Chapter III: Methodology
Phase 4: Analysis and Contrast
Se empieza por un análisis somero, de alto nivel, identificando rápidamente lo más crítico: activos de gran valor, vulnerabilidades manifiestas o, simplemente, recomendaciones de libro de texto porque no hay nada más prudente que aprender en cabeza ajena, aprovechando la experiencia de los demás.
8.8.1. Protección básica:
Es frecuente oír hablar de medidas básicas de protección (baseline) que deberían implantarse en todos los sistemas, salvo que se demuestre que no son pertinentes a algún caso particular.
Existen numerosas fuentes, entre las que cabe destacar: • Normas internacionales, por ejemplo [ISO 27002] • Normas sectoriales
• Normas corporativas, especialmente frecuentes en pequeñas delegaciones de grandes organizaciones
Las ventajas de protegerse por catálogo son: • es muy rápido
• cuesta menos esfuerzo que ponerse a analizar y decidir
• Se logra un nivel homogéneo con otras organizaciones parecidas
Apéndice 1. Glosario
Diferentes autores u organizaciones definen los mismos términos de diferentes formas y maneras.
A1.1. Términos en español
Aceptación del riego : Decisión informada a favor de tomar un riesgo
Acreditación: Acción de facultar a un sistema o red de información para que
procese da-tos sensibles, determinando el grado en el que el diseño y la materialización de dicho sistema cumple los requerimientos de seguridad técnica preestablecidos.
Activo: Componente o funcionalidad de un sistema de información
(software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
Amenaza : Causa potencial de un incidente que puede causar daños a un
sistema de información o a una organización
Aceptación del riesgo : Decisión informada a favor de tomar un riesgo
Análisis de impacto: Estudio de las consecuencias que tendría una parada
de X tiempo sobre la Organización .
Ataque : Intento de destruir, exponer, alterar o inhabilitar un sistema de información o la información que el sistema maneja, o violar alguna política de segu-ridad de alguna otra manera.
Auditoria de seguridad : Estudio y examen independiente del historial y actividades de un sistema de información, con la finalidad de comprobar la idoneidad de los controles del sistema, asegurar su conformidad con la estructura de seguridad y procedimientos operativos establecidos, a fin de detectar brechas en la seguridad y recomendar cambios en los procedimientos, controles y es-tructuras de seguridad.
Autenticidad Propiedad o característica consistente en que una entidad es
quien dice ser o bien que garantiza la fuente de la que proceden los datos. Confidencialidad: Propiedad o característica consistente en que la
información ni se pone a dis-posición ni se revela a individuos, entidades o procesos no autorizados .
Aceptación de riesgo: Decisión informada a favor de tomar un riesgo.
Declaración de aplicabilidad : Documento formal en el que, para un conjunto
de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido
Degradación: Pérdida de valor de un activo como consecuencia de la materialización de una amenaza.
Dimensión de seguridad: Un aspecto, diferenciado de otros posibles
aspectos, respecto del que se puede medir el valor de un activo en elsentido del perjuicio que causaría su pérdida de valor
Disponibilidad : Aseguramiento de que los usuarios autorizados tienen acceso
cuando lo requieran a la información y sus activos asociados
Impacto residual : Impacto remanente en el sistema tras la implantación de
las salvaguardas determinadas en el plan de seguridad de la información
Incidente de seguridad: Suceso (inesperado o no deseado) con
consecuencias en detrimento de la seguridad del sistema de información.
Mapa de riesgo: Informe: Relación de las amenazas a que están expuestos
Modelo de valor: Informe: Caracterización del valor que representan los
activos para la Organización así como de las dependencias entre los diferentes activos.
Plan de seguridad: Conjunto de proyectos de seguridad que permiten
materializar las decisiones de gestión de riesgos.
Probabilidad: Probabilidad (likelihood) – Posibilidad de que un hecho se
produzca.
Proyecto de seguridad: Agrupación de tareas orientadas a tratar el riesgo del
sistema.
Riesgo Acumulado: Dícese del calculado tomando en consideración el valor
propio de un activo y el valor de los activos que depende de él
Riesgos potenciales. Los riesgos del sistema de información en la hipótesis
de que no hubieran salvaguardas presentes.
Riesgo Residual: Riesgo remanente en el sistema después del tratamiento
del riesgo.
Seguridad de la información : Confianza en que los sistemas de información
están libres y exentos de todo peligro o daño inaceptables
Sistema de información : Los ordenadores y redes de comunicaciones
electrónicas, así como los datos electrónicos almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento .
Trazabilidad: Aseguramiento de que en todo momento se podrá determinar
quién hizo qué y en qué momento .
Valor: De un activo. Es una estimación del coste inducido por la materialización
de una amenaza.
Valor acumulado: Considera tanto el valor propio de un activo como el valor
de los activos que dependen de él.
Vulnerabilidad: Defecto o debilidad en el diseño, implementación u operación
de un sistema que habilita o facilita la materialización de una amenaza.
A1.2. Términos anglosajones :
Breve diccionario inglés-español de términos habituales en análisis y gestión de riesgos:
Acrónimos
ALE Annual Loss Expectancy
ARO Annual Rate of Occurrence
BIA Business Impact Analysis
Accountability Trazabilidad
Authenticity Autenticidad
Availability Disponibilidad
Asset Activo
Business Impact Analysis Análisis de impacto
Compliance Cumplimiento
Confidentiality Confidencialidad
Countermeasure Contra medida
Frequency Frecuencia
Impact Impacto
Information security Seguridad de la información
Information security incident Incidente de seguridad
Information system Sistema de información
Integrity Integridad
Residual risk Riesgo residual
Risk Riesgo
Risk acceptance Aceptación de riesgos
Risk analysis Análisis de riesgos
Risk assessment Análisis de riesgos
Risk management Gestión de riesgos
Risk map Mapa de riesgo
Risk treatment Tratamiento del riesgo
Safeguard Salvaguarda
Security Seguridad
Statement of applicability Documento de selección de
controles
Traceability Trazabilidad
Threat Amenaza
Value Valor
Vulnerability Vulnerabilidad
A1.3. ISO – Gestión del riesgo .
Definiciones:
Riesgo: Efecto de la incertidumbre sobre la consecución de los objetivos.
Proceso de gestión del riesgo: Aplicación sistemática de políticas,
procedimientos y prácticas de gestión a las activi-dades de comunicación, consulta, establecimiento del contexto, e identificación, análi-sis, evaluación, tratamiento, seguimiento y revisión del riesgo.
Dueño del riesgo :Persona o entidad que tiene la responsabilidad y autoridad
para gestionar un riesgo.
Tratamiento del riesgo :Proceso destinado a modificar el riesgo.