método para calcular los riesgos del sistema de información.
Sabía que...
Para una correcta gestión de la seguridad de la información, se deberá definir en un documento una “política de seguridad”. Esta política proporciona a la Dirección de la empresa las directrices y ayudas en materia de seguridad de la información, procedentes de requerimientos comerciales, requerimientos legales, nacionales e internacionales, de objetivos de la organización y de otras regulaciones aplicables.
Resumidamente, un Modelo de Seguridad orientado a la gestión del riesgo, emplea el cálculo del riesgo, y unos criterios empresariales (normativa, legislación, etc.), para poder decidir si es viable reducir el riesgo que se asume, o no.
La siguiente aplicación práctica es un ejemplo sencillo del empleo de un modelo de seguridad orientado a la gestión del riesgo, que aúna los principales conceptos vistos hasta ahora, y que se desarrollarán más ampliamente en los próximos capítulos.
Aplicación práctica
Se parte de una empresa que provee alojamiento de páginas web, con un sistema de información valorado en 250.000 €. Un análisis de riesgos revela que hay dos amenazas:
1 Un fallo del suministro eléctrico, caracterizado por:Impacto o daño = 10.000 €Probabilidad de ocurrencia de la amenaza= 0. 1
2 Un ataque dirigido desde internet, caracterizado por:Impacto o daño =500.000 €Probabilidad de ocurrencia de la amenaza= 0.005
El modelo de seguridad de la empresa tiene el criterio de “optimizar la inversión concentrando los recursos en eliminar la mayor amenaza, y asumir el riesgo de las amenazas menores”. Se pide que:
1 Se cuantifique el riesgo de cada amenaza.
2 Se calcule el presupuesto en seguridad que resultaría justificado invertir.
3 Se calcule el riesgo que asume la empresa tras la inversión.
SOLUCIÓN
1 CÁLCULO DE RIESGOS: Amenaza 1: riesgo = 10.000 x 0. 1 = 1.000 €. Amenaza 2: riesgo = 500.000 x 0.005 = 2.500 €. La amenaza 2, pese a ser veinte veces menos probable que la amenaza 1, es la de mayor riesgo a causa de su elevado impacto.
2 PRESUPUESTO EN SEGURIDAD: El modelo de seguridad indica que, por criterio de la empresa, debe eliminarse la mayor amenaza, que es la que tiene un riesgo de 2.500 €. El presupuesto que se puede dedicar a combatir la amenaza es de 2.500 €.
3 RIESGO TRAS LA INVERSIÓN: El modelo de seguridad indica que, por criterio de la empresa, se asume el riesgo del resto de amenazas, es decir el de amenaza 1. El riesgo asumido resultante es de 1.000 €.
Para estudiar el riesgo, existen dos pasos claramente diferenciados:
1 El análisis de riesgos, que consiste en identificar amenazas, determinar las vulnerabilidades, y medir el impacto o daño que causaría un incidente. Se pueden emplear métodos cuantitativos (como en la aplicación práctica anterior), o cualitativos (valorando el riesgo en muy alto, alto, bajo, medio, etc.), para ordenar los riesgos.
2 La gestión de riesgos, que partiendo de los resultados del análisis de riesgos, y una vez determinados los criterios para aceptar un riesgo (legales, económicos, etc.), permite elegir las contramedidas de seguridad que se implantarán.
El análisis y gestión de riesgos aporta un valor extraordinario a la gestión de seguridad, reduciendo la probabilidad de fracaso de una empresa, y protegiéndola, al ser una herramienta que facilita que la actividad futura se realice de manera efectiva y controlada.
Sabía que...
La gestión de riesgos forma parte de la estrategia de administración de una empresa, y no se limita a la seguridad de la información, sino que puede aplicarse a la gestión de riesgos financieros o del mercado.
3. Relación de las amenazas más frecuentes, los riesgos que implican y las salvaguardas más frecuentes
Las amenazas a las que está expuesto un sistema de información son muy diversas, por lo que, al menos en la fase inicial de la gestión de riesgos, conviene centrarse en las principales. Posteriormente, se podrá mejorar el modelo, aumentando el catálogo de amenazas. Para esa selección inicial, ayudará un amplio y polifacético conocimiento de la empresa: su organigrama, sus procesos productivos, su localización geográfica, su competencia, etc. Por ejemplo, si una empresa tiene dos sucursales, una en una zona de interior, y otra muy próxima al mar, para esta segunda sucursal, puede ser importante analizar el riesgo de exposición a un alto nivel de humedad relativa del aire.
Para determinar las amenazas, o encontrar nuevas, ayudará saber que pueden clasificarse como:
1 Amenazas naturales o artificiales.
2 Amenazas debidas al entorno (ambiente), o debidas al hombre.
3 Amenazas accidentales o intencionadas.
A continuación, se expone un conjunto de amenazas frecuentes, extraído del catálogo de amenazas de MAGERIT, que no pretende ser exhaustivo, aunque probablemente cubrirá la mayoría de situaciones generales, así como algunos de los riesgos principales, y salvaguardas usuales.
Desastres naturales
Amenaza | Riesgos usuales | Salvaguardas usuales |
Incendios | Que el fuego acabe con recursos del sistema | Protección de las instalaciones frente a incendios |
Inundaciones | Que el agua acabe con recursos del sistema | Protección de las instalaciones frente a inundaciones |
Rayo, tormenta eléctrica | Destrucción de sistemas electrónicos | Protección de las instalaciones frente a descargas eléctricas |
De origen industrial
Amenaza | Riesgos usuales | Salvaguardas usuales |
Incendios | Que el fuego acabe con recursos del sistema | Protección de las instalaciones frente a incendios |
Inundaciones, escapes | Que el agua acabe con recursos del sistema | Protección de las instalaciones frente a inundaciones |
Otros desastres industriales: sobrecarga eléctrica, fluctuaciones eléctricas | Destrucción de sistemas electrónicos | Protección de las instalaciones frente a descargas eléctricas |
Contaminación mecánica: vibraciones, polvo, suciedad | Destrucción de sistemas electromecánicos | Mantenimiento preventivo de limpieza, y reposición de componentes electromecánicos |
Avería de origen físico o lógico: fallos en los equipos, fallos en los programas | Paradas de sistemas y/o pérdida de trazabilidad | Disponer de sistemas de funcionamiento redundante |
Corte del suministro eléctrico | Paradas de sistemas | Sistemas de alimentación ininterrumpida |
Condiciones inadecuadas de temperatura y humedad | Destrucción de componentes | Sistemas de aire acondicionado, y alarma por exceso de temperatura y humedad |
Fallo de servicios de comunicaciones | Parada de sistema | Disponer rutas de comunicación redundantes |
Degradación de los soportes de almacenamiento | Paradas de sistemas y/o pérdida de trazabilidad | Empleo de soportes redundantes, y realización de copias de seguridad |
Errores y fallos no intencionados