- ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea © República de Colombia - Derechos Reservados Bogotá, D.C., Diciembre de 2010 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA FORMATO PRELIMINAR AL DOCUMENTO Título: ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Fecha elaboración aaaa-mm-dd: 15/12/2010 Sumario: Este documento presenta una metodología para la gestión del riesgo al interior de las entidades del Estado en el marco del Programa de Gobierno en línea Palabras Claves: Metodología, Gestión del riesgo Formato: Dependencia: Código: Lenguaje: Castellano Ministerio de Tecnologías de la Información y las ComunicacionesPrograma Agenda de Conectividad – Estrategia de Gobierno en línea – Área de Operación y Apropiación: Convenio CINTEL 108 GEL108_M odelo_Segu Versión: 1.0.0 Estado: Documento Final ridad_Infor macion Categoría: Autor (es): CINTEL Clara Teresa Martinez Rojas Gerente de Proyecto CINTEL Diana Patricia Peña Paez Revisó: Consultora de Operación Programa Agenda de Conectividad Firmas: Angélica Janneth Jaramillo Pinzón Consultora Desarrollo: Servicios Gobierno en Línea Programa Agenda de Conectividad Francy Johanna Pimiento Aprobó: Información Adicional: Coordinadora de Operación y Desarrollo Programa Agenda de Conectividad No disponible Ubicación: Página 2 de 50 de ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CONTROL DE CAMBIOS VERSIÓN 1.0.0 FECHA 15/12/2010 No. SOLICITUD RESPONSABLE Equipo del proyecto DESCRIPCIÓN Cambio de formato de documento Página 3 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA TABLA DE CONTENIDO 1. NOTA DEL DOCUMENTO ............................................................................................................................... 7 2. INTRODUCCIÓN ............................................................................................................................................ 8 3. PROPÓSITO .................................................................................................................................................. 9 4. ENFOQUE PARA LA GESTIÓN DEL RIESGO .....................................................................................................10 4.1. 4.2. 4.3. 4.4. AUTORIDAD ..............................................................................................................................................................10 PROPÓSITO...............................................................................................................................................................10 OBJETIVO .................................................................................................................................................................11 ESTRUCTURA DEL DOCUMENTO ...................................................................................................................................11 5. GESTIÓN DEL RIESGO ...................................................................................................................................13 5.1. 5.2. 5.3. IMPORTANCIA DE LA GESTIÓN DEL RIESGO .....................................................................................................................13 INTEGRACIÓN DE LA GESTIÓN DEL RIESGO DENTRO DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (SDLC).........................13 ROLES CLAVES...........................................................................................................................................................14 6. ANÁLISIS Y EVALUACIÓN DE RIESGOS ...........................................................................................................16 6.1. PASO 1: CARACTERIZACIÓN DE SISTEMAS ......................................................................................................................18 6.1.1. INFORMACIÓN RELACIONADA A LOS SISTEMAS .............................................................................................................18 6.1.2. TÉCNICAS DE RECOLECCIÓN DE INFORMACIÓN .............................................................................................................20 6.2. PASO 2: IDENTIFICACIÓN DE AMENAZAS ........................................................................................................................20 6.2.1. IDENTIFICACIÓN DE FUENTES DE AMENAZAS................................................................................................................21 6.2.2. MOTIVOS Y AMENAZAS ...........................................................................................................................................21 6.3. PASO 3: IDENTIFICACIÓN DE VULNERABILIDADES ............................................................................................................23 6.3.1. FUENTES DE VULNERABILIDADES ...............................................................................................................................24 6.3.2. PRUEBAS DE VULNERABILIDAD DEL SISTEMA................................................................................................................25 6.3.3. DESARROLLO DE LISTAS DE CHEQUEO DE REQUERIMIENTOS DE SEGURIDAD (CHECKLIST) ....................................................26 6.4. PASO 4: ANÁLISIS DE CONTROLES.................................................................................................................................27 6.4.1. MÉTODOS DE CONTROL ...........................................................................................................................................28 6.4.2. CATEGORÍAS DE CONTROL ........................................................................................................................................28 6.4.3. TÉCNICAS DE ANÁLISIS DE CONTROL...........................................................................................................................28 6.5. PASO 5: DETERMINACIÓN DE PROBABILIDAD .................................................................................................................28 6.6. PASO 6: ANÁLISIS DE IMPACTO ....................................................................................................................................29 6.7. PASO 7: EVALUACIÓN DE RIESGOS................................................................................................................................31 6.7.1. MATRIZ DE NIVEL DE RIESGO ....................................................................................................................................31 6.7.2. EVALUACIÓN DEL NIVEL DE RIESGO ............................................................................................................................32 6.8. PASO 8: RECOMENDACIONES DE CONTROL ....................................................................................................................32 Página 4 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.9. PASO 9: DOCUMENTACIÓN DE RESULTADOS ..................................................................................................................33 7. MITIGACIÓN DE RIESGOS .............................................................................................................................34 7.1. OPCIONES DE MITIGACIÓN DE RIESGOS .........................................................................................................................34 7.2. ESTRATEGIA DE MITIGACIÓN DE RIESGOS ......................................................................................................................35 7.3. ENFOQUE PARA LA IMPLEMENTACIÓN DE CONTROLES .....................................................................................................36 7.4. CATEGORÍAS DE CONTROL ...........................................................................................................................................38 7.4.1. CONTROLES DE SEGURIDAD TÉCNICOS ........................................................................................................................39 7.4.2. CONTROLES DE SEGURIDAD ADMINISTRATIVOS ............................................................................................................41 7.4.3. CONTROLES DE SEGURIDAD OPERACIONALES...............................................................................................................43 7.5. ANÁLISIS COSTO / BENEFICIO ......................................................................................................................................44 7.6. RIESGO RESIDUAL ......................................................................................................................................................45 8. EVALUACIÓN Y VALORACIÓN .......................................................................................................................47 8.1. 8.2. BUENAS PRÁCTICAS DE SEGURIDAD ..............................................................................................................................47 CLAVES PARA EL ÉXITO ...............................................................................................................................................47 9. INTEGRACIÓN DE LA GESTIÓN DEL RIESGO CON LOS SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ...................................................................................................................................................48 10. BIBLIOGRAFÍA ..............................................................................................................................................50 Página 5 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA DERECHOS DE AUTOR Todas las referencias a los documentos del Modelo de Seguridad de la Información con derechos reservados por parte del Ministerio de Tecnologías de la Información y las Comunicaciones, por medio del Programa Gobierno en línea. Página 6 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 1. NOTA DEL DOCUMENTO Este documento ha sido tomado y adaptado del documento “ENTREGABLE 4: ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO - DISEÑO DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA”, desarrollado por el Programa Gobierno en línea en el 2008. Página 7 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 2. INTRODUCCIÓN La información, así como los trámites y servicios que las entidades del estado proveen a los ciudadanos se consideran un bien público. En ese sentido, los activos de información que conforman los servicios que proveen las entidades para la Estrategia de Gobierno en línea son activos públicos y por lo tanto, deben protegerse adecuadamente. Para asegurar que los activos de información reciben el nivel de protección adecuado, estos deben estar sujetos a un análisis de riesgos, en el cual se analice su nivel de exposición a amenazas internas y externas y el posible impacto que sufrirían ante la materialización del riesgo. Para el desarrollo de esta guía, se recogieron aspectos importantes de mejores prácticas y documentos de uso libre para gestión de riesgos. Página 8 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 3. PROPÓSITO El propósito de este documento es ofrecer una guía de gestión de riesgos para las entidades que proveen servicios para la estrategia de Gobierno en Línea. Página 9 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4. ENFOQUE PARA LA GESTIÓN DEL RIESGO Cada entidad tiene una misión (objetivo). En la era digital, el uso de las tecnologías de información (TI) automatizadas se requiere para cumplir mejor la misión de las empresas por lo que la gestión correcta de los riesgos de tales tecnologías, juega un papel fundamental en la protección de los activos de información. Un adecuado proceso de gestión del riesgo, es un componente importante de todo programa exitoso de seguridad de TI, su principal meta, es proteger la entidad y su capacidad de alcanzar su misión. Por tanto, el proceso de gestión del riesgo no debiera ser tratado como una función únicamente técnica llevada a cabo por los expertos de TI, este proceso debe ser implementado desde las áreas de negocio a nivel funcional y estratégico, hasta las áreas operativas y de infraestructura IT ya que es una función esencial de cada entidad. 