¿Qué es la evaluación de riesgos?
Pregunta 2: ¿Qué significa evaluación de riesgos?
Cuando se habla de evaluación de riesgos, primero nos vienen a la mente una serie de términos como riesgo, activo, impacto, amenaza y vulnerabilidad. Estos términos no son difíciles de entender, pero una vez considerados en conjunto, se juntan como un trabalenguas. Por ejemplo, la definición de riesgo en ISO/IEC TR 13335-1:1996 puede interpretarse como: el potencial de que una amenaza específica explote la debilidad de un activo para causar pérdida o daño a un activo.
La evaluación de riesgos es una evaluación de las amenazas, vulnerabilidades e impactos de los activos de información, y la probabilidad de que su impacto combinado resulte en riesgo. Como base de la gestión de riesgos, la evaluación de riesgos es una forma importante para que las organizaciones determinen sus necesidades de seguridad de la información y pertenece al proceso de planificación del sistema de gestión de seguridad de la información de la organización.
Las principales tareas de la evaluación de riesgos incluyen:
Identificación de los riesgos que enfrenta la organización
Evaluación de la probabilidad de los riesgos y posibles impactos negativos.
Determinar la tolerancia al riesgo de la organización.
Determinar prioridades para la reducción y el control de riesgos
Recomendar contramedidas de reducción de riesgos
Durante el proceso de evaluación de riesgos, hay varias cuestiones clave a considerar. En primer lugar, ¿cuál es el objeto (o activo) que se va a proteger? ¿Cuál es su valor directo e indirecto? En segundo lugar, ¿cuáles son las amenazas potenciales al activo? ¿Cuál es el problema que causa la amenaza? ¿Qué tan probable es la amenaza? En tercer lugar, ¿dónde están las debilidades del activo que podrían ser explotadas por amenazas? ¿Qué tan fácil es de usar? Cuarto, una vez que ocurre una amenaza, ¿qué tipo de pérdidas sufrirá la organización o qué tipo de impacto negativo enfrentará? Finalmente, ¿qué medidas de seguridad deberían tomar las organizaciones para minimizar los daños causados por los riesgos?
El proceso de resolución de los problemas anteriores es el proceso de evaluación de riesgos.
Al realizar una evaluación de riesgos, se deben considerar varias relaciones correspondientes:
Cada activo puede estar expuesto a múltiples amenazas.
Puede haber múltiples fuentes de amenaza (agentes de amenaza).
Cada amenaza puede explotar una o más vulnerabilidades.
Tres métodos viables de evaluación de riesgos
En la etapa de preparación de la gestión de riesgos, la organización ha determinado su propia estrategia de seguridad en función de los objetivos de seguridad, incluida la consideración de estrategias de evaluación de riesgos. La llamada estrategia de evaluación de riesgos es en realidad la forma de realizar la evaluación de riesgos, es decir, estipula los procesos y modelos operativos que deben continuar para la evaluación de riesgos.
El alcance operativo de la evaluación de riesgos puede ser toda la organización, un determinado departamento de la organización o un nuevo sistema de información, componentes y servicios específicos del sistema. Algunos de los factores que influyen en el progreso de una evaluación de riesgos, incluidos el momento, la intensidad, el alcance y la profundidad del desarrollo, deben ser coherentes con los requisitos ambientales y de seguridad de la organización. Las organizaciones deben elegir métodos apropiados de evaluación de riesgos en función de diferentes situaciones. En la actualidad, los métodos de evaluación de riesgos comúnmente utilizados en el trabajo práctico incluyen una evaluación de referencia, una evaluación detallada y una evaluación combinada.
Evaluación de referencia
Si las operaciones comerciales de una organización no son muy complejas y la organización no depende en gran medida del procesamiento de información y las redes, o si la mayoría de los sistemas de información de la organización utilizan información general, se En un modelo estandarizado, la evaluación de riesgos de referencia hace que sea sencillo y sencillo lograr un nivel básico de seguridad que cumpla con todos los requisitos de la organización y su entorno empresarial.
Utilizando una evaluación de riesgos de referencia, la organización lleva a cabo inspecciones de referencia de seguridad de los sistemas de información en función de su situación real (industria, entorno empresarial y naturaleza, etc.). ) (Comparar las medidas de seguridad existentes con las especificadas en la línea base de seguridad para identificar brechas) y obtener requisitos de seguridad básicos para reducir y controlar los riesgos seleccionando e implementando medidas de seguridad estándar. La llamada línea base de seguridad es un conjunto de medidas o prácticas de control de seguridad especificadas en muchos estándares y especificaciones. Estas medidas y prácticas son aplicables a todos los sistemas en entornos específicos y pueden cumplir requisitos de seguridad básicos y permitir que el sistema alcance un cierto nivel de protección de seguridad.
Las organizaciones pueden seleccionar líneas de base de seguridad basadas en los siguientes recursos:
Estándares internacionales y nacionales, como BS 7799-1 e ISO 13335-4;
Estándares o recomendaciones de la industria, como el Manual de protección básica de TI de la Agencia Federal de Seguridad de Alemania;
; prácticas de otras organizaciones con objetivos y tamaños comerciales similares.
Por supuesto, las organizaciones también pueden establecer sus propias líneas de base si el entorno y los objetivos comerciales son típicos.
La evaluación de referencia tiene las ventajas de menos recursos, ciclo corto y operación simple. Para muchas organizaciones con entornos similares y necesidades de seguridad similares, una evaluación de referencia es claramente el método más rentable de evaluación de riesgos. Por supuesto, la evaluación de referencia también tiene sus inevitables deficiencias, como la dificultad de establecer un nivel de referencia. Si es demasiado alto, puede provocar un desperdicio de recursos y restricciones excesivas. Si es demasiado bajo, puede resultar difícil estar completamente seguro. Además, es difícil gestionar los cambios relacionados con la seguridad.
El objetivo de una evaluación de referencia es establecer un conjunto mínimo de contramedidas para cumplir los objetivos básicos de seguridad de la información que se pueden implementar en toda la organización. Si existen necesidades especiales, se debe realizar una evaluación más detallada del sistema específico.
Evaluación detallada
La evaluación de riesgos detallada requiere una identificación y evaluación detallada de los activos, una evaluación de las amenazas y los niveles de vulnerabilidad que pueden causar riesgos, e identificación y elección de medidas de seguridad. Este método de evaluación encarna la idea de gestión de riesgos, que consiste en identificar los riesgos de los activos y reducirlos a un nivel aceptable para demostrar que las medidas de control de seguridad tomadas por los administradores son apropiadas.
Las ventajas de la evaluación detallada son:
; las organizaciones pueden tener una comprensión precisa de los riesgos de seguridad de la información a través de una evaluación de riesgos detallada y definir con precisión el nivel de seguridad actual y las necesidades de seguridad de la organización;
p>
;Los resultados de la evaluación detallada se pueden utilizar para gestionar los cambios de seguridad. Por supuesto, la evaluación detallada de riesgos puede ser un proceso que requiere muchos recursos, incluyendo tiempo, esfuerzo y tecnología. Por lo tanto, las organizaciones deben establecer cuidadosamente el alcance de los sistemas de información que se van a evaluar y definir los límites del entorno empresarial, las operaciones y los activos de información.
Evaluación combinada
La evaluación de riesgos de referencia consume menos recursos, tiene un ciclo corto, es simple de operar, pero no es lo suficientemente precisa y es adecuada para una evaluación ambiental general. La evaluación de riesgos detallada es precisa y detallada, pero consume más recursos y es adecuada para la evaluación en áreas pequeñas con límites estrictamente definidos. Basándose en subprácticas, la mayoría de las organizaciones adoptan un método de evaluación combinado que combina los dos.
Para decidir qué método de evaluación de riesgos seleccionar, la organización primero lleva a cabo una evaluación preliminar de riesgos de alto nivel de todos los sistemas, enfocándose en el valor comercial y los posibles riesgos de los sistemas de información e identificando aquellos con alto riesgo o a sus operaciones comerciales. Estos activos o sistemas deben incluirse en el alcance de una evaluación de riesgos detallada, mientras que otros sistemas pueden seleccionar directamente medidas de seguridad a través de una evaluación de riesgos de referencia.
Este método de evaluación combina las ventajas de la evaluación inicial y la evaluación de riesgos detallada, lo que no solo ahorra los recursos consumidos por la evaluación, sino que también garantiza la exhaustividad y sistematicidad de los resultados de la evaluación. Además, los recursos y fondos de la organización se pueden utilizar donde sean más eficaces y se puede prestar atención por adelantado a los sistemas de información de alto riesgo. Por supuesto, las evaluaciones de cartera también tienen desventajas: si la evaluación inicial de riesgos de alto nivel no es lo suficientemente precisa, algunos sistemas que requieren una evaluación detallada pueden pasarse por alto, lo que en última instancia conduce a resultados inexactos.
Métodos comunes de evaluación de riesgos
En el proceso de evaluación de riesgos, se pueden utilizar una variedad de métodos operativos, incluidos métodos de análisis basados en conocimientos, métodos de análisis basados en modelos, análisis cualitativos y Análisis cuantitativo. Independientemente del enfoque, el objetivo es identificar los riesgos para los activos de información de una organización y su impacto, así como las brechas entre los niveles de seguridad actuales y las necesidades de seguridad de la organización.
Métodos de análisis basados en el conocimiento
En una evaluación de riesgos de referencia, las organizaciones pueden utilizar métodos de análisis basados en el conocimiento para identificar brechas entre la postura de seguridad actual y los estándares de seguridad de referencia.
Los métodos de análisis basados en el conocimiento, también conocidos como métodos empíricos, implican la reutilización de "mejores prácticas" de organizaciones similares (incluido el tamaño, los objetivos comerciales y los mercados, etc.). ) y está destinado a la comunidad general de seguridad de la información.
Al utilizar métodos de análisis basados en el conocimiento, las organizaciones no necesitan invertir mucho esfuerzo, tiempo y recursos. Sólo requiere recopilar información relevante a través de diversos canales, identificar los riesgos de la organización y las medidas de seguridad vigentes, compararlos con estándares o mejores prácticas específicas, identificar no conformidades y seleccionar medidas de seguridad con base en las recomendaciones de los estándares o mejores prácticas. Se logra el propósito de reducir y controlar los riesgos.
Lo más importante según el método de análisis basado en el conocimiento es recopilar información de evaluación. Las fuentes de información incluyen:
; discusiones de reuniones;
; revisar la política actual de seguridad de la información y los documentos relacionados;
; preparar cuestionarios y realizar encuestas;
; entrevistar al personal relevante;
;
Para simplificar el trabajo de evaluación, las organizaciones pueden utilizar algunas herramientas automatizadas auxiliares. Estas herramientas pueden ayudar a las organizaciones a formular cuestionarios que cumplan con estándares específicos, luego analizar exhaustivamente las respuestas, compararlas con estándares específicos y dar la respuesta. Resultado final. Informes recomendados. Hay muchas herramientas de este tipo en el mercado y Cobra es una de las más típicas.
Método de análisis basado en modelos
2001 1 Un proyecto llamado CORAS, una plataforma de análisis de riesgos de sistemas críticos para la seguridad, está formado por varias empresas comerciales en Grecia, Alemania y el Reino Unido. , Noruega y desarrollado conjuntamente por instituciones de investigación. El propósito de este proyecto es desarrollar un marco de evaluación de riesgos basado en modelado orientado a objetos, específicamente técnicas UML. Sus objetos de evaluación son sistemas generales con altos requisitos de seguridad, especialmente la seguridad de los sistemas informáticos. CORAS considera la tecnología, las personas y todos los aspectos relacionados con la seguridad organizacional. A través de la evaluación de riesgos CORAS, las organizaciones pueden definir, obtener y mantener la confidencialidad, integridad, disponibilidad, no repudio, trazabilidad, autenticidad y confiabilidad de los sistemas de TI.
Al igual que el análisis cualitativo y cuantitativo tradicional, la evaluación de riesgos CORAS sigue el proceso de identificación de riesgos, análisis de riesgos, evaluación y manejo de riesgos, pero su método de medición de riesgos es completamente diferente y todos los procesos de análisis se basan en objetos. -modelos orientados. Las ventajas de CORAS son: mejora la precisión de la descripción de las características relacionadas con la seguridad y mejora la calidad de los resultados del análisis; el mecanismo de modelado gráfico facilita la comunicación y reduce las desviaciones en la comprensión; mejora la eficiencia de la interoperabilidad de diferentes métodos de evaluación; .
Análisis cuantitativo
En el análisis de riesgos detallado, además de los métodos de evaluación basados en el conocimiento, los métodos más tradicionales son el análisis cuantitativo y el cualitativo.
La idea detrás del método de análisis cuantitativo es muy clara: asignar un importe numérico o monetario a todos los elementos que constituyen un riesgo y el nivel de pérdidas potenciales. Cuando se asignan valores a todos los elementos que miden el riesgo (valor de los activos, frecuencia de las amenazas, explotación de la vulnerabilidad, eficiencia y costo de las medidas de seguridad, etc.), se puede cuantificar todo el proceso y los resultados de la evaluación del riesgo.
En pocas palabras, el análisis cuantitativo es un método que intenta utilizar valores numéricos para analizar y evaluar riesgos de seguridad.
Hay varios conceptos importantes en el análisis de riesgo cuantitativo:
; Factor de exposición (EF mdash ampmdash) El porcentaje o grado de pérdida causada por una amenaza específica a un activo específico.
;Expectativa de pérdida única (SLE) y;mdash ampmdash o SOC (Costos de ocurrencia única), es decir, la pérdida potencial total que una amenaza específica puede causar.
; Tasa Anual de Ocurrencia (ARO); mdash ampmdash es la frecuencia estimada de amenazas en un año.
La pérdida esperada anualizada (ALE) y amdash ampmdash, o EAC (coste anual estimado), representan la pérdida esperada de un activo específico en un año.
Al inspeccionar el proceso de análisis cuantitativo, podemos ver la relación entre estos conceptos:
(1) Primero, identificar los activos y asignarles valores;
(2) A través de la evaluación de amenazas y vulnerabilidades, evalúe el impacto de amenazas específicas en activos específicos, es decir, EF (el valor está entre 0-100);
(3) Calcule la frecuencia de amenazas específicas , es decir, ARO ;;
(4) Calcular el SLE del activo:
SLE = Valor del activo ×; Indicador de ángulo de elevación
(5) Calcule el ALE del activo:
p>
ALE = SLE×; Airborne Radio Range Finder
Por ejemplo: supongamos que una empresa invierte 500.000 dólares en la construcción de un centro de operaciones de red. y su mayor amenaza es el fuego. En caso de incendio, el daño estimado al centro de operaciones de la red es de $45. Según la extrapolación del departamento de bomberos, cada cinco años ocurre un incendio en el área donde se encuentra el centro de operaciones de la red, por lo que obtenemos un ARO de 0,20. Según las cifras anteriores, el ALE para el centro de operaciones de red de la empresa sería de 45 000 dólares.
Podemos ver que para el análisis cuantitativo, hay dos indicadores más críticos, uno es la posibilidad de que ocurra un evento (que puede expresarse mediante ARO) y el otro es la pérdida que puede causar un evento amenazante. causa (expresada por ARO) EF significa).
En teoría, los riesgos de seguridad se pueden clasificar con precisión mediante un análisis cuantitativo, pero existe la premisa de que los indicadores de datos disponibles como referencia son precisos. De hecho, en los sistemas de información cada vez más complejos y cambiantes de hoy en día, es difícil garantizar la confiabilidad de los datos en los que se basa el análisis cuantitativo. Además, la falta de estadísticas de datos a largo plazo hace que el proceso de cálculo sea propenso a errores, lo que plantea grandes dificultades para refinar el análisis. Por lo tanto, el análisis de riesgos de seguridad de la información actual adopta análisis cuantitativo o métodos de análisis puramente cuantitativos.
Análisis cualitativo
El análisis cualitativo es actualmente el método más utilizado y es altamente subjetivo. Por lo general, requiere confiar en la experiencia e intuición de los analistas o en los estándares y prácticas de la industria para evaluar diversos elementos de la gestión de riesgos (valor de los activos, probabilidad de amenazas, facilidad de explotación de la vulnerabilidad, efectividad de los controles existentes, etc.). Clasificación cualitativa de escala o nivel. . ), como "alto", "medio", "bajo".
Los métodos de análisis cualitativo pueden ser variados, incluyendo discusiones en grupo (como el método Delphi), listas de verificación, cuestionarios, entrevistas, encuestas, etc. El análisis cualitativo es relativamente fácil de operar, pero los resultados del análisis pueden ser inexactos debido a sesgos en la experiencia y la intuición del operador.
En comparación con el análisis cuantitativo, el análisis cualitativo es ligeramente mejor pero no lo suficientemente preciso. El análisis cuantitativo es lo contrario; el análisis cualitativo no tiene tanta carga computacional como el análisis cuantitativo, pero requiere que los analistas tengan cierta experiencia y habilidad. análisis cuantitativo Al basarse en una gran cantidad de datos estadísticos, el análisis cualitativo no tiene tales requisitos; el análisis cualitativo es subjetivo, mientras que el análisis cuantitativo es objetivo;
Además, los resultados del análisis cuantitativo son intuitivos y fáciles de entender, mientras que los resultados del análisis cualitativo son difíciles de tener una explicación unificada. Las organizaciones pueden elegir métodos de análisis cualitativos o cuantitativos según las circunstancias.