Grupo SGC Infraestructura Tecnológica Matriz de Riesgos TI
Índice Información del documento
4
Versión
4
Objetivo
4
Audiencia
4
Marco conceptual
5
Riesgo
5
Amenaza
5
Vulnerabilidad
6
Caracterización del sistema
6
Identificación de amenazas
7
Orígenes de amenaza
7
Vulnerabilidades potenciales
7
Controles existentes
7
Identificación de vulnerabilidades
7
Análisis de controles.
8
Métodos de control
8
Categorías de control
8
Técnicas de análisis de control
8
Análisis de impacto Estimación cuantitativa vs estimación cualitativa: Determinación de riesgos
9 11 11
Matriz de niveles de riesgo
11
Descripción de niveles de riesgo
13
Recomendaciones de control
14
Documentación de resultados
14
Mitigación de riesgos
15
Opciones de mitigación de riesgos:
15
Estrategia de mitigación de riesgos
15
Estimación de riesgos
16
Características del sistema
16
Lugares de Trabajo
16
Instalación eléctrica
16
Caracterización del sistema
16
Misión
16
Hardware
16
Software
16
Interfaces de sistema
17
Personal
17
Identificación de amenazas
17
Identificación de vulnerabilidades
17
Análisis de controles
17
Información del documento Versión Versión
Acción
Responsable
Fecha
2.1
Creación
Ariel Sorbellini
18-06-2014
2.2
Modificación
Ariel Sorbellini
24-04-2017
Objetivo Este documento tiene por objetivo detallar las características relevantes para la gestión de recursos TI en SGC.
Audiencia Este documento está dirigido a personal de la Dirección, encargados de presupuestos e infraestructura de SGC.
Marco conceptual Dentro de la metodología de gestión de riesgos, el primer paso corresponde a la evaluación de riesgos. Las Organizaciones utilizan la evaluación de riesgos para determinar la envergadura de una amenaza potencial y el riesgo asociado con la misma. El resultado de estos procesos ayuda a identificar los controles apropiados para reducir o eliminar los riesgos durante el proceso de mitigación de riesgos.
Riesgo El riesgo es una “función de la probabilidad de ocurrencia de una determinada amenaza impactando sobre una vulnerabilidad potencial, con el impacto resultante de ese evento adverso sobre la organización”. Para determinar la probabilidad de un evento adverso futuro, las amenazas para un sistema TI deben ser analizadas en conjunto con las potenciales vulnerabilidades y los controles del sistema TI. El nivel de impacto es determinado por los niveles potenciales de impacto sobre la misión del sistema TI, el ajuste de dicho nivel produce un valor relativo para los activos IT, así como para los recursos afectados (P.E. la criticidad y sensibilidad de los componentes y datos IT). Entonces, combinando lo anterior: El riesgo puede ser definido como:
● “La combinación de un activo con una amenaza capaz de dañar dicho activo”. ● “La combinación de un activo, una amenaza capaz de dañar dicho activo y las vulnerabilidades explotadas por la amenaza para dañar dicho activo”. El riesgo normalmente se analiza en base a un escenario, es decir, incorporando el análisis de riesgo y las circunstancias en las que el daño tiene lugar. Las circunstancias pueden ser: ● ● ●
Lugar: por ejemplo, medios de datos sustraídos de una locación específica. Tiempo: por ejemplo, una acción llevada a cabo durante o fuera del horario laboral. Procesos o fases de un proceso: por ejemplo, alterar el contenido de archivos específicos durante el proceso de mantenimiento.
Amenaza La norma ISO/IEC 27000 define parcialmente a una amenaza como “cualquier elemento o evento que posee el potencial de dañar activos como información, procesos, sistemas e incluso organizaciones”. Las amenazas pueden aplicarse a un amplio rango de aspectos, particularmente los siguientes: ●
Eventos o acciones que pueden llevar a la ocurrencia de un riesgo (por ejemplo: accidentes, fuego, robo de medios de información, etc.).
●
Acciones o líneas de acción que pueden hacer posible la ocurrencia de un riesgo sin causarlo directamente (por ejemplo: abuso de privilegios, acceso no autorizado o robo de identidad).
●
Efectos relacionados con y que pueden indicar causas no determinadas (por ejemplo: la saturación de un sistema de información).
