Introducción
Este post tiene como objetivo el explicar en detalle una metodología
propia de análisis de riesgos. En el pasado he utilizado esta
metodología con éxito en la realización de diversos análisis de
riesgos de Seguridad de la Información. Aunque, obviamente, guarda
similitudes y ha nacido a la luz de otras metodologías ampliamente
utilizadas como Magerit o ISO31000, posee peculiaridades que posibilitan realizar análisis
de riesgos rigurosos pero muy sencillos de comprender y ejecutar.
Empezemos explicando el escenario (ficticio) que utilizaremos como
ejemplo para desarrollar el análisis de riesgos.
La empresa Mascultura es una libreria online. Se dedica
exclusivamente a la venta de libros (físicos, no en formato digital)
a través de su página web. No tiene stock de libros, si no que los
adquiere directamente a un mayorista. Dado que su negocio se basa en
la venta online, y por tanto en la información, ha decidido llevar a
cabo un análisis de riesgos para tener claro qué riesgos tiene y
qué puede hacer para disminuirlos.
Catálogo de
Amenazas
Lo primero que vamos a hacer será elaborar el catálogo de amenazas
a considerar. Para ello, lo que normalmente hago es partir de un
catálogo amplio, como por ejemplo el que tiene Magerit y eliminar
aquellos que no son relevantes en ese caso concreto. Además, suelo
agrupar algunas amenazas similares para simplificar el proceso de
analizar los riesgos. Hay que tener en cuenta que trabajar con un
catálogo muy amplio, aunque permitirá un análisis más riguroso,
también multiplicará los esfuerzos y el tiempo necesario para
llevar a cabo dicho análisis. Mi recomendación es tratar de no
sobrepasar las 10 amenazas en nuestro catálogo.
En el caso de Mascultura, para simplificar al máximo en análisis,
estas son las amenazas que vamos a considerar:
- Desastres Naturales
- Errores de los usuarios
- Errores de los programadores
- Errores en la administración de los equipos
- Malware
- Ataques intencionados
Aunque agrupemos amenazas para reducir su número, es importante que
todas las categórias de amenazas que realmente puedan afectar a la
información del negocio estén recogidas en nuestro catálogo para
que el análisis sea riguroso y no menospreciemos riesgos relevantes.
Asimismo, para elaborar el catálogo se debería considerar en
contexto en el que opera la organización, tanto interno como
externo. Por ejemplo, según qué tipo de organización estemos
analizando tendrá sentido o no hablar de fraude interno, robo de
activos o desastres industriales como amenazas a considerar.
Siguiendo con nuestro ejemplo, ahora que tenemos nuestro catálogo de
amenazas, vamos a darle un valor de probabilidad estándar para cada
una de ellas. Este será el valor de probabilidad que consideraremos
por defecto, aunque podrá verse modificado en cada activo en función
de sus vulnerabilidades. Para evaluar la probabilidad (y el resto de
valores evaluables) voy a utilizar una escala de 5 valores. En
función del grado de detalle que queramos para nuestro análisis se
podrían utilizar únicamente 3 valores, o irnos a un modelo de más
valores (7, 10 o incluso más):
5- Extremadamente probable
4- Muy probable
3- Probable
2- Poco probable
1- Probabilidad prácticamente despreciable
Así, nuestro catálogo de amenazas quedará de la siguiente manera
(entre paréntesis la dimensión o dimensiones a las que puede
afectar la amenaza):
- Desastres Naturales (Disp): 1
- Errores de los usuarios (Conf, Int, Disp): 4
- Errores de los programadores (Conf, Int, Disp): 3
- Errores en la administración de los equipos (Conf, Int, Disp): 3
- Malware (Conf, Int, Disp): 5
- Ataques intencionados (Conf, Int, Disp): 4
Mapa de
Procesos
Ahora que ya tenemos nuestro catálogo de amenazas definido, vamos a
realizar el BIA (Business Impact Analysis). Para ello, si no
disponemos ya de uno, necesitaremos el mapa de procesos de nuestra
empresa.
