Tuesday, April 24, 2012

ISO/IEC 27005 Gestion de riesgos de seguridad de la Información

Esta norma contiene recomendaciones y directrices generales para la gestión de riesgos en sistemas de seguridad de la Información. Es compatible con los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada como soporte para aplicar satisfactoriamente un SGSI basado en un enfoque de gestión de riesgos.

la norma ISO/IEC 27005 reemplaza a la norma anterior, ISO13335-2 "Gestión de seguridad de la información y la tecnología de las comunicaciones". La norma fue publicada por  primera vez en junio de 2008, aunque hay una nueva versión mejorada en el 2011.

El riesgo se define como una amenaza que explota la vulnerabilidad de un activo pudiendo causar daños. El riesgo IT está relacionado con el uso, propiedad, operación, distribución y la adopción de las tecnologías de la Información en una organización. Aunque no existe un método concreto de como gestionar riesgos, se recomienda usar un proceso estructurado, sistemático y riguroso de análisis de riesgos para la creación del plan de tratamiento de riesgos.

Los indicadores de riesgo muestran si la organización está sujeta o tiene una alta probabilidad de ser sometida a un riesgo que excede el riesgo permitido.


Gestión de Riesgos en Tecnologías de la Información 


Gestión del Riesgo es una actividad recurrente que se refiere al análisis, planificación, ejecución, control y seguimiento de las medidas implementadas y la política de seguridad impuesta.

La actualización de establecimiento, mantenimiento y continua mejora de un SGSI ofrecen una clara indicación de que una empresa está utilizando un enfoque sistemático para la identificación, evaluación y gestión de riesgos de seguridad de la información.

Identificación de riegos 


Un evento solo es un riesgo si existe un grado de incertidumbre asociado con el, por ejemplo:El valor de un activo puede cambiar su valor durante la ejecución de un proyecto, por experiencia esto es cierto, pero ¿cuanto puede cambiar? no lo sabemos, por lo tanto es un riesgo que debemos evitar en un proyecto pequeño. Por lo tanto debemos estar seguros de identificar el riesgo en realidad y no sus causas o efectos.

Si consideramos otro ejemplo, debemos instalar una determinada aplicación de software en varias sucursales de una empresa, pero no todas las oficinas poseen la misma capacidad de almacenamiento o las ultimas actualizaciones de sistemas operativos
  • ¿Es un riesgo la instalación? No, es un requerimiento
  • ¿Es un riesgo de que alguna sucursal termine sin usar la aplicación? No, este es un efecto en este proyecto, sin embargo puede ser un riesgo futuro que la sucursal  no tenga la aplicación.
  • ¿Es un riesgo que la aplicación no se pueda instalar por algún motivo? Si, es incierto, solo lo sabremos cuando lo intentemos
Ejemplos de Riesgos en IT
  • Corrier aplicaciones en condiciones vulnerables
  • Sistemas operativos, vulnerables y sin actualizaciones
  • Diseñar aplicaciones inapropiadas, incompletas, con bugs y errores recurrentes
  • Tecnologías obsoletas
  • Mal rendimiento de la infraestructura IT

Evaluación del riesgos


Es necesario establecer un vínculo entre los escenarios de riesgos IT y el impacto empresarial que estos generarían, para así comprender el efecto de los eventos adversos que se pueden desencadenar.

La evaluación de riesgos se ejecuta en los puntos discretos de tiempo (por ejemplo una vez al año, en la demanda, etc) y - hasta que el rendimiento de la próxima evaluación - proporciona una visión temporal de los riesgos evaluados.