4.1. Autoridad Este documento, recoge tanto las principales recomendaciones y buenas prácticas contenidas en diferentes estándares y normas1 sobre gestión del riesgo, como la experiencia en campo de diferentes equipos de consultoría en la realización de varios proyectos de seguridad de la información. Las recomendaciones contenidas en este documento no garantizan por sí el éxito de un proceso de gestión del riesgo en una entidad, pero sí constituye una buena base para su inicio e implementación. 4.2. Propósito Riesgo es el nivel de impacto en las operaciones de la entidad (incluyendo su misión, funciones, imagen o reputación), activos de la entidad, o individuos, resultante de la operación de un proceso de negocio dado el impacto potencial de una amenaza y la probabilidad que dicha amenaza se materialice2. La gestión del riesgo, es el proceso de identificación, evaluación y toma de acciones efectivas para reducir los riesgos a un nivel aceptable. Incluye la valoración del riesgo; el análisis costo-beneficio; la evaluación, selección e implementación de controles de seguridad. Este documento provee la metodología y los criterios necesarios para el desarrollo de una adecuada gestión del riesgo, contiene además definiciones y una guía práctica para evaluar y mitigar los riesgos 1 Ver sección 8 -Bibliografía 2 http://csrc.nist.gov/publications/nistir/NISTIR-7298_Glossary_Key_Infor_Security_Terms.pdf Página 10 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA identificados en los sistemas de TI3. La principal meta es ayudar a las organizaciones a manejar mejor los riegos relacionados con TI y que innegablemente afectarán los procesos de negocio de las entidades. También presenta una guía para la selección de controles y medidas de seguridad efectivas que ayuden a mitigar los riesgos, proteger los sistemas de TI y el almacenamiento y transporte de la información crítica para el negocio. 4.3. Objetivo El objetivo de la gestión del riesgo es facilitar a la entidad el logro de su misión mediante: • La protección de los sistemas que almacenan, procesan o transmiten información del negocio. • La justificación en el presupuesto de TI de los costos necesarios para mitigar los riesgos relacionados. • La acreditación del funcionamiento de los sistemas de información con base en documentación de los análisis de riesgos. 4.4. Estructura del Documento Las secciones restantes de este documento presentan lo siguiente: 3 • La sección 3 provee un recorrido rápido sobre gestión del riesgo, cómo se integra este concepto en el ciclo de vida de desarrollo de sistemas (SDLC)4 y los roles de los individuos quienes lo usan y soportan. El objetivo es minimizar los impactos negativos en una entidad y contar con información de base para la toma de decisiones que permita implementar un proceso de gestión del riesgo adecuado sobre los sistemas de TI. • La sección 4 describe la metodología de análisis y evaluación del riesgo, la identificación de vulnerabilidades y los pasos para conducir una evaluación del riesgo en sistemas de TI. • La sección 5 describe el proceso de mitigación de riesgos, incluyendo las opciones y estrategias de mitigación de riesgos, enfoques para la implementación de controles, análisis de costo/beneficio y riesgo residual. Sistemas de TI se refiere a sistemas de soporte en general (mainframes, computadores de rango medio, redes lan, redes wan, aplicaciones y en general sistemas que se utilicen para satisfacer los requerimientos de usuario). 4 SDLC: Systems Development Life Cycle – Ciclo de vida del desarrollo de sistemas Página 11 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • La sección 6 discute las buenas prácticas y requerimientos para una evaluación de riesgos continúa y los factores para mantener un programa exitoso de la gestión del riesgo. • La sección 7 discute la relación entre la Gestión del Riesgo, los Sistemas de Gestión de Seguridad de la Información (SGSI) y los Planes de Continuidad del negocio (BCP). • La sección 8 presenta la bibliografía de documentos que apoyaron el desarrollo del presente documento. Página 12 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 5. GESTIÓN DEL RIESGO Esta sección describe la metodología de gestión del riesgo y cómo esta se puede acoplar sobre la administración operativa de IT teniendo en cuenta el ciclo de vida del desarrollo de sistemas (SDLC). 5.1. Importancia de la Gestión del Riesgo La gestión del riesgo comprende tres (3) procesos: análisis de riesgos, mitigación de riesgos, evaluación y valoración continúa. El proceso de análisis de riesgos incluye la identificación de vulnerabilidades y riesgos, la evaluación de riesgos, sus impactos, y las recomendaciones para la reducción de los riesgos. La mitigación de los riesgos se refiere a la priorización, implementación y mantenimiento de las apropiadas medidas de reducción de riesgos. La evaluación y valoración continúa son las prácticas para el mantenimiento de un proceso exitoso de gestión del riesgo. Es responsabilidad del cargo autorizado, determinar cuándo el riesgo residual tiene un nivel aceptable o cuándo son requeridos controles adicionales que debieran implementarse para reducir o eliminar el riesgo residual antes que se autorice la puesta en producción de los sistemas de TI. La gestión del riesgo es el proceso que permite a los administradores de TI establecer un balance entre los costos operativos y económicos de las medidas de protección y su efectividad versus el logro de los objetivos de la entidad y la protección real brindada a los sistemas y datos que soportan tales objetivos. Un ejemplo sencillo es comparar cuánto cuestan las medidas de seguridad que se instalan en casa contra el valor de los activos contenidos en ella y que sean requeridos para satisfacer nuestras necesidades fundamentales. Las directivas de cada entidad deben asegurar que la empresa tiene la capacidad de lograr sus objetivos y en aras de los mismos, determinar el nivel de seguridad requerido por los diferentes sistemas, datos y procesos de soporte frente a las amenazas del mundo real. Muchas organizaciones tienen fuertes presupuestos de TI, por ende, un proceso de gestión del riesgo bien estructurado les ayudará a identificar controles apropiados que provean seguridad suficiente sobre los procesos esenciales del negocio. 5.2. Integración de la Gestión del Riesgo dentro del Ciclo de Vida del Desarrollo de Sistemas (SDLC) Las razones fundamentales para implementar un proceso de gestión del riesgo sobre los sistemas de TI de las entidades son: Minimizar los impactos negativos sobre los procesos misionales y de negocio, y la necesidad de contar con información de base para la toma de decisiones. El ciclo de vida del desarrollo de sistemas (SDLC) tiene cinco (5) fases: Iniciación, desarrollo o adquisición, implementación, operación o mantenimiento y disposición (retiro). En algunos casos, un sistema de TI puede avanzar en varias de estas fases al mismo tiempo; sin embargo la metodología de gestión del riesgo es la misma sin importar para que fase del SDLC se esté realizando la evaluación de riesgos. La gestión del riesgo es un proceso iterativo Página 13 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA que se puede realizar en cada fase del SDLC. La tabla 1 describe las características de cada fase del SDLC e indica cómo se puede llevar a cabo la gestión del riesgo en cada una de ellas: Tabla 1. La gestión del riesgo en el ciclo de vida del desarrollo de sistemas Fase del SDLC Características de la Fase Actividades de GESTiÓn deL Riesgo Fase 1 – Iniciación Se expresan la necesidad de un sistema de TI y se documenta el propósito y alcance del sistema. Fase 2 – Desarrollo o Adquisición Se diseña, compra, programa, desarrolla o construye el sistema de TI. Fase 3 – Implementación Se configuran, activan, prueban y verifican las características de seguridad del sistema. Fase 4 – Operación o Mantenimiento El sistema realiza su función. Típicamente el sistema es modificado continuamente a través de la adición de hardware y software y por cambios en procesos, políticas y procedimientos organizacionales. Esta fase normalmente comprende la disposición (retiro) de información, hardware y software. Las actividades pueden incluir traslado, archivo, descarte o destrucción de información y limpieza (borrado) de hardware y software. Los riesgos identificados son usados para soportar el desarrollo de los requerimientos del sistema, incluyendo requerimientos de seguridad y conceptos de seguridad de las operaciones (estrategia) Los riesgos identificados durante esta fase se usan para soportar los análisis de seguridad del sistema de TI, que deben ser tenidos en cuenta o desechados en la arquitectura y diseño del sistema durante su desarrollo. El proceso de gestión del riesgo soporta la valoración de la implementación del sistema contra sus requerimientos en un ambiente simulado de operación. Las decisiones respecto a los riesgos identificados se deben tomar antes de la puesta en producción del sistema. Las actividades de gestión del riesgo se realizan de manera periódica en respuesta a re-acreditaciones del sistema o cuando se realicen cambios mayores en el ambiente de producción del sistema de TI (ejemplo: nuevas interfaces del sistema). Fase 5 – Disposición (Retiro) Las actividades de gestión del riesgo se realizan sobre los componentes del sistema a ser retirados o reemplazados para asegurar que el hardware y el software se someten a procedimientos de limpieza apropiados. Los datos residuales son apropiadamente manejados y la migración del sistema se conduce de manera segura y sistemática. 