MÉTODO DE ANÁLISIS DE RIESGOS NIST SP 800-30





La Seguridad Informática en una empresa es fundamental para evitar intrusiones y accesos inesperados a documentación confidencial que podría comprometer nuestra imagen corporativa y en los peores casos, provocar grandes pérdidas económicas. Por ello es fundamental que nuestra entidad cuente con equipos informáticos seguros, para lo cual es fundamental analizar las amenazas y vulnerabilidades a los que estamos sometidos y el nivel de riesgo que ello implica. Para ello, existen métodos de análisis eficaces, que nos facilitan la tarea de combatir a atacantes que quieren atentar contra la privacidad de nuestros datos.

Cabe citar el método de análisis de riesgos NIST SP 800-30. Este método nació en el seno del National Institute of Standard Technology (Instituto Nacional de Estándares y Tecnología), agencia federal fundada en 1901 para la Administración de Tecnología de Departamento de Comercio de los Estados Unidos.

La norma NIST SP 800-30 nace con los siguientes objetivos:

-Aseguramiento de los sistemas de Información que almacenan, procesan y transmiten información.
-Gestión de Riesgos
-Optimizar la administración de Riesgos a partir del resultado en el análisis de riesgos.
-Proteger las habilidades de la organización para alcanzar su misión (no solamente relacionada a la IT, sino de toda la empresa)
-Ser una función esencial de la administración (no solo limitada a funciones técnicas de IT)

El primer componente de la gestión de riesgos direcciona crear el marco de riesgo de las organizaciones, a establecer un contexto que el riesgo que se describe el entorno en el que se toman las decisiones. El propósito del componente es producir una estrategia de gestión de riesgos que aborda cómo las organizaciones tienen la intención de evaluar el riesgo, responder a los riesgos y monitorear los riesgos haciendo explicito y transparente la percepción que la organizaciones utilizan permanentemente en la toma de decisiones e inversiones operativas.

Para ello, es necesaria la realización de evaluaciones de riesgos relacionados con la seguridad de información:
-Discute el proceso de gestión de riesgos y cómo las evaluaciones de riesgos son una parte integral de ese proceso.
-La publicación es una guía para las agencias, organizaciones e instituciones en la realización de evaluaciones de riesgos de los sistemas de información
-Enumera una serie de «pasos» en el proceso de evaluación de riesgos:
  • la preparación de la evaluación.
  • la realización de la evaluación,.
  • comunicar los resultados de la evaluación, y el mantenimiento de la evaluación.

Otros temas cubiertos en la guía incluyen:
  • Cómo las evaluaciones de riesgo y otros procesos de gestión de riesgos de la organización se complementan y se apoyan mutuamente.
  • Cómo identificar los factores de riesgo específicos que deben ser monitoreados en forma permanente.
  • Cómo determinar si los riesgos de la organización han aumentado a niveles inaceptables y si los diferentes cursos de acción deben ser adoptadas por el organización.
Los conceptos y principios relacionados con los procesos y métodos de evaluación de riesgos contenida en esta publicación se pretende que sean similares y consistentes con los procesos y enfoques descritos en la Organización Internacional de Normalización (ISO) y la Internacional Comisión Electrotécnica Internacional (IEC) estándar
La reutilización de resultados de la evaluación del riesgo, reduce la carga sobre las organizaciones que deben cumplir con la norma ISO / IEC y Estándares NIST.
Este documento proporciona una guía para la realización de cada una de las tres etapas del proceso de evaluación de riesgos (es decir, se preparan para la evaluación, realizar la evaluación, y mantienen la evaluación) y cómo las evaluaciones de riesgos y otros procesos de gestión de riesgos de la organización complementan y se informan mutuamente.



PROCESO DE GESTIÓN DEL RIESGO

La evaluación de riesgos es un proceso holístico, de toda la organización Los procesos de gestión de riesgos incluyen:
  • Estructura del riesgo .
  • La evaluación del riesgo.
  • Responder a los riesgos.
  • El seguimiento de los riesgos.

Definido en la NIST Special Publication 800-39, Gerente de Riesgo de seguridad de información.




Propósito de la norma NIST 800 - 30

-Proveer una base para el desarrollo de la gestión del riesgo
-Proveer información acerca de controles de seguridad en función de la rentabilidad del negocio

El segundo componente de la gestión de riesgos se ocupa de cómo las organizaciones evalúan el riesgo en el contexto del “marco de riesgo” de la organización. El objetivo del componente de la evaluación de riesgos es identificar:
-las amenazas a las organizaciones (es decir, operaciones, activos o individuos) o amenazas dirigidos a través de organizaciones en contra de otras organizaciones o la Nación;
-las vulnerabilidades internas y externas a las organizaciones;
-El daño (es decir, el impacto adverso) que puede ocurrir dado el potencial de las amenazas explotando vulnerabilidades; y
-La probabilidad de que el daño se producirá. El resultado final es una determinación del riesgo (es decir, por lo general en función del grado de daño y la probabilidad de que se produzcan daños).

