externas La presencia de una vulnerabilidad no causa daño en sí misma, ya que se requiere una amenaza para explotarla. Una vulnerabilidad que no tiene amenaza correspondiente puede no requerir la implementación de un control, pero se debería reconocer y monitorear para observar sus cambios.
Debe notarse que un control implementado de manera incorrecta o que funcione mal puede ser en sí mismo una vulnerabilidad. Un control puede ser eficaz o ineficaz dependiendo del entorno en el que opera. Inversamente, una amenaza que no tiene una vulnerabilidad correspondiente puede no resultar en un riesgo.
Las vulnerabilidades se pueden relacionar con propiedades del activo que se pueden utilizar de una manera o por un propósito que el que se desea cuando se compró o hizo el activo. Se tienen que considerar vulnerabilidades que surgen de distintas fuentes, por ejemplo, las que son intrínsecas o extrínsecas al activo. En el Anexo D se puede encontrar ejemplos de vulnerabilidades y métodos para la evaluación de la vulnerabilidad. Producto: Una lista de vulnerabilidades en relación con los activos, amenazas y controles, una lista de vulnerabilidades que no se relaciona a ninguna amenaza identificada para su revisión.
8.2.1.6 Identificación de las consecuencias Insumo: Una lista de activos, una lista de procesos de negocios, y una lista de amenazas y vulnerabilidades donde sea apropiado en relación con los activos y su relevancia. Acción: Se debe identificar las consecuencias que pueden tener las pérdidas de confidencialidad, integridad y disponibilidad (véase la norma ISO/IEC 27001, apartado 4.2.1 d) 4)). Guía de implementación: Una consecuencia puede hacer perder eficacia, puede haber condiciones operativas adversas, lucro cesante, daño a la reputación, etc. Esta actividad identifica el daño o las consecuencias a la organización que un incidente podría causar. El escenario de un incidente es la descripción de una amenaza que explota una cierta vulnerabilidad o conjunto de vulnerabilidades en un incidente de vulnerabilidad de la información (véase la norma ISO/IEC 27002, Capítulo 13). El impacto de los escenarios del incidente debe determinarse considerando criterios de impacto definidos durante la actividad de determinación del contexto. Puede afectar a uno o más activos o a parte de un activo. De esta manera, los activos pueden tener valores asignados para su costo financiero y debido a las consecuencias para la empresa si se les daña o compromete. Las consecuencias pueden ser de naturaleza temporal o permanente como en el caso de la destrucción de un activo. NOTA: La norma ISO/lEC 27001 describe la ocurrencia de escenarios de incidentes como "fallas de seguridad"
Las organizaciones deben identificar las consecuencias operativas de los escenarios de incidentes en términos de los siguientes elementos sin limitarse a los mismos: Tiempo de investigación y reparación Tiempo (trabajo) perdido Oportunidad perdida Salud y seguridad física
Costo financiero de habilidades específicas para reparar el daño Reputación de la imagen y buen nombre En B3, Evaluación de impacto, se puede encontrar detalles sobre la evaluación de vulnerabilidades técnicas. Producto: Una lista de escenarios de incidentes con sus consecuencias relacionadas a los activos y procesos de negocios. 8.2.2
Estimación del riesgo
8 . 2 . 2 Metodologías .1 para
la estimación del riesgo
Se debe realizar el análisis del riesgo en grados variables de detalle dependiendo del carácter crucial de los activos, extensión de las vulnerabilidades conocidas e incidentes previos que involucran a la organización. Una metodología de estimación puede ser cualitativa o cuantitativa o una combinación de ambas dependiendo de las circunstancias. En la práctica, se usa a menudo la estimación cualitativa para obtener primero una indicación general del nivel de riesgo y para revelar los riesgos más importantes. Luego puede ser necesario realizar análisis más específicos o cuantitativos sobre los riesgos más importantes porque a menudo es menos complejo y menos caro realizar análisis cualitativos que análisis cuantitativos. La forma del análisis debe ser consistente con los criterios de evaluación del nesgo desarrollados como parte de la determinación del contexto. A continuación se describe los detalles de las metodologías de estimación: (a) Estimación cualitativa: La estimación cualitativa usa una escala de atributos calificadores para describir la magnitud de las consecuencias potenciales (por ejemplo, baja, media y alta) y la posibilidad de que esas consecuencias ocurran. Una ventaja de la estimación cualitativa es su facilidad de comprensión por todo el personal relevante, mientras que una ventaja es la dependencia en una elección subjetiva de la escala. Estas escalas pueden adaptarse o ajustarse para acomodarse a las circunstancias y se puede usar