5.3. Roles Claves La gestión del riesgo es una responsabilidad de la gerencia. Esta sección describe los roles claves del personal requerido para soportar y participar en los procesos de gestión del riesgo. Gerencia Ejecutiva: Debe asegurar la disponibilidad de los recursos necesarios para el logro de los objetivos del negocio. También debe incorporar los resultados de la evaluación de riesgos en el proceso de toma de decisiones. Página 14 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Oficial Jefe de Información (CIO): Es responsable porque las unidades de TI incluyan los componentes de seguridad de la información en sus procesos de gobierno, planificación, presupuesto y desempeño de TI. Las decisiones en estas áreas se deben fundamentar en un programa efectivo de gestión del riesgo. Oficial Jefe de Seguridad de la Información (CISO): Es responsable porque las políticas de seguridad de la información estipuladas por la gerencia de la entidad se cumplan, de velar por que los procesos de seguridad como la gestión del riesgo, los controles para mejorar el sistema y mitigar los riesgos sean implementados y mantenidos, la respuesta a incidentes, los planes de continuidad y de emergencia se cumplan, se mejore la concienciación en seguridad de la información por parte de los empleados, entre otros. Por lo tanto, juegan un rol líder en la introducción de una apropiada y estructurada metodología para ayudar a identificar, evaluar y minimizar los riesgos de los sistemas de TI que soportan la misión de la entidad. Propietarios de sistemas y de la información: Los propietarios son responsables por clasificar la información a su cargo y asegurar que los controles apropiados están definidos y funcionan en orden a garantizar la integridad, confidencialidad y disponibilidad de los sistemas de TI y de sus datos. Típicamente los propietarios son los responsables por aprobar y autorizar los cambios en sus sistemas, razón por la cual, deben entender el rol que juegan en la gestión del riesgo. Administradores Funcionales y de Negocio: Son los administradores responsables por las operaciones del negocio y por los procesos de abastecimiento de TI. Estas personas tienen la autoridad y responsabilidad por adoptar o excluir decisiones claves para el logro de los objetivos del negocio. Su participación en la gestión del riesgo radica en la consecución de la seguridad apropiada de los sistemas de TI, que si se maneja apropiadamente, proveerá efectividad en el alcance de la misión sin sobrecostos en el uso de los recursos. Dueños de Infraestructura de TI: Los dueños de la infraestructura de TI (administradores de redes, bases de datos, aplicaciones, especialistas en computadores, analistas de seguridad, custodios y consultores de seguridad) son responsables por la apropiada implementación de los requerimientos de seguridad en los sistemas de TI. A medida que los cambios ocurren (expansión en la conectividad de las redes, cambios en la infraestructura existente y en las políticas, introducción de nuevas tecnologías), los administradores de infraestructura deben soportar la gestión del riesgo para identificar y valorar nuevos riesgos potenciales e implementar nuevas medidas de seguridad requeridas para salvaguardar los sistemas de TI. Entrenadores y Concienzadores en Seguridad: El uso de los sistemas de TI y los datos de acuerdo con las políticas, guías y reglas de la entidad es crítico para mitigar los riesgos y proteger los recursos de TI. Para reducir los riesgos de los sistemas de TI, es esencial que los usuarios de aplicaciones y sistemas reciban adecuados programas de entrenamiento y concienciación en seguridad de la información. Por lo tanto, los instructores deben entender el proceso de gestión del riesgo para que puedan elaborar material de entrenamiento apropiado e incorporar la evaluación de riesgos en los programas de entrenamiento y capacitación a usuarios. Página 15 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6. ANÁLISIS Y EVALUACIÓN DE RIESGOS El análisis de riesgos es el primer proceso de la metodología de gestión del riesgo. La entidad usa el análisis de riesgos y su evaluación (cualitativa, cuantitativa) para determinar la extensión de amenazas potenciales y riesgos asociados con sistemas de TI a lo largo del SDLC. La salida de este proceso, ayuda a identificar apropiados controles para reducir o eliminar riesgos durante los procesos de valoración y mitigación, que se discuten en la sección 5. Riesgo es una función de la probabilidad que una fuente de amenaza dada explote una vulnerabilidad potencial particular, y que el impacto resultante sea un evento adverso para la entidad. Riesgo es un concepto que denota el impacto potencial negativo sobre un activo o algunas características de valor que pueden derivarse de procesos actuales o de eventos futuros. En el uso diario, RIESGO es un término sinónimo a la probabilidad de una pérdida conocida. Riesgo es la probabilidad de ocurrencia de un evento que impactará la consecución de los objetivos de la entidad. El riesgo es medido en términos de impacto y probabilidad. Para determinar la probabilidad de un evento adverso futuro, las amenazas de los sistemas de TI deben ser analizadas en conjunto con las vulnerabilidades potenciales y los controles existentes en los mismos. El impacto se refiere a la magnitud del daño que podría ser causado porque las amenazas exploten una vulnerabilidad. El nivel de impacto es determinado por el impacto potencial en el logro de la misión y el valor relativo de los activos de TI que resultaren afectados (por ejemplo, la criticidad y sensitividad de componentes de sistemas de TI y datos). La metodología de análisis y evaluación de riesgos está compuesta por nueve (9) pasos primarios, que se describen en las secciones 4.1 a 4.9. • Paso 1 - Caracterización de sistemas • Paso 2 - Identificación de amenazas • Paso 3 - Identificación de vulnerabilidades • Paso 4 - Análisis de controles • Paso 5 - Determinación de probabilidades • Paso 6 - Análisis de impacto • Paso 7 - Determinación de riesgos • Paso 8 - Recomendaciones de control • Paso 9 - Documentación de resultados Página 16 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Los pasos 2, 3, 4 y 6 se pueden realizar en paralelo después de finalizar el paso 1. La figura 1 describe estos pasos, sus entradas y salidas: Figura 1. Diagrama de flujo de la metodología de Análisis y Evaluación de Riesgos Página 17 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.1. Paso 1: Caracterización de Sistemas En el análisis de riesgos, el primer paso es definir el alcance del esfuerzo. En este paso, se identifican los límites del sistema de TI a analizar, la información y los recursos que componen dicho sistema. La caracterización de un sistema de TI establece el alcance del esfuerzo de evaluación de riesgos, establece los límites de la autorización operacional (acreditación) y provee información relacionada con el hardware, software, conectividad, personal de soporte y áreas responsables, esenciales para la definición de los riesgos. La sección 4.1.1 describe la información relacionada con los sistemas que se usa para caracterizar un sistema de TI y su ambiente operacional. La sección 4.1.2 sugiere técnicas para recolectar información, que pueden ser usadas para solicitar información relevante sobre el ambiente de procesamiento de sistemas de TI. 6.1.1. Información relacionada a los sistemas La identificación de riesgos de un sistema de TI requiere de un claro entendimiento del ambiente de procesamiento del sistema. La persona o personas que realicen la evaluación de riesgos primero deben recolectar información relacionada con el sistema, la cual normalmente se puede clasificar en: • Hardware • Software • Interfaces del sistema (conectividad interna y externa) • Datos e información • Personas que soportan y usan el sistema de TI • Misión del sistema (Procesos ejecutados por el sistema) • Criticidad del sistema y de los datos (Valor del sistema o importancia para la entidad) • Sensitividad del sistema y de los datos5 La información relacionada con el ambiente operacional del sistema y de los datos incluye, sin limitarse, lo siguiente: 5 Sensitividad: Nivel de protección requerida para mantener la integridad, confidencialidad y disponibilidad Página 18 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Requerimientos funcionales del sistema de TI • Usuarios del sistema (Por ejemplo, usuarios que proveen soporte técnico, usuarios de aplicación que realizan funciones del negocio). • Políticas de seguridad del sistema y de gobierno de TI (políticas organizacionales, requerimientos legales, contractuales, prácticas de la industria). • Arquitectura de seguridad del sistema • Topología actual de la red (diagrama de red) • Protección de la información almacenada y protección de la integridad, confidencialidad, disponibilidad del sistema y de los datos. • Flujo de información pertinente al sistema de TI (Interfaces del sistema, diagramas de entrada y salida). • Técnicas de control usadas por el sistema de TI (controles inmersos y productos de seguridad adicionales que soporten la identificación y autenticación, controles de acceso discrecional o mandatarios, auditoria, protección de la información residual, métodos de encripción). • Controles administrativos usados por el sistema de TI (reglas de comportamiento, planeación de seguridad). • Controles operacionales usados por el sistema de TI (seguridad de personal, backups, contingencia, recuperación y reanudación de operaciones, mantenimiento de sistemas, almacenamiento externo, procedimientos para la asignación y retiro de cuentas de usuario, segregación de funciones de usuario, tales como usuarios de acceso privilegiado versus usuarios de acceso estándar). • Ambiente de seguridad física del sistema de TI (seguridad de instalaciones, políticas de acceso al centro de datos). • Seguridad ambiental implementada sobre el ambiente de procesamiento del sistema de TI (controles de humedad, agua, energía eléctrica, polución, temperatura y químicos). Para un sistema que se encuentre en la fase de iniciación o de diseño, la información del sistema se puede derivar de los documentos de requerimientos y de diseño. Para un sistema de TI que se encuentre en desarrollo, es necesario definir las reglas de seguridad claves y los atributos del mismo planeados para el futuro sistema. Los documentos del diseño del sistema y el plan de seguridad del mismo, proveen información útil acerca de la seguridad del sistema en desarrollo. Página 19 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Para un sistema en funcionamiento, los datos se recolectan del ambiente de producción, incluyendo configuración de datos y del sistema, conectividad, procedimientos documentados, no documentados y prácticas que se siguen. 