Resumen de la norma NIST 800 - 30

La guía tiene distintas secciones, son un proceso iterativo que comprende varios pasos ejecutados en forma secuencial:

-La sección 2,proporciona una visión general sobre la gestión de riesgos, conceptualización de amenazas y riesgos, explica cómo encaja dentro del ciclo de vida de desarrollo de un proyecto o programa así como los roles de las personas que soportan y utilizan este proceso.

-La sección 3, describe la metodología de evaluación del riesgo y los 9 pasos primarios para dirigir una evaluación de riesgos de un sistema de IT.

La sección 4, describe el proceso de mitigación de riesgos, incluyendo estrategias de mitigación de riesgos, enfoque a implementación y categorías de control, análisis coste-beneficios y riesgos residuales.

-La sección 5, discute las buenas prácticas y la necesidad de evaluar la progresión de los riesgos, y los factores que conducirán a un programa de gestión de riesgos exitoso. 

Los cuatro pasos en el proceso gestión de riesgos incluye la etapa de evaluación de riegos y el flujo de información y comunicación necesario para hacer este proceso efectivo.

El tercer componente de la gestión de riesgos se ocupa de cómo las organizaciones han de responder una vez que el riesgo está determinado, con base en los resultados de una “evaluación de riesgos identificados”. El objetivo del “componente de respuesta a los riesgos” es proporcionar una respuesta de toda la organización de conformidad con el “marco de riesgo de la organización” a través de:
  • el desarrollo de cursos alternativos de acción para responder a los riesgos.
  • la evaluación de los cursos alternativos de acción.
  • la determinación de las formas de actuación en consonancia con la tolerancia al riesgo de la organización.
  • la implementación de respuestas a los riesgos sobre la base de los cursos de acción elegidos.

El cuarto componente de la gestión de riesgos se ocupa de cómo las organizaciones monitorear el riesgo en el tiempo. El objetivo del componente de vigilancia de riesgos es:
  • Determinar la eficacia continua de las respuestas al riesgo (en consonancia con el marco de riesgos de la organización).
  • Identificar los cambios que afectan al riesgo de los sistemas de información de la organización y de los entornos en los que operan los sistemas.
  • Verificar que las respuestas al riesgo planificadas se implementan y los requisitos de seguridad de la información funcionen.

Evaluaciones de Riesgos

Las evaluaciones de riesgos pueden soportar una amplia variedad de decisiones y las actividades basadas en el riesgo por parte de funcionarios de la organización a través de los tres niveles de la jerarquía de gestión de riesgos, incluyendo, pero no limitando a, los siguientes:
  • Desarrollo de una arquitectura de seguridad de la información.
  • Definición de las necesidades de interconexión de sistemas de información ( incluidos los sistemas de apoyo a los procesos de misión / de negocios y servicios comunes de infraestructura / apoyo) .

• Diseño de soluciones de seguridad para los sistemas de información y ambientes de operación, incluyendo la selección de controles de seguridad, los productos de tecnología de la información, la cadena de proveedores / suministro y contratistas.

La metodología NIST SP 800 -30 puede ser aplicada a la evaluación de sistemas individuales o interrelacionados. La NIST SP 800-30 está compuesta por 9 pasos básicos para la evaluación de riesgo:
  • Ejemplo de vulnerabilidades y amenazas que podrían ser explotadas
  • Matriz del nivel de riesgo
  • Conclusiones
  • La seguridad de la información es un aspecto importante en la organización.

Este es un tema que hay que abordar de manera responsable, procedimental y orientada al cumplimiento de los estándares mínimos requeridos para la tecnología implementada en las organizaciones.

En resumen, la metodología NIST SP 800-30 se estructura de la siguiente manera:
PROCESO DE ANÁLISIS DE RIESGOS
1.Caracterización de sistemas:


Por ejemplo, podríamos elegir como sistema el correo electrónico, software cuya finalidad sería comunicarnos con clientes o proveedores. Determinaríamos su criticidad para ver hasta qué punto está expuesto al peligro, y sensibilidad, de qué manera está protegido ante una amenaza.
  1. Identificación de las amenazas:
    Revisaríamos el histórico de ataques, datos de agencias de inteligencia (NIPC, OIG, FedCIRC), datos de medios de comunicación.
Por ejemplo, errores intencionados, introducción de virus en los sistemas, corrupción de datos o incumplimientos legales intencionados.

