José Francisco Giménez Albacete

Seguridad en equipos informáticos. IFCT0510


Скачать книгу

método para calcular los riesgos del sistema de información.

Image

       Sabía que...

      Para una correcta gestión de la seguridad de la información, se deberá definir en un documento una “política de seguridad”. Esta política proporciona a la Dirección de la empresa las directrices y ayudas en materia de seguridad de la información, procedentes de requerimientos comerciales, requerimientos legales, nacionales e internacionales, de objetivos de la organización y de otras regulaciones aplicables.

      Resumidamente, un Modelo de Seguridad orientado a la gestión del riesgo, emplea el cálculo del riesgo, y unos criterios empresariales (normativa, legislación, etc.), para poder decidir si es viable reducir el riesgo que se asume, o no.

      La siguiente aplicación práctica es un ejemplo sencillo del empleo de un modelo de seguridad orientado a la gestión del riesgo, que aúna los principales conceptos vistos hasta ahora, y que se desarrollarán más ampliamente en los próximos capítulos.

Image

       Aplicación práctica

       Se parte de una empresa que provee alojamiento de páginas web, con un sistema de información valorado en 250.000 €. Un análisis de riesgos revela que hay dos amenazas:

      1 Un fallo del suministro eléctrico, caracterizado por:Impacto o daño = 10.000 €Probabilidad de ocurrencia de la amenaza= 0. 1

      2 Un ataque dirigido desde internet, caracterizado por:Impacto o daño =500.000 €Probabilidad de ocurrencia de la amenaza= 0.005

       El modelo de seguridad de la empresa tiene el criterio de “optimizar la inversión concentrando los recursos en eliminar la mayor amenaza, y asumir el riesgo de las amenazas menores”. Se pide que:

      1 Se cuantifique el riesgo de cada amenaza.

      2 Se calcule el presupuesto en seguridad que resultaría justificado invertir.

      3 Se calcule el riesgo que asume la empresa tras la inversión.

       SOLUCIÓN

      1 CÁLCULO DE RIESGOS: Amenaza 1: riesgo = 10.000 x 0. 1 = 1.000 €. Amenaza 2: riesgo = 500.000 x 0.005 = 2.500 €. La amenaza 2, pese a ser veinte veces menos probable que la amenaza 1, es la de mayor riesgo a causa de su elevado impacto.

      2 PRESUPUESTO EN SEGURIDAD: El modelo de seguridad indica que, por criterio de la empresa, debe eliminarse la mayor amenaza, que es la que tiene un riesgo de 2.500 €. El presupuesto que se puede dedicar a combatir la amenaza es de 2.500 €.

      3 RIESGO TRAS LA INVERSIÓN: El modelo de seguridad indica que, por criterio de la empresa, se asume el riesgo del resto de amenazas, es decir el de amenaza 1. El riesgo asumido resultante es de 1.000 €.

      Para estudiar el riesgo, existen dos pasos claramente diferenciados:

      1 El análisis de riesgos, que consiste en identificar amenazas, determinar las vulnerabilidades, y medir el impacto o daño que causaría un incidente. Se pueden emplear métodos cuantitativos (como en la aplicación práctica anterior), o cualitativos (valorando el riesgo en muy alto, alto, bajo, medio, etc.), para ordenar los riesgos.

      2 La gestión de riesgos, que partiendo de los resultados del análisis de riesgos, y una vez determinados los criterios para aceptar un riesgo (legales, económicos, etc.), permite elegir las contramedidas de seguridad que se implantarán.

      El análisis y gestión de riesgos aporta un valor extraordinario a la gestión de seguridad, reduciendo la probabilidad de fracaso de una empresa, y protegiéndola, al ser una herramienta que facilita que la actividad futura se realice de manera efectiva y controlada.

Image

       Sabía que...

      La gestión de riesgos forma parte de la estrategia de administración de una empresa, y no se limita a la seguridad de la información, sino que puede aplicarse a la gestión de riesgos financieros o del mercado.

      Las amenazas a las que está expuesto un sistema de información son muy diversas, por lo que, al menos en la fase inicial de la gestión de riesgos, conviene centrarse en las principales. Posteriormente, se podrá mejorar el modelo, aumentando el catálogo de amenazas. Para esa selección inicial, ayudará un amplio y polifacético conocimiento de la empresa: su organigrama, sus procesos productivos, su localización geográfica, su competencia, etc. Por ejemplo, si una empresa tiene dos sucursales, una en una zona de interior, y otra muy próxima al mar, para esta segunda sucursal, puede ser importante analizar el riesgo de exposición a un alto nivel de humedad relativa del aire.

      Para determinar las amenazas, o encontrar nuevas, ayudará saber que pueden clasificarse como:

      1 Amenazas naturales o artificiales.

      2 Amenazas debidas al entorno (ambiente), o debidas al hombre.

      3 Amenazas accidentales o intencionadas.

      A continuación, se expone un conjunto de amenazas frecuentes, extraído del catálogo de amenazas de MAGERIT, que no pretende ser exhaustivo, aunque probablemente cubrirá la mayoría de situaciones generales, así como algunos de los riesgos principales, y salvaguardas usuales.

       Desastres naturales

AmenazaRiesgos usualesSalvaguardas usuales
IncendiosQue el fuego acabe con recursos del sistemaProtección de las instalaciones frente a incendios
InundacionesQue el agua acabe con recursos del sistemaProtección de las instalaciones frente a inundaciones
Rayo, tormenta eléctricaDestrucción de sistemas electrónicosProtección de las instalaciones frente a descargas eléctricas

       De origen industrial

AmenazaRiesgos usualesSalvaguardas usuales
IncendiosQue el fuego acabe con recursos del sistemaProtección de las instalaciones frente a incendios
Inundaciones, escapesQue el agua acabe con recursos del sistemaProtección de las instalaciones frente a inundaciones
Otros desastres industriales: sobrecarga eléctrica, fluctuaciones eléctricasDestrucción de sistemas electrónicosProtección de las instalaciones frente a descargas eléctricas
Contaminación mecánica: vibraciones, polvo, suciedadDestrucción de sistemas electromecánicosMantenimiento preventivo de limpieza, y reposición de componentes electromecánicos
Avería de origen físico o lógico: fallos en los equipos, fallos en los programasParadas de sistemas y/o pérdida de trazabilidadDisponer de sistemas de funcionamiento redundante
Corte del suministro eléctricoParadas de sistemasSistemas de alimentación ininterrumpida
Condiciones inadecuadas de temperatura y humedadDestrucción de componentesSistemas de aire acondicionado, y alarma por exceso de temperatura y humedad
Fallo de servicios de comunicacionesParada de sistemaDisponer rutas de comunicación redundantes
Degradación de los soportes de almacenamientoParadas de sistemas y/o pérdida de trazabilidadEmpleo de soportes redundantes, y realización de copias de seguridad

       Errores y fallos no intencionados