Blogia
Inf-Tek: Gerencia de Tecnologías de Información

8.4.1- Proceso del Análisis de Riesgos

Enseguida, y con la finalidad de ampliar un poco más el panorama de las posibles vulnerabilidades que pueden comprometer la información de la empresa, se muestra una clasificación concisa de blancos, tipos de ataque y el método de uso más común para lograrlo. Si deseamos analizar los diferentes ámbitos de nuestra empresa, es necesario que tengamos conocimiento sobre cuáles vulnerabilidades son las más comunes cuando nos referimos a los sistemas de  información.

En esta tabla se observan ejemplos de los métodos más comunes utilizados por personas con intenciones maliciosas para el ataque o infiltración a nuestros sistemas. Es importante mencionar que estos son sólo algunos de los ataques potenciales a los que nuestra empresa está expuesta.

Un análisis de riesgos tradicional se forma por medio de un conjunto de actividades preestablecidas que tiene como objetivo identificar el proceso a considerar, saber cuáles son sus elementos o partes constituyentes, cuáles los equipos necesarios en para efectuarlo.

Integración del Equipo Involucrado.

Uno de los aspectos importantes para la realización del análisis de riesgos es dimensionar de forma adecuada el recurso humano requerido para su  elaboración. Esto es importante dado el costo que representa para la empresa pero de la elección que hagamos de este recurso depende el éxito del análisis de riesgos. La entrevista a los usuarios nos permite conocer cada uno de los procesos de la empresa a través de los ojos de los actores que los llevan a cabo. Además tienen la oportunidad de recibir una retroalimentación que nos permite conocer a mayor profundidad los posibles riesgos en sus actividades diarias.

La definición del equipo humano es muy importante, tanto para dimensionar la fuerza de trabajo necesaria para la realización del análisis de riesgos (analistas de seguridad), como para aquellos que se encargaran de entrevistar a las personas involucradas en procesos de negocio (entrevistadores) que proveerán de información vital para el proyecto de análisis de riesgos; y además, serán los responsables por el acceso a los activos para la recolección de información. En la gráfica muestra otras consideraciones que al momento de definir el equipo de trabajo involucrado en el análisis, tienen que ser tomados en cuenta.

Relevancia de los Procesos de Negocio y sus Activos

Para que el análisis de riesgos tenga en realidad un efecto positivo en la empresa, es necesario identificar las diferentes prioridades a lo largo de cada uno de sus procesos de negocio. De esta forma podremos realizar un plan estratégico basado en la importancia y el impacto de nuestras acciones que beneficien la seguridad de la información de nuestra compañía.

Al hacer un análisis de riesgos, es importante identificar la relevancia que tienen los procesos de la empresa en la organización, para así poder priorizar las acciones de seguridad, es decir, iniciar el trabajo de implementación de seguridad en las áreas más estratégicas que puedan traer un impacto mayor a la organización cuando se presente algún incidente.
Relevancia de cada uno de los procesos de negocio en la empresa, es un punto clave a considerar durante la realización del análisis de riesgos. Dicha relevancia será de gran importancia para identificar el rumbo de las acciones de seguridad a implantar en la organización.

Identificación de la Relevancia de los  procesos de negocio

Es determinante para que las acciones de seguridad sean dirigidas a las áreas más críticas, o de mayor prioridad. Este trabajo permite dar prioridad a las acciones que son más urgentes, al dirigir los costos y optimizar los recursos donde realmente sean necesarios. Para entender mejor lo anterior revisemos los siguientes ejemplos: Ejemplos
En la banca financiera las acciones de seguridad debieran probablemente enfocarse principalmente en aquellos procesos que involucren transacciones monetarias, que son aquellas de mayor prioridad dada la naturaleza de su negocio. Por otra parte, si en una empresa existen áreas que son comúnmente atacadas y afectadas, es posible que sea necesario atender primero estos procesos dado los riesgos que pudieran presentar para la seguridad de la información en la empresa. O bien, si en la empresa existen áreas que son importantes para la reducción de costos, pudiera ser importante considerarlas como clave y de alta prioridad para las acciones de seguridad por tomar.