La evaluación de riesgos se realiza a menudo en más de una iteración, la primera es una evaluación de alto nivel para identificar los riesgos altos, mientras que las iteraciones posteriores detallan en el análisis de los riesgos principales y tolerables. Varios factores ayudan a seleccionar eventos con cierto grado de riesgo:
  • Probabilidad
  • Consecuencias
  • Ocurrencia
  • Urgencia
  • Maleabilidad
  • Dependencia
  • Proximidad
Adicionalmente la evaluación de riesgos requiere los siguientes puntos:
  1. Un estudio de vulnerabilidades, amenazas, probabilidad, pérdidas o impacto, y la supuesta eficiencia de las medidas de seguridad. Los directivos de la organización utilizan los resultados de la evaluación del riesgo para desarrollar los requisitos de seguridad y sus especificaciones.
  2. El proceso de evaluación de amenazas y vulnerabilidades, conocidas y postuladas para estimar el efecto producido en caso de pérdidas y establecer el grado de aceptación y aplicabilidad en la operaciones del negocio.
  3. Identificación de los activos y facilidades que pueden ser afectados por amenazas y vulnerabilidades.
  4. Análisis de los activos del sistema y las vulnerabilidades para establecer un estimado de pérdida esperada en caso de que ocurran ciertos eventos y la probabilidades estimadas de la ocurrencia de estos. El propósito de una evaluación del riesgo es determinar si las contramedidas son adecuadas para reducir la probabilidad de la pérdida o el impacto de la pérdida a un nivel aceptable.
  5. Una herramienta de gestión que proporcione un enfoque sistemático que determine el valor relativo de:
    • La sensibilidad al instalar activos informáticos
    • La evaluación de vulnerabilidades
    • La evaluación de la expectativa de pérdidas
    • La  percepción de los niveles de exposición al riesgo
    • La evaluación de las características de protección existentes 
    • Las alternativas adicionales de protección
    • La aceptación de riesgos 
    • La documentación de las decisiones de gestión. 
Decisiones para la implementación de las funciones de protección adicionales se basan normalmente en la existencia de una relación razonable entre costo/beneficio de las  salvaguardia y la sensibilidad / valor de los bienes que deben protegerse. Las evaluaciones de riesgos pueden variar de una revisión informal de una instalación a escala microprocesador pequeño para un análisis más formal y plenamente documentado (por ejemplo, análisis de riesgo) de una instalación a escala de ordenadores. Metodologías de evaluación de riesgos pueden variar desde los enfoques cualitativos o cuantitativos a cualquier combinación de estos dos enfoques.

Análisis de Riesgo


Este es el paso principal en el marco de la norma ISO/IEC 27005. La mayor parte de las actividades primarias se prevé que el primer proceso de evaluación de riesgos. Este paso implica la adquisición de toda la información pertinente sobre la organización y la determinación de los criterios básicos, finalidad, alcance, límites y organización de las actividades de gestión de riesgos. El objetivo es por lo general el cumplimiento de los requisitos legales y proporcionar la prueba de la debida diligencia el apoyo de un SGSI que puede ser certificado. El alcance puede ser un plan de notificación de incidentes, un plan de continuidad del negocio.

Los criterios incluyen la evaluación del riesgo, aceptación de riesgos y criterios de evaluación de impacto. Estos están condicionados por:
  •      requisitos legales y reglamentarios
  •      el valor estratégico para el negocio de los procesos de información
  •      expectativas de los interesados
  •      consecuencias negativas para la reputación de la organización
Establecer el alcance y los límites, la organización debería ser estudiado: su misión, sus valores, su estructura y su estrategia, sus lugares y el medio ambiente cultural. Las limitaciones (presupuestarias, culturales, políticos, técnicos) de la organización deben ser recogidos y documentados como guía para los pasos a seguir.

Escenarios de riesgo


Escenarios de riesgo es el corazón del proceso de evaluación de riesgos. Los escenarios pueden derivarse de dos maneras diferentes y complementarias:
  •     Enfoque de arriba hacia abajo de los objetivos generales de la empresa a los escenarios de riesgo más probable es que puede tener un impacto.
  •     Enfoque de abajo hacia arriba, donde se aplica una lista de escenarios de riesgo genéricos a la situación
Cada uno de los escenarios de riesgo se analiza para determinar la frecuencia y el impacto, sobre la base de los factores de riesgo.

Respuesta a los Riesgos


El propósito de definir una respuesta al riesgo es llevar el riesgo en nivel que se pueda tolerar. es decir, el riesgo residual debe ser dentro de los límites de tolerancia al riesgo. El riesgo puede ser manejado de acuerdo cuatro estrategia principales (o una combinación de ellos):
  •         Evitar el riesgo aislando las actividades que dan lugar al riesgo
  •         Mitigar el riesgo adoptando medidas que detectan y reducen el impacto del riesgo
  •         Transferir riesgos a otras áreas menos susceptibles o a otras entidades con mas experiencia (outsourcing)
  •         Aceptar riesgos que se corren deliberadamente y que no se pueden evitar, sin embargo es necesario identificarlos, documentarlos y medirlos


Si tienes información adicional sobre este tema, tus comentarios o enlaces de referencia serán bienvenidos.

No comments: