Magerit V3 - Completo



Comments



Description

MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro I - Método TÍTULO: MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I - Método Elaboración y coordinación de contenidos: Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica Equipo responsable del proyecto: Director, Miguel Angel Amutio Gómez, Ministerio de Hacienda y Administraciones Públicas Javier Candau, Centro Criptológico Nacional, Ministerio de la Presidencia Consultor externo: José Antonio Mañas, Catedrático de la Universidad Politécnica de Madrid Características: Adobe Acrobat 5.0 Responsable edición digital: Subdirección General de Información, Documentación y Publicaciones (Jesús González Barroso) Madrid, octubre de 2012 Disponible esta publicación en el Portal de Administración Electrónica (PAe): http://administracionelectronica.gob.es/ Edita: © Ministerio de Hacienda y Administraciones Públicas Secretaría General Técnica Subdirección General de Información, Documentación y Publicaciones Centro de Publicaciones Colección: administración electrónica NIPO: 630-12-171-8 Magerit 3.0 Índice 1. Introducción ...................................................................................................................6  1.1 Buen gobierno .........................................................................................................................6  1.2. Confianza ...............................................................................................................................6  1.3. Gestión ...................................................................................................................................7  1.4. Magerit ...................................................................................................................................7  1.5. Introducción al análisis y gestión de riesgos ..........................................................................8  1.6. El análisis y el tratamiento de los riesgos en su contexto ....................................................10  1.6.1. Concienciación y formación..........................................................................................11  1.6.2. Incidencias y recuperación ...........................................................................................11  1.7. Organización de las guías....................................................................................................12  1.7.1. Modo de empleo ...........................................................................................................12  1.7.2. El catálogo de elementos .............................................................................................13  1.7.3. La guía de técnicas.......................................................................................................14  1.8. Evaluación, certificación, auditoría y acreditación................................................................14  1.9. ¿Cuándo procede analizar y gestionar los riesgos? ............................................................16  2. Visión de conjunto.......................................................................................................19  3. Método de análisis de riesgos....................................................................................22  3.1. Conceptos paso a paso........................................................................................................22  3.1.1. Paso 1: Activos .............................................................................................................22  3.1.2. Paso 2: Amenazas........................................................................................................27  3.1.3. Determinación del impacto potencial............................................................................28  3.1.4. Determinación del riesgo potencial...............................................................................29  3.1.5. Paso 3: Salvaguardas...................................................................................................31  3.1.6. Paso 4: impacto residual ..............................................................................................35  3.1.7. Paso 5: riesgo residual .................................................................................................35  3.2. Formalización de las actividades .........................................................................................35  3.2.1. Tarea MAR.1: Caracterización de los activos...............................................................37  3.2.2. Tarea MAR.2: Caracterización de las amenazas .........................................................40  3.2.3. Tarea MAR.3: Caracterización de las salvaguardas ....................................................42  3.2.4. Tarea MAR.4: Estimación del estado de riesgo ...........................................................44  3.3. Documentación ....................................................................................................................45  3.4. Lista de control .....................................................................................................................46  4. Proceso de gestión de riesgos...................................................................................47  4.1. Conceptos ............................................................................................................................48  4.1.1. Evaluación: interpretación de los valores de impacto y riesgo residuales....................48  4.1.2. Aceptación del riesgo ...................................................................................................49  4.1.3. Tratamiento...................................................................................................................49  4.1.4. Estudio cuantitativo de costes / beneficios ...................................................................50  4.1.5. Estudio cualitativo de costes / beneficios .....................................................................53  4.1.6. Estudio mixto de costes / beneficios.............................................................................53  4.1.7. Opciones de tratamiento del riesgo: eliminación ..........................................................53  4.1.8. Opciones de tratamiento del riesgo: mitigación............................................................53  4.1.9. Opciones de tratamiento del riesgo: compartición........................................................54  4.1.10. Opciones de tratamiento del riesgo: financiación .......................................................54  4.2. Formalización de las actividades .........................................................................................54  4.2.1. Roles y funciones .........................................................................................................55  4.2.2. Contexto .......................................................................................................................57  4.2.3. Criterios ........................................................................................................................57  4.2.4. Evaluación de los riesgos .............................................................................................58  4.2.5. Decisión de tratamiento ................................................................................................58  4.2.6. Comunicación y consulta..............................................................................................59  4.2.7. Seguimiento y revisión..................................................................................................59  4.3. Documentación del proceso.................................................................................................60  4.4. Indicadores de control del proceso de gestión de riesgos ...................................................60  © Ministerio de Hacienda y Administraciones Públicas página 3 (de 127) Magerit 3.0 5. Proyectos de análisis de riesgos ...............................................................................62  5.1. Roles y funciones .................................................................................................................62  5.2. PAR.1 – Actividades preliminares ........................................................................................64  5.2.1. Tarea PAR.11: Estudio de oportunidad ........................................................................64  5.2.2. Tarea PAR.12: Determinación del alcance del proyecto ..............................................66  5.2.3. Tarea PAR.13: Planificación del proyecto ....................................................................69  5.2.4. Tarea PAR.14: Lanzamiento del proyecto....................................................................69  5.3. PAR.2 – Elaboración del análisis de riesgos........................................................................70  5.4. PAR.3 – Comunicación de resultados..................................................................................71  5.5. Control del proyecto .............................................................................................................71  5.5.1. Hitos de control.............................................................................................................71  5.5.2. Documentación resultante ............................................................................................71  6. Plan de seguridad ........................................................................................................73  6.1. Tarea PS.1: Identificación de proyectos de seguridad.........................................................73  6.2. Tarea PS.2: Planificación de los proyectos de seguridad ....................................................75  6.3. Tarea PS.3: Ejecución del plan ............................................................................................76  6.4. Lista de control de los planes de seguridad .........................................................................76  7. Desarrollo de sistemas de información .....................................................................77  7.1. Inicialización de los procesos...............................................................................................77  7.2. SSI – Seguridad del sistema de información .......................................................................78  7.2.1. Ciclo de vida de las aplicaciones..................................................................................79  7.2.2. Contexto .......................................................................................................................80  7.2.3. Fase de especificación: adquisición de datos ..............................................................80  7.2.4. Fase de diseño: estudio de opciones ...........................................................................81  7.2.5. Soporte al desarrollo: puntos críticos ...........................................................................81  7.2.6. Aceptación y puesta en marcha: puntos críticos ..........................................................82  7.2.7. Operación: análisis y gestión dinámicos.......................................................................83  7.2.8. Ciclos de mantenimiento: análisis marginal..................................................................83  7.2.9 Terminación ...................................................................................................................83  7.2.10 Documentación de seguridad ......................................................................................84  7.3. SPD – Seguridad del proceso de desarrollo ........................................................................84  7.4. Referencias ..........................................................................................................................85  8. Consejos prácticos......................................................................................................86  8.1. Alcance y profundidad..........................................................................................................86  8.2. Para identificar activos .........................................................................................................87  8.3. Para descubrir y modelar las dependencias entre activos...................................................88  8.4. Para valorar activos..............................................................................................................91  8.5. Para identificar amenazas....................................................................................................93  8.6. Para valorar amenazas ........................................................................................................93  8.7. Para seleccionar salvaguardas ............................................................................................94  8.8. Aproximaciones sucesivas ...................................................................................................94  8.8.1. Protección básica .........................................................................................................95  Apéndice 1. Glosario .......................................................................................................97  A1.1. Términos en español .........................................................................................................97  A1.2. Términos anglosajones....................................................................................................106  A1.3. ISO – Gestión del riesgo..................................................................................................107  Apéndice 2. Referencias ...............................................................................................108  Apéndice 3. Marco legal ................................................................................................112  A3.1. Seguridad en el ámbito de la Administración electrónica ................................................112  A3.2. Protección de datos de carácter personal .......................................................................112  A3.3. Firma electrónica .............................................................................................................112  A3.4. Información clasificada ....................................................................................................112  A3.5. Seguridad de las redes y de la información.....................................................................113  Apéndice 4. Marco de evaluación y certificación .......................................................114  A4.1. Sistemas de gestión de la seguridad de la información (SGSI).......................................114  © Ministerio de Hacienda y Administraciones Públicas página 4 (de 127) .....................121  A4......................................................................... Para los que han trabajado con Magerit v2 ..............1................... Herramientas............1..........................119  A4.........................................................1....................................................1................................ Uso de productos certificados .........................2......................119  A4.........2........................................ Para los que han trabajado con Magerit v1 ............................................ Terminología ....122  Apéndice 5..............................................................................117  A4..................................................................127  © Ministerio de Hacienda y Administraciones Públicas página 5 (de 127) .......... La acreditación de la entidad certificadora................................................ Criterios comunes de evaluación (CC) ....116  A4..................................2.............................115  A4.....125  Apéndice 6.................................................... Beneficiarios.............1....................................................................3........2......................................... La certificación ...............126  A6......... Evolución de Magerit..................... PILAR.............................2.....................................................4....5..............................0 A4...Magerit 3.........2........116  A4................... Creación de perfiles de protección........126  A6..2...............124  A5...............1..................................... Terminología .120  A4................. Requisitos de seguridad..........3..................2.............1.......................................2.......... la gestión de los riesgos es nuclear al gobierno de las organizaciones.6. donde se considera un principio fundamental que las decisiones de gobierno se fundamenten en el conocimiento de los riesgos que implican: 1. confianza que se ve mermada por cada fallo y. oportunidades.0 Introducción 1.1 Buen gobierno La gestión de los riesgos es una piedra angular en las guías de buen gobierno [ISO 38500].12 Proposal.2. Los afectados. riesgos. se preguntan si estos sistemas merecen su confianza.Magerit 3. Garantizando que sus organizaciones siguen estos principios ayudará a los directores a equilibrar riesgos y oportunidades derivados del uso de las TI. MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información 1. 1. En pocas palabras. Los órganos de gobierno no deben tratar solamente riesgos TIC. Ensuring that their organisations follow these principles will assist directors in balancing risks and encouraging opportunities arising from the use of IT. no deja de ser un tema recurrente la inquietud por su seguridad. La confianza es un valor crítico en cualquier organización que preste servicios. Compilation of benefits. no deben tratar los riesgos TIC por separado de los demás riesgos. duplicación de actividades y zonas de nadie. tres áreas que deben estar integradas y alineadas para evitar conflictos. Las administraciones públicas son especialmente sensibles a esta valoración. pero también da lugar a ciertos riesgos que deben gestionarse prudentemente con medidas de seguridad que sustenten la confianza de los usuarios de los servicios. cuando la inversión no se tra1 2 3 4 CSAE: Consejo Superior de Administración Electrónica. eficiente y aceptable de las tecnologías de la información. 3 cubriendo riesgos en general y riesgos TIC en particular: Esta norma establece los principios para el uso eficaz.6. 1. los riesgos que tienen su origen en el uso de tecnologías de la información deben trasladarse a los órganos de gobierno y contextualizarse en la misión de la organización. Introducción El CSAE 1 ha elaborado y promueve Magerit 2 como respuesta a la percepción de que la Administración Pública (y en general toda la sociedad) depende de forma creciente de los sistemas de información para alcanzar sus objetivos. © Ministerio de Hacienda y Administraciones Públicas página 6 (de 127) . debemos ser muy conscientes de que es esencial transmitir a los órganos de gobiernos las oportunidades y los riesgos que conllevan las tecnologías de la información para que se puedan incluir en un marco global y tomar las mejores decisiones para la Organización. Gestión de Riesgos y Cumplimiento (GRC). El conocimiento de los riesgos permite calibrar la confianza en que los sistemas desempeñarán su función como la Dirección espera. Confianza La confianza es la esperanza firme que se tiene de que algo responderá a lo previsto. Includes business cases This standard establishes principles for the effective. habilitando un marco equilibrado de Gobierno. y otros factores que deben tenerse en cuenta en las decisiones que se tomen. costs. opportunities. En particular.12 Propuesta Recopilación de los beneficios. El uso de tecnologías de la información y comunicaciones (TIC) supone unos beneficios evidentes para los ciudadanos. Por una parte dependemos fuertemente de los sistemas de información para cumplir nuestros objetivos. Aunque Magerit se especializa en riesgos TIC. and other factors applicable to decisions to be made. costos. 4 Se insiste recurrentemente en el necesario equilibrio entre riesgos y oportunidades para tomar las mejores decisiones. sobre todo. risks. efficient and acceptable use of IT. pero por otra parte. que frecuentemente no son técnicos. Es más. público o privado. Magerit Siguiendo la terminología de la normativa ISO 31000. el Capítulo II Principios Básicos. simplemente.4. La gestión de riesgos permitirá el mantenimiento de un entorno controlado. Lo ideal es que los sistemas no fallen. imprescindible para poder gestionarlos. El análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente actualizado. 2. los riesgos a los que estén expuestos y las medidas de seguridad. MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información. Los participantes deben llevar a cabo evaluaciones de riesgo. Gestión Conocer el riesgo al que están sometidos los elementos de trabajo es. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad. minimizando los riesgos hasta niveles aceptables. Pero lo cierto que se acepta convivir con sistemas que fallan. ISO 31000 . en su principio 6 dicen: 6) Evaluación del riesgo. 