Análisis de riesgos

 


El análisis de riesgos es el estudio de las causas de las posibles amenazas, daños y consecuencias que estas puedan producir El análisis está basado en identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente. 

Pasos para realizar un Análisis de riesgos

Identificar escenarios de amenaza

Se puede utilizar un cuestionario por cada tipo de escenario (técnico, físico o humano), que contiene un conjunto de condiciones y preguntas diseñadas para detallar la identificación de amenazas. 
  • Decidir quién puede ser dañado y como
  • Evaluar los riesgos y decidir las precauciones. 
  • Registrar sus hallazgos e implementarlos. 
  • Revisar su análisis y poner al día si es necesario

Planificación 

Se establecen los objetivos, procesos y procedimientos para el proceso de gestión de riesgos tecnológicos

Hacer

Corresponde a la implementación y operación de los controles, procesos y procedimientos (incluye la operación e implementación de las políticas definidas), lo correspondiente a la valoración y tratamiento de los riesgos

Verificación 

Evaluar y medir el desempeño de los procesos contra la política y los objetivos de seguridad e informar sobre los resultados.

Actuar

Establecer la política para la gestión de riesgos tecnológicos e implementar los cambios requeridos para la mejora de los procesos.

Mapa de Calor de Riesgos

El mapa de calor da como resultado de la evaluación de riesgos generada, por medio de la metodología utilizada y por la respectiva valoración de los activos, identificación de las vulnerabilidades y amenazas.

En el apartado del análisis y la gestión de riesgos se hará uso de los dominios de control de la norma ISO 27001:2013, el cual engloba los requisitos que debe cumplir los sistemas de gestión de la seguridad de la información, incluyendo la inclusión de Buenas Prácticas para el buen manejo y la proteccion de la información. Al igual que considera el contenido y uso de las demás normas ISO, como lo es para esta situación, la norma ISO 27002, en donde se tomaran en cuenta los objetivos y controles que se hallan dados en diversos dominios de dicha norma, como anexos.  

En este sentido, de acuerdo con (ISOTools, s.f. ), la norma ISO 27001 es una norma internacional empleada para el aseguramiento, confidencialidad e integridad de los datos que hace parte un sistema. Este estándar se aplica a los Sistemas de Gestión de la Seguridad Informática, permitiéndole a las organizaciones poder evaluar los riesgos e implementar diversos controles que ayuden a su mitigación o si es posible, a su eliminación. Además, debido a como se menciono anteriormente, estos dominios de la norma ISO 27002 son dados como anexos, la Gestión de la Seguridad Informática se puede complementar con las Buenas prácticas de esta norma ISO. 

Tomando en cuenta lo anterior, se puede agregar que en todo sistema independientemente de su función o propósito, se tiene que prestar a una gestión de Seguridad de la Información, por lo que, es necesario realizar una adecuada gestión de riesgos que permita mostrar cuáles son las principales vulnerabilidades de sus activos de información y cuáles son las amenazas que podrían explotar las vulnerabilidades, por lo que debido a esto, se tienen unos primeros pasos, que llegaría a ser el análisis de riesgos, siendo necesario para el desarrollo de una buena mitigación de los riesgos.  De  esta forma, se tienen que considerar los siguientes puntos: 
  • Definición del alcance
  • Identificacion de los alcances 
  • Identificacion de amenazas 
  • Clasificación de salvaguardas 
  • Evaluación del riesgo
  • Tratamiento o gestión del riesgo 
El análisis está basado en una decisión previa en donde se definen las delimitaciones que se tienen para el estudio de las bases para realizar los pasos posteriores. Esto sirve para conocer los áreas que se tendrán en cuenta o las excepciones que se realizaran, es de esta forma que aplicándolo en el proyecto, este análisis solo se basara en los riesgos que se pueden presentar con la instalación de los troyanos y los daños que se tengan con un acceso no autorizado por parte de un agente externo. 