6.1.2. Técnicas de Recolección de Información Cualquiera de las siguientes técnicas o combinación de las mismas se puede utilizar para recolectar información relevante sobre los límites operacionales de un sistema de TI: • Cuestionarios: El personal responsable por el análisis de riesgos puede desarrollar cuestionarios para colectar información sobre las amenazas, preocupaciones, clasificación y categorización de la información y los riesgos, las vulnerabilidades, los controles administrativos y operacionales planeados o utilizados por el sistema de TI. Estos cuestionarios se deben distribuir entre el personal técnico y no técnico relacionado con el sistema de TI. Los cuestionarios se pueden utilizar como guías de las entrevistas en sitio. • Entrevistas en sitio: Las entrevistas en sitio con personal administrativo y de soporte de los sistemas de TI proporcionan información útil para el análisis de riesgos (por ejemplo, ¿cómo se administra y opera el sistema? Cuáles son las principales preocupaciones (amenazas), que puedo pasar si esta amenaza es materializada? (riesgos), etc.). Las visitas en sitio también permiten observar y recoger información sobre la seguridad física y operacional del ambiente de procesamiento del sistema de TI. • Revisión de documentos: Los documentos de políticas (leyes, directivas, documentación del sistema tales como manuales de usuario y de administración, diseño del sistema y requerimientos funcionales y la documentación relacionada con la seguridad tales como informes de auditoría, análisis y evaluaciones de riesgos realizadas, resultados de pruebas de vulnerabilidad a los sistemas, los planes de seguridad del sistema), proveen excelente información acerca de los controles usados y planeados para el sistema de TI. El análisis de impacto a la misión de la entidad y la valoración de la criticidad de los activos (niveles de criticidad) proveen información relacionada con la sensitividad y criticidad de los datos y sistemas. • Uso de herramientas de escaneo automatizadas: Es una técnica proactiva para la recolección eficiente de información del sistema. Un caso son las herramientas de mapeo de redes que pueden identificar servicios en ejecución en un grupo de servidores y proveen una vía rápida para la construcción de perfiles individuales de los sistemas objetivos. La recolección de información se puede realizar en todos los pasos (4.1 a 4.9) del proceso de análisis de riesgos. 6.2. Paso 2: Identificación de Amenazas Una amenaza es la posibilidad que una fuente de amenaza explote exitosamente una vulnerabilidad en particular. Una vulnerabilidad es una debilidad (vacío) que se puede activar accidentalmente o explotar Página 20 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA intencionalmente. Una fuente de amenaza no representa un riesgo cuando no existe una vulnerabilidad que pueda ser explotada. En la determinación de la probabilidad de una amenaza (sección 4.5), se deben considerar las fuentes de amenaza, las vulnerabilidades potenciales (sección 4.3) y los controles existentes (sección 4.4). 6.2.1. Identificación de Fuentes de Amenazas La meta de este paso es identificar las fuentes potenciales de amenazas y compilar en una declaración de amenazas la lista de fuentes de amenazas aplicables al sistema de TI en evaluación. Una fuente de amenaza se define como cualquier circunstancia o evento con el potencial para causar daños a un sistema de TI. Las fuentes comunes de amenazas son las personas, la naturaleza y el ambiente. • Amenazas naturales: Inundaciones, terremotos, tornados, deslizamientos de tierra, avalanchas, tormentas eléctricas y otros eventos similares. • Amenazas humanas: Eventos activados o causados por las personas, tales como actos no intencionados (errores en la entrada de datos) o malintencionados (ataques a la red, activación de software malicioso, acceso no autorizado a información confidencial). • Amenazas ambientales: Faltas prolongadas de energía eléctrica, polución, químicos, dispersión de líquidos. En la valoración de fuentes de amenazas, es importante considerar todas las fuentes potenciales que podrían dañar un sistema de TI y su ambiente de procesamiento. 6.2.2. Motivos y Amenazas Los motivos y los recursos para llevar a cabo un ataque por parte de las personas son fuentes de amenazas potencialmente peligrosas. La tabla 2 presenta un resumen de amenazas humanas de hoy, sus posibles motivos y los métodos o acciones de amenaza con las cuales se pueden llevar a cabo los ataques. Esta información es útil para que las organizaciones estudien el comportamiento humano y personalicen su declaración de amenazas humanas. Adicionalmente la revisión de la historia de brechas de los sistemas, reportes de violación de seguridad, reportes de incidentes y las entrevistas con los administradores, el personal de mesa de ayuda y la comunidad de usuarios durante la recolección de información, ayudan a identificar amenazas humanas que tienen el potencial de dañar los sistemas de TI y sus datos mediante la explotación de vulnerabilidades existentes. Página 21 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Tabla 2. Amenazas Humanas: Fuentes, motivos y acciones Fuente de amenaza Motivos Amenazas Hacker, Craker Reto Ego Rebelión Criminales informáticos Destrucción de información Divulgación ilegal de información Ganancia económica Alteración no autorizada de datos Terroristas Destrucción Explotación Venganza Espionaje Industrial (compañías, gobiernos extranjeros, otros interesados) Ventaja competitiva Espionaje económico Internos (pobremente entrenados, disgustados, maliciosos, negligentes, deshonestos o empleados despedidos) Curiosidad Ego Inteligencia Ganancia económica Venganza Errores y omisiones no intencionales (errores en la entrada de datos, errores de programación) Hacking Ingeniería social Intrusión a los sistemas Acceso no autorizado a los sistemas Crimen con el computador (ciber stalking) Actividades fraudulentas (reenvío, suplantación, intercepción, desfalcos) Robo de información Intrusión al sistema Bombas/Terrorismo Guerra de información Ataques al sistema (negación del servicio) Penetración al sistema Explotación económica Robo de información Intrusión en la privacidad personal. Ingeniería Social Penetración al sistema Acceso no autorizado al sistema (acceso a información, tecnologías o propiedades clasificadas) Asalto a un empleado Abuso del computador Fraude y robo Robo de información (Soborno) Entrada de datos falsos o corruptos. Intercepción Código malicioso (virus, bombas lógicas, caballos de Troya). Venta de información personal y/o de la entidad. Errores del sistema Intrusiones al sistema Sabotaje al sistema Acceso no autorizado al sistema Es necesario realizar un estimado de los motivos, recursos y capacidades requeridas para llevar a cabo un ataque exitoso, en orden a determinar en la declaración de amenazas, aquellas que tengan mayor probabilidad de explotar las vulnerabilidades del sistema. Página 22 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.3. Paso 3: Identificación de Vulnerabilidades Vulnerabilidad: Defecto o debilidad en los procedimientos de seguridad, diseño, implementación o en los controles internos del sistema que podrían ser explotadas (activadas accidentalmente o explotadas intencionalmente) y que resulta en una brecha de seguridad o violación de las políticas de seguridad. El análisis de las amenazas de un sistema de TI incluye el análisis de las vulnerabilidades asociadas al ambiente del sistema. La meta de este paso es desarrollar una lista de vulnerabilidades del sistema (defectos o debilidades) que podrían ser explotadas por fuentes de amenazas potenciales. La tabla 3 presenta ejemplos de parejas de vulnerabilidades y amenazas: Tabla 3. Vulnerabilidades y Amenazas Vulnerabilidad Fuente de Amenaza Amenaza Los identificadores (ID’s) no son removidos del sistema cuando un empleado es despedido El firewall de la compañía permite una conexión telnet entrante y el ID guest (invitado) está activo en el servidor XYZ El proveedor ha identificado defectos en el diseño de la seguridad del sistema; sin embargo, no se han aplicado los nuevos parches El centro de cómputo utiliza rociadores de agua (sprinklers) para suprimir fuego; No se han hecho impermeabilizaciones para proteger el hardware y los equipos de daños por agua. Empleados despedidos Conexión a la red de la compañía y acceso a datos propios del negocio. Uso del telnet al servidor XYZ y despliegue de los archivos del sistema mediante el uso del ID guest (invitado). Acceso no autorizado a archivos sensitivos mediante el conocimiento de las vulnerabilidades del sistema. Usuarios no autorizados (hackers, empleados despedidos, criminales informáticos, terroristas) Usuarios no autorizados (hackers, empleados disgustados, criminales informáticos, terroristas) Fuego, personas negligentes Activación de los rociadores de agua (sprinklers) en el data center. Los métodos para la identificación de vulnerabilidades del sistema comprenden el uso de fuentes de vulnerabilidades, la realización de pruebas a la seguridad del sistema y el desarrollo de listas de chequeo (checklist) de requerimientos de seguridad. Es importante notar que el tipo de vulnerabilidades y la metodología para su identificación varían dependiendo de la naturaleza del sistema y de la fase del SDLC en que se encuentre éste: • Sí el sistema aún no se ha diseñado, la búsqueda de vulnerabilidades se debe centrar en las políticas de seguridad de la entidad, procedimientos de seguridad planeados, en la definición de requerimientos del sistema y en los análisis de los proveedores y desarrolladores de sistemas (white papers). Página 23 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Si el sistema está siendo implementado, la identificación de vulnerabilidades se debe expandir para incluir información más específica, tal como características de seguridad planeadas, los resultados de las pruebas y la certificación de las mismas. • Si el sistema de TI se encuentra en operación, el proceso de identificación de vulnerabilidades incluye el análisis de las características de seguridad, los controles y los procedimientos técnicos usados para proteger el sistema. 