Gestión de Riesgos en Seguridad de la Información (I)

La gestión de los riesgos es parte fundamental de la implementación de un Sistema de Seguridad de la Información. De hecho, debería ser la piedra angular del sistema, porque sólo gestionando los riesgos trataremos los problemas concretos que debemos de la manera adecuada.

Los responsables de los sistemas y la dirección de la organización deben ser conscientes de las amenazas que suponen un peligro para conseguir los objetivos, para dedicar el esfuerzo y los recursos que mantengan a raya esos riesgos. Y esto no se debe hacer de manera intuitiva, porque casi seguro que fracasaremos. Los Sistemas de Información de una organización pueden ser muy complejos y estar sometidos a muchos tipos de amenazas, y por ello es necesario seguir una metodología que nos guíe de forma estructurada y que permita la mejora continuada de las organizaciones actuales, en constante cambio.


¿Qué es el Riesgo en Seguridad de la Información?


El Riesgo es el valor probable del daño causado a un activo o grupos de activos.

Para entender bien esto debemos asegurarnos unos conceptos:

Activos: Son los elementos del Sistema de Información que permiten o soportan la misión de la organización, y que tendremos que valorar. Por ejemplo, un activo son los datos de nuestros clientes. Otro es un Servidor de la sala de servidores. La propia sala de servidores es también otro activo.

Amenazas: Sobre los activos pueden actuar las amenazas, que son las cosas que pueden causar daño a los activos, y por lo tanto a la organización. 

Salvaguardas: Son las contramedidas que se emplean para que las amenazas no hagan tanto daño a los activos. Incrementándolas disminuimos los riesgos, pero las salvaguardas suelen tener un coste, por lo que debemos ajustarlas hasta disminuir el riesgo a un valor asumible.

Impacto: Lo que podría pasarle a un activo. Valor del Activo x Amenaza (sin tener en cuenta la probabilidad de que pase).

Impacto y Riesgo residuales: Los que quedan después de aplicar las salvaguardas.

(si de este diagrama eliminamos las Salvaguardas debemos eliminar también la palabra "residual")

¿En qué consiste el tratamiento o Gestión de Riesgos?


La gestión de riesgos, dado que forma parte de un Sistema de Gestión de Seguridad de la Información, siempre está basado en la mejora continuada en dos fases:

1. Análisis de Riesgos: Permite analizar los riesgos que tiene la organización y estimar lo que podría pasar.

2. Tratamiento de Riesgos. Organización del plan de defensa tanto proactivo como preventivo, de manera que la organización reduzca los riesgos que queden a valores asumibles.

Formalmente, la ISO 31000 define una estructura metódica que básicamente propone el siguiente esquema:


No entraré a detallar todo esto, pero si que tenemos que pensar que previamente a Gestionar los Riesgos hay que establecer el contexto en que se van a gestionar. Esto implica tener definido:

  • El Alcance del Sistema de Gestión de Seguridad de la Información.
  • Los Servicios que presta la organización
  • Los servicios subcontratados y otras relaciones con los proveedores o clientes (por ejemplo, el intercambio de información).
  • Las obligaciones propias y las contraídas. Por ejmplo, los aspectos legales. 

Como es fácil deducir, la primera vez que realizamos una gestión de riesgos (primer bucle de la mejora continua) tendremos que pensar en dedicar recursos suficientes a solucionarlo, por lo que es muy necesario que la dirección que soporta el proyecto de implementación sea consciente de ello.

Bien, pero ¿qué metodología usamos? ¿Qué es Magerit?


ENISA (la Agencia Europea para la Seguridad de la Información) recopila varias metodologías, bastante similares. Tal vez una de las más completas sea MAGERIT (Metodología para el Análisis y la Gestión de Riesgos de Tecnologías de la Información).

Magerit es por tanto la metodología a seguir para Gestionar los Riesgos de la organización, y que por lo tanto se integra en el marco de implementación del Sistema de Gestión de Seguridad de la Información. La documentación de Magerit está elaborada y mantenida por el Consejo Superior de Administración Electrónica.

Magerit propone la realización de un análisis de los riesgos con la evaluación del impacto que una violación de la seguridad tiene en la organización, señalando los riesgos existentes, identificando las amenazas que acechan al sistema de información, y determinando la vulnerabilidad del sistema de prevención de dichas amenazas, obteniendo unos resultados

Los resultados del análisis de riesgos permiten a la Gestión de Riesgos recomendar las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles perjuicios.

En general y simplificando desde Magerit, las fases de la gestión de riesgos se pueden resumir en:

Fuente: Incibe: Una gestión de riesgos sencilla.

Aunque se denomine "sencilla", muchas de estas fases nos van a llevar muchísimo tiempo, y no son tareas para nada simples.

Ya he comentado la definición del alcance anteriormente al exponer que es necesario establecer el contexto en que se va a realizar la Gestión de Riesgos. Pronto añadiré otra entrada donde iré exponiendo cómo identificaremos los activos de la organización.

Estandarizaciones y PILAR


Existen bases de datos de amenazas, vulnerabilidades y salvaguardas estandarizadas. Además, Magerit dispone de un catálogo de elementos del sistema de Gestión de Riesgos. Todo esto conforman un intento de gestionar los riesgos para nos entendamos entre todos hablando el mismo idioma.

Algunas herramientas informáticas nos ayudan en estos temas, y la más conocida en España entiendo que es PILAR, que está financiada y desarrollada parcialmente por el Centro Criptológico Nacional. Pilar incluye esas tablas mencionadas y permite realizar las fases anteriormente descritas de manera sencilla. Pese a que no es una herramienta gratuita fuera de las administraciones públicas, si es de uso recomendable si tenemos en consideración el trabajo que nos ahorra.



Enlaces:

Información sobre métodos en ENISA (que veo desfasada, pero que puede ser un punto de partida para ver qué se ha hecho en Europa además de Magerit):
https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-management-inventory/rm-ra-methods

Magerit Versión 3.0, libro de conceptos.
https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html

Página "oficial" de Magerit, o al menos una de ellas:
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html

Incibe: Una gestión de riesgos en 6 pasos:
https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 

PILAR
https://www.ccn-cert.cni.es/herramientas-de-ciberseguridad/ear-pilar.html