Identificación de la relevancia de la seguridad en los procesos de Ejemplos
El siguiente diagrama muestra la manera en la que podemos tomar alguno de los procesos importantes en nuestra empresa e identificar los posibles ataques o las áreas con mayor vulnerabilidad para después de un análisis, saber hacia dónde dirigir los esfuerzos de más prioridad y mayor capacidad de recursos.

La identificación de los riesgos de seguridad permite aclarar las ideas e identificar los posibles riesgos para la seguridad. La información se recopila en forma de amenazas, vulnerabilidades, puntos débiles y medidas preventivas. El modelo STRIDE proporciona una estructura valiosa y fácil de recordar para identificar las amenazas y los posibles puntos débiles.

La suplantación de identidades es la capacidad de obtener y usar la información de autenticación de otro usuario. Un ejemplo de suplantación de identidad es la utilización del nombre y la contraseña de otro usuario.

La alteración de datos implica su modificación. Un ejemplo sería alterar el contenido del cookie de un cliente.

El repudio es la capacidad de negar que algo haya ocurrido. Un ejemplo es que un usuario cargue datos dañinos en el sistema cuando en éste no se puede realizar un seguimiento de la operación.

La divulgación de información implica la exposición de información ante usuarios que se supone que no deben disponer de ella. Un ejemplo de divulgación de información es la capacidad de un intruso para leer archivos médicos confidenciales a los que no se les ha otorgado acceso.

Los ataques de denegación de servicio privan a los usuarios del servicio normal. Un ejemplo de denegación de servicio consiste en dejar un sitio Web inaccesible, al inundarlo con una cantidad masiva de solicitudes HTTP.

La elevación de privilegios es un proceso que siguen los intrusos para realizar una función que no tienen derecho a efectuar. Para ello se explota una debilidad del software o se usan credenciales de forma ilegítima.

Identificación de la Relevancia de los Activos

Un segundo paso considerado fundamental, consiste en identificar la relevancia de los activos determinantes para el proceso de negocio . Eso quiere decir que cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico, es decir, qué tan importante es para nuestro negocio en comparación con el resto de los activos de la empresa para priorizar, como ocurre en los procesos, las acciones de corrección y protección que deben ser tomadas de inmediato porque se consideran más necesarias. Se evita, de esta manera, invertir en seguridad donde no sea verdaderamente necesario, o por lo menos prioritario.

La relevancia de los activos en los negocios de la empresa, marcará el rumbo definitivo de las acciones de seguridad en la empresa.

Para alcanzar el objetivo de identificar la relevancia de los activos, el análisis de riesgos busca proveer datos cuantitativos y cualitativos sobre el nivel de seguridad existente en la organización, para que se puedan realizar las acciones y cumplan  su propósito en cuanto a la seguridad de la información, como garantizar su confidencialidad, integridad y disponibilidad.

En verdad, el análisis de seguridad es el reconocimiento de todo el entorno en el que se pretende implementar seguridad, para que puedan cumplir los siguientes propósitos:

  • Identificar los puntos débiles para que sean corregidos, es decir, con esto disminuir las vulnerabilidades presentes en los activos de los procesos de negocios.
  • Conocer los elementos constituyentes de la infraestructura de comunicación, procesamiento y almacenamiento de la información, para dimensionar dónde serán hechos los análisis y cuáles elementos serán considerados.
  • Conocer el contenido de la información manipulada por los activos, con base en los principios de la confidencialidad, integridad y disponibilidad.
  • Dirigir acciones para incrementar los factores tecnológicos y humanos en las áreas críticas y desprotegidas.
  • Permitir una gestión periódica de seguridad, con el objetivo de identificar nuevas amenazas y vulnerabilidades, además de la verificación de la eficacia de las recomendaciones provistas.

Relevancia de los activos para los Resultados

En el análisis de riesgo se sugiere la valoración de la relevancia del proceso de negocio. Esta valoración permite tener una idea del impacto que un incidente de seguridad puede causar al proceso de negocio, al llevar en consideración el valor estratégico que posee para la organización como un todo.
Cuanta mayor relevancia tenga un proceso para el negocio, mayor es la importancia crítica de los activos que hacen parte de éste y, como consecuencia, mayor será el riesgo a que está expuesta la organización en el caso de que ocurra un incidente de seguridad en dicho proceso.
La consideración de la relevancia también permite que sean dirigidas acciones de corrección de problemas en los activos de mayor prioridad en el momento del análisis, pues son parte de procesos de negocio de alta relevancia.