6.3.1. Fuentes de Vulnerabilidades Las vulnerabilidades técnicas y no técnicas asociadas con el ambiente de procesamiento de sistemas de TI se pueden identificar mediante las técnicas de recolección de información descritas en la sección 4.1.2. Una revisión de otras fuentes como los organismos CERT o CSIRT6 o fuentes de la industria (página web de los proveedores) es útil para identificar vulnerabilidades de un sistema de TI específico (Por ejemplo las vulnerabilidades de un sistema operacional en particular). Internet es otra fuente de información de vulnerabilidades conocidas, publicadas por los proveedores, junto con los hot fixes, service´s pack, parches y otras medidas de remediación que se pueden aplicar para eliminar o mitigar tales vulnerabilidades. La documentación de fuentes de vulnerabilidades que se deben considerar, incluye sin limitarse, lo siguiente: Análisis de riesgos anteriores Informes de auditoría, reportes de anomalías, informes de revisión de seguridad y pruebas y evaluaciones hechas al sistema. Lista de vulnerabilidades tales como bugtrack y el Top 20 del Sans Institute7 Advertencias de seguridad, tales como FedCirc Advertencias de los proveedores Equipos de respuesta a emergencia e incidentes (CERT - CSIRT) Alertas y boletines de vulnerabilidades Análisis de seguridad del software del sistema 6 http://en.wikipedia.org/wiki/Computer_Emergency_Response_Team 7 www.bugtrack.net Página 24 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.3.2. Pruebas de Vulnerabilidad del Sistema Las pruebas de vulnerabilidad son el método más eficiente para identificar las vulnerabilidades del sistema. El uso de este método depende de la criticidad del sistema y de los recursos disponibles (presupuesto, tecnología, expertos en pruebas). Los métodos de prueba incluyen: Herramientas automatizadas de escaneo de vulnerabilidades Pruebas y evaluación de seguridad Pruebas de penetración – hacking ético8 Las herramientas automatizadas de escaneo de vulnerabilidades se usan para buscar servicios vulnerables presentes en un grupo de servidores (por ejemplo, indagar si el sistema permite el anonymus FTP o el relay de correo). Sin embargo, es importante resaltar que algunas potenciales vulnerabilidades identificadas por las herramientas pueden no representar una amenaza real en el contexto del ambiente del sistema de TI en evaluación, es decir, este método puede conllevar a falsos positivos. Las pruebas de evaluación y de seguridad es otra técnica que se usa para identificar las vulnerabilidades del sistema durante el proceso de evaluación de riesgos. Este método incluye el desarrollo y ejecución de un plan de pruebas (scripts, procedimientos, resultados esperados de las pruebas, etc.). El propósito de las pruebas de seguridad al sistema, es evaluar la efectividad de los controles que han sido aplicados a un sistema en particular y que dichos controles obedecen a especificaciones de seguridad del hardware y software, políticas de la entidad y estándares de la industria. Las pruebas de penetración o hacking ético, se utilizan como un complemento para revisar la seguridad brindada por los controles y garantizar que diferentes facetas del sistema de TI están seguras. Las pruebas de penetración, cuando se utilizan en los análisis de riesgos, tienen por objetivo, determinar la capacidad del sistema para contrarrestar eventos intencionales que contravengan el perímetro de seguridad del sistema. El objetivo de estas pruebas, es ofrecer un punto de vista de una fuente de amenaza y las fallas potenciales en los esquemas de protección del sistema de TI. Los resultados obtenidos con cualquiera de los métodos anteriores o combinación de ellos, ayudan a identificar las vulnerabilidades del sistema. 8 Metodologías reconocidas que se pueden utilizar para las pruebas de penetración son: Open-Source Security Testing Methodology (OSSTMM), ISSAF y NIST-SP draft 800-42 Network Security Testing Overview. Página 25 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.3.3. Desarrollo de Listas de Chequeo de Requerimientos de Seguridad (Checklist) Durante este paso, el personal responsable por el análisis de riesgos, determina cuales requerimientos de seguridad estipulados para el sistema y recolectados durante la fase de caracterización, se encuentran en funcionamiento o son controles planeados (previstos). Estos requerimientos se presentan en forma de tabla, donde cada uno de ellos se acompaña de una explicación para determinar si el diseño del sistema cumple o no cumple con el mencionado requerimiento. Una lista de chequeo de requerimientos de seguridad indaga por estándares básicos para evaluar e identificar vulnerabilidades de los activos (personas, hardware, software, información), procedimientos no automatizados, procesos y transmisión de información asociada con el sistema de TI en las siguientes áreas de seguridad: Administración Operacional Técnica La tabla 4 presenta una lista de criterios de seguridad recomendados para la identificación de vulnerabilidades en sistemas de TI en cada área de seguridad. Tabla 4. Criterios de Seguridad Área de Seguridad Criterio de Seguridad Seguridad Administrativa Gerencial Organización de la seguridad Asignación de responsabilidades Continuidad del soporte Capacidad de respuesta a incidentes Revisiones periódicas de los controles de seguridad Antecedentes personales e investigaciones de experiencia. Evaluación de riesgos Entrenamiento técnico y en seguridad Separación de funciones (segregation of duties) Debida diligencia (due diligence) Debido cuidado (due care) Autorización y re-autorización de sistemas Plan de seguridad de aplicaciones o sistemas Página 26 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Seguridad Operacional Seguridad Técnica Controles de contaminación aérea (humo, polvo, químicos). Controles para asegurar la calidad del suministro de energía eléctrica. Acceso a los medios de datos y disposición (destrucción) de los mismos. Etiquetado y distribución de medios hacia el exterior Protección de instalaciones (salas de cómputo, data center, oficinas). Control de humedad Control de temperatura Protección de estaciones, portátiles y computadores de escritorio. Comunicaciones (dial-in, interconexión de sistemas, enrutadores) Criptografía Control de acceso discrecional Identificación y autenticación Detección de intrusos Reutilización de objetos Auditoria al sistema La salida de este proceso es el checklist de requerimientos de seguridad. Para la construcción de estos checklist se puede acudir a fuentes como: ISO 27001 SANS Institute NIST SP 800–26 Security Self-Assessment Guide for Information Technology Systems Disaster Recovery Institute International Plan de seguridad del sistema valorado Políticas, guías y estándares de la entidad Prácticas de la industria 6.4. Paso 4: Análisis de Controles La meta de este paso es analizar los controles que se encuentran implementados o cuya implementación está planeada por la entidad para minimizar o eliminar la probabilidad de que las amenazas exploten las vulnerabilidades del sistema. Las secciones 4.4.1 a 4.4.3, discuten respectivamente los métodos de control, las categorías de control y las técnicas de análisis de controles. Página 27 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.4.1. Métodos de Control Los controles de seguridad reúnen controles técnicos y no técnicos. Los controles técnicos son las protecciones incorporadas en el hardware, software o firmware (por ejemplo, mecanismos de control de acceso, mecanismos de identificación y autenticación, métodos de encripción, software de detección de intrusos, actualizaciones, parches, hot-fixes, etc.). Los controles no técnicos son controles administrativos y operacionales, tales como políticas de seguridad, procedimientos operacionales, metodologías y seguridad del personal, física y ambiental. 6.4.2. Categorías de Control Las categorías de control tanto para controles técnicos y no técnicos se pueden agrupar en preventivos y detectivos: Controles Preventivos: Inhiben los intentos por violar la política de seguridad incluyendo medidas como control de acceso forzado, encripción y autenticación. Controles Detectivos: Alertan sobre la violación o intentos de violación de la política de seguridad e incluyen medidas como pistas de auditoría, métodos de detección de intrusos y dígitos de chequeo. La implementación de estos controles durante el proceso de mitigación de riesgos, es el resultado directo de la identificación de deficiencias en los controles actuales y planeados durante el proceso de análisis y evaluación de riesgos. 6.4.3. Técnicas de Análisis de Control Como se discutió en la sección 4.3.3, el desarrollo de listas de chequeo de requerimientos de seguridad o el uso de listas de chequeo disponibles es una manera eficiente y sistemática para el análisis de controles de una entidad. Las listas de chequeo ayudan a verificar el cumplimiento o no de los requerimientos de seguridad, por tanto es esencial que dichos checklist se encuentren actualizados y reflejen cambios en el ambiente de control de la entidad (cambios en la política de seguridad, métodos y requerimientos) para garantizar su vigencia. 6.5. Paso 5: Determinación de Probabilidad Se deben tener en cuenta los siguientes factores a la hora de construir una escala de probabilidad que mida el grado en que pueden ser explotadas las vulnerabilidades existentes: • Motivos de las fuentes de amenazas y su dimensión (capacidad de hacer daño). • Naturaleza de las vulnerabilidades • Existencia y efectividad de los controles existentes Página 28 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA La probabilidad de que una vulnerabilidad pueda ser explotada por una fuente de amenaza se puede describir como Alta, Mayor, posible, no esperada y remota. La tabla 5 describe estos niveles: Tabla 5. Definiciones de Probabilidad Probabilidad de ocurrencia de la amenaza A 100% Alta, certera. M+ 75% Mayor, probable, esperado que ocurre M 50% Posible, se espera que no ocurra regularmente. M- 25% No esperado, pero podría ocurrir algunas veces B 10% Remoto, puede ocurrir en circunstancias excepcionales. 