1.0 Introducción duce en la ausencia de fallos. En otras palabras.4 (“Implementación de la Gestión de los Riesgos”) dentro del “Marco de Gestión de Riesgos”. Gestión de la seguridad basada en los riesgos. 1. el análisis de riesgos se ha venido consolidando como paso necesario para la gestión de la seguridad.Magerit 3. sección 4.3. Ilustración 1. 1.Marco de trabajo para la gestión de riesgos © Ministerio de Hacienda y Administraciones Públicas página 7 (de 127) . El temor a lo desconocido es el principal origen de la desconfianza y. En el Esquema Nacional de Seguridad [RD 3/2010]. dice Artículo 6. Magerit responde a lo que se denomina “Proceso de Gestión de los Riesgos”. aquí se busca conocer para confiar: conocer los riesgos para poder afrontarlos y controlarlos. en consecuencia. En el periodo transcurrido desde la publicación de la primera versión de Magerit (1997) hasta la fecha. Así se recoge claramente en las Directrices de la OCDE [OCDE] que. que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos. El asunto no es tanto la ausencia de incidentes como la confianza en que están bajo control: se sabe qué puede pasar y se sabe qué hacer cuando pasa. complejidad en el sentido de que hay muchos elementos que considerar y que. ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC) 3. Todas buscan objetivar el análisis de riesgos para saber cuán seguros (o inseguros) son los sistemas y no llamarse a engaño. según corresponda en cada caso También se ha buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones de las actividades de análisis y gestión de riesgos: Modelo de valor Caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos. preparar a la Organización para procesos de evaluación. Evaluación de salvaguardas Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan.5. ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos: 4. recoge las vulnerabilidades del sistema. El gran reto de todas estas aproximaciones es la complejidad del problema al que se enfrentan. certificación o acreditación.Magerit 3. por lo que puede pasar tomando en consideración las salvaguardas desplegadas. Introducción al análisis y gestión de riesgos Seguridad es la capacidad de las redes o de los sistemas de información para resistir. si no se es riguroso. se indica sin son de aplicación en el sistema de información bajo estudio o si. Informe de insuficiencias Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Plan de seguridad Conjunto de proyectos de seguridad que permiten materializar las decisiones de tratamiento de riesgos 1. carecen de sentido.0 Introducción Hay varias aproximaciones al problema de analizar los riesgos soportados por los sistemas TIC: guías informales. ni dependa de la arbitrariedad del analista. los accidentes o acciones ilícitas o malintencionadas que compro© Ministerio de Hacienda y Administraciones Públicas página 8 (de 127) . Declaración de aplicabilidad Para un conjunto de salvaguardas. Declaración de que se ajusta y es conforme a la normativa correspondiente. concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos 2. Estado de riesgo Caracterización de los activos por su riesgo residual. es decir. Cumplimiento de normativa Satisfacción de unos requisitos. con un determinado nivel de confianza. Mapa de riesgos Relación de las amenazas a que están expuestos los activos. Es por ello que en Magerit se persigue una aproximación metódica que no deje lugar a la improvisación. auditoría. por el contrario. entendidas como puntos débilmente protegidos por los que las amenazas podrían materializarse. aproximaciones metódicas y herramientas de soporte. Magerit persigue los siguientes objetivos: Directos: 1. Es decir. las conclusiones serán de poco fiar. Trazabilidad: Aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento. y pudiendo suponer el incumplimiento de leyes y compromisos contractuales relativos a la custodia de los datos. © Ministerio de Hacienda y Administraciones Públicas página 9 (de 127) . perseguir a los atacantes y aprender de la experiencia. hay que tomar decisiones: 5 Reglamento (CE) n 460/2004 del Parlamento Europeo y del Consejo. integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.0 Introducción metan la disponibilidad. A racionalizar este esfuerzo se dedican las metodologías de análisis y gestión de riesgos que comienzan con una definición: Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización.Magerit 3. Contra la autenticidad de los usuarios de los servicios de acceso. Lo habitual que haya que poner medios y esfuerzo para conseguirlas. A estas dimensiones canónicas de la seguridad se pueden añadir otras derivadas que nos acerquen a la percepción de los usuarios de los sistemas de información: Autenticidad: Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. pudiendo minar la confianza de los demás en la organización que no es diligente en el mantenimiento del secreto. autenticidad. La carencia de disponibilidad supone una interrupción del servicio. Contra la confidencialidad o secreto pueden darse fugas y filtraciones de información. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante saber qué características son de interés en cada activo. analizar el sistema: Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. así como saber en qué medida estas características están en peligro. la información puede aparecer manipulada. Contra la integridad. de 10 de marzo de 2004. La disponibilidad afecta directamente a la productividad de las organizaciones. 5 El objetivo a proteger es la misión de la Organización. por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información. La trazabilidad se materializa en la integridad de los registros de actividad. Cuando se requieren. Sabiendo lo que podría pasar. así como accesos no autorizados. corrupta o incompleta. Confidencialidad: o que la información llegue solamente a las personas autorizadas. La confidencialidad es una propiedad de difícil recuperación. La integridad afecta directamente al correcto desempeño de las funciones de una Organización. Integridad: o mantenimiento de las características de completitud y corrección de los datos. no es evidente que se disfruten sin más. teniendo en cuenta las diferentes dimensiones de la seguridad: Disponibilidad: o disposición de los servicios a ser usados cuando sea necesario. Todas estas características pueden ser requeridas o no dependiendo de cada caso. podemos tener suplantación de identidad. es decir. Contra la autenticidad de la información podemos tener manipulación del origen o el contenido de los datos. La trazabilidad es esencial para analizar los incidentes. Este esquema de trabajo debe ser repetitivo pues los sistemas de información rara vez son inmutables. Al conjunto de estas actividades se le denomina Proceso de Gestión de Riesgos. más bien se encuentran sometidos a evolución continua tanto propia (nuevos activos) como del entorno (nuevas amenazas). En coordinación con los objetivos. qué mejor que una aproximación metódica que permita tomar decisiones con fundamento y explicar racionalmente las decisiones tomadas. o. implantado y operado. amenazas y salvaguardas. Nótese que una opción legítima es aceptar el riesgo. de la reacción ante incidencias y de la monitorización en general del sistema para determinar si satisface con eficacia y eficiencia los objetivos propuestos. reducir las posibilidades de que ocurra. aceptando que pudiera ocurrir y previendo recursos para actuar cuando sea necesario. o que tenemos la obligación de afrontar. a veces aceptamos riesgos operacionales para acometer actividades que pueden reportarnos un beneficio que supera al riesgo. compartirlo con otra organización (típicamente contratando un servicio o un seguro de cobertura). y es la piedra angular para controlar todas las actividades con fundamento. El análisis de riesgos proporciona un modelo del sistema en términos de activos. Es por ello que a veces se emplean definiciones más amplias de riesgo: Efecto de la incertidumbre sobre la consecución de los objetivos.Magerit 3. El análisis y el tratamiento de los riesgos en su contexto Las tareas de análisis y tratamiento de los riesgos no son un fin en sí mismas sino que se encajan en la actividad continua de gestión de la seguridad. La implantación de las medidas de seguridad requiere una organización gestionada y la participación informada de todo el personal que trabaja con el sistema de información. no es meramente técnico. Es este personal el responsable de la operación diaria. [ISO Guía 73] Como todo esto es muy delicado. lo que exige una revisión periódica en la que se aprende de la experiencia y se adapta al nuevo contexto. acotar sus consecuencias. 1. debe ser conocido y sometido al umbral de calidad que se requiere del servicio. Es más. Para ello. Introducción Hay múltiples formas de tratar un riesgo: evitar las circunstancias que lo provocan. en última instancia. Los sistemas de gestión de la seguridad de la información (SGSI) [ISO 27001] formalizan cuatro etapas cíclicas: © Ministerio de Hacienda y Administraciones Públicas página 10 (de 127) . e incluye la decisión de aceptar un cierto nivel de riesgo. Es frecuente oír que la seguridad absoluta no existe. las actividades de tratamiento de los riesgos permiten elaborar un plan de seguridad que. deviene imprescindible saber en qué condiciones se trabaja y así poder ajustar la confianza que merece el sistema. siempre hay que aceptar un riesgo que. El análisis de riesgos permite determinar cómo es. estrategia y política de la Organización.0 Tratamiento de los riesgos proceso destinado a modificar el riesgo.6. eso sí. La fase de tratamiento estructura las acciones que se acometen en materia de seguridad para satisfacer las necesidades detectadas por el análisis. cuánto vale y cómo de protegido se encuentra el sistema. satisfaga los objetivos propuestos con el nivel de riesgo que acepta la Dirección. en efecto. que facilite el cumplimiento de las buenas prácticas propuestas y practicada por la Dirección: que dé ejemplo en la actividad diaria y reaccione con presteza a los cambios e incidencias.1.0 Introducción Ilustración 2. Estas decisiones se materializan en la etapa de implantación. 