3.Identificación de las vulnerabilidades 
Analizaríamos Informes de evaluaciones de riesgos anteriores, resultados de auditorías, requerimientos de seguridad, resultados de pruebas de seguridad para confeccionar una lista de vulnerabilidades potenciales.  
Por ejemplo, personal sin la formación adecuada, carencia de software antivirus, ausencia de políticas de restricción de personal para uso de licencias de software, o derechos de acceso incorrecto.

4.Análisis de controles: 
Analizar controles actuales y controles planificados y confeccionar su lista correspondiente. Por ejemplo, control del número de personas que acceden al equipo informático diáriamente, registro de información confidencial para la que se requiere uso de contraseña, revisión del funcionamiento del equipo informático.

5. Determinación de probabilidades 
Estudiar la motivación para los ataques, capacidad de las amenazas, naturaleza de las vulnerabilidades, controles actuales...para elaborar el ranking de probabilidades de que se materialize la amenaza (baja, media o alta).

6. Análisis de impacto (pérdida de integridad, disponibilidad y confidencialidad)
 Análisis de impacto sobre la misión, valoración de la criticidad de los activos, criticidad de los datos, sensibilidad de los datos...en definitiva, el deterioro sobre las dimensiones de la seguridad de la información.
   
 7.Determinación del riesgo 
Probabilidad de explotación de las amenazas, magnitud de los impactos, adecuación de los controles actuales y planificados. El producto de estos factores determina niveles de riesgo (bajo, medio, alto).

  8.Recomendación de controles. Como la revisión de las políticas de seguridad, actualización de antivirus, cambio periódico de contraseñas, instalación de firewalls o sanciones en caso de incumplimiento de la normativa vigente.

9.Documentación de resultados: en función a los riesgos de la empresa se procede a la confección del informe de valoración de riesgos.

FASE DE GESTIÓN DE RIESGOS
  1. Priorización de acciones:
    Se ha de partir de los niveles de riesgo y del informe de evaluación de riesgos para elaborar el Ranking de acciones que hemos de considerar llevar a cabo en la empresa.
  2. Evaluación de opciones de controles recomendados. Estudio de su viabilidad y eficacia, su adecuación a nuestro modo de trabajo para determinar si realmente pueden combatir los riesgos.
  3. Análisis de coste- beneficio. Qué impacto supondría la implantación o no implantación de los controles recomendados, así como costes moderados, para realizar un análisis coste-beneficio.
  4. Seleccionar los controles que nos ayudarían a eliminar los riesgos. Por ejemplo, instalación de firewalls, cambio periódico de contraseñas o actualización de antivirus.
  5. Asignación de responsabilidades: personal encargado de llevar a cabo la aplicación de los controles seleccionados.
  6. Desarrollo del plan de implantación de salvaguardas.

Algunas medidas que se podrían adoptar son:
PR] prevención
Diremos que una salvaguarda es preventiva cuando reduce las oportunidades de que un
incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son los
mismos.
Ejemplos: autorización previa de los usuarios, gestión de privilegios, planificación de capa-
cidades, metodología segura de desarrollo de software, pruebas en pre-producción, segre-
gación de tareas, ...
[DR] disuasión
Diremos que una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes
que éstos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas que
actúan antes del incidente, reduciendo las probabilidades de que ocurra; pero que no tie-
nen influencia sobre los daños causados caso de que el atacante realmente se atreva.
Ejemplos: vallas elevadas, guardias de seguridad, avisos sobre la persecución del delito o
persecución del delincuente,...
[EL] eliminación
Diremos que una salvaguarda elimina un incidente cuando impide que éste tenga lugar.
Son salvaguardas que actúan antes de que el incidente se haya producido. No reducen los
daños caso de que la salvaguarda no sea perfecta y el incidente llegue a ocurrir.
Ejemplos: eliminación de cuentas estándar, de cuentas sin contraseña, de servicios inne-
cesarios, en general, todo lo que tenga que ver con la fortificación o bastionado, cifrado de la información, armarios ignífugos, ...
[IM] minimización del impacto / limitación del impacto
Se dice que una salvaguarda minimiza o limita el impacto cuando acota las consecuencias
de un incidente.
Ejemplos: desconexión de redes o equipos en caso de ataque, detención de servicios en
caso de ataque, seguros de cobertura, cumplimiento de la legislación vigente,...
[CR] corrección
Diremos que una salvaguarda es correctiva cuando, habiéndose producido un daño, lo re-
para. Son salvaguardas que actúan después de que el incidente se haya producido y por tanto reducen los daños.

Ejemplos: gestión de incidentes, líneas de comunicación alternativas, fuentes de alimenta-
ción redundantes, ...