6.6. Paso 6: Análisis de Impacto El paso más importante en la medición del nivel de riesgo es determinar el impacto adverso resultante que una amenaza explote exitosamente una vulnerabilidad. Antes de realizar el análisis de impacto, es necesario contar con la siguiente información: • Misión del sistema (procesos realizados por el sistema) • Criticidad del sistema y de los datos (Valor o importancia del sistema para la entidad). • Sensitividad del sistema y de los datos Esta información se obtiene por medio de la realización de entrevistas con los dueños y usuarios de los sistemas y apoyados en la documentación existente en la entidad tales como informes de análisis de impacto (BIA) o informes de valoración de activos. Un análisis de impacto prioriza el nivel de impacto asociado con el compromiso (deterioro o daño) de un activo de información de la entidad basado en una valoración cuantitativa o cualitativa de la sensitividad y criticidad de dicho activo. Si esta información no existe, la sensitividad y criticidad de los activos de información se puede determinar a través de la medición del nivel de protección requerido para mantener la confidencialidad, integridad y disponibilidad de los datos y del sistema de TI. La persona más indicada para establecer estos niveles es el propietario de los datos y sistemas, por tanto es necesario entrevistarlos. En conclusión, el impacto adverso de un evento de seguridad se puede describir en términos de la degradación de una o varias de las metas de seguridad: Integridad, Disponibilidad y Confidencialidad: Pérdida de Integridad: Se pierde integridad cuando se presentan modificaciones no autorizadas sobre los datos y sistemas, bien sea de manera accidental o intencional. Si la información no es corregida, el uso continuo de información corrupta conlleva a inexactitudes, fraude o decisiones erróneas que termina en pérdida financiera e imagen frente a los clientes. Página 29 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Pérdida de Disponibilidad: Si un sistema de misión crítica no está disponible para sus usuarios finales, se afecta el logro de la misión de la entidad. La pérdida de funcionalidad y degradación de las operaciones, conlleva entre otros a la pérdida de productividad, sanciones legales y parálisis de la cadena de abastecimiento afectando tanto a los usuarios internos como a los clientes. Pérdida de Confidencialidad: La confidencialidad de los datos y sistemas se refiere a la protección contra divulgación no autorizada. El impacto de una divulgación no autorizada puede poner en peligro la seguridad nacional inclusive. La divulgación no autorizada, anticipada o no intencional conduce normalmente a acciones legales contra la entidad. Algunos impactos se pueden medir cuantitativamente en pérdidas de ingresos, costo de reparaciones o nivel de esfuerzo requerido para corregir problemas causados por un evento inesperado. Otros impactos como el daño de imagen, la vergüenza pública no se pueden medir en términos monetarios y se describen mejor en una escala de alto, mayor, pérdida moderada, pérdida menor y bajo. Tabla 6. Definiciones de Impacto Impacto A 5 Alto, altas perdidas presupuestales, pone en alto riesgo la imagen de la entidad. M+ 4 Mayor, pérdida significativa presupuestal, amenaza la imagen de la entidad. M 3 Perdida moderada, no amenaza la imagen de la entidad. M- 2 Perdida Menor. Afecta el presupuesto B 1 Bajo Valoración Cuantitativa versus Valoración Cualitativa: La principal ventaja de la valoración cualitativa es que prioriza los riesgos e identifica las áreas de mejoramiento de manera inmediata. La desventaja es que no provee información suficiente y precisa para medir la magnitud de los impactos y por ende se dificulta el análisis costo/beneficio de los controles. La desventaja es la dificultad para establecer rangos numéricos válidos para la entidad y los resultados se terminan interpretando de manera cualitativa. Es necesario tener en cuenta que una valoración cuantitativa exige contar con la siguiente información: Una estimación de la frecuencia de ocurrencia de las amenazas e incidentes por un periodo de tiempo (el último año por ejemplo) Un costo aproximado de cada ocurrencia Una ponderación del impacto de cada ocurrencia Página 30 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.7. Paso 7: Evaluación de Riesgos El propósito de este paso es valorar el nivel de riesgo de un sistema de TI. La determinación del riesgo para una amenaza/vulnerabilidad en particular se expresa en función de: La probabilidad que una fuente de amenaza intente explotar una vulnerabilidad La magnitud del impacto resultante de la explotación exitosa de una vulnerabilidad Lo apropiado de los controles existentes o planeados para reducir o eliminar los riesgos. Para medir los riesgos, se desarrolla una matriz de riesgos. La sección 4.7.1 presenta una matriz de riesgos estándar y la sección 4.7.2 describe los niveles de riesgo resultante. 6.7.1. Matriz de Nivel de Riesgo La determinación final del nivel de riesgo es el resultado de multiplicar los valores asignados a la probabilidad de una amenaza por los valores asignados a la magnitud del impacto. La tabla 7 exhibe un ejemplo de una matriz de 5X5. Para la construcción de la matriz de la tabla 7 se realiza el cruce de puntajes identificados según las anteriores tablas y valores; y se determina una valoración en los mismos términos para el Riesgo inherente: Tabla 7. Escala de Riesgos: Alto (> 50 hasta 100); Medio (>10 hasta 50); Bajo (1 hasta 10) IMPACTO Riesgo inherente A 5 M M+ M+ A A M+ 4 M M M+ M+ A M 3 M- M- M M M+ MB 2 B B M- M- M 1 B B B B M 10% 25% 50% 75% 100% B MM M+ A Probabilidad de ocurrencia de la amenaza Página 31 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.7.2. Evaluación del Nivel de Riesgo La tabla 8 describe los niveles de riesgo exhibidos en la tabla 7. La escala de riesgo, con los niveles Alto, mayor, moderado, medio y bajo, representa el grado o nivel a que se encuentra expuesto el sistema de TI, las instalaciones o los procedimientos cuando una vulnerabilidad es explotada exitosamente. También presenta las acciones que deben tomar la gerencia ejecutiva y los responsables del logro de la misión, en cada uno de los niveles. Tabla 8. Escala de Riesgos y Acciones Necesarias Nivel de Riesgo A 5 M+ 4 Alto, altas perdidas presupuestales, pone en alto riesgo la imagen, confidencialidad, integridad o disponibilidad de la información de la entidad. Mayor, pérdida significativa presupuestal, amenaza la imagen, confidencialidad, integridad o disponibilidad de la información de la entidad. M 3 Perdida moderada, no amenaza la imagen de la entidad. M- 2 Perdida Menor. Afecta el presupuesto B 1 Bajo 6.8. Paso 8: Recomendaciones de Control La meta de las recomendaciones de control es reducir el nivel de riesgo encontrado en el sistema de TI y de los datos a un nivel aceptable. Es necesario tener en cuenta los siguientes factores: Efectividad de las opciones recomendadas (compatibilidad de sistemas, por ejemplo) Legislación y regulaciones Política organizacional Impacto operacional Seguridad y confiabilidad Las recomendaciones de control son los resultados del proceso de análisis y evaluación de riesgos y proveen una entrada al proceso de mitigación de riesgos, durante el cual, los controles y procedimientos recomendados se evalúan, priorizan e implementan. Es posible que no todos los controles recomendados se implementen, esto depende del resultado del análisis costo/beneficio, el cual debe demostrar que la implementación se justifica porque hay una Página 32 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA reducción en el nivel de riesgo. Adicionalmente, es necesario evaluar cuidadosamente el impacto operacional causado por la introducción de las recomendaciones durante el proceso de mitigación. 6.9. Paso 9: Documentación de Resultados Sólo cuando el análisis de riesgos finaliza (se identificaron las fuentes de amenazas y vulnerabilidades, se evaluaron los riesgos y se emitieron recomendaciones de control), los resultados se documentan en un informe oficial. Un informe de análisis y evaluación de riesgos es un reporte ejecutivo de ayuda para la Gerencia, los responsables de la misión, la toma de decisiones, el cálculo de presupuestos y la gestión de cambios administrativos y operacionales. Página 33 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 7. MITIGACIÓN DE RIESGOS La mitigación de riesgos, es el segundo proceso de la gestión del riesgo, comprende la priorización, evaluación e implementación de controles que reduzcan los riesgos de acuerdo con las recomendaciones emanadas del proceso de análisis y evaluación de riesgos. Puesto que la eliminación de todos los riesgos es algo imposible de llevar a cabo, es responsabilidad de la Gerencia y de los administradores funcionales y del negocio utilizar el enfoque del menor costo e implementar los controles más apropiados para reducir la exposición a riesgos a un nivel aceptable, con un mínimo impacto adverso sobre los recursos y la misión de la entidad. Esta sección describe las opciones de mitigación de riesgos (5.1), la estrategia de mitigación de riesgos (5.2), un enfoque para la implementación de controles (5.3), categorías de control (5.4), el análisis costo/beneficio para la implementación de controles (5.5) y riesgos residuales (5.6). 7.1. Opciones de Mitigación de Riesgos La mitigación de riesgos es una metodología sistemática utilizada por la Gerencia Ejecutiva para reducir los riesgos que afecten la misión del negocio. La reducción de riesgos se puede alcanzar por medio de una o varias de las siguientes opciones: Asumir el riesgo: Consiste en aceptar el riesgo y continuar operando o implementar controles para bajar el nivel de exposición. Anular el riesgo: Es eliminar las causas del riesgo y por ende sus consecuencias (desinstalar un sistema por ejemplo). Limitar el riesgo: Consiste en implementar controles que reduzcan los impactos negativos de la explotación exitosa de las vulnerabilidades (implementar controles preventivos y detectivos). Planeación de riesgos: Es elaborar un plan para priorizar, implementar y mantener operativos los controles definidos. Investigación y retroalimentación: Consiste en investigar y aprender constantemente sobre las nuevas vulnerabilidades, defectos de los sistemas y las acciones correctivas requeridas. Transferir riesgos: Es acudir a medidas contingentes para compensar las pérdidas, el ejemplo clásico es la compra de pólizas de seguros. Las metas y objetivos de la entidad se deben tener en cuenta en la selección de opciones de mitigación de riesgos. La mitigación de riesgos requiere que la entidad implemente tecnologías de diferentes proveedores de seguridad junto con controles no técnicos y medidas administrativas. Página 34 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 7.2. Estrategia de Mitigación de Riesgos Una vez conocidos los riesgos potenciales, la Administración de la entidad y los responsables del cumplimiento de la misión, se deben formular la siguiente pregunta: ¿Cuándo y bajo qué circunstancias debo actuar? La respuesta es: Cuando la implementación de los controles mitigue los riesgos y proteja a la entidad. El proceso de mitigación de riesgos se describe en la figura 2. Los puntos apropiados de implementación de controles se indican en la figura con la palabra SI y que implican las siguientes acciones: Cuando existe un defecto o vulnerabilidad, implemente técnicas de aseguramiento para reducir la probabilidad que la vulnerabilidad sea explotada. Cuando una vulnerabilidad puede ser explotada, aplique protección por capas, fortalezca la arquitectura de seguridad e implemente controles administrativos para minimizar el riesgo o prevenir su ocurrencia. Figura 2: El proceso de mitigación de riesgos Página 35 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Cuando los costos de los ataques son menores que la ganancia potencial, aplique protecciones para reducir los motivos del atacante e incrementar los costos del atacante (por ejemplo, control de acceso a los sistemas). Cuando la pérdida es muy grande, aplique principios de diseño, fortalezca la arquitectura de seguridad, implemente protecciones técnicas y no técnicas para limitar la extensión del ataque, y por ende reducir las pérdidas potenciales. 