Siguiente: Identificación de recursos
Subir: Gestión de la seguridad
Anterior: Políticas de seguridad
Índice General
En un entorno informático existen una serie de recursos (humanos, técnicos,
de infraestructura...) que están expuestos a diferentes tipos de riesgos:
los `normales', aquellos comunes a cualquier entorno, y los excepcionales,
originados por situaciones concretas que afectan o pueden afectar a parte de una
organización o a toda la misma, como la inestabilidad política en un
país o una región sensible a terremotos ([Pla83]). Para tratar
de minimizar los efectos de un problema de seguridad se realiza lo que
denominamos un análisis de riesgos, término que hace referencia al
proceso necesario para responder a tres cuestiones básicas sobre nuestra
seguridad:
- >qué queremos proteger?
- >contra quién o qué lo queremos proteger?
- >cómo lo queremos proteger?
En la práctica existen dos aproximaciones para responder a estas cuestiones,
una cuantitativa y otra cualitativa. La primera de ellas es con diferencia la
menos usada, ya que en muchos casos implica cálculos complejos o datos
difíciles de estimar. Se basa en dos parámetros fundamentales: la
probabilidad de que un suceso ocurra y una estimación del coste o las
pérdidas en caso de que así sea; el producto de ambos términos es lo
que se denomina coste anual estimado (EAC, Estimated Annual Cost),
y aunque teóricamente es posible conocer el riesgo de cualquier evento (el
EAC) y tomar decisiones en función de estos datos, en la práctica la
inexactitud en la estimación o en el cálculo de parámetros hace
difícil y poco realista esta aproximación.
El segundo método de análisis de riesgos es el cualitativo, de uso muy
difundido en la actualidad especialmente entre las nuevas `consultoras' de
seguridad (aquellas más especializadas en seguridad lógica, cortafuegos,
tests de penetración y similares). Es mucho más sencillo e intuitivo
que el anterior, ya que ahora no entran en juego probabilidades exactas sino
simplemente una estimación de pérdidas potenciales. Para ello se
interrelacionan cuatro elementos principales: las amenazas, por definición
siempre presentes en cualquier sistema, las vulnerabilidades, que potencian el
efecto de las amenazas, el impacto asociado a una amenaza, que indica los
daños sobre un activo por la materialización de dicha amenaza, y los
controles o salvaguardas, contramedidas para minimizar las vulnerabilidades
(controles preventivos) o el impacto (controles curativos). Por ejemplo, una
amenaza sería un pirata que queramos o no (no depende de nosotros) va a
tratar de modificar nuestra página web principal, el impacto sería
una medida del daño que causaría si lo lograra, una vulnerabilidad
sería una configuración incorrecta del servidor que ofrece las páginas,
y un control la reconfiguración de dicho servidor o el incremento de su
nivel de parcheado. Con estos cuatro elementos podemos obtener un indicador
cualitativo del nivel de riesgo asociado a un activo determinado dentro de la
organización, visto como la probabilidad de que una amenaza se materialice
sobre un activo y produzca un determinado impacto.
En España es interesante la metodología de análisis de riesgos
desarrollada desde el Consejo Superior de Informática (Ministerio de
Administraciones Públicas) y denominada MAGERIT (Metodología de
Análisis y GEstión de Riesgos de los sistemas de Información de las
AdminisTraciones públicas); se trata de un método formal para realizar un
análisis de riesgos y recomendar los controles necesarios para su
minimización. MAGERIT se basa en una aproximación cualitativa que
intenta cubrir un amplio espectro de usuarios genéricos gracias a un enfoque
orientado a la adaptación del mecanismo dentro de diferentes entornos,
generalmente con necesidades de seguridad y nivel de sensibilidad también
diferentes. En la página web del Consejo Superior de
Informática23.2 podemos encontrar
información más detallada acerca de esta metodología, así como
algunos ejemplos de ejecución de la misma.
Tras obtener mediante cualquier mecanismo los indicadores de riesgo en nuestra
organización llega la hora de evaluarlos para tomar decisiones organizativas
acerca de la gestión de nuestra seguridad y sus prioridades. Tenemos por una
parte el riesgo calculado, resultante de nuestro análisis, y este
riesgo calculado se ha de comparar con un cierto umbral (umbral de
riesgo) determinado por la política de seguridad de nuestra
organización; el umbral de riesgo puede ser o bien un número o bien una
etiqueta de riesgo (por ejemplo, nivel de amenaza alto, impacto alto,
vulnerabilidad grave, etc.), y cualquier riesgo calculado superior al umbral
ha de implicar una decisión de reducción de riesgo. Si por el contrario el
calculado es menor que el umbral, se habla de riesgo residual, y el
mismo se considera asumible (no hay porqué tomar medidas para reducirlo). El
concepto de asumible es diferente al de riesgo asumido, que denota
aquellos riesgos calculados superiores al umbral pero sobre los que por
cualquier razón (política, económica...) se decide no tomar medidas
de reducción; evidentemente, siempre hemos de huir de esta situación.
Una vez conocidos y evaluados de cualquier forma los riesgos a los que nos
enfrentamos podremos definir las políticas e
implementar las soluciones prácticas - los mecanismos - para minimizar sus
efectos. Vamos a intentar de entrar con más detalle en cómo dar respuesta a
cada una de las preguntas que nos hemos planteado al principio de este punto:
Subsecciones
Siguiente: Identificación de recursos
Subir: Gestión de la seguridad
Anterior: Políticas de seguridad
Índice General
2003-08-08