6 A menudo se oye hablar de “seguridad por defecto” o “seguridad sin manual” para recoger esta idea de que los sistemas son más seguros si la forma natural de utilizarlos es la forma segura de utilizarlos. © Ministerio de Hacienda y Administraciones Públicas página 11 (de 127) . aclare la postura de la Organización. contraria a las medidas. o tienen la percepción de pasarse el día “luchando contra las [absurdas] medidas de seguridad”. según la responsabilidad adscrita a cada puesto de trabajo mínimamente intrusiva: que no dificulte innecesariamente la actividad diaria ni hipoteque alcanzar los objetivos de productividad propuestos. dentro de un círculo de excelencia o mejora continua. emanando de la alta dirección. Incidencias y recuperación Las personas involucradas en la utilización y operación del sistema deben ser conscientes de su papel y relevancia continua para prevenir problemas y reaccionar cuando se produzcan.6. defina lo que es uso correcto y lo que es incumplimiento una formación continua a todos los niveles. Es importante crear una cultura de responsabilidad donde los potenciales problemas. que se difunda y que se mantenga al día una normativa se seguridad que. detectados por los que están cercanos a los activos afectados. Ciclo PDCA El análisis de riesgos es parte de las actividades de planificación. A fin de que estas actividades cuajen en la organización. entrando en áreas específicas de actividad. es imprescindible que la seguridad sea: • • • 1. donde conviene desplegar elementos que permitan la monitorización de las medidas desplegadas para poder evaluar la efectividad de las mismas y actuar en consecuencia. De esta forma el sistema de seguridad responderá con presteza a las circunstancias de cada momento.Magerit 3.2. puedan ser canalizados hacia los puntos de decisión.6. especialmente si la actitud es negativa. 1. recordando las cautelas rutinarias y las actividades especializadas. conciencie a todos los involucrados de su necesidad y pertinencia. sea “natural”: que no de pie a errores gratuitos 6 . Concienciación y formación El mejor plan de seguridad se vería seriamente hipotecado sin una colaboración activa de las personas involucradas en el sistema de información. es decir. donde se toman decisiones de tratamiento. Es por ello que se requiere la creación de una “cultura de seguridad” que. Son tres los pilares fundamentales para la creación de esta cultura: • • • una política de seguridad corporativa que se entienda (escrita para los que no son expertos en la materia). 1. referencias bibliográficas consideradas para el desarrollo de esta metodología. Conviene aprender continuamente. el marco normativo de evaluación y certificación 5. Organización de las guías Esta versión 3 de Magerit se ha estructurado en dos libros y una guía de técnicas: — Libro I – Método — Libro II – Catálogo de elementos — Guía de Técnicas – Recopilación de técnicas de diferente tipo que pueden ser de utilidad para la aplicación del método. El capítulo 3 concreta los pasos y formaliza las actividades de análisis de los riesgos.1.7. Este libro se estructura de la siguiente forma: • • • • El capítulo 2 presenta los conceptos informalmente. e incorporar lo que vamos aprendiendo al proceso de gestión de riesgos. tanto de los éxitos como de los fracasos. y en ciertos casos se formalizan como tareas que permiten una planificación y seguimiento: © Ministerio de Hacienda y Administraciones Públicas página 12 (de 127) . una guía comparativa de cómo Magerit versión 1 ha evolucionado a la versión 2 y a esta versión 3. presentes o futuras. 4. Modo de empleo Siempre se explican informalmente las actividades a realizar. referencias al marco legal que encuadra las tareas de análisis y gestión en la Administración Pública Española. En particular se enmarcan las actividades de análisis y tratamiento dentro de un proceso integral de gestión de riesgos. 1. para soportar el proceso de análisis y gestión de riesgos. desde medidas técnicas hasta una óptima organización. a veces denominados planes directores o planes estratégicos. se ve amplificado convirtiendo lo que podía ser un mero incidente en un desastre. 3. 6. Cualquier error. en la idoneidad de las salvaguardas de todo tipo. El capítulo 7 se centra en el desarrollo de sistemas de información y cómo el análisis de riesgos sirve para gestionar la seguridad del producto final desde su concepción inicial hasta su puesta en producción.Magerit 3. El capítulo 4 describe opciones y criterios de tratamiento de los riesgos y formaliza las actividades de gestión de riesgos.7. El capítulo 5 se centra en los proyectos de análisis de riesgos. El capítulo 8 se anticipa a algunos problemas que aparecen recurrentemente cuando se realizan análisis de riesgos. consecuentemente. un glosario. proyectos en los que nos veremos inmersos para realizar el primer análisis de riesgos de un sistema y eventualmente cuando hay cambios sustanciales y hay que rehacer el modelo ampliamente. imprecisión o ambigüedad en estos momentos críticos. las características que se requieren de las herramientas. La madurez de una organización se refleja en la pulcritud y realismo de su modelo de valor y. así como a la protección del propio proceso de desarrollo. 2. el tiempo empieza a correr en contra del sistema: su supervivencia depende de la agilidad y corrección de las actividades de reporte y reacción. El capítulo 6 formaliza las actividades de los planes de seguridad.0 Introducción Cuando se produce una incidencia. • • • Los apéndices recogen material de consulta: 1. Entiéndase pues Magerit como una guía que se puede y se debe adaptar al caso y sus circunstancias. 1. abierto a ampliaciones. Ante estas situaciones. El proceso de gestión de riesgos debe identificar y tratar urgentemente los riesgos críticos. pero cuando el sistema adquiere envergadura e involucra a diferentes personas y equipos de trabajo durante varias semanas. © Ministerio de Hacienda y Administraciones Públicas página 13 (de 127) . En la práctica. que marca unas pautas en cuanto a: • • • • • tipos de activos dimensiones de valoración de los activos criterios de valoración de los activos amenazas típicas sobre los sistemas de información salvaguardas a considerar para proteger sistemas de información Se persiguen dos objetivos: 1. estas actividades pueden llevarse a cabo sin muchos formalismos.2. facilitar la labor de las personas que acometen el proyecto. Suele ser prudente realizar una aproximación iterativa. Por otra.0 Introducción Ilustración 3.7. Cada sección incluye una notación XML que se empleará para publicar regularmente los elementos en un formato estándar capaz de ser procesado automáticamente por herramientas de análisis y gestión. centrándose en lo específico del sistema objeto del análisis. aplicando el método primero con trazo grueso y luego ir revisando el modelo para entrar en detalles. la planificación formal ayuda a mantener el proceso bajo control. pudiendo ir tratando progresivamente riesgos de menor criticidad. Actividades formalizadas En sistemas pequeños. el usuario puede encontrarse ante situaciones donde el alcance es más restringido. reflejando todo tipo de situaciones. El catálogo de elementos En libro aparte. promoviendo una terminología y unos criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes equipos. En el planteamiento de estas guías se ha seguido un criterio “de máximos”.Magerit 3. Lo prudente es armonizar el esfuerzo al valor de la información y los servicios que se sustentan. conviene ser práctico y no pretender aplicar todas las tareas descritas en Magerit desde el primer momento. homogeneizar los resultados de los análisis. en el sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente. se propone un catálogo. meses o años. 2. Como se dice popularmente “lo perfecto es enemigo de lo bueno”. Por una parte. que se relacionan según el siguiente esquema: © Ministerio de Hacienda y Administraciones Públicas página 14 (de 127) . si el análisis se realiza manualmente. Es pues el análisis de riesgos paso obligado para poder llevar a cabo todas las tareas mencionadas. de las que esta guía busca ser una introducción. Según el lector avance por la tareas del proyecto.Magerit 3. El análisis de riesgos proporciona una visión singular de cómo es cada sistema.7. este catálogo será parte de la misma. aporta luz adicional y orientación sobre algunas técnicas que se emplean habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos: • técnicas específicas para el análisis de riesgos • • • análisis mediante tablas análisis algorítmico árboles de ataque técnicas gráficas sesiones de trabajo: entrevistas. qué valor posee. a qué amenazas está expuesto y de qué salvaguardas se ha dotado.0 Introducción Si el lector usa una herramienta de análisis y gestión de riesgos. Evaluación. se le recomendará el uso de ciertas técnicas específicas. La guía de técnicas En libro aparte. 1.3.8. reuniones y presentaciones valoración Delphi • técnicas generales • • • Se trata de una guía de consulta. certificación. auditoría y acreditación que formalizan la confianza que merece un sistema de información. Dado que no hay dos sistemas de información iguales. así como proporcionar referencias para que el lector profundice en las técnicas presentadas. auditoría y acreditación El análisis de riesgos es una piedra angular de los procesos de evaluación. 1. este catálogo proporciona una amplia base de partida para avanzar rápidamente sin distracciones ni olvidos. la evaluación de cada sistema concreto requiere amoldarse a los componentes que lo constituyen. certificación. La certificación de productos es. 8 Y así tenemos sistemas aptos para “consumo humano” o “utilización en condiciones térmicas extremas”. Evaluación Es cada vez más frecuente la evaluación de la seguridad de los sistemas de información. impersonal: “esto tiene estas características técnicas”. En la práctica se certifican productos y se certifican sistemas de gestión de la seguridad. Certificación La evaluación puede llevar a una certificación o registro de la seguridad del sistema. la certificación de sistemas de gestión tiene que ver con el “componente humano” de las organizaciones buscando el análisis de cómo se explotan los sistemas 7 . como por medio de evaluadores independientes externos. Un certificado dice que un sistema es capaz de proteger unos datos de unas amenazas con una cierta calidad (capacidad de protección). 7 Hay vehículos con altas calificaciones técnicas y otros más humildes.Magerit 3. tanto internamente como parte de los procesos de gestión. Contexto de certificación y acreditación de sistemas de información En esta sección se hace una presentación conceptual de las actividades citadas. Las evaluaciones permiten medir el grado de confianza que merece o inspira un sistema de información. Lo mismo que hay conductores que son verdaderos profesionales y otros de los que nunca nos explicaremos cómo es que están certificados como “aptos para el manejo de vehículos”. producto o sistema. Y lo dice en base a que ha observado la existencia y el funcionamiento de una serie de salvaguardas. Es decir que detrás de un certificado no hay sino los conceptos de un análisis de riesgos. Certificar es asegurar responsablemente y por escrito un comportamiento. tenemos una gran variedad de situaciones de menor confianza: mayor riesgo de que algo vaya mal. El lector encontrará en el apéndice 4 un tratamiento específico de los marcos normativos relativos a sistemas de gestión y productos de seguridad. Sin embargo. Lo ideal es poner un gran coche en manos de un gran conductor. se somete a una serie de evaluaciones orientadas por un objetivo ¿para qué lo quiere? 