Entrevista a los usuarios

Junto con el análisis técnico de riesgos dentro de la empresa, el equipo de trabajo tendrá la tarea de realizar entrevistas a los empleados que participan en los diferentes procesos de negocio. Dichas entrevistas permitirán, entre otras cosas, recabar información que ayudará en la identificación de los procesos críticos de la compañía.
La entrevista a usuarios de los procesos de negocio permite:

  • Obtener detalles sobre cómo son gestionados, implementados y utilizados.
  • Hacer un mapeo de la criticidad de estos procesos frente a las circunstancias organizacionales a que está sometido,
  • Definir el nivel de capacitación necesaria del equipo involucrado en su sustentación
  • Conocer la forma con que se da el flujo de información dentro del proceso,
  • Conocer la forma de uso y tratamiento de sus productos derivados, entre otras cosas.

Es fundamental que los usuarios de los procesos de negocios (tanto quienes los administran como aquellos que los respaldan y utilizan) muestren el grado de conciencia que tienen con relación al nivel crítico de la información que manejan. De esta manera, es posible evaluar hasta qué punto el equipo involucrado es consciente de los procedimientos de seguridad necesarios para la continuidad de dicho proceso.
Las entrevistas a los usuarios pueden servir como guía de los análisis técnicos, puesto que rastrean a los involucrados con la administración de los activos que serán analizados y considerados con relación a las vulnerabilidades que puedan desencadenar amenazas al proceso de negocio. También en dichas entrevistas pueden ser detectados nuevos elementos humanos o tecnológicos que hacen parte del proceso de negocio y que también necesitan ser analizados.

Análisis Técnico de Seguridad

El análisis técnico de seguridad, representa una de los puntos clave dentro del análisis de riesgos en la compañía. Dado que como hemos mencionado antes, la información es hoy en día uno de los principales activos en las empresas y dicho análisis indicará el nivel de seguridad con el que se cuenta actualmente dentro de la empresa.

A través de éste se hacen las colectas de información sobre la forma en que los activos: fueron configurados, estructurados en la red de comunicación, y la forma en que son administrados por sus responsables.
El análisis técnico es la forma en que se obtiene la información específica de como son gestionados en general los activos de la empresa. De esta forma, es posible identificar, en las entrelíneas de las configuraciones, la forma en que son utilizados y manipulados, buscando identificar vulnerabilidades de seguridad.
En el proceso de análisis técnico de seguridad, diversos tipos de activos son considerados, según sea el ámbito definido al inicio del proyecto, con el  propósito de monitorear las vulnerabilidades presentes a través de errores de configuración o desconocimiento de las posibilidades de ataque por amenazas potenciales.
Dentro de los activos tecnológicos analizados técnicamente, podemos listar los siguientes:

Estaciones de trabajo

Son la forma con que estas están configuradas para evitar que los usuarios (con frecuencia de forma inconsciente) permiten la acción de amenazas.

Servidores

Los servidores son analizados con prioridades en relación a sus normas de acceso definidas. Se revisan cuáles son los tipos de usuarios que tienen derechos a cuál tipo de información, con base en la clasificación y con relación a la confidencialidad de las informaciones para identificar el exceso o falta de privilegios para la realización de tareas.
El enfoque principal se encuentra en los ficheros de configuración y de definición de usuarios que tienen derechos de administración del ambiente, una vez que son los privilegios de administración los que más amenazan los entornos de tecnología y también son los más anhelados por los invasores.
La interacción que estos servidores tienen con las estaciones de trabajo de los usuarios, con las bases de datos y con las aplicaciones que respalda son el objeto del análisis técnico de servidores, independientemente de sus funciones: como ficheros, correo electrónico, FTP, Web y otras.

Equipos de conectividad

El análisis de equipos de conectivicdad está centrado en la detección de configuraciones que ponen en riesgo las conexiones realizadas por la red de comunicación que respalda un proceso de negocio.

