Los métodos de evaluación de riesgos
Desde la crisis financiera iniciada en 2008, el análisis de riesgos ha tomado especial relevancia en la gestión interna de las organizaciones. Anteriormente, se trabajaba en este ámbito de modo no sistemático y aislado en todas las entidades. Sin embargo, desde dicha fecha las empresas comenzaron a reforzar el control interno utilizando la gestión de riesgos en todos los ámbitos y áreas.
En la actualidad se utilizan múltiples metodologías de análisis de riesgos para conseguir que la gestión sea sistemática. Dentro del alcance del análisis de riesgos corporativo de una compañía, es muy importante considerar los riesgos que puedan comprometer la seguridad de la información. Para abordar este análisis existen diversas metodologías de evaluación de riesgos, en este artículo vamos a considerar 3 de las más conocidas: Mehari, Ebios y Octave.
Metodología MEHARI
MEHARI es una metodología desarrollada por CUSIF (Club de la Securité De L’information Français) en 1998 que pasó a ser Open Source en 2007.
El objetivo de esta metodología es permitir un análisis directo e individual de situaciones de riesgos descritas en diferentes escenarios y proporcionar un completo conjunto de herramientas específicamente diseñadas para la gestión de la seguridad a corto, medio y largo plazo, adaptables a diferentes niveles de madurez.
Las fases de la metodología MEHARI son las siguientes:
- Análisis o evaluación de riesgos
Una situación de riesgo se puede caracterizar por diferentes factores:
- Factores estructurales (u organizacionales), los cuales no dependen de las medidas de seguridad, sino de la actividad principal de la organización, su entorno y su contexto.
- Factores de la reducción de riesgo, que son función directa de las medidas de seguridad implementadas.
MEHARI permite la evaluación cualitativa y cuantitativa de estos factores, obteniendo los niveles de riesgo como consecuencia.
Para ello, integra herramientas (como criterios de evaluación, fórmulas, etc.) y bases de datos de conocimiento (en particular para el diagnóstico de las medidas de seguridad), como complemento esencial al marco de análisis de riesgos.
Es necesario realizar un enfoque estructurado que permita identificar todas las situaciones potenciales de riesgo, con el fin de analizar las más críticas y poder identificar las acciones para reducir el riesgo a niveles aceptables.
- Evaluaciones de seguridad
MEHARI integra cuestionarios de controles de seguridad, lo que permite evaluar el nivel de calidad de los mecanismos y soluciones encaminadas a la reducción del riesgo. Los controles o medidas de seguridad se agrupan en servicios y en dominios de seguridad. Para realizar esta evaluación es necesario seguir los siguientes pasos:
- Revisión de vulnerabilidades o evaluación de los servicios de seguridad: MEHARI proporciona un modelo de riesgos estructurado que considera los factores de reducción del riesgo en forma de servicios de seguridad.
El resultado de la evaluación de la vulnerabilidad tendrá el fin de garantizar que los servicios de seguridad cumplen realmente su cometido.
La evaluación se basa en una base de datos experta de conocimientos proporcionada por MEHARI para evaluar el nivel de calidad de las medidas de seguridad.
- Planes de seguridad basados en la revisión de vulnerabilidades: se realizará la confección de planes de seguridad como resultado directo de la evaluación del estado de los servicios de seguridad.
El proceso de gestión de la seguridad se enfoca en ejecutar una evaluación y decidir mejorar todos aquellos servicios que no tienen un suficiente nivel de calidad.
MEHARI proporciona unos cuestionarios de diagnóstico que se pueden utilizar para este tipo de enfoque.
- Apoyo en las BBDD en la creación de un marco de referencia de seguridad: las bases de datos de conocimiento de MEHARI se pueden utilizar directamente para crear un marco de referencia de seguridad que contendrá y describirá el conjunto de reglas e instrucciones de seguridad que debe seguir la organización.
Los cuestionarios de evaluación de MEHARI son una buena base de trabajo para los responsables de seguridad para decidir lo que debe ser aplicado en la organización.
La creación de un conjunto de reglas, a través de un marco de referencia de seguridad, se enfrenta a menudo a dificultades en la implementación local, por lo que se deben gestionar exenciones y excepciones.
- Dominios cubiertos por el módulo de evaluación de vulnerabilidades: desde un punto de vista de análisis de riesgo, en base a la identificación de todas las situaciones de riesgo y con el deseo de cubrir todos aquellos riesgos inaceptables, MEHARI no se limita simplemente al dominio IT.
El módulo de evaluación cubre, además de los sistemas de información, todo el conjunto de la organización, como la protección del sitio en general, el entorno de trabajo y los aspectos legales y regulatorios.
- Análisis de amenazas
Sea cual sea la orientación de la política de seguridad, hay un principio en el que coinciden todos los responsables: debe existir un equilibrio entre las inversiones de seguridad por un lado y la importancia de los principales retos empresariales por el otro.
Esto significa que la comprensión de las amenazas del negocio es fundamental, y que el análisis del contexto de seguridad merece un nivel prioritario y un método estricto y riguroso de evaluación.
El fin del análisis de las amenazas de seguridad es responder a la siguiente doble pregunta ¿Qué puede suceder, y si sucede, puede ser serio?
MEHARI proporciona un módulo de análisis de amenazas con dos tipos de resultados:
- Una escala de valores de posibles malfuncionamientos en sus procesos operacionales.
- Una clasificación de la información y de los activos TI: consiste en la definición, para cada tipo de información, para cada tipo de activo TI, y para cada criterio de clasificación (habitualmente Confidencialidad, Integridad y Disponibilidad). La clasificación de la información de los activos es la escala de los valores de malfuncionamiento definida anteriormente traducido a indicadores de sensibilidad asociados con los activos TI.
La escala de valores de malfuncionamiento y la clasificación de la información y activos son dos formas distintas de expresar las amenazas de seguridad. El primero es más detallado y proporciona más información a los CISO y el segundo es más generalista y resulta más útil para las campañas de sensibilización e información.
Metodología EBIOS
EBIOS es un método promovido por la DCSSI (Direction centrale de la sécurité des systèmes d’information) para su utilización en administraciones públicas francesas. El objetivo de esta metodología es aportar una visión global y coherente de la seguridad de los sistemas de información, permitiendo determinar objetivos y requerimientos de seguridad de la compañía.
La metodología EBIOS tiene 5 principios fundamentales
- Estudio del contexto
Es necesario realizar un estudio del contexto de la compañía, la evolución durante su historia e identificar así todos los elementos esenciales que están vinculados con la compañía, con son: hardware, software, redes, organizaciones, personal y establecimientos.
- Expresar las necesidades de seguridad
Cada elemento identificado tiene unas necesidades de seguridad diferentes. Estas necesidades se expresan según distintos parámetros de seguridad tales como la disponibilidad, integridad y confidencialidad. Se evaluarán las necesidades en función de unos criterios predefinidos teniendo en cuenta el impacto que puede causar la pérdida o falta de cualquiera de estos parámetros.
- Estudio de las amenazas
Cada organismo está expuesto a diversos elementos peligrosos o amenazas, dependiendo de su entorno natural, cultural, imagen, área de actividad, etc. Por ello es necesario identificar todos los elementos peligrosos y los métodos de ataque que pueden tener.
Dependiendo del método de ataque, cada compañía poseerá diferentes vulnerabilidades que podrán ser utilizadas por los elementos peligrosos correspondientes.
- Expresar los objetivos de seguridad
Sólo queda determinar el riesgo, definido en cómo pueden afectar los elementos peligrosos y sus métodos de ataque a los elementos esenciales.
El riesgo representa un posible siniestro, consiste en la posibilidad de que un elemento peligroso afecte a los elementos esenciales aprovechando las vulnerabilidades de entidades en las cuales se basan dichos elementos esenciales y utilizando un método de ataque particular.
Los objetivos de seguridad permitirán cubrir las vulnerabilidades detectadas en la entidad.
Por otro lado, es inútil proteger lo que no está expuesto. Por ello, cuanto más importante sea el riesgo, más importante serán los objetivos de seguridad y no será necesario establecer objetivos para aquello que no está expuesto.
- Determinar los requerimientos de seguridad
El equipo encargado de la aplicación del procedimiento EBIOS debe especificar, en forma precisa, las funcionalidades esperadas de seguridad. Con dichos requerimientos funcionales, debe demostrar perfecta cobertura de los objetivos de seguridad.
El equipo encargado debe especificar los requerimientos de seguridad que permiten obtener el nivel de confianza necesario para luego poder demostrarlo.
Metodología OCTAVE
El marco conceptual que formó la base del enfoque original de OCTAVE fue publicado por el SEI (Software Engineering Institute) en la Universidad de Carnegie Mellon en 1999. El objetivo de esta metodología era abordar los desafíos de cumplimiento de seguridad a los que se enfrentaba el departamento de defensa de EEUU.
OCTAVE está dirigido a empresas de medio y gran tamaño con un número de empleados superior a 300 y que cumplen las siguientes características:
- Organigrama de varios niveles
- Disponen de su propia infraestructura IT
- Tienen capacidad para evaluar vulnerabilidades
- Tiene la capacidad de interpretar los resultados de las evaluaciones de vulnerabilidades
La metodología OCTAVE cuenta con 3 fases:
- Identificación de Activos
La organización debe identificar los activos más importantes destinados al tratamiento de información. Es importante identificar todos los activos que forman parte de la compañía y soportan los servicios informáticos, así como todos los soportes que contienen información.
Una vez identificados todos los activos con información, será necesario evaluarlos para identificar aquellos que son más críticos para el funcionamiento de la organización y asociar todas las amenazas que pueden interferir en la seguridad de dichos activos.
- Análisis de la infraestructura
Para complementar el análisis realizado en la fase 1, el equipo de análisis de riesgos deberá realizar una evaluación de la infraestructura, tanto tecnológica como física, que soporta los activos que contienen información de la compañía e identificar igualmente, todas las amenazas que pueden interferir en la seguridad de la infraestructura.
- Análisis de riesgos
Por último, el equipo de análisis de riesgos deberá evaluar todas las amenazas e identificar los riesgos más relevantes para la compañía. Para aquellos riesgos más altos será necesario desarrollar un plan de mitigación, en el que se implementen controles o mejoras de los ya existentes para disminuir el nivel de riesgo de aquellos activos definidos previamente como críticos.
Utilizando cualquiera de estas metodologías o una combinación de ellas, se podrá obtener una visión lo más realista posible de los riesgos que pueden afectar a la seguridad de la información.
En GlobalSuite Solutions contamos con un equipo experto la realización de Análisis de Riesgos de Seguridad de la Información, utilizando la metodología más apropiada dependiendo de la compañía, que podrán ayudarle en la mejora de la gestión de la seguridad. El software GlobalSuite®, íntegramente desarrollado por nuestro equipo, permite mantener cualquier análisis de riesgos actualizado y gestionado de forma eficiente y con total trazabilidad.