Luego, en la acción de identificar los activos a proteger tanto como a evaluar por lo que hay que identificar escenarios de amenaza como primera medida, para después decidir quién puede ser dañado y como, para tomar las debidas precauciones.

Al identificar las amenazas se puede utilizar un cuestionario por cada tipo de escenario (técnico, físico o humano), que contiene un conjunto de condiciones y preguntas diseñadas para detallar la identificación de amenazas.

Hay que considerar que para reconocer las amenazas se deben comprender cuales son las vulnerabilidades o puntos débiles que presenta el objeto de estudio y que comprometen la seguridad por medio de su explotación y presentación de las amenazas. En base a esto, se realiza el estudio de las salvaguardas, en donde se proponen las medidas que pueden funcionar para que dichas amenazas se presenten de una forma más reducida. 

De esta manera, se podría hacer uso de un Check List (Lista de comprobación), el cual es un tipo de ayuda utilizada para reducir las fallas, consiste en una lista o cuestionario que contienen preguntas que solo pueden ser respondidas con un “Si” o con un “No” por cada uno de los controles propuestos, se emplea para revisar el estado de cada uno de los dominios que se tomaron en cuenta en el alcance, esto para observar el estado del sistema de una manera muy rápida y fácil, puesto que no es necesario argumentar toda una respuesta por pregunta (aunque si se desea, se podría hacer esto en las observaciones que se consideren apropiadas). Dicho Check List se hace en base a un instrumento de evaluación y diagnóstico, ya sea una metodología o una norma ISO.


Consecuentemente, se puede llegar a un análisis de GAP o análisis de brechas, en donde se muestran los controles y las políticas de la seguridad de la información escogidas junto con su porcentaje de cumplimiento, según corresponda con ya sea la norma ISO y/o metodología: 


Este análisis de GAP se divide en las siguientes columnas: 
  • Dominio: Se indica el número del dominio que se está hablando
  • Objetivos de control: El numeral del objetivo en cuestión que se encuentra dentro del dominio especificado y en la sección superior, el total de los objetivos que se van a tomar en cuenta
  • Controles: El numeral del control y en la parte superior la sumatoria de controles
  • Detalle: El nombre o descripción del dominio, objetivo de control y el control 
Porcentaje de cumplimiento:  Se definen las siguientes secciones que evalúa el nivel de cumplimiento: 
  • N.C.C. (Nivel de cumplimiento del control). Una calificación objetiva del 1 al 100, en donde se indica una nota para el control 
  • P.C. (Peso del control). Cantidad de preguntas por control sobre el número total de preguntas en el objetivo de control, dados en el CheckList.  
  • N.C.O. (Nivel de cumplimiento del objetivo). El promedio de la calificación que se indicó por cada control 
  • P.O. (Peso del objetivo). Cantidad de controles del objetivo de control sobre la cantidad de controles del dominio 
  • N.C.D. (Nivel de cumplimiento del dominio). Promedio de las calificaciones calculadas por objetivo de control 
  • P.D. (Peso del dominio). Cantidad de controles del dominio sobre el número total de controles de la norma 
  • N.C.T. (Nivel de cumplimiento total). Se realiza finalmente un cálculo del promedio de las calificaciones hechas en cada uno de los dominios, en donde se visualiza el nivel de cumplimiento total de la norma ISO, dados en porcentaje. 
Hay que tomar en cuenta los niveles de escala, en donde se resaltan los niveles obtenidos de acuerdo a lo siguiente: 
  • Bajo: Debajo del 29% 
  • Medio: Entre el 30% y el 69% 
  • Alto: Igual a 70% o mas 
Se puede ver de esta otra manera: 
  • Nivel de incumplimiento: Debajo del 60% (es completamente inaceptable) 
  • Nivel de cumplimiento en condición alta: Entre el 60% y el 65% (debe mejorar obligatoriamente) 
  • Nivel de cumplimiento en condición media: Entre el 66% y el 70% 
  • Nivel de cumplimiento en condición bajo: Entre el 71% y el 75% 
  • Nivel conforme: Entre el 76% y el 100% 
Como último paso se tiene la realización de la matriz de riesgos (generalmente se representa como un mapa de calor), en donde se encapsulan todos los pasos anteriores, mostrándose la clasificación de los riesgos identificados que se presentan en cada uno de los activos de información de acuerdo al nivel de impacto o de daño y a la probabilidad de ocurrencia que estos se pueden presentar. Es de esta manera que el nivel de impacto se puede catalogar desde: un nivel insignificante, bajo, moderado, peligroso y catastrófico, mientras que el nivel de ocurrencia se puede segmentar por números, desde un 1 hasta un 5 o por los niveles de: Improbable, posible, ocasional, probable y frecuente. Por ejemplo: 