[RC] recuperación
Diremos que una salvaguarda ofrece recuperación cuando permite regresar al estado ante-
rior al incidente. Son salvaguardas que no reducen las probabilidades del incidente, pero
acotan los daños a un periodo de tiempo.
Ejemplos: copias de seguridad (back-up)

[MN] monitorización
Son las salvaguardas que trabajan monitorizando lo que está ocurriendo o lo que ha ocu-
rrido. Si se detectan cosas en tiempo real, podemos reaccionar atajando el incidente para
limitar el impacto; si se detectan cosas a posteriori, podemos aprender del incidente y me-
jorar el sistema de salvaguardas de cara al futuro.
Ejemplos: registros de actividad, registro de descargas de web, ...

[DC] detección
Diremos que una salvaguarda funciona detectando un ataque cuando informa de que el
ataque está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación
otras medidas que atajen la progresión del ataque, minimizando daños.
Ejemplos: anti-virus, IDS, detectores de incendio, ...

[AW] concienciación
Son las actividades de formación de las personas anexas al sistema que pueden tener una
influencia sobre él. La formación reduce los errores de los usuarios, lo cual tiene un efecto
preventivo. También mejora las salvaguardas de todo tipo pues los que las operan lo
hacen con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo por
una mala operación.
Ejemplos: cursos de concienciación, cursos de formación, ...
[AD] administración
Se refiere a las salvaguardas relacionadas con los componentes de seguridad del sistema.
Una buena administración evita el desconocimiento de lo que hay y por tanto impide que
hayan puertas desconocidas por las que pudiera tener éxito un ataque. En general pueden
considerarse medidas de tipo preventivo.
Ejemplos: inventario de activos, análisis de riesgos, plan de continuidad, ...

7.Implantación de controles seleccionados. En esta fase se ha de tener en cuenta los siguientes puntos:
-Riesgos y niveles de riesgo
-Acciones priorizadas
-Controles recomendados
-Controles seleccionados
-Responsables
-Fecha de inicio
-Fecha objeto de finalización
-Requerimientos de mantenimiento

En definitiva, la seguridad de la información es muy importante en la empresa, por lo que es importante la implantación de una metodología que nos ayude a identificar los riesgos a los que estamos expuestos y las medidas que hemos de adoptar para evitar su aparición o la mitigación de sus perjudiciales efectos para la entidad. 

A continuación un vídeo sobre los riesgos informáticos en la empresa.

Comentarios

Publicar un comentario

Entradas populares de este blog

PRINCIPALES FACTORES DE RIESGO LABORAL EN LA DOCENCIA

Imagen
 En el entorno de la enseñanza podemos estar expuestos a riesgos laborales que pueden poner en peligro nuestra seguridad, en lugares que en principio nos podrían parecer inocuos, como es el caso de las aulas. Por riesgo laboral entendemos aquellos acontecimientos que pueden provocar que un trabajador sufra un determinado daño derivado del trabajo durante el ejercicio de su función. El desarrollo de la actividad docente en las aulas, implica una serie de riesgos para la seguridad y salud de los profesores, que éstos han de conocer.  Éstos son los principales riesgos a los que está sometido un docente en las aulas: -Condiciones de seguridad. Hay que citar el Real  Real Decreto 486/1997, de 14 de abril, por que se establecen las disposiciones mínimas de salud y seguridad en el trabajo , especialmente sus 6 anexos que tratan de las condiciones de seguridad en lugares de trabajo; orden, limpieza y mantenimiento; condiciones medioambientales; iluminación; seguridad higiénica y desc
Leer más

AUTOCONTROL Y SUS BENEFICIOS EN EL TRABAJO

Imagen
 El autocontrol se define como la capacidad para dominar los pensamientos, emociones y acciones para desarrollar bienestar y satisfacción en distintas áreas, ya sea en el plano personal, social o laboral. El autocontrol se consigue con tres instrumentos esenciales: 1- Autoobservación: Para cumplir las metas que nos proponemos debemos evaluar nuestras conductas, para lo cual debemos registrar de forma detallada nuestras tareas, al igual que los momentos en que surgen los inconvenientes que interrumpen el ritmo de las actividades, se pierde la concentración y caemos en los errores. De esta forma definimos un conjunto de tácticas para ajustar la conducta a las metas que se han establecido y lograr avanzar hacia el desarrollo personal. 2-  Autorrefuerzo: Administración de recompensas definidas por el individuo. Por ejemplo, al terminar una tarea frotarse las manos diciendo: "Trabajo finalizado". También lo empleamos para ajustar ideas. Por ejemplo, si obtenemos mejores
Leer más