distintas descripciones para distintos riesgos. Se puede usar estimación cualitativa: Como una actividad de clasificación inicial para identificar los riesgos que requieran un análisis más detallado. Donde este tipo de análisis sea apropiado para las decisiones. Donde los datos numéricos o los recursos sean inadecuados para una estimación cuantitativa. El análisis cualitativo debe usar información fáctica y datos siempre que estén disponibles. (b) Estimación cuantitativa La estimación cuantitativa usa una escala con valores numéricos (más que escalas descriptivas que se utilizan en la estimación cualitativa) para las consecuencias y la posibilidad, utilizando datos de una variedad de fuentes. La calidad del análisis depende de la exactitud y completitud de los valores numéricos y de la validez de los modelos utilizados. En la mayoría de los casos la estimación cuantitativa usa datos de incidentes históricos, proveyendo la ventaja de que se puede relacionar directamente a los objetivos de seguridad de la información y a las preocupaciones de la organización. Una desventaja es la falta de dichos datos sobre nuevos riesgos o sobre las debilidades en la seguridad de la información, Una desventaja del enfoque cuantitativo puede ocurrir donde no se disponga de datos auditables, creando así una ilusión de valor y exactitud de la evaluación del riesgo. La manera en la que se expresan las consecuencias y la posibilidad y las maneras en las que se combinan para proporcionar un nivel de riesgo variarán de acuerdo al tipo de riesgo y al propósito para el cual se debe utilizar el producto de la evaluación del riesgo. Se debe considerar la incertidumbre y variabilidad de varias consecuencias y probabilidad en el análisis y comunicarse de manera eficaz.
8.2.2.2 Evaluación de consecuencias Insumo: Una lista identificada de escenarios de incidentes relevantes que incluya la identificación de amenazas, vulnerabilidades, activos aceptados, consecuencias a los activos y procesos de negocio. Acción: Se debe evaluar el impacto empresarial sobre la organización que podría resultar de incidentes posibles o reales en tomo a la seguridad de la información, tomando en cuenta las consecuencias de una infracción en la seguridad de la información tal como la pérdida de confidencialidad, integridad o disponibilidad de los activos (se relaciona con ISO/IEC 27001, Capítulo 4.2.1 e) 1)).
Guía de implementación: Luego de identificar todos los activos que se están revisando, se debe tomar en cuenta los valores asignados a estos activos a la vez que se evalúan las consecuencias. El valor de impacto sobre el negocio puede expresarse en formas cualitativas y cuantitativas, pero cualquier método de asignar valor monetario puede proveer generalmente más información para la toma de decisiones y por tanto facilitar un proceso de toma de decisiones más eficiente. La valorización de activos comienza con la clasificación de activos de acuerdo con su carácter crucial en términos de la importancia de los activos para satisfacer los objetivos de negocio de la organización. Entonces se determina el valor utilizando dos medidas. El valor de reemplazo del activo: el costo de una limpieza, de la recuperación y de reemplazar la información (si es posible), y Las consecuencias para el negocio por pérdida o compromiso del activo, como consecuencias potenciales adversas para el negocio y/o legales o regulatorias debido a la divulgación, modificación, no-disponibilidad y/o destrucción de información, y otros activos de información. Esta valorización se puede determinar desde el análisis de impacto en el negocio. El valor, determinado por la consecuencia para el negocio, es usualmente significativamente más alto que el simple costo de reemplazo, dependiendo de la importancia que tiene el activo para que la organización logre sus objetivos de negocio. La valorización del activo es un factor clave en la evaluación de impacto de un escenario de incidentes porque el incidente puede afectar a más de un activo (por ejemplo activos dependientes) o solamente a una parte de un activo. Las distintas amenazas y vulnerabilidades tendrán diferentes impactos en los activos, como una pérdida de confidencialidad, integridad o disponibilidad. La evaluación de consecuencias se relaciona entonces a la valorización de los activos en base al análisis de impacto sobre el negocio. Se puede expresar las consecuencias en términos de criterios monetarios, técnicos o humanos u otros criterios relevantes a la organización. En algunos casos se requiere más de un valor numérico para especificar las consecuencias de distintos momentos, lugares, grupos o situaciones. Las consecuencias en el tiempo y las finanzas deben medirse con el mismo enfoque que se utiliza para la posibilidad de amenazas y la vulnerabilidad. Se tiene que mantener la consistencia sobre el enfoque cuantitativo o cualitativo. En el Anexo B se puede encontrar mayor información sobre la valorización de los activos y la evaluación de impacto.
Producto: Una lista de consecuencias evaluadas de un escenario de incidentes expresada con respecto a los activos y a criterios de impacto.