Para simplificar el ejemplo, vamos a considerar que únicamente
existen los siguientes procesos, aunque en cualquier empresa real
existirían muchos más procesos transversales o de soporte. Asimismo
vamos a identificar las aplicaciones que soportan cada proceso:
- Proceso de venta de libro a los clientes:
- Aplicación web de venta de libros.
- Mail corporativo para la atención al cliente/resolución de dudas.
- Aplicación para la facturación al cliente. (se cobra únicamente con tarjeta de crédito)
- Proceso de compra de libros al mayorista:
- Aplicación web de venta de libros (la aplicación envía un pedido directamente al mayorista utilizando el mail corporativo)
- Mail corporativo
- Proceso de entrega del libro al cliente
- Aplicación web de venta de libros (la aplicación envía un pedido a la empresa de mensajería indicando qué libro recoger en el mayorista y a qué dirección entregarlo).
- Mail corporativo
BIA
(Business Impact Analysis)
Procedamos ahora con nuestro Análisis de Impacto al Negocio. Para
ello vamos a valorar el impacto que tendría un compromiso en la
Confidencialidad, Integridad o Disponibilidad de la información
asociada a cada uno de los procesos de negocio que acabamos de
identificar. Esta valoración, además, considerará diferentes
ámbitos en los que puede existir un impacto.
Algunos ejemplos de ámbitos posibles son:
- Económico
- Legislativo/regulatorio
- Operativo
- Ambiental
- Daño a las personas
- Daño a la imagen de la empresa o pérdida de confianza de sus clientes
- Etc..
En nuestro caso, como algunos ámbitos no son de aplicación (daño
medioambienta, o daño a las personas), vamos a valorar únicamente
los impactos en los siguientes ámbitos:
|
|
Económico
|
Legislativo/ regulatorio
|
|
Muy Bajo
|
Menos de 500€
|
-
|
|
Bajo
|
Entre 500€ y 2500€
|
-
|
|
Medio
|
Entre 2500 y 7500€
|
Apercibimiento
|
|
Alto
|
Entre 7500 y 20000€
|
Multa o sanción
|
|
Muy Alto
|
Más de 20000€
|
Revocación de la licencia de comercialización.
|
La escala de valores que utilicemos deberá estar alineada con las cifras de negocio que maneje la organización que estamos analizando. Las cuantías establecidas en el ejemplo son considerando que se trata de una pequeña empresa para la que sufrir una pérdida de 20000€ sería una pérdida de gran impacto, mientras que para otras organizaciones, una pérdida de esta misma cuantía estará catalogada como un impacto muy bajo.
Analicemos por tanto el impacto para cada uno de los procesos de
negocio:
Si analizamos la confidencialidad del proceso de venta a los
clientes, podemos ver que un compromiso en la confidencialidad de la
información del proceso tendrá un impacto económico muy alto,
puesto que la aplicación trata con los datos personales de los
clientes y las multas de LOPD en su rango más bajo pueden alcanzar
los 40.000€. En lo que se refiere a impacto legislativo, estaríamos
en un nivel Alto, puesto que se pueden dar multas o sanciones también
de tipo LOPD.
Realizaremos un análisis similar para la Integridad y la
Disponibilidad (en este caso valoraremos el impacto de que el proceso
no funcione durante 1 hora, 1 día o 1 semana):
|
Proceso de venta a los clientes
|
Económico
|
Legislativo
|
|
|
Confidencialidad
|
Muy Alto (5)
|
Alto (4)
|
|
|
Integridad
|
Muy Alto (5)
|
Alto (4)
|
|
|
Disponibilidad
|
1 hora
|
Muy Bajo (1)
|
-
|
|
1 día
|
Bajo (2)
|
-
|
|
|
1 semana
|
Medio (3)
|
-
|
|
Finalmente, para cada una de las dimensiones nos quedamos con el
impacto más alto de entre las categorías que estamos valorando.