8 . de alguna forma.0 Introducción Ilustración 4. De ahí para abajo. © Ministerio de Hacienda y Administraciones Públicas página 15 (de 127) . Lo que se certifica. Real Decreto 3/2010. • Las auditorías deben repetirse regularmente tanto para seguir la evolución del análisis de riesgos (que se debe actualizar regularmente) como para seguir el desarrollo del plan de seguridad determinado por las actividades de gestión de riesgos. artículo 96. es decir. Una auditoría puede servirse de un análisis de riesgos que le permita (1) saber qué hay en juego. Se puede ver como una certificación para un propósito específico. debe haberse realizado un análisis de riesgos a fin de conocer los riesgos y de controlarlos mediante la adopción de los controles adecuados. igualmente.2] En el caso de la Administración pública. de forma que se puede confiar en el sistema de indicadores de que dispone la gerencia para gestionar la seguridad de los sistemas. Deberá. implantadas y monitorizadas. de 21 de diciembre. no están muy lejos de este mundo las auditorías. Acreditación Algunas certificaciones tienen como objetivo la acreditación del producto o sistema. ¿Cuándo procede analizar y gestionar los riesgos? Un análisis de riesgos TIC es recomendable en cualquier Organización que dependa de los sistemas de información y comunicaciones para el cumplimiento de su misión. internas o externas. además. existen algunos referentes fundamentales respecto de los cuales se puede y se debe realizar auditorías: • Real Decreto 1720/2007. En particular en cualquier entorno donde se practique la tramitación electrónica de bienes y servicios. será un punto de control de la gestión del producto o sistema. identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. otras veces requeridas por entidades colaboradoras que ven su propio nivel de riesgo ligado al nuestro. de 8 de enero. Frecuentemente. El análisis de riesgos permite tomar decisiones de gestión y asignar recursos con perspectiva. La conclusión de la auditoría es un informe de insuficiencias detectadas.Magerit 3. sea en contexto público o privado. sean tecnológicos. pues es difícil opinar de lo que no se conoce. A partir del análisis de riesgos se puede analizar el sistema e informar a la gerencia de si el sistema está bajo control. por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999. incluir los datos. BOE de 29 de enero de 2010. implícito o explícito.0 Introducción Antes de proceder a la certificación. los auditores parten de un análisis de riesgos. (2) saber a qué está expuesto el sistema y (3) valorar la eficacia y eficiencia de las salvaguardas.9. Auditorías Aunque no sea lo mismo. que. de protección de datos de carácter personal. © Ministerio de Hacienda y Administraciones Públicas página 16 (de 127) . [RD 1720/2007. si las medidas de seguridad adoptadas están justificadas. que no son sino incoherencias entre las necesidades identificadas en el análisis de riesgos y la realidad detectada durante la inspección del sistema en operación. otras veces requeridas por la propia Dirección de la Organización. o bien lo auditan. por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. La acreditación es un proceso específico cuyo objetivo es legitimar al sistema para formar parte de sistemas más amplios. 1. hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas. o bien realizan ellos mismos. humanos o financieros. Siempre en la primera fase de la auditoría. a las que se someten los sistemas de información • • • unas veces requeridas por ley para poder operar en un cierto sector (cumplimiento). de 13 de diciembre. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario. Realizar un análisis de riesgos es laborioso y costoso. Es la fuente de información para determinar la relación de controles pertinentes para el sistema y que por tanto deben ser inspeccionados. sino que hay que lograr una uniformidad de criterio entre todos pues. por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. El mismo Real Decreto 3/2010. La única forma de afrontar la complejidad es centrarse en lo más importante (máximo impacto. UE. Sin perjuicio de lo dispuesto en el Anexo II. Levantar un mapa de activos y valorarlos requiere la colaboración de muchos perfiles dentro de la Organización. máximo riesgo) y obviar lo que es secundario o incluso despreciable. Todo lo que sea corregir riesgos imprevistos es costoso en tiempo propio y ajeno. En el Capítulo II. 1. Gestión de la seguridad basada en los riesgos. Es muy deseable hacerlo antes. Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que está expuesto el sistema. OTAN o de otros acuerdos internacionales. Tal es el caso de Real Decreto 3/2010. Estos procesos son necesarios cuando se va a manejar en el sistema información clasificada nacional. el análisis de riesgos es un requisito previo que exigirá el evaluador. lo que puede ir en detrimento de la imagen prestada por la Organización y puede suponer. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad. El análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente actualizado. Las decisiones pueden tomarse antes de desplegar un servicio o con éste funcionando. 9 En el sentido formal de autorización para manejar información clasificada. se empleará alguna metodología reconocida internacionalmente. Pero si los riesgos no están bien ordenados en términos relativos. El análisis de riesgos es así mismo un requisito exigido en los procesos de acreditación 9 de sistemas. © Ministerio de Hacienda y Administraciones Públicas página 17 (de 127) . Cada organización que desarrolle e implante sistemas para el tratamiento de la información y las comunicaciones realizará su propia gestión de riesgos. en la elección de componentes. que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos.1 sobre certificación de sistemas de gestión de la seguridad de la información (SGSI). desde los niveles de gerencia hasta los técnicos. En resumen. que un análisis de riesgos no es una tarea menor que realiza cualquiera en sus ratos libres. los riesgos a los que estén expuestos y las medidas de seguridad.0 Introducción El análisis de riesgos es una herramienta de gestión que permite tomar decisiones. en el Capítulo III. Requisitos Mínimos. en el desarrollo del sistema y en los manuales de usuario. La gestión de riesgos permitirá el mantenimiento de un entorno controlado. Por precepto legal El análisis de riesgos puede venir requerido por precepto legal. Es una tarea mayor que requiere esfuerzo y coordinación. de 8 de enero. Y esto es así porque típicamente en un análisis de riesgos aparecen multitud de datos. más importante aún es relativizarlos. Certificación y acreditación Si el sistema aspira a una certificación. se dice: Artículo 6. Y no solo es que haya que involucrar a muchas personas. Véase el apéndice 4. 2. hay que prever y estar prevenido. 2. Por tanto debe ser planificada y justificada. en último extremo. Principios Básicos. la pérdida de confianza en su capacidad. 1.Magerit 3. se dice: Artículo 13. Los procesos de acreditación se ajustan a la normativa aplicable en cada caso. Análisis y gestión de los riesgos. Siempre se ha dicho que es mejor prevenir que curar y aquí se aplica: no espere a que un servicio haga agua. si importante es cuantificar los riesgos. de forma que las medidas que haya que tomar se incorporen en el diseño del servicio. su interpretación es imposible. minimizando los riesgos hasta niveles aceptables. El primer paso del proceso es la realización del análisis de riesgos que identifique amenazas y salvaguardas y gestione satisfactoriamente los riesgos del sistema. Objeto de la Ley. dice así: 2. en su artículo 9 (Seguridad de los datos) dice así: 1. ya citado anteriormente. deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración. la gestión continua de los riesgos es uno de los principio básicos del Esquema Nacional de Seguridad. tratamiento o acceso no autorizado. ya provengan de la acción humana o del medio físico o natural. existirá una proporcionalidad entre ellas y los riesgos. de 22 de junio. Por último. en su caso. de protección de datos de carácter personal. de 13 de diciembre. El responsable del fichero. el encargado del tratamiento. de acceso electrónico de los ciudadanos a los Servicios Públicos. Las Administraciones Públicas utilizarán las tecnologías de la información de acuerdo con lo dispuesto en la presente Ley. La Ley Orgánica 15/1999. asegurando la disponibilidad. la autenticidad. Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y. en todo caso.Magerit 3. la naturaleza de los datos almacenados y los riesgos a que están expuestos.0 Introducción 3. la integridad. © Ministerio de Hacienda y Administraciones Públicas página 18 (de 127) . que en su Artículo 1. y. La Ley 11/2007. En conclusión Procede analizar y gestionar los riesgos cuando directa o indirectamente lo establezca un precepto legal y siempre que lo requiera la protección responsable de los activos de una organización. informaciones y servicios que gestionen en el ejercicio de sus competencias. pérdida. la confidencialidad y la conservación de los datos. el acceso. habida cuenta del estado de la tecnología. que son cosas que les pueden pasar a los activos causando un perjuicio a la Organización 3. defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las emergencias. el impacto: lo que podría pasar 2. amenazas. se dice que el riesgo se reduce a un nivel residual que la Dirección asume. que permite determinar qué tiene la Organización y estimar lo que podría pasar. Ambas actividades. como nada es perfecto. Con estos elementos se puede estimar: 1. II.Magerit 3. © Ministerio de Hacienda y Administraciones Públicas página 19 (de 127) .0 Proyectos de análisis de riesgos 2. el riesgo: lo que probablemente pase El análisis de riesgos permite analizar estos elementos de forma metódica para llegar a conclusiones con fundamento y proceder a la fase de tratamiento. Gestión de riesgos El análisis de riesgos considera los siguientes elementos: 1. que son medidas de protección desplegadas para que aquellas amenazas no causen [tanto] daño. tratamiento de los riesgos. Informalmente. se puede decir que la gestión de la seguridad de un sistema de información es la gestión de sus riesgos y que el análisis permite racionalizar dicha gestión. sobrevivir a los incidentes y seguir operando en las mejores condiciones. Ilustración 5. análisis y tratamiento se combinan en el proceso denominado Gestión de Riesgos. que son los elementos del sistema de información (o estrechamente relacionados con este) que soportan la misión de la Organización 2. activos. que permite organizar la defensa concienzuda y prudente. salvaguardas (o contra medidas). Visión de conjunto Hay dos grandes tareas a realizar: I. análisis de riesgos. Comunicación y consulta. de estrategia y de política permitiendo tomar decisiones respecto de qué riesgos se aceptan y cuales no. El análisis de los riesgos busca calificar los riesgos identificados. Siempre hay que buscar un equilibrio entre seguridad y productividad y en ese equilibrio hay que contar con la colaboración de varios interlocutores: © Ministerio de Hacienda y Administraciones Públicas página 20 (de 127) . así como las relaciones con otras organizaciones.0 Proyectos de análisis de riesgos Formalmente. bien ordenando su importancia relativa (análisis cualitativo). Lo que se identifique será analizado en la siguiente etapa. la gestión de los riesgos está estructurada de forma metódica en las normas ISO (ver Anexo 1). La identificación de los riesgos busca una relación de los posibles puntos de peligro. Es una actividad que presenta numerosas opciones como veremos más adelante. Se propone el siguiente esquema: Ilustración 6. así como de en qué circunstancias podemos aceptar un riesgo o trabajar en su tratamiento. Véase la norma [ISO 31000] para un mayor desarrollo de los factores que determinan el contexto. como resultado del análisis tendremos una visión estructurada que nos permita centrarnos en lo más importante. Es importante no olvidar nunca que los sistemas de información deben ser soporte de la productividad de la Organización. Aquí entran factores de percepción. Lo que no se identifique quedará como riesgo oculto o ignorado. El tratamiento de los riesgos recopila las actividades encaminadas a modificar la situación de riesgo. Un elemento a destacar es el alcance del análisis.Magerit 3. Es absurdo un sistema muy seguro pero que impide que la Organización alcance sus objetivos. incluyendo obligaciones propias y obligaciones contraídas. De una u otra forma. La evaluación de los ri esgos va un paso más allá del análisis técnico y traduce las consecuencias a términos de negocio. bien cuantificando sus consecuencias (análisis cuantitativo). sean para intercambio de información y servicios o proveedoras de servicios subcontratados. Proceso de gestión de riesgos (fuente: ISO 31000) La determinación del contexto lleva a una determinación de los parámetros y condicionantes externos e internos que permiten encuadrar la política que se seguirá para gestionar los riesgos. a los que hay proporcionar instrucciones claras para poder exigirles tanto el cumplimiento de los niveles de servicio requeridos.Magerit 3. como la gestión de los incidentes de seguridad que pudieran acaecer los órganos de gobierno para establecer canales de comunicación que consoliden la confianza de que el sistema de información responderá sin sorpresas para atender a la misión de la Organización y que los incidentes serán atajados de acuerdo el plan previsto • • Seguimiento y revisión.0 • Proyectos de análisis de riesgos los usuarios cuyas necesidades deben ser tenidas en cuenta y a los que hay que informar para que colaboren activamente en la operación del sistema dentro de los parámetros de seguridad determinados por la Dirección los proveedores externos. Es importante no olvidar nunca que el análisis de riesgos es una actividad de despacho y que es imprescindible ver qué ocurre en la práctica y actuar en consecuencia. © Ministerio de Hacienda y Administraciones Públicas página 21 (de 127) . tanto reaccionando diligentemente a los incidentes. como mejorando continuamente nuestro conocimiento del sistema y de su entorno para mejorar el análisis y ajustarlo a la experiencia. 1. Una vez obtenido este escenario teórico. Incluye: información.Magerit 3. se introducen los conceptos de “impacto y riesgo potenciales” entre los pasos 2 y 3. su interrelación y su valor. © Ministerio de Hacienda y Administraciones Públicas página 22 (de 127) . cuyos pasos se detallan en las siguientes secciones: Ilustración 7. Paso 1: Activos Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza Con el objeto de organizar la presentación.1. Conceptos paso a paso El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados: 1.1. en el sentido de qué perjuicio (coste) supondría su degradación 2. La siguiente figura recoge este primer recorrido. comunicaciones.0 Proyectos de análisis de riesgos 3. derivando estimaciones realistas de impacto y riesgo. determinar a qué amenazas están expuestos aquellos activos 3. Estas valoraciones son “teóricas”: en el caso de que no hubiera salvaguarda alguna desplegada. servicios. recursos físicos y recursos humanos. equipos (hardware). aplicaciones (software). Elementos del análisis de riesgos potenciales 3. estimar el impacto. Método de análisis de riesgos 3. definido como el daño sobre el activo derivado de la materialización de la amenaza 5. determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo 4. se incorporan las salvaguardas del paso 3. datos. Estos activos esenciales marcan los requisitos de seguridad para todos los demás componentes del sistema. [UNE 71504:2008] En un sistema de información hay 2 cosas esenciales: — la información que maneja — y los servicios que presta. recursos administrativos. estimar el riesgo. determinar los activos relevantes para la Organización. De manera que los activos vienen a formar árboles o grafos de dependencias donde la seguridad de los activos que se encuentran más arriba en la estructura o ‘superiores’ depende de los activos que se encuentran más abajo o ‘inferiores’. lo que no funciona es el servicio percibido por el usuario a kilómetros de distancia. Si se quema el local que hospeda los equipos. — Las instalaciones que acogen equipos informáticos y de comunicaciones. pero el secreto ya está perdido. Informalmente puede interpretarse que los activos inferiores son los pilares en los que se apoya la seguridad de los activos superiores. Si roban el portátil de un ejecutivo con información estratégica de la Organización. pero estos activos dependen de otros activos más prosaicos como pueden ser los equipos. aplicaciones y servicios. donde las capas superiores dependen de las inferiores: • activos esenciales • • información que se maneja servicios prestados que estructuran ordenadamente el sistema de información aplicaciones (software) • servicios internos • • el equipamiento informático • 10 No se ataca ni se defiende de la misma manera un servicio telemático que un local de trabajo. © Ministerio de Hacienda y Administraciones Públicas página 23 (de 127) . Estas estructuras reflejan de arriba hacia abajo las dependencias. con frecuencia se puede estructurar el conjunto de activos en capas. Las instalaciones se reconstruyen. pero puede haberse pasado la oportunidad de prestar el servicio. — Los soportes de información que son dispositivos de almacenamiento de datos. 11 Un ejemplo puede ser mejor que mil palabras. — Las personas que explotan u operan todos los elementos anteriormente citados. — Las redes de comunicaciones que permiten intercambiar datos. Proyectos de análisis de riesgos Subordinados a dicha esencia se pueden identificar otros activos relevantes: — Servicios auxiliares que se necesitan para poder organizar el sistema. mientas que de abajo hacia arriba la propagación del daño caso de materializarse las amenazas. El capítulo 2 del "Catálogo de Elementos" presenta una relación de tipos de activos. Se dice que un “activo superior” depende de otro “activo inferior” cuando las necesidades de seguridad del superior se reflejan en las necesidades de seguridad del inferior.Magerit 3. El robo se subsana comprando otro portátil. Aunque en cada caso hay que adaptarse a la Organización objeto del análisis. las instalaciones y las frecuentemente olvidadas personas que trabajan con aquellos. Por ello aparece como importante el concepto de “dependencias entre activos” o la medida en que un activo superior se vería afectado por un incidente de seguridad en un activo inferior 11 .0 — Datos que materializan la información. — Las aplicaciones informáticas (software) que permiten manejar los datos. lo que sufre es la confidencialidad de dicha información. — Los equipos informáti cos (hardware) y que permiten hospedar datos. — El equipamiento auxiliar que complementa el material informático. las amenazas y las salvaguardas son diferentes 10 . las comunicaciones. O. No todos los activos son de la misma especie. Dependencias Los activos esenciales son la información y los servicios prestados. dicho en otras palabras. cuando la materialización de una amenaza en el activo inferior tiene como consecuencia un perjuicio sobre el activo superior. Dependiendo del tipo de activo. cintas. acumulan el valor de los activos que se apoyan en ellos. equipamiento y suministros: energía. los sistemas de información explotan los datos para proporcionar servicios. Si algo no vale para nada. que pueden estar manipulados. No se está hablando de lo que cuestan las cosas. sino de lo que valen. La valoración se puede ver desde la perspectiva de la ‘necesidad de proteger’ pues cuanto más valioso es un activo. etc. hay servicios que se adquieren de otras organizaciones: suministros externos. Dimensiones De un activo puede interesar calibrar diferentes dimensiones: • su confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es típica de datos. el conjunto de información y servicios esenciales permite caracterizar funcionalmente una organización. prescíndase de ello. climatización. faltar datos.0 • • • • Proyectos de análisis de riesgos equipos informáticos (hardware) comunicaciones soportes de información: discos. o puede ser acumulado. es que algo vale. ser total o parcialmente falsos o. eso es lo que hay que averiguar pues eso es lo que hay que proteger. El valor puede ser propio. mayor nivel de protección requeriremos en la dimensión (o dimensiones) de seguridad que sean pertinentes. internos a la Organización o destinados a terceros. apareciendo una serie de datos necesarios para prestar un servicio.Magerit 3. El valor nuclear suele estar en la información que el si stema maneja y los servicios que se prestan (activos denominados esenciales). 