●
Comportamiento (por ejemplo: el uso no autorizado de equipamiento TI) que no es en sí mismo un evento que conduzca a la ocurrencia de riesgos.
Vulnerabilidad El término vulnerabilidad es ampliamente utilizado en el dominio de la información de la Seguridad de sistemas. La vulnerabilidad puede ser definida de dos maneras: ●
Lingüísticamente: como la “característica de un sistema, objeto u activo que puede ser susceptible a amenazas”.
●
En términos de seguridad: como “el defecto o falla en un sistema de seguridad que puede ser utilizado por una amenaza para atacar un sistema, objeto u activo específico”.
Estimación de riesgos La metodología de estimación de riesgos se compone de nueve pasos, los que se detallan a continuación.
Caracterización del sistema En este paso se definen los límites del sistema, junto con los recursos e información que lo constituyen. La caracterización del sistema establece el alcance de la estimación de riesgos, delinea los límites operacionales y provee información esencial para definir el riesgo. Dentro de la caracterización del sistema se encuentra la siguiente información: ●
Misión del sistema.
●
Criticidad del sistema y sus datos (valor o importancia del sistema dentro de la organización).
●
Sensibilidad del sistema y sus datos (datos sensibles y/o confidenciales).
●
Hardware.
●
Software.
●
Interfaces del sistema.
●
Datos e información.
●
Personas que soportan y utilizan el sistema TI.
Información adicional relacionada con el entorno operacional del sistema TI y sus datos incluye, pero no es limitado por, los siguientes elementos. ●
Los requerimientos funcionales del sistema TI.
●
Usuarios del sistema.
●
Políticas de seguridad que gobiernan el sistema TI.
●
Arquitectura de la seguridad del sistema.
●
Topología de la red
●
Datos relacionados con el almacenamiento de la información que protege la disponibilidad del sistema y los datos.
●
Flujo de información relativa al sistema TI.
●
Controles de gestión utilizados por el sistema TI (p.e., reglas de negocio).
●
Controles operacionales utilizados por el sistema.
●
Entorno de seguridad del sistema TI (seguridad física y lógica).
●
Seguridad ambiental del sistema TI (humedad, temperatura, energía, agua, etc.).
Identificación de amenazas Al determinar los tipos de amenazas que pueden ejercer una particular vulnerabilidad sobre un activo TI, deben identificarse los siguientes componentes:
Orígenes de amenaza Un origen de amenaza, comúnmente puede clasificarse como: ●
Natural.
●
Humano.
●
Ambiental.
Vulnerabilidades potenciales Una vulnerabilidad potencial es aquella que puede transformarse en vulnerabilidad ante un cambio de las condiciones iniciales.
Controles existentes Se analizan los controles existentes en cuanto a su eficacia histórica, pudiendo detectarse nuevas amenazas o nuevos enfoques para modificar dichos controles.
Identificación de vulnerabilidades El análisis de las amenazas a un sistema TI debe incluir un análisis de las vulnerabilidades asociadas con el entorno del sistema. El objetivo de este paso es desarrollar una lista de vulnerabilidades del sistema que pueden ser aprovechadas por los orígenes de amenazas potenciales.
Normalmente las vulnerabilidades se presentan en parejas llamadas “Vulnerabilidad/Amenaza”. Un ejemplo de las mismas puede observarse a continuación.
Vulnerabilidad
Amenaza
Acción de amenaza
Los identificadores de usuario de los empleados desvinculados de la empresa no son removidos del sistema
Empleados desvinculados
Acceso a la red corporativa, utilizando el identificador de usuario para acceder a información propietaria de la organización.
Los aspersores de agua se encuentran instalados en las cercanías de los servidores de la empresa
Fuego, empleados negligentes
Los aspersores de agua funcionan sobre los servidores de la empresa.
Análisis de controles. El objetivo de este paso es analizar los controles que han sido implementados, o cuya implementación se planea por parte de la organización, para minimizar o eliminar la posibilidad de una amenaza ejerciendo una vulnerabilidad del sistema. El análisis de controles puede dividirse en tres áreas, a saber:
Métodos de control Los métodos de control abarcan el uso de métodos técnicos y no técnicos: ●
Métodos técnicos: los que configuran salvaguardas incorporadas al hardware o software del sistema.
●
Métodos no técnicos: son controles de gestión y operación como políticas de seguridad, procedimientos operacionales, etc.
Categorías de control Las categorías de control, tanto para controles técnicos como no técnicos pueden ser calificadas además como preventivos y de detección. ●
Controles preventivos: Inhiben intentos de violar políticas de seguridad, tal como los controles de acceso, encriptación y autenticación.
●
Controles de detección: Informan de violaciones o intentos de violación de las políticas de seguridad, tales como registros de auditoría.
Técnicas de análisis de control El desarrollo de una lista de verificación es útil para analizar controles de una manera eficiente y sistemática.
Determinación de probabilidad de ocurrencia Para obtener un índice de probabilidad de ocurrencia general, que indique que la probabilidad de una potencial vulnerabilidad pueda ser ejercida dentro del entorno de amenaza asociado, deben considerarse los factores de gobernabilidad siguientes: ●
Motivación y capacidad del origen de la amenaza.
●
Naturaleza de la vulnerabilidad.
●
Existencia y efectividad de los controles actuales.
La probabilidad de que una vulnerabilidad potencial pueda ser ejercida por un origen de amenaza puede ser descrita como alta, media o baja. La tabla siguiente describe tres niveles de probabilidad de ocurrencia.
Probabilidad
Definición de probabilidad
Alta
El origen de la amenaza está altamente motivado y es suficientemente capaz, y los controles destinados a prevenir el ejercicio de la vulnerabilidad son inefectivos.
Media
El origen de la amenaza está motivado y es suficientemente capaz, pero los controles destinados a prevenir el ejercicio de la vulnerabilidad son efectivos.
Baja
El origen de la amenaza carece de motivación y capacidad, y los controles destinados a prevenir el ejercicio de la vulnerabilidad son efectivos para prevenir o impedir en forma significativa el ejercicio de la vulnerabilidad.
Análisis de impacto El siguiente paso para determinar el nivel de riesgo es determinar el impacto negativo resultante del ejercicio efectivo de una vulnerabilidad. Antes de iniciar el análisis de impacto, es necesario obtener la siguiente información, previamente conceptualizada en puntos anteriores. ●
Misión del sistema.
●
Criticidad del sistema y sus datos.
●
Sensibilidad del sistema y sus datos.
Luego, el impacto adverso de un evento de seguridad puede ser descrito en términos de pérdida, degradación o una combinación de cualquiera de los siguientes objetivos de seguridad: ●
Pérdida de integridad: La integridad de sistema y de datos se refiere al requerimiento básico de que la información debe ser protegida de modificaciones impropias. La integridad de datos se pierde
si cambios no autorizados son realizados sobre los datos por actos intencionales o accidentales. Si la pérdida de la integridad de datos no es corregida, el uso continuado de datos contaminados puede resultar en imprecisión, fraude o decisiones erróneas. Además, la violación de la integridad puede ser el primer paso en un ataque exitoso contra la disponibilidad o confidencialidad del sistema. Por todas estas razones, la pérdida de integridad reduce las garantías otorgadas por un sistema TI. ●
Pérdida de disponibilidad: Si un sistema TI de misión crítica no se encuentra disponible para sus usuarios finales, la misión de la organización puede ser afectada.
●
Pérdida de confidencialidad: La confidencialidad de sistema y de datos se refiere a la protección de la información de un revelado no autorizado. El impacto de un revelado no autorizado de información confidencial puede resultar en la pérdida de confianza, vergüenza o acciones legales contra la organización.
Las categorías de impacto normalmente son cualitativas y pueden dividirse en tres grados o categorías, alta, media y baja, como se muestra en la siguiente tabla:
Nivel de impacto
Definición de impacto
Alto
El ejercicio de la vulnerabilidad (1) puede resultar en la pérdida altamente costosa de importantes activos o recursos tangibles e intangibles; (2) puede violar, dañar o impedir de manera significativa la misión de la organización, su reputación o sus intereses; o (3), puede resultar en la muerte o heridas graves para personas.
Medio
El ejercicio de la vulnerabilidad (1) puede resultar en la pérdida costosa de activos o recursos tangibles e intangibles; (2) puede violar, dañar o impedir la misión de la organización, su reputación o sus intereses; o (3), puede resultar en heridas para personas.
