SGSI Análisis y gestión de riesgos Ficheiro

2. SGSI: Análisis y Gestión de Riesgos

2.1 Información y seguridad de la información

2.1.1 Qué es la información

• Conjunto de datos organizados que tienen valor para una entidad.
• Ese valor existe con independencia del formato, origen o fecha.
• La información, junto con los procesos y sistemas que la usan, es un activo crítico para la continuidad del negocio.

2.1.2 Ciclo de vida de la información

La información puede ser:

• Creada.
• Almacenada.
• Procesada.
• Transmitida.
• Utilizada, correctamente o de forma inadecuada.
• Corrompida.
• Robada.
• Perdida.
• Destruida.

2.1.3 Tipos de información

• En papel.
• Electrónica.
• Transmitida por correo o medios electrónicos.
• En vídeos corporativos.
• Publicada en la web.
• Verbal.

2.1.4 Seguridad de la información

La ISO/IEC 27001 la define como la preservación de:

• Confidencialidad: acceso solo para autorizados.
• Integridad: exactitud de la información y de los métodos de proceso.
• Disponibilidad: acceso cuando los usuarios autorizados lo necesiten.

También pueden intervenir:

• Autenticidad.
• Responsabilidad.
• No repudio.
• Confiabilidad.

2.2 Clasificación de la información

La información puede clasificarse en niveles como:

• Pública u open: puede difundirse ampliamente sin causar daño relevante.
• Interna o propietaria: su divulgación no autorizada sería inapropiada o inconveniente.
• Confidencial o restringida: información especialmente sensible o valiosa que no debe salir de la organización sin autorización expresa.

Aspectos asociados a la clasificación:

• Marcado de documentos.
• Copias permitidas.
• Distribución interna o externa.
• Controles físicos y administrativos.
• Método de destrucción o eliminación.

2.3 Qué es un SGSI

Un Sistema de Gestión de la Seguridad de la Información es:

• Una herramienta para dotar a la organización de las medidas de seguridad oportunas.
• Un proceso sistemático, documentado y conocido por toda la organización.
• Un enfoque basado en riesgo empresarial.
• Un sistema de mejora continua.

Su finalidad es:

• Proporcionar el nivel de protección necesario en cada momento.
• Hacerlo de forma eficiente.
• Mantener la exposición al riesgo por debajo del riesgo asumible por la organización.

Un SGSI permite:

• Conocer los riesgos de la información.
• Asumirlos, minimizarlos, transferirlos o controlarlos.
• Revisar y mejorar continuamente políticas, procedimientos y controles.

2.4 Principios de gestión en un SGSI

• La seguridad debe basarse en procedimientos adecuados.
• Los controles deben derivarse de una evaluación de riesgos.
• Hay que medir la eficacia de los controles.
• Debe implicarse toda la organización, con apoyo activo de la dirección.
• También deben considerarse clientes y proveedores.

2.5 Fases del SGSI: ciclo PDCA

2.5.1 Plan

Consiste en establecer el SGSI:

• Definir la política del SGSI.
• Definir la metodología de evaluación del riesgo.
• Identificar riesgos.
• Analizar y evaluar riesgos.
• Identificar alternativas de tratamiento.
• Seleccionar objetivos de control y controles.
• Elaborar la Declaración de Aplicabilidad o SoA.
• Obtener aprobación de la dirección sobre riesgos residuales.
• Conseguir autorización para implantar y operar el SGSI.

2.5.2 Do

Consiste en implementar y gestionar:

• Implementar el plan de tratamiento del riesgo.
• Implantar los controles seleccionados.
• Formar y concienciar al personal.
• Gestionar operaciones y recursos del SGSI.
• Implantar procedimientos para detectar y responder rápidamente a incidentes.

2.5.3 Check

Consiste en monitorizar y revisar:

• Revisar el SGSI.
• Medir eficacia de los controles.
• Revisar riesgos residuales.
• Registrar acciones y eventos.
• Realizar auditorías internas.

2.5.4 Act

Consiste en mantener y mejorar:

• Implantar mejoras detectadas.
• Aplicar acciones correctivas y preventivas.
• Comunicar resultados y acciones a las partes interesadas.
• Verificar que las mejoras cumplen el objetivo previsto.

2.6 Análisis de riesgos

2.6.1 Qué hay que proteger

Se protegen activos, por ejemplo:

• Documentos, correo y otros recursos intelectuales.
• Equipos, impresoras y otros recursos físicos.
• Tiempo necesario para reinstalar, recuperar copias o volver a operar.
• Imagen y reputación de la organización.

2.6.2 Activo

• Es todo lo que tiene valor para la organización y debe protegerse.
• Un activo de información es todo elemento que contiene o manipula información.
• Cada activo debe tener responsables definidos.

Ejemplos de activos:

• Ficheros y bases de datos.
• Contratos y acuerdos.
• Documentación del sistema.
• Manuales de usuario.
• Material de formación.
• Aplicaciones y software de sistema.
• Equipos informáticos y de comunicaciones.
• Servicios informáticos y de comunicaciones.
• Suministros generales como energía o climatización.
• Personas.

2.7 Conceptos fundamentales del riesgo

• Amenaza: evento intencionado o no que puede dañar un activo.
• Vulnerabilidad: debilidad del activo que puede explotar una amenaza.
• Impacto: daño causado cuando una amenaza explota una vulnerabilidad.
• Riesgo: impacto ponderado por la probabilidad o expectativa de ocurrencia.

Relación básica:

• Las amenazas explotan vulnerabilidades.
• Eso expone al activo.
• Los controles reducen el riesgo.
• El valor del activo y los requisitos de seguridad condicionan la importancia del riesgo.

2.8 Amenazas

Posibles orígenes:

• Empleados de la organización.
• Personal temporal o consultores.
• Competidores o personas con intereses contrarios.
• Atacantes con motivación económica, como robo o secuestro de datos.
• Amenazas no intencionadas, como errores o desastres naturales.

Ejemplos citados:

• Malware.
• Robo o sabotaje.
• Usuarios muy expertos.
• Fallos de red o sistema.
• Falta de documentación.
• Fallos de seguridad física.
• Desastres naturales e incendios.

2.9 Valoración de activos e impacto

La valoración puede hacerse considerando la tríada CIA:

• Confidencialidad.
• Integridad.
• Disponibilidad.

La combinación de esos tres valores permite asignar criticidad al activo en una escala creciente.

Además, hay que distinguir:

• Coste inmediato: lo que la empresa debe afrontar en los días siguientes al incidente para volver a la normalidad.
• Coste a largo plazo: pérdida de imagen, confianza o clientes.

La severidad del impacto depende de:

• Valor del activo.
• Severidad de la amenaza.
• Gravedad de la vulnerabilidad.

2.10 Probabilidad de ocurrencia

Ejemplo de escala vista en clase:

• 1: nunca.
• 2: raro, aproximadamente una vez al año.
• 3: periódico, aproximadamente una vez por trimestre.
• 4: regular, aproximadamente una vez cada 15 días.
• 5: frecuente, aproximadamente una vez por semana.

Para estimarla hay que analizar:

• Puntos débiles del sistema.
• Vías de acceso desde el exterior.
• Protección perimetral.
• Métodos de identificación de usuarios.
• Beneficio que obtendría un atacante.
• Estadísticas del país, sector o tipo de organización.

Fórmula simplificada de clase:

Riesgo = impacto o severidad x probabilidad de ocurrencia

2.11 Tratamiento del riesgo

La organización puede:

• Asumir el riesgo.
• Eliminarlo.
• Mitigarlo mediante controles.
• Transferirlo mediante seguros u otras fórmulas.

Interpretación práctica:

• Los riesgos aceptables pueden asumirse.
• Los tolerables exigen decisión y seguimiento.
• Los no aceptables deben tratarse.

Mitigar el riesgo solo tiene sentido si el coste de la protección es inferior a la pérdida esperada.

También deben considerarse:

• Requisitos legales aplicables.
• Posibilidad de asegurar ciertos riesgos.
• Riesgos residuales aceptados por la dirección.

2.12 Documentación y compromiso de dirección

Los resultados del análisis de riesgos y la arquitectura de seguridad propuesta deben quedar documentados.

La dirección debe:

• Aprobar riesgos residuales.
• Autorizar la implantación del SGSI.
• Expresar formalmente el compromiso de implantar acciones en un plazo determinado.

2.13 Plan director de seguridad

Fases principales:

• Diagnóstico de la situación: conocer organización, procesos, activos y estado de seguridad.
• Análisis de riesgos: identificar amenazas, vulnerabilidades y riesgos.
• Grado de cumplimiento: verificar cumplimiento de normas como ISO 27001.
• Plan de proyectos de seguridad: agrupar vulnerabilidades y definir proyectos a corto, medio y largo plazo.
• Gestión de riesgos: reducir, externalizar o asumir riesgos.

2.14 Metodología destacada

• MAGERIT v3: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
• Es una referencia importante en el ámbito de la administración electrónica española.

2.15 Ideas clave para examen

• La información es un activo esencial y debe protegerse durante todo su ciclo de vida.
• Un SGSI es un sistema formal, documentado y basado en riesgos.
• La seguridad de la información no es solo técnica: exige procesos, organización, dirección y mejora continua.
• El análisis de riesgos parte de activos, amenazas, vulnerabilidades, impacto y probabilidad.
• El tratamiento del riesgo puede ser asumir, eliminar, mitigar o transferir.
• La dirección tiene un papel central en la aprobación, implantación y mejora del SGSI.