8.2.2.3 Evaluación de la posibilidad de incidentes Insumos: Una lista identificada de escenarios de incidentes relevantes, incluyendo la identificación de amenazas, los activos afectados, las vulnerabilidades explotadas y las consecuencias para los activos y los procesos del negocio. Además, listas de todos los controles existentes y planeados, su eficacia, implementación y condición de uso. Acción: La posibilidad de los escenarios de incidentes debe evaluarse (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 e) 2)). Guía de implementación: Luego de identificar los escenarios de incidentes, es necesario evaluar la posibilidad de que ocurra cada escenario e impacto utilizando técnicas de estimación cualitativa y cuantitativa. Esto debe tomar en cuenta cuán a menudo ocurren las amenazas y con qué facilidad se puede explotar las vulnerabilidades, considerando. La experiencia y las estadísticas aplicables para la posibilidad de amenazas. Para fuentes de amenazas deliberadas: la motivación y capacidades que cambiarán en el tiempo y los recursos disponibles a los posibles atacantes, así como la percepción de la atracción y la vulnerabilidad de los activos para un posible atacante Para fuentes de amenazas accidentales: factores geográficos, por ejemplo proximidad a plantas químicas o petroleras, la posibilidad de condiciones climáticas extremas y factores que podrían influenciar los errores humanos y el malfuncionamiento de los equipos. Vulnerabilidades, tanto individualmente como de manera agregada. Controles existentes y cuán eficazmente reducen las vulnerabilidades. Por ejemplo, un sistema de información puede tener una vulnerabilidad a las amenazas de suplantación de identidad de usuario y mal uso de recursos. La vulnerabilidad de suplantación de identidad de usuario puede ser alta debido a la falta de autentificación de usuario. Por otro lado, la posibilidad de un mal uso de recursos puede ser alta a pesar de la falta de autentificación de usuario porque las guías para utilizar mal los recursos son limitadas.
Dependiendo de la necesidad de exactitud, los activos se pueden agrupar, o puede ser necesario dividir los activos en sus elementos y relacionar los escenarios a los elementos. Por ejemplo, a través de sitios geográficos la naturaleza de las amenazas a los mismos tipos de activos puede cambiar o puede variar la eficacia de los controles existentes. Producto: Posibilidad de escenarios de incidentes (cuantitativos o cualitativos).
8.2.2.4 Nivel de estimación del riesgo Insumos: Una lista de escenarios de incidentes con sus consecuencias relacionadas a activos y procesos del negocio y su posibilidad (cuantitativa o cualitativa). Acción: El nivel de riesgo debe estimarse para todos los escenarios de incidentes relevantes (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 e) 4)). Guía de implementación: La estimación del riesgo asigna valores a la posibilidad y a las consecuencias de un riesgo. Estos valores pueden ser cualitativos o cuantitativos. La estimación del riesgo se basa en las consecuencias evaluadas y en su posibilidad. Adicionalmente, puede considerar el beneficio del costo, las preocupaciones de los intereses y otras variables, según sea apropiado para la evaluación del riesgo. El riesgo estimado es una combinación de la posibilidad de un escenario de incidentes y sus consecuencias. En el Anexo E se pueden encontrar ejemplos de distintos métodos o enfoques de estimación del riesgo en seguridad de la información. Producto: Una lista de riesgos con niveles asignados de valor.
8.3
Evaluación del riesgo
Insumo: Una lista de riesgos con niveles asignados de valor y criterios de evaluación del nesgo. Acción: El nivel de riesgo debe compararse contra los criterios de evaluación del riesgo y los criterios de aceptación del riesgo (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 e) 4)). Guía de implementación: La naturaleza de las decisiones que corresponden a la evaluación del riesgo y a los criterios de evaluación del riesgo que se utilizarán para tomar esas decisiones se decidirán cuando se establezca el contexto. Estas decisiones y el contexto deben volverse a revisar en más detalle en esta etapa cuando se sabe más sobre los riesgos particulares identificados. Para evaluar los riesgos, las organizaciones deben comparar los riesgos estimados (utilizando métodos o enfoques de selección tal como se menciona en el Anexo E) con los criterios de evaluación del riesgo definidos durante la
determinación del contexto. Los criterios de evaluación del riesgo utilizados para tomar la decisión deben ser consistentes con el contexto de gestión del riesgo en seguridad de la información definido externa e internamente y se debe tomar en cuenta los objetivos de la organización y el punto de vista de los interesados, etc. Las decisiones que se toman en la actividad de evaluación del riesgo se basan principalmente en el nivel de riesgo aceptable. Sin embargo, también se debe considerar las consecuencias, posibilidad y grado de confianza en el riesgo, identificación y análisis. La agregación de múltiples riesgos bajos o medios pueden resultar en riesgos generales mucho más altos que requieren tratarse de manera correspondiente. Las consideraciones deben incluir:
Propiedades de la seguridad de la información: si un criterio no es relevante para la organización (por ejemplo pérdida de confidencialidad), entonces todos los riesgos que impactan a este criterio pueden no ser relevantes.
La importancia del proceso de negocio o actividad apoyada por un activo particular o conjunto de activos: si se determina que el proceso es de baja importancia, los riesgos asociados con él deben recibir una consideración más baja que los riesgos que impactan a procesos o actividades más importantes. La evaluación del riesgo utiliza la comprensión del riesgo obtenida por el análisis del riesgo para tomar decisiones sobre acciones futuras. Las decisiones deben incluir: Las prioridades para el tratamiento del riesgo considerando niveles estimados de riesgo. Durante la etapa de evaluación del riesgo, los requisitos contractuales legales y regulatorios son factores que deben tomarse en cuenta además de los riesgos estimados. Producto: Una lista de riesgos priorizada de acuerdo con los criterios de evaluación del riesgo en relación con los escenarios de incidentes que llevan a esos riesgos.
ANEXOB (INFORMATIVO) IDENTIFICACIÓN Y VALORIZACIÓN DE ACTIVOS Y EVALUACIÓN DE IMPACTO
B.1.
Ejemplos de identificación de activos
Para realizar una valorización de activos, una organización necesita primero identificar sus activos (a un nivel apropiado de detalle). Se puede distinguir dos tipos de activo: Los activos primarios: Procesos y actividades del negocio Información Los activos de apoyo (sobre los cuales descansan los elementos primarios del alcance) de todo tipo: Hardware Software Red Personal Sitio Estructura de la organización
B.1.1. Identificación de activos primarios Para describir el alcance de manera más exacta, esta actividad consiste en identificar los activos primarios (procesos y actividades del negocio, información). Esta identificación se realiza por medio de un grupo de trabajo mixto que representa el proceso (gerentes, especialistas en sistemas informáticos y usuarios).
Los activos primarios son usualmente los procesos e información centrales de la actividad en cuestión. Otros activos primarios como los procesos de la organización también pueden considerarse, lo cual será más apropiado para diseñar una política de seguridad de la información o un plan de continuidad del negocio. Dependiendo del propósito, algunos estudios no requerirán un análisis exhaustivo de todos los elementos que conforman el alcance. En dicho caso, los límites del estudio se pueden restringir a los elementos clave del alcance.
Los activos primarios son de dos tipos: 1. Procesos (o subprocesos) y actividades del negocio, por ejemplo Procesos cuya pérdida o degradación hace imposible llevar a cabo la misión de la organización. Procesos que contienen procesos secretos o procesos que involucran tecnología propietaria. Procesos que, si se modifican, pueden afectar grandemente el logro de la misión de la organización. Procesos que son necesarios para que la organización cumpla con los requisitos contractuales, legales o regulatorios. 2. Información: De manera más general la información primaria comprende principalmente: Información vital para el ejercicio de la misión o los negocios de la organización. Información personal que se puede definir específicamente en el sentido de las leyes nacionales respecto a la privacidad. Información estratégica necesaria para lograr los obj etivos determinados por las orientaciones estratégicas. Información de alto costo cuya recolección, almacenamiento, procesamiento y transmisión requieren tiempo largo y/o involucran un alto costo de adquisición. Los procesos y la información que no se identifican como sensibles no tendrán luego de esta actividad clasificación en el resto del estudio. Esto significa que incluso si dichos procesos o información se encuentran comprometidos, la organización seguirá cumpliendo con la misión exitosamente. Sin embargo, a menudo heredarán controles implementados para proteger los procesos y la información identificados como sensibles. B.1.2.
Lista y descripción de activos de apoyo
El alcance consiste de activos que deben identificarse y describirse. Estos activos tienen vulnerabilidades que son explotables por amenazas que tienen como objetivo desactivar los activos primarios del alcance (procesos e información). Son de varios tipos: Hardware El tipo de hardware consiste de todos los elementos fisicos que apoyan procesos: Equipamiento de procesamiento de datos (activo) El equipamiento automático de procesamiento de la información incluye los artículos requeridos para operar independientemente. Equipo portátil El equipamiento automático de procesamiento de la información incluye los artículos requeridos para operar independientemente. Equipo portátil Equipo de cómputo portátil. Ejemplos: computadora laptop, Asistente Digital Personal (PDA) Equipo fijo Equipo de cómputo utilizado en los locales de la organización. Ejemplos: servidor, microcomputadora usada como estación de trabajo. Periféricos de procesamiento Equipo conectado a una computadora por medio de un puerto de comunicación (serial, enlace paralelo, etc.) para ingresar, llevar o transmitir datos. Ejemplos: impresora, disco removible. Medio de datos (pasivo) Estos son medios para almacenar datos o funciones. Medio electrónico
Un medio de información que puede conectarse a una computadora o a una red de computadoras para el almacenamiento de datos. A pesar de su tamaño compacto, estos medios pueden contener una gran cantidad de datos. Se pueden usar con equipo de cómputo estándar. Ejemplos: disco floppy, CD Rom, cartucho de respaldo, disco duro removible, memoria USB, cinta. Otros medios Medios estáticos no electrónicos que contienen datos. Ejemplos: papel, diapositiva, transparencia, documentación, fax. Software El software consiste de todos los programas que contribuyen con la operación de un conjunto de procesamiento de datos. Sistema operativo Esto incluye todos los programas de una computadora que constituye la base operativa desde la cual se corren todos los demás programas (servicios o aplicaciones). Incluye un kernel y funciones o servicios básicos. Dependiendo de la arquitectura, un sistema operativo puede ser monolítico o estar conformado de un microkernel y un conjunto de servicios del sistema. Los elementos principales del sistema operativo son todos los servicios de administración del equipo (CPU. memoria, disco e interfases de red), servicios de administración de tareas o procesos y servicios de manejo de derechos de usuario Software de servicio, mantenimiento o administración Software caracterizado por el hecho de que complementa los servtcios del sistema operativo y no está directamente al servicio de los usuarios o aplicaciones (aunque usualmente es esencial o incluso indispensable para la operación global del sistema de operación). Software en paquetes o software estándar El software estándar o el software en paquetes son productos completos que se comercializan como tales (en vez de uno en su clase o desarrollos específicos) con medio, versión y mantenimiento. Proporcionan servicios a los usuarios y aplicaciones pero no están personalizados o son específicos como son las aplicaciones de negocios.
Ejemplos: software de administración de bases de datos, software de mensajena electrónica, groupware, software de directorios, software para servidores de web, etc. Aplicación empresarial Aplicación empresarial estándar Este es software comercial diseñado para dar a los usuarios acceso directo a los servicios y funciones que requieren de su sistema de información en su contexto profesional. Existe un rango de campos muy amplio, teóricamente ilimitado. Ejemplo: software de cuentas, software de control metalmecánico, software de atención al cliente, software de administración de competencias personales, software administrativo, etc. Aplicación empresarial específica Este es software en el que varios aspectos (principalmente el soporte, el mantenimiento, las mejoras, etc.) se han desarrollado específicamente para darle a los usuarios acceso directo a los servicios y funciones que requieren de su sistema de información. Existe un rango de campos muy amplio, teóricamente ilimitado Ejemplos: administración de facturas de clientes de operadores de telecomunicaciones, aplicación de monitoreo en tiempo real para el lanzamiento de cohetes El tipo red consiste de todos los dispositivos de telecomunicaciones que se usan para interconectar varias computadoras físicamente remotas o elementos de un sistema de operación Medio y soporte Las comunicaciones y los medios o equipos de telecomunicaciones se caracterizan principalmente por las propiedades físicas y técnicas del equipo (punto a punto, transmisión) y por los protocolos de comunicación (enlace o red - niveles 2 y 3 de modelo de capas OSI7)
Ejemplos: Red de Telefonía Pública Conmutada (PSTN), Ethernet, GigabitEthernet, Línea Digital Asimétrica de Suscriptor (ADSL), especificaciones de protocolos inalámbricos (por ejemplo WiFi 802.11), Bluetooth o Wirefire. Relé pasivo o activo
Este sub-tipo incluye todos los dispositivos que no son las terminaciones lógicas de las comunicaciones (visión IS), sino que son dispositivos intermedios o relés. Los relés se caracterizan por los protocolos de comunicación de red soportados. Además del relé básico, a menudo incluye el ruteo y/o funciones y servicios de filtrado, empleando conmutadores de comunicación y ruteadores con filtro. A menudo se pueden administrar remotamente y son usualmente capaces de generar registros. Ejemplos: puente, ruteador, hub, conmutador, intercambio automático. Interfaz de comunicación Las interfaces de comunicación de las unidades de procesamiento se conectan a las unidades de procesamiento pero se caracterizan por los medios y los protocolos soportados, por cualquier filtrado instalado, registro o funciones de generación de advertencias y sus capacidades y por la posibilidad y el requisito de la administración remota. Ejemplos: Servicio General de Radio por Paquetes (GPRS), adaptador de Ethernet. Personal El tipo personal consiste de todos los grupos de personas involucradas en el sistema informático. Responsable de tomar decisiones Los responsables de tomar decisiones son los propietarios de los activos primarios (información y funciones) y los administradores de la organización o del p royecto específico. Ejemplos: altos gerentes, líderes de proyectos. Usuarios Los usuarios son el personal que manej a elementos sensibles en el contexto de su actividad y que tienen una responsabilidad especial en este sentido. Pueden tener derechos especiales de acceso al sistema de información para realizar sus tareas cotidianas. Ejemplos: gerente de recursos humanos, gerente financiero, gerente de riesgos. Personal de operaciones y mantenimiento Este es el personal que está a cargo de operar y mantener el sistema de información. Tienen derechos especiales de acceso al sistema de información para realizar sus tareas cotidianas. Ejemplos: administrador del sistema, administrador de datos, respaldo, escritorio de ayuda, operador de despliegue de aplicaciones, funcionarios de seguridad.
Desarrolladores
Los desarrolladores están a cargo de desarrollar las aplicaciones de la organización. Tienen acceso a parte del sistema de operación con derechos de alto nivel pero no toman ninguna acción sobre los datos de producción. Ejemplos: desarrolladores de aplicaciones empresariales. El tipo sitio comprende todos los lugares que contienen el alcance o parte del alcance y los medios físicos requeridos para que opere. Ubicación Entorno externo Esto concierne a todos los lugares en los que los medios de seguridad de la organización no se pueden aplicar. Ejemplos: lugares del personal, locales de otra organización, ambientes fuera del sitio (área urbana, área de peligro). Locales Este lugar está delimitado por el perímetro de la organización que se encuentra directamente en contacto con el exterior. Este puede ser un lindero protector físico obtenido por la creación de barreras físicas o medios de vigilancia alrededor de los edificios. Ejemplos: establecimientos, edificios Una zona está formada por un lindero protector físico que forma divisiones dentro del local de una organización. Se obtiene creando barreras físicas alrededor de las infraestructuras de procesamiento de información de la organización. Ejemplos: oficinas, zona de acceso reservado, zona segura. Servicios esenciales Todos los servicios requeridos para que opere el equipo de la organización Comunicación Los servicios de telecomunicaciones y equipamiento que provee un operador. Ejemplos: línea telefónica, PABX, redes de telefonía internas. Servicios públicos Servicios y medios (fuentes y cableado) requeridos para proveer energía al equipo de tecnología de la información y periféricos.
Ejemplos: suministro de energía eléctrica de bajo voltaje, inversor, cabecera de cable de circuito eléctrico. Suministro de agua. Disposición de residuo. Servicios y medios (equipo, control) para enfriar y purificar el aire. Ejemplos: tuberías de agua enfriadas, equipo de aire condicionado. Organización. El tipo referente a organización describe el marco organizativo, consistente de todas las estructuras de personal asignadas a una tarea y los procedimientos que controlan estas estructuras. Autoridades Estas son organizaciones desde las cuales la institución estudiada deriva su autoridad. Pueden estar afiliadas legalmente o ser externas. Esto impone restricciones en la organización estudiada en términos de regulaciones, decisiones y acciones. Ejemplo: órgano administrativo, oficina central de una organización. Estructura de la organización Esta consiste de las distintas sucursales de la organización, incluyendo sus actividades funcionales trasversales, bajo el control de su gerencia. Ejemplos: gerencia de recursos humanos, gerencia de TI, gerencia de adquisiciones, gerencia de la unidad de negocio, servicio de seguridad de edificios, servicio contra incendios, gerencia de auditorías. Organización de proyecto o sistema Esto se refiere a la acción que se establece para un proyecto o servicio específico. Ejemplo: nueva aplicación de un proyecto de desarrollo, proyecto de migración del sistema de información. Sub contratistas / Proveedores / Practicantes Estas gadas a ella por contrato. Ejemplos: compañía de administración de locales, compañía subcontratista, compañías consultoras.
B.2
Valorización de activos
El siguiente paso luego de la identificación del activo es acordar la escala que se debe utilizar y los criterios para asignar una ubicación particular en esa escala a cada activo en base a la valorización. Debido a la diversidad de activos que se encuentra en la mayor parte de organizaciones, probablemente algunos activos que tienen un valor monetario conocido se valorizarán en la unidad de moneda local, mientras que a otros que tienen un valor cualitativo puede asignárseles un rango de valor, por ejemplo desde "muy bajo" a "muy alto". La decisión de usar una escala cuantitativa versus una escala cualitativa es en realidad cuestión de preferencia de la organización, pero debe ser relevante a los activos que se están valorizando. Ambos tipos de valorización podrían utilizarse para el mismo activo. Los términos típicos que se utilizan para la valorización cualitativa de activos incluyen palabras como insignificante, muy bajo, bajo, medio, alto, muy alto y crucial. La elección y rango de los términos convenientes a una organización depende fuertemente de la necesidad que tiene una organización de seguridad, del tamaño de la organización y de otros factores específicos a la organización. Criterios Los criterios utilizados como base para asignar un valor a cada activo deben escribirse en términos claros. Este es a menudo uno de los aspectos más dificiles de la valorización de activos ya que los valores de algunos activos tendrán que determinarse subjetivamente y debido a que muchos individuos probablemente harán la determinación. Los criterios posibles a utilizar para determinar el valor de un activo incluyen su costo original, su costo de reemplazo y re-creación o su valor puede ser abstracto, por ejemplo el valor de la reputación de una organización . Otra base para la valorización de activos son los costos incurridos debido a la pérdida de confidencialidad, integridad y disponibilidad como resultado de un incidente. También se debe considerar como apropiados el no-repudio, la rendición de cuentas, la autenticidad y la confiabilidad. Una valoración así proveería las dimensiones de elementos importantes para el valor del activo, además del costo de reemplazo, basándose en estimados de las consecuencias adversas al negocio que resultarían de incidentes de seguridad con un conjunto asumido de circunstancias. Se enfatiza que este enfoque da cuenta de las consecuencias que es necesario factorizar en la evaluación del riesgo. Muchos activos pueden, durante el curso de la valorización, tener varios valores asignados. Por ejemplo, un plan de negocios se puede valorizar en base a la mano de obra utilizada para desarrollar el plan, se puede valorizar sobre la mano de obra respecto de los insumos y se puede valorizar sobre su valor para un competidor. Cada uno de los valores asignados probablemente diferirá considerablemente. El valor asignado puede ser el máximo de todos los valores posible o puede ser la suma de uno o todos los valores posibles. En el análisis final se debe determinar cuidadosamente cuál valor o valores se asignan a un activo, ya que el valor final asignado entra en la determinación de los recursos que se emplearán para la protección del activo. Reducción a la base común
Finalmente, todas las valorizaciones de activos tienen que reducirse a una base común. Esto puede hacerse con la ayuda de criterios como los que siguen. Los criterios que se pueden utilizar para evaluar las condiciones posibles que resultan de una pérdida de confidencialidad, integridad, disponibilidad, no-repudiación, rendición de cuentas, autenticidad o confiabilidad de los activos son: Afectación del desempeño empresarial. Pérdida de buen nombre/ efecto negativo sobre la reputación Infracción asociada con información personal. Puesta en peligro de la seguridad personal. Efectos adversos sobre la aplicación de la ley. Ruptura de la confidencialidad. Ruptura del orden público. Pérdida financiera. Interrupción de las actividades empresariales. Puesta en peligro de la seguridad ambiental.
Otro enfoque para evaluar las consecuencias podría ser: Introducción del servicio incapacidad de proveer el servicio. Pérdida de confianza por parte de los clientes pérdida de credibilidad en el sistema de información interna daño a la reputación. Interrupción de la operación interna interrupción en la organización misma costo interno adicional Interrupción de la operación de un tercero interrupción en terceros que transan con la organización varios tipos de daño Infracción de leyes/ regulaciones: incapacidad de cumplir con las obligaciones legales Ruptura de contrato incapacidad de cumplir con las obligaciones contractuales Peligro a la seguridad del personal/usuario peligro para el personal y/o los usuarios de la organización Ataque a la vida privada de los usuarios Pérdidas financieras
Costos financieros para emergencia o reparación: en términos del personal en términos del equipo en términos de los estudios, informes de expertos Pérdida de bienes/fondos/activos Pérdida de clientes, pérdida de proveedores Procesos judiciales y sanciones Pérdida de una ventaja competitiva Pérdida del liderazgo tecnológico/técnico Pérdida de eficacia/confianza Pérdida de reputación técnica Debilitamiento de la capacidad de negociación Crisis industrial (huelgas) Crisis gubernamental Despidos Daño material Estos criterios son ejemplos de cuestiones a considerarse para la valorización de activos. Para llevar a cabo las valorizaciones, una organización tiene que seleccionar criterios relevantes para su tipo de negocio y necesidades de seguridad. Esto puede significar que algunos de los criterios listados anteriormente no sean aplicables y que otros puedan requerir añadirse a la lista. Escala Luego de establecer los criterios a considerarse, la organización deberá ponerse de acuerdo sobre una escala a ser utilizada en toda la organización. El primer paso es decidir sobre el número de niveles a utilizarse. No existen reglas respecto al número de niveles más apropiado. Si hay más niveles se provee una granularidad mayor, pero a veces una diferenciación muy fina hace que las asignaciones consistentes en toda la organización sean difíciles. Normalmente cualquier número de niveles entre tres (por ejemplo, bajo, medio y alto) y diez puede utilizarse siempre y cuando sean consistentes con el enfoque que la organización está utilizando para todo el proceso de evaluación del riesgo. Una organización puede definir sus propios límites para la valorización de activos, como "bajo", "medio", o "alto". Estos límites deben evaluarse de acuerdo con criterios seleccionados (por ej emplo, para pérdidas financieras posibles, deben darse en valores monetarios, pero para consideraciones como la puesta en peligro de la seguridad del personal, la valorización monetaria puede ser complej a y puede no ser apropiada para todas las organizaciones). Finalmente, depende completamente de la organización el decidir qué se considera como una consecuencia "baja" o "alta". Una consecuencia que puede ser desastrosa para una organización pequeña puede ser "baj a" o "insignificante" para una organización pequeña.
Dependencias Cuanto más relevantes y numerosos sean los procesos empresariales apoyados por un activo, mayor será el valor de este activo. Deben identificarse las dependencias de los activos en los procesos empresariales y en otros activos también, ya que esto puede influenciar los valores de los activos. Por ejemplo, la confidencialidad de datos debe mantenerse a lo largo de su ciclo de vida, en todas las etapas, incluyendo el almacenamiento y el procesamiento, es decir, la seguridad necesita de almacenamiento y los programas y el procesamiento deben estar directamente relacionados con el valor que representa la confidencialidad de los datos almacenados y procesados. Además, si un proceso empresarial depende de la integridad de que un programa produzca ciertos datos, los datos insumo de este programa deben tener una confiabilidad apropiada. Además, la integridad de la información dependerá del hardware y el software que se utilice para el almacenamiento y el procesamiento. El hardware también dependerá del suministro de electricidad y posiblemente del aire acondicionado. De este modo, la información sobre las dependencias ayudará a identificar las amenazas y particularmente las vulnerabilidades. Por otro lado, ayudará a asegurar que se de a los activos el verdadero valor de los activos (a través de las relaciones de dependencias), indicando así el nivel apropiado de protección. Los valores de los activos de los que otros activos dependen se pueden modificar de la manera siguiente: Si los valores de los activos dependientes (por ejemplo datos) son más bajos o iguales a los valores del activo considerado (por ejemplo software), su valor sigue siendo el mismo. Si los valores del activo dependiente (por ejemplo datos) es mayor, entonces el valor del activo considerado (por ejemplo software) debe incrementarse de acuerdo con el grado de dependencia los valores de otros activos. Una organización puede tener algunos activos que estén disponibles más de una vez, como las copias de programas de software o del mismo tipo de computadora utilizado en la mayor parte de oficinas. Es importante considerar este hecho cuando se hace la valorización de activos. Por un lado, estos activos se desatienden fácilmente, por lo tanto se debe tener cuidado en identificar a todos ellos. Por otro lado, se les podría utilizar para reducir los problemas de disponibilidad . Producto El producto final de este paso es una lista de activos y sus valores relativos respecto de la divulgación (preservación de confidencialidad), modificación (preservación de la integridad, autenticidad, no-repudio y rendición de cuentas), no-disponibilidad y destrucción (preservación de la disponibilidad y confiabilidad) y costo de reemplazo.
B.3 Evaluación del impacto Un incidente en la seguridad de la información puede impactar más que un activo o sólo una parte de un activo. El impacto se relaciona con el grado de éxito del incidente. Como consecuencia, existe una diferencia importante entre el valor del activo y el impacto que resulta del incidente. Se considera que el impacto tiene ya sea un efecto inmediato (operativo) o futuro (empresarial) que incluye consecuencias financieras y de mercado. El impacto operativo inmediato es ya sea directo o indirecto. Directo: a) El valor de reemplazo financiero de activos perdidos o parte de los mismos. b) El costo de adquisición, configuración e instalación del nuevo activo o respaldo. c) El costo de las operaciones suspendidas debido al incidente hasta que el servicio proporcionado por el (los) activo (s) se restaure. d) Resultados del impacto en una ruptura de la seguridad de la información
Indirecto: a) Costo de oportunidad (se tiene que usar recursos financieros para reemplazar o reparar un activo que podría haber sido utilizado en otro lugar. b) El costo de las operaciones interrumpidas. c) Un mal uso potencial de la información obtenida a través de una ruptura de la seguridad. d) Violación de obligaciones estatutarias o regulatorias. e) Violación de códigos de conducta éticos. Como tal, la primera evaluación (sin controles de ningún tipo) estimará un impacto como muy cercano al (a los) valor (es) concernido (s) o a una combinación de los mismos. Para cualquier iteración siguiente sobre este (estos) activo (s), el impacto será diferente, normalmente mucho más bajo debido a la presencia y a la eficacia de los controles implementados.