Aquí se indica el numeral de los riesgos hechos en otra investigación, por lo que se puede describir el riesgo en la matriz o simplemente digitar el numeral del riesgo y en un documento adjunto describir completamente el riesgo. 

Comentarios

Publicar un comentario

Entradas populares de este blog

Presentación

Imagen
Presentación Semillero de investigacion MULTYSO, perteneciente a la Universidad cooperativa de Colombia sede Bogota D.C. Nosotros somos un grupo de estudiantes y docentes que nos interesa la investigacion y el estudio, al igual que enseñamos y motivamos el uso de herramientas Open Source (Software Libre).  Este grupo de investigacion se compone mayormente por profesionales en la ingeniería de sistemas. Asimismo, nosotros no nos limitamos a tocar un solo tema en particular, sino que abordamos distintas áreas, desde los Videojuegos, hasta la Seguridad Informática. 
Leer más

Evento Hacking Day por parte del semillero Sapientiam - Seguridad informática

Imagen
 Estudiantes del semillero de investigacion participaron y expusieron en el evento de Hacking Day, realizado por parte del semillero Sapientiam de la Escuela Tecnológica Instituto Técnico central el pasado 11 de Noviembre.  En este evento se expuso el tema de la Seguridad informática en el Teletrabajo y por parte del semillero, sobre el desarrollo del proyecto que se ha estado llevando a cabo, la aplicación de una auditoria web por medio de la metodologia OWASP a la Tienda Virtual que se posee.  En este sentido, se tuvo el apoyo del docente encargado Jaime Alberto Paez, para la presentación de los participantes, siendo que tras esto, en el tiempo restante de 40 minutos, los estudiantes expusieron el contexto del proyecto, la implementación del KeyLogger en la pagina web en busca de vulnerar a la misma y obtener información valiosa, al igual que la exposición del ataque informático de Inyecciones SQL, como en el anterior evento de la Mesa IEST.  Se adjuntan algunas ev...
Leer más

Prueba sobre Android

Imagen
Lanzamiento de la beta 1.0 sobre Android  TRANSMI RUN Video juego Desarrollado con el motor GODOT. Culturiza a las personas. Hacer cultura ciudadana en Transmilenio. Demostrar los riesgos que corre un usuario al intentar colarse. Esta versión cuenta con las mismas características de la version de escritorio, todavía se encuentra en fase de desarrollo. esta versión no es jugable todavía, debido al escalado de la pantalla en algunos dispositivos y la adicción del control táctil. la nueva versión cuenta con mas niveles. aumento del detallado en el mapeado, elevación de dificultadad para el jugador, nuevas animaciones y nueva música para cada nivel. Objetivos:  Culturizar a las personas hacer cultura ciudadana a los usuarios de Transmilenio. demostrar los riesgos que corre un usuario al intentar colarse.  link de descarga directo o click sobre este  Enlace : http://www.mediafire.com/file/t98j51y59s4icj8/Trasmi_Run_Android.rar/file
Leer más
Volver al inicio Síguenos en Facebook Ver vídeos de YouTube