Nuestro BIA quedará de la siguiente guisa:
|
|
Confidencialidad
|
Integridad
|
Disponibilidad
|
||
|
|
|
|
1 hora
|
1 día
|
1 semana
|
|
Venta
|
5
|
5
|
1
|
2
|
3
|
|
Compra
|
1
|
5
|
0
|
0
|
1
|
|
Entrega
|
5
|
5
|
0
|
0
|
2
|
Nivel de
Riesgo Tolerable
Una vez finalizado el BIA ya estamos en disposición de establecer
cual es el nivel de riesgo tolerable para nuestra organización. Es
decir, dónde vamos a establecer la linea que separará los riesgos
aceptables de aquellos que requieran acciones urgentes para su
resolución. Establece este umbral teniendo en cuenta que no desea
aceptar riesgos que superen los 7.500€ o puedan suponerle multas o
sanciones ni, por supuesto, la revocación de su licencia para vender
libros online, es decir, que no se tolerarán riesgos con un valor de
4 o 5.
Inventario
de activos y Mapa de Dependencias
Ahora que ya tenemos nuestro BIA finalizado y el umbral de riesgos
definido, necesitamos disponer del inventario de activos y el mapa de
dependencias antes de iniciar propiamente el análisis de riesgos.
Veamos nuestro inventario de activos (simplicado, ya que no vamos a
considerar ubicaciones o personal):
Aplicaciones:
- Aplicación Venta de libros (APP_Venta)
- Mail corporativo (App_Mail)
- Aplicación de facturación (App_facturación)
Bases de datos:
- Base de datos de clientes (BD_clientes) (SQL Server)
- Base de datos con maestro de libros (BD_Maestro)(SQL Server)
- Base de datos histórico de operaciones (BD_Operaciones)(SQL Server)
Sistemas:
- Sistema A (Linux + Apache)
- Sistema B (Windows XP)
- Sistema C (Windows 2008 Server)
Las aplicaciones se ejecutan en el Sistema A, el Sistema B aloja el
correo electrónico y el Sistema C tiene el SQL Server con las bases
de datos identificadas.
Veamos ahora nuestro mapa de dependencias:
Proceso de VENTA -> App_venta -> Sistema A
-> BD_clientes -> Sistema C
-> BD_Maestro -> Sistema C
-> App_Mail -> Sistema B
-> App_facturación -> Sistema A
-> BD_clientes -> Sistema C
Proceso de COMPRA -> App_venta -> Sistema A
-> BD_Maestro -> Sistema C
-> App_Mail -> Sistema B
Proceso de ENTREGA -> App_venta -> Sistema A
-> BD_clientes -> Sistema C
-> BD_Operaciones -> Sistema C
-> App_Mail -> Sistema B
-> App_facturación -> Sistema A
-> BD_clientes -> Sistema C
Ahora vamos a hacer que los activos hereden la clasificación de
impacto según este mapa de dependencias. El resultado de impactos
que obtendremos será el siguiente:
|
|
Confidencialidad
|
Integridad
|
Disponibilidad (1 día)
|
||
|
|
|
|
1 hora
|
1 día
|
1 semana
|
|
Venta
|
5
|
5
|
1
|
2
|
3
|
|
Compra
|
1
|
5
|
0
|
0
|
1
|
|
Entrega
|
5
|
5
|
0
|
0
|
2
|
|
APP_Venta
|
5
|
5
|
1
|
2
|
3
|
|
APP_Mail
|
5
|
5
|
1
|
2
|
3
|
|
APP_Facturación
|
5
|
5
|
1
|
2
|
3
|
|
BD_Clientes
|
5
|
5
|
1
|
2
|
3
|
|
BD_Maestro
|
5
|
5
|
1
|
2
|
3
|
|
BD_Operaciones
|
5
|
5
|
0
|
0
|
2
|
|
Sistema A
|
5
|
5
|
1
|
2
|
3
|
|
Sistema B
|
5
|
5
|
1
|
2
|
3
|
|
Sistema C
|
5
|
5
|
1
|
2
|
3
|
El siguiente paso a realizar es coger cada uno de los activos de
nuestro inventario (o tipología de activo si se quiere simplificar)
y analizar si son o no vulnerables a cada una de las amenazas
identificadas en nuestro catálogo:
|
|
Aplicaciones
|
Bases de Datos
|
Sistemas
|
|
Desastres Naturales
|
No Vulnerable
|
No Vulnerable
|
Vulnerable
|
|
Errores usuarios
|
Vulnerable
|
No Vulnerable
|
No Vulnerable
|
|
Errores de los programadores
|
Vulnerable
|
No Vulnerable
|
No Vulnerable
|
|
Errores en la administración
|
No Vulnerable
|
Vulnerable
|
Vulnerable
|
|
Malware
|
No Vulnerable
|
No Vulnerable
|
Vulnerable
|
|
Ataques intencionados
|
Vulnerable
|
Vulnerable
|
Vulnerable
|
Vamos ahora a calcular el riesgo intrínseco que soportan los activos
de nuestro inventario, es decir, el riesgo sin tener en cuenta los
controles de seguridad que existen para disminuir el impacto o la
probabilidad de los riesgos. Para no alargar en exceso este post,
realizaremos el ejemplo sobre un único activo; el sistema A.