12 Hay servicios finales que materializan la misión última de la Organización. Por otra parte. Si no se puede prescindir impunemente de un activo. • • su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es típica de los servicios 12 . Se dice que los activos inferiores en un esquema de dependencias. su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es típica de los datos. Sin entrar en detalles técnicos de cómo se hacen las cosas. Las dependencias entre activos permiten relacionar los demás activos con datos y servicios. quedando los demás activos subordinados a las necesidades de explotación y protección de lo esencial. Hay servicios internos de los que la Organización se sirve para estructurar su propia distribución de responsabilidades. etc. Por último. © Ministerio de Hacienda y Administraciones Públicas página 24 (de 127) . incluso. mobiliario el entorno: activos que se precisan para garantizar las siguientes capas • • • • • los servicios subcontratados a terceros las instalaciones físicas el personal • • • usuarios operadores y administradores desarrolladores Valoración ¿Por qué interesa un activo? Por lo que vale. ¿quién hace qué y cuándo? la trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y qué hace con ellos? Se reconocen habitualmente como dimensiones básicas la confidencialidad. etc. Si se consigue. los que son importantes por sí mismos. accountability). que a efectos técnicos se traducen en mantener la integridad y la confidencialidad de ciertos activos del sistema que pueden ser los servicios de directorio. horas de trabajo.). lo que no es óbice para que también puedan merecer. en los activos esenciales. Incluso es fácil ponerle precio a los aspectos más tangibles (equipamiento. las claves de firma digital. el conocimiento de los actores es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. así como poder determinar si es más grave el daño en una dimensión o en otra la relatividad: es importante poder relativizar el valor de un activo en comparación con otros activos • Ambos criterios se satisfacen con valoraciones económicas (coste dinerario requerido para “curar” el activo) y es frecuente la tentación de ponerle precio a todo. frecuentemente es útil valorar: • la autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o. © Ministerio de Hacienda y Administraciones Públicas página 25 (de 127) . En esta metodología se han añadido la autenticidad y el concepto de trazabilidad (del inglés. Los criterios más importantes a respetar son: • la homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados. Hay muchos factores a considerar: • • • • • • • • coste de reposición: adquisición e instalación coste de mano de obra (especializada) invertida en recuperar (el valor) del activo lucro cesante: pérdida de ingresos capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida de actividad o en peores condiciones económicas sanciones por incumplimiento de la ley u obligaciones contractuales daño a otros activos. consultar) • • la trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O sea. adicionalmente. Así pues. La valoración es la determinación del coste que supondría recuperarse de una incidencia que destrozara el activo. simplemente. los registros de actividad. integridad y disponibilidad.0 Proyectos de análisis de riesgos En sistemas dedicados a servicios de la sociedad de la información como puedan ser los de administración electrónica o comercio electrónico. donde los activos superiores dependen de los inferiores. El capítulo 3 del "Catálogo de Elementos" presenta una relación de dimensiones de seguridad. propios o ajenos daño a personas daños medioambientales La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna escala de niveles). pero al entrar en valoraciones más abstractas (intangibles como la credibilidad de la Organización) la valoración económica exacta puede ser escurridiza y motivo de agrias disputas entre expertos.Magerit 3. es imprescindible valorar los activos superiores. En un árbol de dependencias. excelente. Automáticamente este valor se acumula en los inferiores. ¿Cuánto vale la “salud” de los activos? Una vez determinadas qué dimensiones (de seguridad) interesan de un activo hay que proceder a valorarlo. su valoración propia. etc. posicionando el valor de cada activo en un orden relativo respecto de los demás. No se pueden sumar valores. El valor de la interrupción del servicio Casi todas las dimensiones mencionadas anteriormente permiten una valoración simple. Pero hay una excepción.0 Proyectos de análisis de riesgos El capítulo 4 del "Catálogo de Elementos" presenta unas pautas para la valoración sistemática de activos. derivar estimaciones del orden de magnitud del riesgo. cualitativa o cuantitativa. además se pueden hacer estudios económicos comparando lo que se arriesga con lo que cuesta la solución respondiendo a las preguntas: • • • • ¿Vale la pena invertir tanto dinero en esta salvaguarda? ¿Qué conjunto de salvaguardas optimizan la inversión? ¿En qué plazo de tiempo se recupera la inversión? ¿Cuánto es razonable que cueste la prima de un seguro? La "Guía de Técnicas" presenta un modelo de análisis basado en valoraciones cuantitativas. Y si la parada supera el mes. No es lo mismo interrumpir un servicio una hora o un día o un mes.Magerit 3. Puede que una hora de detención sea irrelevante. la gráfica dice directamente que no © Ministerio de Hacienda y Administraciones Públicas página 26 (de 127) . Desde el punto de vista de los remedios. La limitación de las valoraciones cualitativas es que no permiten comparar valores más allá de su orden relativo. Coste de la [interrupción de la] disponibilidad donde aparece una serie de escalones de interrupción que terminan con la destrucción total o permanente del activo. Pero a las 6 horas se disparan las alarmas que aumentan si la parada supera los 2 días. se puede decir que la Organización ha perdido su capacidad de operar: ha muerto. para valorar la [interrupción de la] disponibilidad de un activo hay que usar una estructura más compleja que se puede resumir en algún gráfico como el siguiente: 3 2 1 0 15m 30m 1h 2h 6h 1d 2d 1s 2s 1m 2m 6m 1a total Ilustración 8. Si la valoración es dineraria. La interpretación de las sumas no es nunca motivo de controversia. en consecuencia. En consecuencia. la disponibilidad. pero un mes detenido suponga la terminación de la actividad. La "Guía de Técnicas" presenta un modelo de análisis basado en valoraciones cualitativas. pero permiten sumar valores numéricos de forma absolutamente “natural”. Valoración cuantitativa Las valoraciones numéricas absolutas cuestan mucho esfuerzo. mientras que un día sin servicio causa un daño moderado. En el ejemplo anterior. Es frecuente plantear estas escalas como “órdenes de magnitud” y. Valoración cualitativa Las escalas cualitativas permiten avanzar con rapidez. Y lo malo es que no existe proporcionalidad entre el tiempo de interrupción y las consecuencias. paradas de hasta 6 horas se pueden asumir sin consecuencias. . pero los servicios. no. fallos eléctricos. de todo lo que puede ocurrir. Paso 2: Amenazas El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Vale la pena un cierto gasto por impedir que una parada supere las 6 horas o los 2 días.Magerit 3. Frecuentemente se denominan vulnerabilidades técnicas o.2. ‘vulnerabilidades’ 13 . De origen natural Hay accidentes naturales (terremotos. Las amenazas son “cosas que ocurren”. Valoración de las amenazas Cuando un activo es víctima de una amenaza. Sin embargo. Ante esos avatares el sistema de información es víctima pasiva. [UNE 71504:2008] Identificación de las amenazas El capítulo 5 del "Catálogo de Elementos" presenta una relación de amenazas típicas. no a las personas. interesa lo que puede pasarle a nuestros activos y causar un daño. Del entorno (de origen industrial) Hay desastres industriales (contaminación. Las personas pueden ser objeto de un ataque bacteriológico. con consecuencias potencialmente negativas sobre el sistema. no. © Ministerio de Hacienda y Administraciones Públicas página 27 (de 127) . No todas las amenazas afectan a todos los activos 14 .. una norma internacional de facto.. sino que hay una cierta relación entre el tipo de activo y lo que le podría ocurrir. Causadas por las personas de forma accidental Las personas con acceso al sistema de información pueden ser causa de problemas no intencionados. Y. 3. Las instalaciones pueden incendiarse. Y cuando se valore lo que cuesta impedir que la parada supera el mes. bien con ánimo de beneficiarse indebidamente. Pudiera ser que no valiera la pena. hay que poner en la balanza todo el valor de la Organización frente al coste de las salvaguardas.1. bien con ánimo de causar daños y perjuicios a los legítimos propietarios. pero las aplicaciones. . típicamente por error o por omisión. Causadas por las personas de forma deliberada Las personas con acceso al sistema de información pueden ser causa de problemas intencionados: ataques deliberados. pero de todas formas tendremos en cuenta lo que puede suceder. Defectos de las aplicaciones Hay problemas que nacen directamente en el equipamiento propio por defectos en su diseño o en su implementación. pero no por ser pasivos hay que permanecer indefensos. los virus informáticos afectan a las aplicaciones. simplemente.).0 Proyectos de análisis de riesgos hay que gastarse ni un euro por evitar paradas de menos de 6 horas. Amenaza Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización.) ante los cuales el sistema de información es víctima pasiva. La mayor parte de estos defectos suelen afectar a aplicaciones software. ni en la misma cuantía. inundaciones. no se ve afectado en todas sus dimensiones.. 