Bajo
El ejercicio de la vulnerabilidad (1) puede resultar en la pérdida de algunos activos o recursos tangibles e intangibles; (2) puede violar, dañar o impedir de forma perceptible la misión de la organización, su reputación o sus intereses.
Estimación cuantitativa vs estimación cualitativa: Al realizar el análisis de impacto, debe considerarse las ventajas y desventajas de la estimación cuantitativa vs la estimación cualitativa. La principal ventaja del análisis cualitativo de impacto es que prioriza los riesgos e identifica áreas para mejora inmediata al ubicar las vulnerabilidades. La desventaja del análisis cualitativo es que no provee medidas cuantificables específicas para la magnitud de los impactos, dificultando el análisis de costo/beneficio de cualquiera de los controles recomendados.
Determinación de riesgos El objetivo de este paso es estimar el nivel de riesgo para el sistema TI. La determinación de riesgo para cada par amenaza/vulnerabilidad puede ser expresada en función de: ●
La probabilidad de ocurrencia de una amenaza dada ejerciendo una vulnerabilidad dada.
●
La magnitud de impacto en caso de que una amenaza ejerza exitosamente una vulnerabilidad dada.
●
La adecuación de los controles planeados o existentes para reducir o eliminar el riesgo.
Matriz de niveles de riesgo La determinación del riesgo final sobre la misión se deriva al multiplicar las clasificaciones asignadas a cada probabilidad de riesgo y al impacto de la amenaza. La matriz mostrada más abajo es una matriz de 3x3 para probabilidades de amenaza (alta, media y baja) y corresponde a la que se utilizará en este proyecto. Dependiendo de los requerimientos del cliente y de la granularidad de evaluación de riesgo deseada. Algunos proyectos utilizan matrices de 4x4 o de 5x5, esta última puede incluir una probabilidad Muy Alta/Muy Baja de probabilidad de amenaza y una probabilidad Muy Alta/Muy Baja de impacto de amenaza para generar un nivel de riesgo Muy Alto/Muy Bajo.
Probabilidad de amenaza
Alta (1.0)
Media (0.5)
Baja (0.1)
Impacto Bajo (10)
Medio (50)
Alto (100)
Bajo
Medio
Alto
1.0 x 10 = 10
1.0 x 50 = 50
1.0 x 100 = 100
Bajo
Medio
Medio
0.5 x 10 = 5
0.5 x 50 = 25
0.5 x 100 = 50
Bajo
Bajo
Bajo
0.1 x 10 = 1
0.1 x 50 = 5
0.1 x 100 = 10
Es necesario tener en cuenta que un nivel de riesgo “Muy Alto” puede requerir una detención total de sistema o de actividades.
Descripción de niveles de riesgo
La tabla siguiente describe los niveles de riesgo mostrados en la matriz de riesgo. En esta escala de riesgo, con sus niveles Alto, Medio y Bajo, se representa el nivel de riesgo al cual un sistema IT, instalación o procedimiento debería estar expuesto si una determinada vulnerabilidad fuese ejercida por una amenaza. La escala de riesgo también presenta las acciones que la administración y los encargados de la misión deberían tomar para cada nivel de riesgo.
Nivel de riesgo
Descripción de nivel de riesgo
Alto
Si una observación o hallazgo es evaluado como de alto riesgo, existe una fuerte necesidad de medidas correctivas. Un sistema existente puede seguir operando, pero una acción correctiva debe ser aplicada lo antes posible.
Medio
Si una observación es calificada como de riesgo medio, se requieren acciones correctivas y debe desarrollarse un plan para incorporar dichas acciones en un período razonable de tiempo.
Bajo
Si una observación es calificada como de bajo riesgo, el administrador de sistema debe determinar qué acciones correctivas deben tomarse.
Recomendaciones de control Durante este paso del proceso, se proveen controles apropiados para la operación de la organización que pueden mitigar o eliminar los riesgos identificados en pasos previos. El objetivo de los controles recomendados es reducir el nivel de riesgo para el sistema TI y sus datos a un nivel aceptable. Los siguientes factores deben ser considerados al recomendar controles y soluciones alternativas para eliminar o minimizar los riesgos identificados: ●
Efectividad de las opciones recomendadas (p. e., compatibilidad del sistema).
