Metodología Margerit para el análisis e identificación de riesgos en SGSI
Margerit
Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se denomina “Proceso de Gestión de los Riesgos”, sección 4.4 Implementación de la Gestión de los Riesgos, dentro del “Marco de Gestión de Riesgos”. En otras palabras, MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información.
Existen diferentes aproximaciones a los problemas que se presentan al analizar los riesgos soportados por los sistemas TIC: guías informales, aproximaciones metódicas y herramientas de soporte. Todas buscan objetivar el análisis de riesgos para conocer los seguros e inseguros que se encuentran los sistemas y no llevarse a engaño. El reto de todas las aproximaciones es la complejidad que tenga el problema al que se enfrenten. Es por esto que en Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.
Magerit persigue los siguientes objetivos:
Directos:
- Concienciar a los responsables de las empresas de información de la existencia de riesgos y la necesidad de gestionarlos.
- Ofrecer un método sistemático para analizar los riesgos derivados de la utilización de tecnologías de la información y comunicaciones.
- Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control.
Indirectos:
- Preparar a la empresa para los procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
También se busca la uniformidad de los informes que recogen los hallazgos y las conclusiones de las actividades de análisis y gestión de riesgos:
- Modelo de valor: Se caracteriza el valor que representan los activos para la empresa, así como de las dependencias entre los distintos activos.
- Declaración de aplicabilidad: Para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido.
- Evaluación de salvaguardas: Evaluación de la eficacia de las salvaguardas existentes en relación con el riesgo que deben afrontar.
- Estado de riesgo: Caracterización de los activos por su riesgo residual, es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas.
- Informe de insuficiencias: Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema.
- Cumplimiento de normativa: Satisfacción de unos requisitos. Declaración de que se ajusta y es conforme a la normativa correspondiente.
- Plan de seguridad: Conjunto de proyectos de seguridad que permiten materializar las decisiones de tratamiento de riesgos.
Análisis y gestión de riesgos
Seguridad es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
El objetivo a proteger es la misión de la empresa, teniendo en cuenta las diferentes dimensiones de la seguridad:
- Disponibilidad: o disposición de los servicios a ser usados cuando sea necesario. La carencia de disponibilidad supone una interrupción del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones.
- Integridad: o mantenimiento de las características de completitud y corrección de los datos. Contra la integridad, la información puede aparecer manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeño de las funciones de una Organización.
- Confidencialidad: o que la información llegue solamente a las personas autorizadas. Contra la confidencialidad o secreto pueden darse fugas y filtraciones de información, así como accesos no autorizados. La confidencialidad es una propiedad de difícil recuperación, pudiendo minar la confianza de los demás en la organización que no es diligente en el mantenimiento del secreto, y pudiendo suponer el incumplimiento de leyes y compromisos contractuales relativos a la custodia de los datos.
A estas dimensiones canónicas de la seguridad se pueden añadir otras derivadas que nos acerquen a la percepción de los usuarios de los sistemas de información:
- Autenticidad: Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. Contra la autenticidad de la información podemos tener manipulación del origen o el contenido de los datos. Contra la autenticidad de los usuarios de los servicios de acceso, podemos tener suplantación de identidad.
- Trazabilidad: Aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento. La trazabilidad es esencial para analizar los incidentes, perseguir a los atacantes y aprender de la experiencia. La trazabilidad se materializa en la integridad de los registros de actividad.
Todas estas características pueden ser requeridas o no dependiendo de cada caso. Cuando se requieren, no es evidente que se disfruten sin más. Lo habitual que haya que poner medios y esfuerzo para conseguirlas. A racionalizar este esfuerzo se dedican las metodologías de análisis y gestión de riesgos que comienzan con una definición:
- Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización.
El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante saber qué características son de interés en cada activo, así como saber en qué medida estas características están en peligro, es decir, analizar el sistema:
- Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización.
Sabiendo lo que podría pasar, hay que tomar decisiones:
- Tratamiento de los riesgos proceso destinado a modificar el riesgo.
Software ISO 27001
El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una empresa.