Cuando se diseña un nuevo sistema informático hay cosas que tenemos que tomar en cuenta tal como lo son las vulnerabilidades y amenazas que puede sufrir, entre otras cosas. Pero no creas que esto lo tienes que inventar o que a nadie se le haya ocurrido antes una manera de hacerlo para eso existen las metodologías de evaluación de riesgos informáticos.
Pero antes de comenzar
Conceptos básicos:
- Análisis de Riesgos
Es un método sistemático de recopilación, evaluación, registro y difusión de información necesaria para formular recomendaciones orientadas a la adopción de una posición o medidas en respuesta a un peligro determinado.
- Análisis de Vulnerabilidades
Es una herramienta que permite poner a prueba la seguridad e integridad de las redes informáticas.
- Exploración o Familiarización
En esta etapa se realizara un estudio o examen previo al inicio de la Auditoría con el propósito de conocer en detalle las características de la entidad a auditar para tener los elementos necesarios que permitan un adecuado planeamiento del trabajo a realizar y dirigirlo hacia las cuestiones que resulten de mayor interés de acuerdo con los objetivos previstos.
- Método Cualitativo
Se trata de determinar la severidad del Riesgo, agrupándolos en algunas categorías, de acuerdo a unos criterios.
- Método Cuantitativo
Clasifican su importancia en función de un cálculo de costos anuales estimados en función de su consecuencia y de su Probabilidad.
- Metodología de Auditoria
Una metodología de auditoría es un conjunto de procedimientos documentados de auditoría diseñados para alcanzar los objetivos de auditoría planeados. Sus componentes son una declaración del alcance, una declaración de los objetivos de la auditoría y una declaración de los programas de auditoría.
- Riesgo de control
Es decir, el riesgo de que los sistemas de control en vigencia no puedan detectar o evitar errores o irregularidades significativas en forma oportuna.
- Riesgo inherente
Es la susceptibilidad a errores o irregularidades significativas, antes de considerar la efectividad de los sistemas de control, es el riesgo propio del negocio como tal.
- Riesgos
Es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre.
Luego de haber vistos estos conceptos debemos saber que en la actualidad cualquier empresa tiene Riesgos Informáticos, que pueden afectar su funcionamiento y una forma, que se utiliza para brindar continuidad al negocio y prevenir desastres de cualquier tipo en una empresa es el de realizar una Evaluación de Riesgos Informáticos. Esta evaluación se puede llevar a cabo de forma cualitativa, semicualitativa y cuantitativa utilizando los siguientes
Métodos o metodologías
A pesar de que solo explicare uno en detalle me gustaría mencionar algunas de las que existen:
- MAGERIT
- Metodología española de análisis y gestión de riesgos para los sistemas de información, promovida por el MAP y diferente a la UNE 71504.
- EBIOS
- Metodología francesa de análisis y gestión de riesgos de seguridad de sistemas de información.
- CRAMM
- Metodología de análisis y gestión de riesgos desarrollada por el CCTA inglés.
- OCTAVE
- Metodología de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) de la Carnegie Mellon University.
- CORAS
- Desarrollado a partir de 2001 por SINTEF, un grupo de investigación noruego financiado por organizaciones del sector público y privado. Se desarrolló en el marco del Proyecto CORAS (IST-2000-25031) financiado por la Unión Europea. Basado en la elaboración de modelos, que consta de siete pasos, basados fundamentalmente en entrevistas con los expertos.
- NIST SP 800-30
- El NIST (National Institute of Standards and Technology) ha dedicado una serie de publicaciones especiales, la SP 800 a la seguridad de la información. Esta serie incluye una metodología para el análisis y gestión de riesgos de seguridad de la información, alineada y complementaria con el resto de documentos de la serie.
- MEHARI
- Es la metodología de análisis y gestión de riesgos desarrollada por la CLUSIF (CLUb de la Sécurité de l’Information Français) en 1995 y deriva de las metodologías previas Melissa y Marion. La metodología ha evolucionado proporcionando una guía de implantación de la seguridad en una entidad a lo largo del ciclo de vida. Del mismo modo, evalúa riesgos en base a los criterios de disponibilidad, integridad y confidencialidad.
- ANÁLISIS HOLANDÉS A&K
- Es método de análisis de riesgos, del que hay publicado un manual, que ha sido desarrollado por el Ministerio de Asuntos Internos de Holanda, y se usa en el gobierno y a menudo en empresas holandesas.
Metodología CRAMM
La mayoría de los software de gestión de riesgos usados hoy día centran su atención en proteger los bienes más costosos de la organización, sin embargo, no en todos los casos es la mejor. Cramm es un software que realiza un análisis de riesgos cualitativos asociados con una herramienta de gestión. La herramienta, que ha sometida a revisiones importantes (actualmente en versión 4), es posteriormente comercializada y ahora distribuidas por una firma del Reino Unido, Insight Consulting, como «Cramm Manager» (Junto a la U. K. Servicio de Seguridad).
Los elementos esenciales de la recogida de datos, análisis y los resultados de salida que deben estar presentes en una herramienta automatizada de análisis de riesgos están cubiertos en las tres etapas de una revisión Cramm:
– Identificar y evaluar los bienes
– Identificar las amenazas y vulnerabilidades calculando sus riesgos
– Identificar y priorizar las medidas de defensa o contramedidas
Con respecto a esto, Cramm calcula los riesgos para cada grupo de activos contra las amenazas a las que es vulnerable en un escala de 1 a 7, utilizando una matriz de riesgo con valores predefinidos comparando los valores de activos a las amenazas y niveles de vulnerabilidad. En esta escala, «1» indica una línea de base de bajo nivel de exigencia de seguridad y el “7 » indica un requisito de seguridad muy alto.
Basándose en los resultados del análisis de riesgos, Cramm produce una serie de contramedidas aplicable al sistema o red que se consideran necesarias para gestionar los riesgos identificados. El perfil de seguridad recomendado a continuación, se compara con los existentes para Contramedidas, luego de identificar las áreas de debilidad o de mayor exposición.
Cramm contiene una gran selección predefinidas de contramedidas (alrededor de 4.000), todas se reúnen en grupos y subgrupos con los mismos aspectos de seguridad, incluyendo, activos de software, hardware e incluso protecciones medioambientales. Por lo que se recomienda la utilización de una versión de prueba que puede ser descargada de su sitio Web.
GG Guazaman 