●
Legislación y regulaciones vigentes.
●
Políticas de la organización.
●
Impacto operacional.
●
Seguridad y confiabilidad.
Las recomendaciones de controles conforman los resultados del proceso de evaluación de riesgos y proveen datos de entrada al proceso de mitigación de riesgos, durante el cual se evalúan, priorizan e implementan los controles procedimentales y de seguridad técnica recomendados.
Documentación de resultados Una vez que se ha completado la evaluación de riesgos (los orígenes de amenaza y las vulnerabilidades se han identificado, los riesgos se han evaluado y se han informa los controles recomendados) los resultados deberían ser informados en un reporte o reunión informativa. Un reporte de evaluación de riesgo es un informe administrativo que ayuda a la dirección, los encargados de la misión, a tomar decisiones sobre las políticas, procedimientos, presupuesto y cambios en la operación y administración del sistema.
A diferencia de un reporte de auditoría o una investigación, que busca errores o fallas en la ejecución de un protocolo, un reporte de evaluación de riesgos no debe ser presentado en un estilo acusatorio, sino en forma sistemática y con un enfoque analítico para evaluación de riesgos de forma que la dirección pueda entender dichos riesgos y asignar recursos para reducir y corregir pérdidas potenciales. Por este motivo, algunas personas prefieren referirse a las parejas Amenaza/Vulnerabilidad como observaciones en vez de hallazgos en el reporte de evaluación de riesgos.
Mitigación de riesgos La mitigación de riesgos implica priorizar, evaluar e implementar los controles de reducción de riesgos recomendados desde el proceso de valoración de riesgos. Debido a que la eliminación de todos los riesgos es comúnmente poco práctica o cercana a imposible, es responsabilidad de la administración utilizar enfoque más efectivo en costos e implementar los controles más apropiados para disminuir el riesgo de la misión a niveles aceptables, con mínimo impacto adverso en los recursos y misión de la organización.
Opciones de mitigación de riesgos: La mitigación de riesgos es una metodología sistemática utilizada por la dirección para reducir los riesgos en la misión de la empresa. La mitigación de riesgos puede ser alcanzada en cualquiera de las siguientes opciones de mitigación de riesgos: ●
Se asume el riesgo: Para aceptar el riesgo potencial y continuar con la operación del sistema Ti o para implementar controles que permitan reducir el riesgo a un nivel aceptable.
●
Se evita el riesgo: El riesgo se evita eliminando la causa/consecuencia del riesgo (p. e. anular ciertas funciones del sistema o proceder al apagado del mismo cuando los riesgos son identificados).
●
Se limita el riesgo: El riesgo se limita al implementar controles que minimizan el impacto adverso de un riesgo ejerciendo una vulnerabilidad (p. e. el uso de controles de soporte, prevención y detección).
●
Se realiza planificación de riesgo: Se administran los riesgos mediante el desarrollo de un plan de mitigación de riesgos que prioriza, implementa y mantiene controles.
●
Investigación y conocimiento: Se reduce el riesgo de pérdida al reconocer la vulnerabilidad o falla, investigando y desarrollando controles para corregir la vulnerabilidad.
●
Transferencia de riesgo: Se transfiere el riesgo al utilizar otras opciones para compensar las posibles pérdidas, como el aseguramiento de los activos.
Los objetivos estratégicos, así como la misión de la organización deben ser considerados al seleccionar cualquier opción de mitigación de riesgos. Puede no ser práctico abordar todos los riesgos identificados, es por ello que deben aplicarse prioridades a los pares Vulnerabilidad/Amenaza que tienen el potencial para causar impactos o daños significativos.
Estrategia de mitigación de riesgos
Cuando los integrantes de la administración, quienes se encargan de la misión, conociendo los riesgos potenciales y los controles recomendados, pueden preguntarse: “¿Bajo qué circunstancias se siguen qué cursos de acción?”, “¿cuándo se implementan ciertos controles para mitigar los riesgos y proteger la organización?”. Para responder estas y otras preguntas, los puntos de control apropiados para la implementación de acciones de control se indican en la siguiente figura: