Saltar al contenido

Análisis de riesgos y seguridad de la información

Compartir en:
Análisis de riesgos de la seguridad

En muchas organizaciones en ocasiones se realizan muchas inversiones de seguridad sin realmente tener muy claro el motivo de estas y el retorno real de impacto que estas tienen en los objetivos de la empresa. Curiosamente, el dedicar recursos a las soluciones es habitual, pero siempre hay reticencia a invertir en estudiar realmente donde tenemos los puntos flacos, como debemos mejorarlos y con que soluciones podemos afrontarlos de manera ponderada y teniendo una visión global de los problemas.

De estas necesidades surgen los análisis de riesgos, que deben ser el punto de partida para las empresas que realmente se preocupan por la seguridad. Esta muy bien invertir en la última solución del mercado de EDR (Endpoint Detection and Response) siempre y cuando este sea un problema grave de seguridad, posiblemente medidas más sencillas de seguridad física (proteger CPD, invertir en copias de seguridad) aporten más valor, sean menos costosas y aborden los problemas reales de la empresa.

El análisis de riesgos nos da esta perspectiva y nos ayuda a valorar lo que realmente es importante, y sobre todo nos traza las líneas maestras de nuestro plan enfocado realmente en lo que la empresa necesita, y no en las soluciones más punteras que el comercial de turno está intentando vendernos.

Una vez planificado podremos responder a las siguientes preguntas fundamentales:

  • ¿Qué es lo que hay que proteger?
  • ¿De qué o de quienes hay que protegerse y por qué?
  • ¿Cómo debemos hacerlo, como debemos hacer frente a estas amenazas?

Cada una de estas cuestiones deben plantearse en la empresa, son el fundamento del porqué hay que hacer un análisis de riesgos y justifican el proceso.

¿Cómo hacemos el análisis?

Hay numerosas metodologías estándar y muchas variantes que las empresas adaptan a sus particularidades, pero la gran mayoría (o por lo menos las más comunes) tienen en común los 3 elementos fundamentales:

  • Los Activos (elementos a proteger)
  • Las Amenazas (en que situaciones se deben proteger los activos)
  • Las vulnerabilidades (aspectos que facilitan la materialización de las amenazas)

De la relación y la interacción de estos tres elementos se obtienen los riesgos, las casuísticas y las soluciones.

La primera fase es identificar los riesgos y saber que activos debemos proteger, la segunda es valorar y determinar que amenazas suponen estos riesgos. Una vez valorados e identificados debemos determinar que medidas protectoras aplicamos para que la organización se vea lo menos afectada posible, esto debe hacerse teniendo en cuenta que el coste de la exposición no debe superar el coste de protección, consiguiendo un equilibrio entre seguridad y viabilidad.

Cuando hablo de coste muchos piensan en coste económico directo, pero hay que tener en cuenta que implantar medidas de seguridad tienen asociadas numerosos costes ocultos operativos que debemos valorar, por ejemplo, si disponemos de X empleados y les obligamos a realizar una acción que cuesta Y durante Z veces al día, esta acción tendrá un coste X*Y*Z  en tiempo no operativo, por esto el sentido común también debe tenerse en cuenta, no tiene sentido bloquear los ordenadores cada 30 segundos y exigir doble factor en todas las ocasiones, el coste operativo es muy elevado y el beneficio cuestionable, sobre todo en personas y equipos poco sensibles.

Una de las valoraciones más comunes en los riesgos es determinar la probabilidad de que este ocurra y el impacto que pudiera tener si ocurriese, otras metodologías añaden a la ecuación el coste de eliminar (si es posible) el riesgo. De esta valoración se obtiene un dato fundamental que debe compararse con el siguiente, el elemento: El umbral de riesgo.