Se debe identificar en este análisis la manera en que estos activos han sido configurados: dispositivos de ruteo, parámetros, módems, estaciones nodales, FRADs (dispositivo de acceso a transmisión de cuadro), puentes y otros.

Estos equipos deben poseer un nivel de seguridad muy alto, pues por lo general se sitúan en la entrada de una red de comunicación. Al aplicarse un alto nivel de configuración a estos activos, el acceso externo a la red del proceso de negocio, estará naturalmente más protegido.

Conexiones

Las conexiones de comunicación entre las redes deben estar seguras: fibra óptica, satélite, radio, antenas? Para eso, es importante realizar actividades de análisis sobre la forma con que las conexiones están configuradas y dispuestas en la representación topológica de la red. Esto garantiza que la comunicación sea realizada en un medio seguro, encriptado (cifrado) si fuere necesario, libre de posibilidades de rastreo de paquetes o mensajes, y también como el desvío de tránsito para otros destinos indeseados.

Bases de datos

Las bases de datos representan un elemento de importancia extrema en la cadena comunicativa, pues almacenan informaciones relativas a los procesos de negocio y con frecuencia, sobre los usuarios de los procesos de negocio. La manera en que la base de datos conversa con las demás aplicaciones de lectura de sus informaciones es uno de los primeros elementos que deben ser analizados. También son evaluados los niveles de confidencialidad, integridad y disponibilidad de las informaciones que allí están, para que se puedan identificar las necesidades de protección y configuración de seguridad para que la información disponible esté de acuerdo con los principios de la seguridad de la información. En las bases de datos son evaluados los privilegios de los usuarios con relación a los permisos de uso, principalmente en lo que se refiere al acceso de aplicaciones que hacen la lectura y escritura de estas informaciones.

Aplicaciones de Software

Las aplicaciones son los elementos que hacen la lectura de las informaciones de un proceso de negocio u organización. De esta manera son un elemento muy crítico, puesto que están haciendo la interfaz entre diversos usuarios y diversos tipos de información con relación a la confidencialidad, integridad y disponibilidad. Se considera, por lo tanto, que las aplicaciones deben garantizar un acceso restrictivo, con base en los privilegios de cada usuario, las informaciones que ellas manipulan, al garantizar que sus configuraciones estén de acuerdo con los principios de seguridad establecidos (muchos de los cuales son reconocidos por organismos internacionales) con relación a la disponibilidad de la información, la manera con que la aplicación la lee, guarda y transmite, la forma cómo la aplicación fue desarrollada, cómo son actualizadas y almacenadas sus fuentes, y otras más.

El análisis de riesgos busca también identificar en el entorno físico cuáles son las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran. Por ello, se observan y consideran una serie de aspectos dentro de un entorno organizativo en el cual se realizan los trabajos de análisis.
Nuestro entorno debe estar organizado de tal forma que garantice la continuidad y el buen desempeño de las actividades individuales como la manutención debida de los activos.
Preocupaciones como el exceso de humedad o calor, la disposición de los cables de datos y eléctricos, la existencia de fallas en la organización del entorno, pueden exigir la reestructuración del espacio físico para permitir un área de trabajo que sea segura, y por lo tanto, la información de la organización se encuentre también segura. Eso quiere decir que aspectos como control de acceso, disposición topográfica de áreas y activos críticos, salubridad de los ambientes de trabajo (cuidado de la salinidad, humedad, luz, viento, lluvia, inundaciones) deben ser analizados bajo la perspectiva del análisis de seguridad física.

Análisis de seguridad física

El análisis de seguridad física se inicia con la visita técnica en los entornos en donde se realizan actividades relacionadas directa o indirectamente con los procesos de negocio que están siendo analizados, a los cuales se deben atribuir soluciones de seguridad.
Estos ambientes deben ser observados con relación a lo siguiente:

Disposición organizativa Se considera la disposición organizativa en especial sobre: La organización del espacio con relación a cómo están acomodados los muebles y los activos de información que las áreas de circulación de personas en lugares de alto transito estén libres de activos valor o importancia que los activos de alta importancia se ubiquen en áreas libres de acceso de personas que no están autorizadas para operarlos.
Sistemas de combate a incendio Se considera la disposición de los mecanismos de combate a incendio, cuidando que estén en los lugares adecuados: Los detectores de humo, los aspersores de agua, los extintores de incendio, entre otras cosas.
Control de acceso Se ocupa de la disposición de sistemas de detección y autorización de acceso a las de personas, para esto se hace uso de: Cámaras de video, hombres de seguridad, trinquete para acceso, mecanismos de reconocimiento individual, entre otros.
Exposición a clima y medio ambiente Disposición de las ventanas y puertas de áreas críticas. Se preocupa que se encuentren ubicadas próximas a activos críticos, Si los activos críticos reciben luz solar o posibilidad de amenaza causadas por los fenómenos de la naturaleza, como viento o lluvias fuertes.
Topografía Se interesa en la localización del centro de procesamiento de datos, de la sala de cómputo o del sitio de servidores, o cualquier área crítica con relación a la topografía del terreno Si se encuentran en el subsuelo, al alcance de inundaciones, próximas a áreas de riesgo como proximidad al mar, ríos o arroyos o áreas de retención de agua o con posibilidad de pérdidas de cañerías hidráulicas.

Revisar los planos de las oficinas para localizar salidas de emergencia y dispositivos de prevención de incendios y verificar que cumplan con las normas de seguridad necesarias. Analizar la localización de los activos de alto valor de la empresa y verificar que se encuentren en áreas de acceso restringido.

Resultados del análisis de riesgos

Una vez que se realiza el análisis de riesgos, la organización tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer políticas para la corrección de los problemas ya detectados, y la gestión de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no sean más sustentadas o mantenidas, gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del tiempo.

Cuando se sabe que las innovaciones tecnológicas son cada vez más recuentes, aparecen una serie de nuevas oportunidades para que individuos maliciosos se aprovechen de ellas y realicen acciones indebidas en los entornos humanos, tecnológicos, físicos y de procesos. Una vez que se tienen las recomendaciones, se inician las acciones de distribución de ellas para corregir el entorno y reducir los riesgos a que está sometida la infraestructura humana, tecnológica, de procesos y física que respalda a uno o más procesos de negocio de una organización. De esa manera es posible implementar en los activos analizados, y también en los activos de mismas características que los analizados, las medidas de corrección y tratamiento de las vulnerabilidades.

Una vez que los resultados son rastreados y puntuados con relación a su valor crítico y relevancia, uno de los productos finales del análisis de riesgos, la matriz de valor crítico, indica a través de datos cualitativos y cuantitativos la situación de seguridad en que se encuentran los activos analizados, al listar las vulnerabilidades, amenazas potenciales y respectivas recomendaciones de seguridad para corrección de las vulnerabilidades.

El análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad , para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización.

Comprender la importancia real del análisis de riesgos con el primer paso en la implementación de seguridad, al permitir que se conozca todo el entorno en que se realiza un proceso de negocio del punto de vista procesal, físico, humano y tecnológico. A partir de este diagnóstico, tanto de las vulnerabilidades como del impacto que ellas pueden traer al negocio (obtenido con la puntuación de la relevancia de los procesos de negocio y sus activos) es posible implementar medidas correctivas, preventivas y de detección que se hagan necesarios para el alcance de los objetivos de la organización.

3 comentarios

Aaron -

Me gustaría saber que porcentaje de las industrias en méxico realizan este tipo de estudios, se podria hacer una comparación de negocios que lo hacen de los que no. Puede ser una gran inversión.

Facilities management o gestión de propiedad -

Es la gestión de los edificios y sus servicios. Los servicios suelen dividirse en 'hard services' y 'soft services'. Los primeros incluyen tareas como asegurarse de que el aire acondicionado de un edificio funcione de forma eficaz, fiable, segura y legal. En los soft services encontramos actividades como asegurarse de que se haga la limpieza del edificio de forma regular, o controlar el trabajo de los contratistas (por ejemplo, constructores, electricistas). El término facility management es similar al de ‘gestión de propiedad’, pero a menudo se aplica solamente a grandes propiedades o propiedades comerciales en las que la gestión y el funcionamiento es más complejo. Algunos de estos aspectos se pueden mantener con los programas informáticos de gestión de datos avanzada.
(Wikipedia, 24/abr/2010)