7.3. Enfoque para la Implementación de Controles Cuando se deben tomar acciones de control, aplicar la siguiente regla: “Concentrarse en los grandes riesgos que demanden altos esfuerzos de mitigación al más bajo costo y con el mínimo impacto sobre los objetivos (misión) del negocio.” La siguiente metodología de mitigación describe el enfoque en la implementación de controles: • Paso 1 – Priorice acciones Con base en el reporte de evaluación de riesgos, las acciones se deben priorizar. La consecución de recursos debe concentrarse en aquellos riesgos de nivel inaceptable. Las amenazas/vulnerabilidades asociadas requieren acciones correctivas inmediatas. • Paso 2 – Evalúe las opciones de control recomendadas Los controles recomendados en el informe de evaluación de riesgos no necesariamente son los más apropiados y factibles de implementar. Se debe evaluar la factibilidad (compatibilidad, aceptación del usuario) y la efectividad (ganancia en la mitigación de riesgos) de cada control recomendado. El objetivo es seleccionar los controles más apropiados para minimizar los riesgos. Es decir, seleccione los controles que puedan ayudar a mitigar en su mayor grado el riesgo detectado. (por ejemplo, ver ley Pareto, 20 – 80, con un 20% de esfuerzo en implementación de controles, se puede mitigar un 80% de los riesgos encontrados). • Paso 3 – Realice un análisis costo/beneficio Para ayudar a la Gerencia en la toma de decisiones se requiere un análisis costo/beneficio. El detalle y método de este análisis se describe en la sección 5.5 • Paso 4 – Seleccione Controles Con base en el resultado del análisis costo/beneficio, la gerencia determina los controles más efectivos para reducir los riesgos que atenten contra los objetivos (misión) de la entidad. Los controles seleccionados deben obedecer a una combinación de controles técnicos, operativos y administrativos para asegurar una apropiada protección de los sistemas de TI y de la entidad. Página 36 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Paso 5 – Asigne responsabilidades Se deben asignar responsabilidades por los controles a las personas apropiadas (internas y externas) que tengan los conocimientos y habilidades requeridas. • Paso 6 – Desarrolle un plan de implementación de protecciones Durante este paso, se debe desarrollar un plan de implementación de protecciones (conocido también como plan de acción). El plan debe contener al menos: o Riesgos (amenazas/vulnerabilidades) y niveles de riesgo asociados o Controles recomendados o Acciones priorizadas o Controles seleccionados y planeados o Recursos requeridos para la implementación de los controles seleccionados y planeados o Lista de los equipos y empleados responsables de la implementación o Fecha de inicio de la implementación o Fecha de finalización de la implementación o Requerimientos de mantenimiento • Paso 7 – Implementación de controles seleccionados Dependiendo de cada situación particular, los controles implementados pueden bajar los niveles de riesgo pero no eliminarlos. El tratamiento de los riesgos residuales se discute en la sección 5.6. La figura 3 describe la metodología recomendada para la mitigación de riesgo: Página 37 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Figura 3. Diagrama de Flujo de la Metodología de Mitigación de Riesgos 7.4. Categorías de Control En la implementación de controles para mitigar riesgos, una entidad debe considerar controles técnicos, operativos y administrativos para maximizar la efectividad de los controles de los sistemas de TI y de la empresa en general. Página 38 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Esta sección provee un resumen general de algunas categorías de control. Información más detallada se puede encontrar en: • NIST SP 800-12 An Introduction to Computer Security: The Nist Handbook • ISO 27000 Sistemas de Gestión de Seguridad de la Información 7.4.1. Controles de Seguridad Técnicos Los controles de seguridad técnicos para la mitigación de riesgos se pueden configurar para ciertos tipos de amenazas. Pueden abarcar un amplio rango desde medidas simples hasta medidas complejas que normalmente comprenden arquitectura de sistemas, disciplinas de ingeniería, paquetes de seguridad (appliances) que involucran hardware, software y firmware. Todos estos controles pueden trabajar conjuntamente para proteger datos sensitivos y críticos, información y funciones de los sistemas de TI. Los controles técnicos se pueden agrupar en las siguientes categorías, de acuerdo con su propósito: De soporte Preventivos De detección y recuperación 7.4.1.1. Controles de Soporte Son por naturaleza controles persuasivos y se interrelacionan con muchos otros controles. Son los siguientes: Identificación: Proveen la capacidad de identificar de manera única a las personas, procesos y recursos de información (Control de acceso discrecional, control de acceso mandatario, registro). Administración de llaves de criptografía: incluyen la generación, distribución, almacenamiento y mantenimiento de llaves para realizar cifrado y proteger la información contra modificación y divulgación no autorizadas. Administración de la seguridad: Son las características de seguridad que se deben configurar en los sistemas de TI. Pueden estar dentro de los sistemas y aplicaciones o implementarse mediante la adición de productos de seguridad disponibles, por ejemplo, actualización de versiones, parches, hot fixes, etc. Protección del sistema: Son los controles que deben acompañar la implementación técnica de las funcionalidades del sistema. Incluyen protección de información residual (reutilización de objetos), acceso con base en el “menor privilegio”, separación de procesos, modularidad, protección por capas. Página 39 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 7.4.1.2. Controles Técnicos Preventivos Son los controles que pueden inhibir intentos de violación a la política de seguridad. Incluyen: Autenticación: Verifican la identidad del sujeto que reclama validez de la misma. Incluyen passwords, PIN (personal identification number) y tecnologías de autenticación fuerte como tokens, tarjetas inteligentes, certificados digitales, servidores de autenticación. Autorización: Establecen el alcance en la utilización de los objetos del sistema por parte de un sujeto (usuario o proceso) que se ha identificado y autenticado positivamente. Control de acceso forzado: La integridad y confidencialidad de los datos se fortalecen mediante controles de acceso. Estos controles incluyen pero no se limitan a: Activación de atributos de seguridad en los archivos (lectura, escritura, borrado), listas de control de acceso, roles, perfiles de usuario. La efectividad de estos controles depende de la correcta decisión en la asignación del acceso y la obligación de seguir los controles de acceso. No repudiación: Son controles típicos de los puntos de transmisión y recepción de información y tienen por objetivo asegurar que ni transmisores ni receptores de información nieguen su participación en una transacción dada. Los certificados digitales son un ejemplo de estos controles. Protección de comunicaciones: En un sistema distribuido estos controles juegan un papel importante en el cumplimiento de los objetivos de seguridad y del negocio. La protección de las comunicaciones debe garantizar la integridad, confidencialidad y disponibilidad de la información en tránsito. Incluyen redes privadas virtuales (VPN), protocolos de seguridad de Internet (IPSEC), tecnologías de encripción (DES, Triple DES, RAS, MD4, MD5, AES), para minimizar amenazas a la red tales como replay, intercepción, sniffing, wiretapping o eavesdropping. Privacidad de transacciones: Son controles tendientes a proteger la privacidad de la información de los individuos. Incluyen Secure Sockets Layer (SSL), Secure Shell. 7.4.1.3. Controles Técnicos de Detección y Recuperación Los controles detectivos alertan sobre violaciones o intentos de violación de la política de seguridad e incluyen controles como pistas de auditoría, métodos de detección de intrusos y dígitos de chequeo. Los controles de recuperación se utilizan para restaurar recursos de computación perdidos o dañados. Son necesarios para complementar los controles preventivos y de soporte. Incluyen: Auditoria: Permiten registrar los eventos y detectar anormalidades en el uso de los componentes del sistema. Detección y contención de intrusos: Esenciales para detectar brechas de seguridad (defectos en la red, actividades sospechosas) y responder a los mismos de manera oportuna. Página 40 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Pruebas de integridad: Analizan la integridad e irregularidades del sistema y permiten identificar exposiciones a amenazas potenciales. No previenen violaciones a la política de seguridad pero detectan violaciones y ayudan a determinar el tipo de acciones correctivas requeridas. Restauración de estado seguro: Son los controles que ayudan a restablecer el sistema al último estado seguro conocido después que una brecha de seguridad ocurre. Detección y erradicación de virus: Los programas antivirus instalados en servidores, estaciones y computadores personales detectan, identifican y remueven los virus para asegurar la integridad de los sistemas y datos. La figura 4 describe la interrelación entre los controles de seguridad técnicos, los usuarios, procesos y recursos: Figura 4. Controles de Seguridad Técnicos 7.4.2. Controles de Seguridad Administrativos Se enfocan en las políticas de protección, guías y estándares, que llevados a cabo a través de los procedimientos operacionales, facilitan el logro de las metas y misión de la entidad. Página 41 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Las secciones 5.4.2.1 a 5.4.2.3 describen los controles administrativos de tipo preventivos, de detección y de recuperación respectivamente. 7.4.2.1. Controles de Seguridad Administrativos Preventivos Incluyen lo siguiente: Asignación de responsables de la seguridad Plan de seguridad de desarrollo y mantenimiento de sistemas Controles de seguridad de personal, incluyendo segregación de funciones, acceso de menor privilegio y registro del inicio y fin de sesión. Realización de campañas de concienciación y capacitación en seguridad. 7.4.2.2. Controles de Seguridad Administrativos Detectivos Incluyen lo siguiente: Controles de seguridad del personal, incluyendo estudio de antecedentes, investigaciones de experiencia, rotación de funciones. Revisiones periódicas de la efectividad de los controles Realización de auditorías periódicas Realización continúa de procesos de valoración y mitigación de riesgos Autorización a TI para la aceptación de riesgos residuales. 7.4.2.3. Controles de Seguridad Administrativos de Recuperación Incluyen lo siguiente: El desarrollo, pruebas y mantenimiento de los planes de continuidad del negocio para proveer facilidades de reanudación ante desastres o emergencias. Gestión de incidentes que comprende la identificación, el reporte, la respuesta y el retorno del sistema a operación normal. Página 42 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 7.4.3. Controles de Seguridad Operacionales Son los controles y guías que la entidad establece para asegurar que los activos y recursos de información son apropiadamente asegurados y utilizados en la consecución de las metas y objetivos de la entidad. La alta dirección juega un papel muy importante en la declaración, publicación e implementación de la política y el establecimiento de apropiados controles operacionales. Los controles operacionales se usan para corregir deficiencias que podrían ser explotadas por fuentes de amenaza potenciales. Las secciones 5.4.3.1 y 5.4.3.2 presentan los controles operacionales de tipo preventivo y detectivo. 7.4.3.1. Controles Operacionales Preventivos Incluyen lo siguiente: Controles de acceso y disposición (destrucción) de medios Control de virus Instalaciones seguras de cómputo (Guardias de seguridad, procedimientos para visitantes, sistemas electrónicos de identificación, controles de acceso biométrico, administración y distribución de candados y llaves, barreras y defensas físicas). Protección de gabinetes y cableado de datos Procedimientos de backups y recuperación Procedimientos de seguridad del almacenamiento externo Protección de portátiles, computadores personales y estaciones de trabajo Protección contra fuego (extintores, impermeabilizantes, rociadores de agua, sistema halógeno de supresión). Provisión de fuentes alternas de energía eléctrica (UPS, plantas eléctricas) Control de humedad y temperatura 7.4.3.2. Controles Operacionales Detectivos Incluyen lo siguiente: Provisión de seguridad física (detectores de movimiento, CCTV, sensores y alarmas). Asegurar protección ambiental (detectores de humo y fuego, sensores y alarmas). Página 43 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 7.5. Análisis Costo / Beneficio Para ubicar los recursos e implementar los controles efectivos, es necesario llevar a cabo un análisis costo beneficio para determinar cuáles controles son requeridos y apropiados según las circunstancias. El análisis costo/beneficio puede ser de tipo cuantitativo o cualitativo. El propósito es demostrar que con la implementación de los controles se reducen los niveles de riesgo. Un análisis costo/beneficio para los nuevos controles propuestos o la ampliación de los existentes comprende: Determinación del impacto de la implementación o ampliación de controles Determinación del impacto de la no implementación o ampliación de controles. Estimación de los costos de la implementación, lo cual incluye, sin que se limite a: o Compras de hardware y software o Reducción de la efectividad operacional si el desempeño del sistema se reduce por el incremento de la seguridad. o Costos de implementación de políticas y procedimientos adicionales o Costos de contratación de personal adicional para la implementación de políticas, procedimientos o servicios o Costos de entrenamiento o Costos de mantenimiento Valoración de los costos y beneficios de la implementación contra la criticidad de los datos y del sistema para determinar la importancia de la implementación de nuevos controles, dados sus costos e impacto relativo. La Gerencia de la entidad debe determinar que constituye un nivel de riesgo aceptable. El impacto de un control debe valorarse y el control incluido o excluido, después que la entidad determine un rango de niveles de riesgo aceptable. Este rango puede variar de una entidad a otra; sin embargo, los siguientes criterios aplican en la determinación del uso de nuevos controles: Si un control reduce el nivel de riesgo más allá de lo necesario, entonces busque otras alternativas menos costosas. Si el costo del control es mayor que la reducción del riesgo provista, busque otro. Página 44 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Si un control no reduce el riesgo suficientemente, entonces busque más controles o controles diferentes. Si el control provee suficiente reducción del riesgo y el costo es efectivo, entonces proceda a su implementación. Es normal que sea más fácil determinar el costo de implementación de los controles que el costo de su no implementación. La Gerencia juega un rol importante en la decisión de cuales medidas se implementan y cuáles no. 7.6. Riesgo Residual La entidad debe analizar la extensión de la reducción de riesgo generada por los nuevos controles o la ampliación de los existentes en términos de reducción de la probabilidad o impacto de las amenazas. La implementación de nuevos controles o la ampliación de los existentes mitigan el riesgo porque: Eliminan algunas de las vulnerabilidades del sistema (defectos o debilidades), por consiguiente se reducen el número de posibles parejas de fuentes de amenazas / vulnerabilidades. Adiciones al control objetivo para reducir la capacidad y motivación de las fuentes de amenaza. Reducen la magnitud de los impactos adversos. La relación entre la implementación de controles y el riesgo residual se describe en la figura 5: Figura 5: Relación Controles Implementados y Riesgo Residual Página 45 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA El riesgo remanente después de la implementación de nuevos controles o la ampliación de los existentes es el riesgo residual. Prácticamente no hay un sistema de TI libre de riesgos, y no todos los controles implementados eliminan los riesgos. Página 46 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 8. EVALUACIÓN Y VALORACIÓN En muchas organizaciones, la red continuamente se expande y actualiza, los componentes cambian, las aplicaciones de software son reemplazadas o actualizadas con nuevas versiones. En adición, los cambios de personal y de políticas de seguridad son una constante. Estos cambios significan nuevos riesgos y los riesgos previamente mitigados pueden volver a causar preocupaciones de nuevo. Esto es, el proceso de gestión del riesgo es un proceso continuo y en evolución. Esta sección enfatiza en las buenas prácticas y la necesidad de una evaluación y valoración continúa de riesgos y los factores de éxito para el programa de gestión del riesgo: 8.1. Buenas Prácticas de Seguridad La gestión del riesgo debe realizarse y estar integrada en el SDLC de los sistemas de TI, no porque lo exijan las leyes y regulaciones, sino porque esta buena práctica ayuda a alcanzar los objetivos del negocio. Las organizaciones deben establecer un calendario específico para llevar a cabo los procesos de valoración y mitigación de riesgos, sin embargo, este calendario debe ser flexible para garantizar que dichos procesos se puedan realizar ante cambios mayores en los sistemas de TI y en el ambiente de procesamiento debido a cambios de políticas y nuevas tecnologías. 8.2. Claves para el Éxito Un programa exitoso de gestión del riesgo exige: Un Comité de Gerencia y de riesgos La participación de tiempo completo del grupo de TI La competencia (conocimientos y experiencia) del grupo de evaluación de riesgos. Llevar a cabo campañas de concientización a la comunidad de usuarios Evaluación y valoración continúa de los riesgos Página 47 de 50 relacionados con la misión de TI. ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 9. INTEGRACIÓN DE LA GESTIÓN DEL RIESGO CON LOS SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Los sistemas de gestión de seguridad de la información (SGSI) se inician con los procesos de análisis, valoración y mitigación de riesgos, pues las medidas de seguridad deben apuntar hacia los riesgos más importantes para el negocio. La norma ISO 27000, exige de las organizaciones a nivel general: La comprensión de los requerimientos de seguridad de la información (integridad, disponibilidad y confidencialidad). La implementación y operación de controles para administrar los riesgos de la información del negocio. El monitoreo del desempeño efectivo del sistema de seguridad (SGSI) El mejoramiento contínuo basado en la medición de objetivos. A nivel particular en el tema de riesgos, la norma ISO 27001 formula los siguientes requerimientos para las organizaciones: Definir el enfoque de gestión del riesgo de la entidad Identificar los riesgos Analizar y evaluar los riesgos Identificar y evaluar las opciones de tratamiento de los riesgos Seleccionar los controles para el tratamiento de los riesgos Obtener aprobación de la Gerencia para la administración de los riesgos residuales. Del análisis de los diferentes estándares y modelos relacionados con la seguridad de los sistemas de TI, se puede afirmar que los pilares de una entidad segura son: Programa de gestión del riesgo en funcionamiento Implementación de controles de seguridad (Administrativos, técnicos, operacionales y otros). Planes de continuidad del negocio estructurados. Página 48 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA La relación entre estos tres pilares se puede observar en la figura 6: Figura 6. Relación entre Gestión del Riesgo, Medidas de Seguridad y Planes de Continuidad En conclusión, la presente metodología permite articular los requerimientos del negocio con la gestión del riesgo, la implementación de medidas de seguridad y de los planes de continuidad, por lo que su aplicación es fundamental para el fortalecimiento de la seguridad organizacional. Página 49 de 50 ANEXO 2: METODOLOGÍA DE GESTIÓN DEL RIESGO MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 10. BIBLIOGRAFÍA IT Governance Institute, Cobit_mapping IT Governance Institute, COBIT 4.0: Control Objectives For Information And Related Technology. Committee of Sponsoring Organization of the Treadway Commission, COSO. International Organization for Standardisation, ISO/IEC 17799:2005 Code of Practice for Information Security Management. International Organization for Standardisation, ISO/IEC 27001: Information Technology – Security Techniques – Information Security Management Systems – Requirements. International Organization for Standardisation, ISO/IEC GUIDE 73:2002: Information Technology – Risk Management Vocabulary – Guidelines for use in standards. Computer Security Division of the National Institute of Standards and Technology, NIST 800-30: Risk Management Guide for Information Technology Systems. Computer Security Division of the National Institute of Standards and Technology, NIST 800-14: Generally Accepted Principles and Practices for Securing Information Technology Systems. The Australian / New Zealand Standard for Risk Management, ASNZ 4360: 1999. Computer Security Division of the National Institute of Standards and Technology, NIST 800-34: Contingency Planning Guide For Information Technology Systems. Ramiro Merchán, Implementación del Modelo Cobit bajo ISO 9000, Congreso Iberoamericano de Control, Seguridad y Auditoria, Ciasi 2001, Madrid – España. Ramiro Merchán, Estándares de Seguridad de la Información, Latinoamericano de Control, Seguridad y Auditoria, Latincacs 2006, Bogotá – Colombia. Página 50 de 50