Fuente INCIBE – https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo

El umbral de riesgo es el punto de la ecuación donde un riesgo debe ser tenido en cuenta, es decir, que debemos hacer algo con este. Las acciones generalmente que podemos realizar sobre un riesgo que supera el umbral se agrupan en 4 posibilidades:

  • Podemos aceptarlo. Esta situación se da cuando, aunque de nuestro análisis sacamos que existe un peligro real, la situación es inasumible, ya sea por coste de esta, o por la relación coste probabilidad. Por ejemplo (exagerando) podemos determinar que en nuestro CPD hay riesgo de que estalle una bomba, el coste de tener un segundo edificio es muy elevado y la probabilidad de que alguien ponga una bomba es reducida, por tanto, la organización puede asumir el riesgo.
  • Podemos Reducirlo. Esta acción es clara, debemos bajar el umbral para que el riesgo sea asumible y este por debajo de nuestros baremos. Por ejemplo, si detectamos y riesgo de ataques de denegación de servicio en nuestro sitio WEB, podemos implantar un sistema de WAF , reglas de DoS con cuarentena de direcciones IP y filtros geográficos evitando países propensos a utilizar botnets para estos fines, el riesgo no se elimina, pero reducimos mucho la probabilidad de que esto ocurra, pudiendo bajar la calificación del riego dentro de nuestros baremos asumibles.
  • Podemos Evitarlo. Evitar un riesgo siempre es lo más efectivo, aunque no siempre es posible. Por ejemplo, podemos detectar un riesgo de fuga de información en ciertos datos, podemos determinar que estos datos no son necesarios o pueden anonimizarse hasta tal punto que el riesgo desaparece por completo.
  • Podemos derivarlos. Esta situación ocurre cuando nuestra organización no puede asumir el riesgo, pero un tercero si puede tomar acciones para reducirlo o mitigarlo. Por ejemplo, podemos contratar un seguro para un riesgo que determinemos inasumibles y al bajar las consecuencias de riesgo podemos bajar el umbral.

Metodologías

Existen varias metodologías que nos ayudan a determinar que riesgos tenemos en nuestra organización, en este post no profundizaremos en estas, pero voy a nombrar las mas utilizadas:

Magerit

Esta metodología es muy utilizada en el estado español, ya que fue desarrollada por el ministerio de administraciones públicas. Y consta de varias fases donde se identifican los activos, se establecen las amenazas y el impacto de estas y se determinan las salvaguardas.

Estimacion de impacto – Fuente MERGERIT https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html

NIST 800-30

Esta metodología (de origen norte americano) se diferencia con Magerit en que las valoraciones obtenidas no son meramente económicas. Las fases son similares a la mayoría y consta de numerosas guias muy completas para su ejecución (en ingles) .

OCTAVE

Esta metodología de origen Británico no consta de mediadas al uso como las demás, sino que trata un modelo iterativo que intenta solventar y tratar todos los riesgos que se detectan en las fases de documentación.

CRAMM

También británica, se caracteriza por simplificar las valoraciones a una estimación numérica, muy útil para simplificar los resultados.

Conclusiones

Hemos tratado por encima la base de todo sistema integral de gestión de la seguridad, el análisis de riesgos. Este es un punto de partida fundamental para poder determinar desde arriba y con perspectiva en que estamos expuestos, como podemos atacarlo y que estamos asumiendo.

Muchas veces las organizaciones en mi opinión centran el tratamiento en algo “superficial” y muy orientado a IT para “pasar la auditoria” y no se dan cuenta de las enormes ventajas que pueden obtener cuando el análisis es concienzudo.

La detección de riesgos muy básicos que conllevan acciones muy económicas y mitigan problemas de seguridad estructural son la clave para un buen sistema de gestión de la seguridad, a todos nos gustan las últimas tecnologías, pero quizás nos aporte más poner una simple cerradura que contratar el mejor SIEM del mercado.


Juan Ibero

Inmerso en la Evolución Tecnológica. Ingeniero Informático especializado en la gestión segura de entornos TI e industriales, con un profundo énfasis en seguridad, arquitectura y programación. Siempre aprendiendo, siempre explorando.

Compartir en:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *