lunes 23 de julio de 2018
Revista Innovación Seguridad » Análisis y tendencias » 1 sep 2005

Toda actividad implica un riesgo...

Toda Actividad implica un Riesgo, tomándose como tal: cualquier inconveniente, desgracia, contratiempo, peligro, accidente o imprevisto posible. El Análisis de Riesgos es una estimación de los riesgos mencionados implícitos antes de encarar una actividad, realizar una operación o efectuar una toma de decisión de determinado tipo.


El Análisis de Riesgos consiste sobre todo en un cálculo de probabilidades de ocurrencia de sucesos de valoración diversa.
La toma de decisiones al enfrentarnos con estados naturales o con oponentes racionales, implica cierto grado de certeza, riesgo o incertidumbre.
La decisión final dependerá siempre del grado de aversión al riesgo del tomador de decisiones.

Es importante definir los términos amenaza y vulnerabilidad, los factores que influyen, los terceros que influyen y lo que se quiere proteger.

Amenaza

Es el potencial de que una fuente de peligro explote una vulnerabilidad específica. Las amenazas pueden ser:
Naturales: Inundaciones, Terremotos, Tornados, Derrumbes, Avalanchas, Tormentas Eléctricas, Volcanes, Maremotos.
Humanas: actos no intencionales (ingreso de datos erróneos) o acciones deliberadas (ataque a una Red, carga de software malicioso, acceso no autorizado a información confidencial).
Ambientales: Falla en el sistema eléctrico, contaminación ambiental, químicos, derrame de líquidos.

Vulnerabilidad

Es una falla o debilidad en los procedimientos, diseño, implementación o controles internos de un sistema de seguridad que puede ser explotada (accidental o intencionalmente) y desembocar en una rotura o violación de las Políticas de Seguridad.

Organización - Ambiente
Entre los factores que influyen, podemos mencionar: la ubicación geográfica, la situación política nacional e internacional, la economía, la legislación, la situación de la justicia, la salud, la educación, el medioambiente, el clima, la tecnología.

Organización - Contexto
Se debe tener en cuenta, además, el contexto, es decir los terceros que influyen, tales como clientes, proveedores, entes recaudadores, personal, sindicatos, obras sociales, accionistas, inversores, bancos, competencia.
Supongamos que se contrata un experto en seguridad a fin de proteger la información de una Compañía: Debe seguir ciertos pasos, a fin de realizar una tarea responsable:

Primer paso: Analizar el sistema
Finalizado el análisis deberá poder definir: los límites, las funciones de sistema y los datos críticos y sensibles a considerar. Se debe analizar:

• Hardware (inventario de equipamiento)
• Software (software de base, de aplicación, utilitarios, antivirus)
• Interfaces del Sistema (conectividad interna y externa)
• Flujo de Datos e Información (diseño detallado)
• Usuarios del Sistema (soporte técnico, clientes internos y externos)
• Misión del Sistema TI
• Aspectos Críticos del Sistema y de Datos (valor y grado de importancia en la organización)
• Sensibilidad del Sistema y de Datos (Nivel de Protección requerido para mantener la integridad, confidencialidad y disponibilidad de los datos)
• Requerimientos Funcionales del Sistema TI
• Políticas de seguridad TI (políticas de la organización, requerimientos legales, marco normativo vigente, leyes)
• Arquitectura del Sistema TI
• Topología de Red (Estrella, Anillo, Bus, etc.)
• Almacenamiento de Información protegida a efectos de resguardar la disponibilidad, integridad y confidencialidad
• Administración del Sistema TI (normas de comportamiento, confidencialidad y plan de seguridad)
• Controles Operativos utilizados en el Sistema TI (seguridad del personal, back-up y recuperación de datos e información, mantenimiento del sistema, almacenamiento en sitio alternativo, procedimiento de alta y baja de usuarios, controles internos, privilegios de acceso de usuarios)
• Configuración de la Seguridad Física del Sistema TI (Ambiente - Personal - Centro de Cómputos)
• Equipamiento implementado para dar Seguridad al Ambiente del Sistema TI (control de humedad, agua, energía, contaminación ambiental, variación de temperatura, contaminantes químicos)

Segundo paso: Identificar amenazas

• El historial de ataques que sufrió el sistema
• Hacking (Acceso no autorizado, Intrusión, Rotura o Interrupción del Sistema)
• Ingeniería Social
• Delitos Informáticos (Fraude, Estafa, Soborno, Cohecho)
• Spoofing, Tampering, Sniffing
• Terrorismo (Sabotaje al Sistema)
• Espionaje (Intercepción de datos de carácter Internacional, Comercial, Industrial)
• Denegación del Servicio (DoS)
• Código malicioso (Virus, Troyanos, Gusanos)
• Venta de datos personales

Tercer paso: Identificar vulnerabilidades

• Determinar posibles fallas o debilidades
• Confeccionar un listado de las vulnerabilidades potenciales.

Cuarto paso: Analizar los controles

Los controles técnicos están incorporados al hardware, software o firmware (Mecanismos de Control de accesos, Mecanismos de identificación y autenticación, métodos de encriptación, software para detectar intrusiones)
Los demás controles administrativos y operativos son las políticas de seguridad, procedimientos operativos y protección física, del personal y del ambiente.

Los controles pueden ser preventivos o detectivos.

Quinto paso: Determinar el nivel
de posibilidad


Para esta determinación se debe tener en cuenta:
• La naturaleza de la vulnerabilidad
• La motivación de la fuente de amenaza
• La capacidad de la amenaza
• Los controles actuales

Sexto paso: Analizar la magnitud del impacto

Se deben evaluar los datos críticos y los sensibles, así como estimar la frecuencia en que se ejercita la amenaza en un tiempo determinado, el costo aproximado de cada suceso y el factor de peso de la incidencia basado en el análisis subjetivo.

Séptimo paso: Determinar riesgos
Se debe determinar la Matriz de Nivel de Riesgo

Octavo paso: Recomendar controles
Para que los controles recomendados sean efectivos, se debe tener en cuenta:


• La compatibilidad con el Sistema
• El marco legal y normas vigentes
• Políticas de la Organización
• El impacto operativo
• Seguridad y Confiabilidad

Noveno paso: Informar resultados
El Informe Final debe servir para:


• Ayudar a la función administrativa,
• Contemplar la misión de la organización,
• Ayudar a la toma de decisiones políticas,
• Definir procedimientos,
• Confeccionar presupuestos,
• Mejorar el sistema operacional
• Instrumentar los cambios necesarios..

Ahora sí se deben determinar las medidas a tomar.

A los efectos de reducir los riesgos, se debe:
a) Asignar prioridad a las acciones según su grado de importancia
b) Elaborar un informe de evaluación de riesgos
c) Realizar un análisis costo-beneficio, calculando el impacto por la implementación o no, más los costos asociados
d) Seleccionar los controles, según sean administrativos, operativos o técnicos
e) Confeccionar listado de personas responsables

En base a lo anterior se elaborará un Plan de Seguridad que deberá incluir fechas de inicio y finalización y detallar los requerimientos para su mantenimiento.
Siempre existe la posibilidad de un riesgo residual que deberá ser oportunamente controlado.

Por Lic. Eduardo Horacio Quinn
Docente en la Universidad de Maimónides e Instituto Universitario de la Policía Federal Argentina.
Director del departamento de computación e informática del Instituto Universitario de la Policía Federal Argentina desde 05/12/2000

Ehquinn@fibertel.com.ar

OPINÁ, DEJÁ TU COMENTARIO:

NEWSLETTER

Suscríbase a nuestro boletín de noticias

VIDEOS