Para calcular el Riesgo usaremos la siguiente matriz en función del
Impacto y la probabilidad. Esta matriz es una propuesta totalmente
adaptable en función del tipo de negocio que se esté analizando,
puesto que en determinados sectores, puede tener sentido dar un mayor
peso al impacto que a la probabilidad con objeto de considerar los
posibles 'cisnes negros'.
|
|
|
Impacto
|
||||
|
|
|
5
|
4
|
3
|
2
|
1
|
|
Probabilidad
|
5
|
5
|
5
|
4
|
3
|
2
|
|
4
|
5
|
4
|
4
|
3
|
2
|
|
|
3
|
4
|
4
|
3
|
3
|
2
|
|
|
2
|
3
|
3
|
3
|
2
|
1
|
|
|
1
|
2
|
2
|
2
|
1
|
1
|
|
Veamos pues el riesgo inherente de nuestro 'Sistema A':
|
Sistema A – Riesgo inherente
|
Impacto
|
Probabilidad
|
Riesgo
|
|
Desastres Naturales
|
Disponibilidad: 2
|
1
|
1
|
|
Errores usuarios
|
No Vulnerable
|
||
|
Errores de los programadores
|
No Vulnerable
|
||
|
Errores en la administración
|
Confidencialidad: 5
|
3
|
4
|
|
Integridad: 5
|
|||
|
Disponibilidad: 2
|
|||
|
Malware
|
Confidencialidad: 5
|
5
|
5
|
|
Integridad: 5
|
|||
|
Disponibilidad: 2
|
|||
|
Ataques intencionados
|
Confidencialidad: 5
|
4
|
5
|
|
Integridad: 5
|
|||
|
Disponibilidad: 2
|
|||
Por lo tanto, vemos que el riesgo inherente de nuestro Sistema A es
muy Alto (5). Veamos ahora qué controles tiene implementados el
sistema para calcular cual es su riesgo efectivo:
- Antivirus actualizado y con actualización diaria de firmas. (reduce considerablemente la probabilidad de la amenaza de malware).
- Alojado en red interna separado de la DMZ y de Internet mediante firewalls bien gestionados. (reduce la probabilidad de ataques intencionados).
- Se le realiza un análisis de vulnerabilidades anual, y aunque en el último mostraba vulnerabilidades, las más críticas ya están corregidas. (dado que es anual, se decide no bajar aún más la probabilidad de malware o ataques intencionados. Si el proceso fuera al menos trimestral con corrección de las vulnerabilidades en corto espacio de tiempo, se podría reducir aún más la probabilidad de estas amenazas).
- La organización dispone de un procedimiento de gestión de cambios sólido que reduce la probabilidad de errores de administración y también su impacto, puesto que siempre se cuenta con un procedimiento de 'marcha atrás'.
Por lo tanto, el riesgo efectivo de nuestro sistema será el
siguiente:
|
Sistema A – Riesgo efectivo
|
Impacto
|
Probabilidad
|
Riesgo inherente
|
Riesgo Efectivo
|
|
Desastres Naturales
|
Disponibilidad: 2
|
1
|
1
|
1
|
|
Errores en la administración
|
Confidencialidad: 4
|
2
|
4
|
3
|
|
Integridad: 4
|
||||
|
Disponibilidad: 2
|
||||
|
Malware
|
Confidencialidad: 5
|
3
|
5
|
4
|
|
Integridad: 5
|
||||
|
Disponibilidad: 2
|
||||
|
Ataques intencionados
|
Confidencialidad: 5
|
3
|
5
|
4
|
Plan de
Tratamiento de Riesgos
Ahora que ya tenemos nuestro mapa de riesgos (inherentes y efectivos)
para todos los activos o grupos de activos de nuestra organización,
podemos proceder a elaborar el plan de tratamiento de riesgos. A tal
fin, determinaremos acciones a realizar para aquellos riesgos que
sobrepasen el umbral que hemos definido como tolerable en nuestra
organización (4 en el caso de ejemplo).
Para cada uno de estos riesgos tendremos las siguientes alternativas:
- Evitarlo: Dejar de efectuar la actividad que origina el riesgo. En el caso de ejemplo, apagar el Sistema A, desconectarlo de la red y darlo de baja de nuestra organización.
- Asumirlo: Asumir que no se puede hacer nada para paliar este riesgo, y que por lo tanto la Organización prefiere mantenerlo. Esta estrategia puede ser válida cuando el activo está a punto de ser dado de baja o cuando las alternativas existentes para rebajar su nivel de riesgo son excesivamente costosas y podrían superar incluso el coste potencial de la materialización del riesgo.
- Transferirlo: En ocasiones, existen riesgos que pueden transferirse a terceras empresas mediante la contratación de un seguro o la externalización de determinados servicios.
- Mitigarlo: En la mayoría de los casos esta será la estrategia óptima. Consiste en establecer o mejorar los controles de seguridad del activo para reducir sus riesgos hasta niveles aceptables, bien por reducir la probabilidad de las amenazas o bien por reducir el impacto que estas tendrían en caso de materializarse.
En nuestro ejemplo, los riesgos a tratar son dos:
|
Sistema A
|
Impacto
|
Probabilidad
|
Riesgo inherente
|
Riesgo Efectivo
|
|
Malware
|
Confidencialidad: 5
|
3
|
5
|
4
|
|
Integridad: 5
|
||||
|
Disponibilidad: 2
|
||||
|
Ataques intencionados
|
Confidencialidad: 5
|
3
|
5
|
4
|
Y el plan de tratamiento asociado en este caso, podría ser el
siguiente:
- Aumentar la frecuencia de escaneos de vulnerabilidades en el equipo para realizarlos mensualmente.
- Adquirir el compromiso de resolver todas las vulnerabilidades que se detecten en el sistema en un plazo máximo de 2 meses.
- Hardenizar el servidor para eliminar todos aquellos servicios que no sean necesarios.
Lo ideal, a la hora de establecer el plan de tratamiento de riesgos
será priorizar las acciones en función del riesgo que ayuden a
mitigar y, siempre que sea posible, agruparlas en proyectos
transversales que permitan mitigar los riesgos de toda una tipología
de activos en lugar de abordarlos de manera individual en cada caso.
Tras analizar los efectos que estas medidas tendrán sobre los
riesgos, establecemos cual será el riesgo residual, es decir, el
riesgo efectivo que permanecerá una vez implantadas las medidas
definidas:
|
Sistema A – Riesgo Redidual
|
Impacto
|
Probabilidad
|
Riesgo Efectivo
|
Riesgo Residual
|
|
Desastres Naturales
|
Disponibilidad: 2
|
1
|
1
|
1
|
|
Errores en la administración
|
Confidencialidad: 4
|
2
|
3
|
3
|
|
Integridad: 4
|
||||
|
Disponibilidad: 2
|
||||
|
Malware
|
Confidencialidad: 5
|
2
|
4
|
3
|
|
Integridad: 5
|
||||
|
Disponibilidad: 2
|
||||
|
Ataques intencionados
|
Confidencialidad: 5
|
2
|
4
|
3
|
Espero que hayáis encontrado útil este post. Como siempre, si
encontráis cualquier error en el mismo, queréis proponer cualquier
mejora al respecto del tema tratado o simplemente queréis dejar un
comentario opinando sobre el mismo, no dudéis en hacerlo!
Twitter: @omarbenjumea
http://about.me/omarbenjumea