13 14 Estos defectos se clasifican habitualmente bajo la taxonomía conocida como CVE (Common Vulnerability Enumeration).. hay que valorar su influencia en el valor del activo. probablemente baste conocer la fracción físicamente perjudicada de un activo para calcular la pérdida proporcional de valor que se pierde. Degradación del valor A veces se modela numéricamente como una frecuencia de ocurrencia. © Ministerio de Hacienda y Administraciones Públicas página 28 (de 127) . es directo derivar el impacto que estas tendrían sobre el sistema. Probabilidad de ocurrencia 3. o “degradado en una pequeña fracción”. Conociendo el valor de los activos (en varias dimensiones) y la degradación que causan las amenazas.1. no se puede pensar en proporcionalidad alguna pues el atacante puede causar muchísimo daño de forma selectiva. La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”. A veces se modela cualitativamente por medio de alguna escala nominal: MA muy alta A M B alta media baja casi seguro muy alto posible fácil medio difícil extremadamente difícil poco probable muy difícil MB muy baja muy raro Tabla 1. de forma que se recurre a la tasa anual de ocurrencia 15 como medida de la probabilidad de que algo ocurra. La probabilidad de ocurrencia es más compleja de determinar y de expresar. Para enlazar unos con otros recurriremos al grafo de dependencias. en dos sentidos: degradación: cuán perjudicado resultaría el [valor del] activo probabilidad: cuán probable o improbable es que se materialice la amenaza La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. pero las amenazas suelen materializarse en los medios.0 Proyectos de análisis de riesgos Una vez determinado que una amenaza puede perjudicar a un activo. La única consideración que queda hacer es relativa a las dependencias entre activos. Es habitual usar 1 año como referencia. Son valores típicos: MA 100 muy frecuente A M B 10 1 frecuente normal a diario mensualmente una vez al año cada varios años 1/10 poco frecuente MB 1/100 muy poco frecuente siglos Tabla 2. Es frecuente que el valor del sistema se centre en la información que maneja y los servicios que presta. Impacto acumulado Es el calculado sobre un activo teniendo en cuenta • • 15 su valor acumulado (el propio mas el acumulado de los activos que dependen de él) las amenazas a que está expuesto ARO – Annual Rate of Occurrence.3.Magerit 3. Pero cuando la amenaza es intencional. Determinación del impacto potencial Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza. Cuando las amenazas no son intencionales. El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre un activo. El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado. hasta situaciones muy probables pero de impacto bajo o muy bajo página 29 (de 127) © Ministerio de Hacienda y Administraciones Públicas . • • 3. aunque conviene considerar en qué medida las diferentes amenazas son independientes y pueden ser concurrentes. al calcularse sobre los activos que soportan el peso del sistema de información.0 Proyectos de análisis de riesgos El impacto acumulado se calcula para cada activo. permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: protección de los equipos. Impacto repercutido Es el calculado sobre un activo teniendo en cuenta • • su valor propio las amenazas a que están expuestos los activos de los que depende El impacto repercutido se calcula para cada activo. Agregación de valores de impacto Los párrafos anteriores determinan el impacto que sobre un activo tendría una amenaza en una cierta dimensión. puede agregarse el impacto acumulado sobre activos que no sean dependientes entre sí. y no hereden valor de un activo superior común. copias de respaldo. siendo una función del valor acumulado y de la degradación causada. El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado. etc.4. siendo una función del valor propio y de la degradación causada. pudiendo distinguirse una serie de zonas a tener en cuenta en el tratamiento del riesgo (que veremos más adelante): • • zona 1 – riesgos muy probables y de muy alto impacto zona 2 – franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto medio. puede agregarse el impacto de una amenaza en diferentes dimensiones. puede agregarse el impacto de diferentes amenazas sobre un mismo activo. Determinación del riesgo potencial Se denomina riesgo a la medida del daño probable sobre un sistema. Estos impactos singulares pueden agregarse bajo ciertas condiciones: • • • puede agregarse el impacto repercutido sobre diferentes activos. Conociendo el impacto de las amenazas sobre los activos. El riesgo crece con el impacto y con la probabilidad. El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado. es directo derivar el riesgo sin más que tener en cuenta la probabilidad de ocurrencia. por cada amenaza y en cada dimensión de valoración. permite determinar las consecuencias de las incidencias técnicas sobre la misión del sistema de información. no debe agregarse el impacto acumulado sobre activos que no sean independientes. Es pues una presentación gerencial que ayuda a tomar una de las decisiones críticas de un análisis de riesgos: aceptar un cierto nivel de riesgo. pues ello supondría sobre ponderar el impacto al incluir varias veces el valor acumulado de activos superiores. El impacto es tanto mayor cuanto mayor es el valor propio de un activo. por cada amenaza y en cada dimensión de valoración. al calcularse sobre los activos que tienen valor propio.Magerit 3. El impacto repercutido. El impacto acumulado.1. etc. permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: protección de los equipos. Agregación de riesgos Los párrafos anteriores determinan el riesgo que sobre un activo tendría una amenaza en una cierta dimensión. siendo una función del valor acumulado. al calcularse sobre los activos que tienen valor propio. Riesgo repercutido Es el calculado sobre un activo teniendo en cuenta • • el impacto repercutido sobre un activo debido a una amenaza y la probabilidad de la amenaza El riesgo repercutido se calcula para cada activo. © Ministerio de Hacienda y Administraciones Públicas página 30 (de 127) . El riesgo acumulado. El riesgo en función del impacto y la probabilidad Riesgo acumulado Es el calculado sobre un activo teniendo en cuenta • • el impacto acumulado sobre un activo debido a una amenaza y la probabilidad de la amenaza El riesgo acumulado se calcula para cada activo. El riesgo repercutido. copias de respaldo. Estos riesgos singulares pueden agregarse bajo ciertas condiciones: • • puede agregarse el riesgo repercutido sobre diferentes activos. y no hereden valor de un activo superior común. la degradación causada y la probabilidad de la amenaza. permite determinar las consecuencias de las incidencias técnicas sobre la misión del sistema de información. Es pues una presentación gerencial que ayuda a tomar una de las decisiones críticas de un análisis de riesgos: aceptar un cierto nivel de riesgo. siendo una función del valor propio. la degradación causada y la probabilidad de la amenaza. por cada amenaza y en cada dimensión de valoración. por cada amenaza y en cada dimensión de valoración.Magerit 3.0 • • Proyectos de análisis de riesgos zona 3 – riesgos improbables y de bajo impacto zona 4 – riesgos improbables pero de muy alto impacto Ilustración 9. puede agregarse el impacto acumulado sobre activos que no sean dependientes entre sí. al calcularse sobre los activos que soportan el peso del sistema de información. Magerit 3.0 • Proyectos de análisis de riesgos no debe agregarse el riesgo acumulado sobre activos que no sean independientes, pues ello supondría sobre ponderar el riesgo al incluir varias veces el valor acumulado de activos superiores, puede agregarse el riesgo de diferentes amenazas sobre un mismo activo, aunque conviene considerar en qué medida las diferentes amenazas son independientes y pueden ser concurrentes, puede agregarse el riesgo de una amenaza en diferentes dimensiones. • • 3.1.5. Paso 3: Salvaguardas En los pasos anteriores no se han tomado en consideración las salvaguardas desplegadas. Se miden, por tanto, los impactos y riesgos a que estarían expuestos los activos si no se protegieran en absoluto. En la práctica no es frecuente encontrar sistemas desprotegidos: las medidas citadas indican lo que ocurriría si se retiraran las salvaguardas presentes. Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Hay amenazas que se conjurar simplemente organizándose adecuadamente, otras requieres elementos técnicos (programas o equipos), otras seguridad física y, por último, está la política de personal. El capítulo 6 del "Catálogo de Elementos" presenta una relación de salvaguardas adecuadas para cada tipo de activos. Selección de salvaguardas Ante el amplio abanico de posibles salvaguardas a considerar, es necesario hacer una criba inicial para quedarnos con aquellas que son relevantes para lo que hay que proteger. En esta criba se deben tener en cuenta los siguientes aspectos: 1. tipo de activos a proteger, pues cada tipo se protege de una forma específica 2. dimensión o dimensiones de seguridad que requieren protección 3. amenazas de las que necesitamos protegernos 4. si existen salvaguardas alternativas Además, es prudente establecer un principio de proporcionalidad y tener en cuenta: 1. el mayor o menor valor propio o acumulado sobre un activo, centrándonos en lo más valioso y obviando lo irrelevante 2. la mayor o menor probabilidad de que una amenaza ocurra, centrándonos en los riesgos más importantes (ver zonas de riesgo) 3. la cobertura del riesgo que proporcionan salvaguardas alternativas Esto lleva a dos tipos de declaraciones para excluir una cierta salvaguarda del conjunto de las que conviene analizar: • no aplica – se dice cuando una salvaguarda no es de aplicación porque técnicamente no es adecuada al tipo de activos a proteger, no protege la dimensión necesaria o no protege frente a la amenaza en consideración no se justif ica – se dice cuando la salvaguarda aplica, pero es desproporcionada al riesgo que tenemos que proteger • Como resultado de estas consideraciones dispondremos de una “declaración de aplicabilidad” o relación de salvaguardas que deben ser analizadas como componentes nuestro sistema de protección. Efecto de las salvaguardas Las salvaguardas entran en el cálculo del riesgo de dos formas: © Ministerio de Hacienda y Administraciones Públicas página 31 (de 127) Magerit 3.0 Proyectos de análisis de riesgos Reduciendo la probabilidad de las amenazas. Se llaman salvaguardas preventivas. Las ideales llegan a impedir completamente que la amenaza se materialice. Limitando el daño causado. Hay salvaguardas que directamente limitan la posible degradación, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradación avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperación del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan. Ilustración 10. Elementos de análisis del riesgo residual Tipo de protección Esta aproximación a veces resulta un poco simplificadora, pues es habitual hablar de diferentes tipos de protección prestados por las salvaguardas: [PR] prevención Diremos que una salvaguarda es preventiva cuando reduce las oportunidades de que un incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son los mismos. Ejemplos: autorización previa de los usuarios, gestión de privilegios, planificación de capacidades, metodología segura de desarrollo de software, pruebas en pre-producción, segregación de tareas, ... [DR] disuasión Diremos que una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes que estos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas que actúan antes del incidente, reduciendo las probabilidades de que ocurra; pero que no tienen influencia sobre los daños causados caso de que el atacante realmente se atreva. Ejemplos: vallas elevadas, guardias de seguridad, avisos sobre la persecución del delito o persecución del delincuente, ... © Ministerio de Hacienda y Administraciones Públicas página 32 (de 127) Magerit 3.0 [EL] eliminación Proyectos de análisis de riesgos Diremos que una salvaguarda elimina un incidente cuando impide que éste tenga lugar. Son salvaguardas que actúan antes de que el incidente se haya producido. No reducen los daños caso de que la salvaguarda no sea perfecta y el incidente llegue a ocurrir. Ejemplos: eliminación de cuentas estándar, de cuentas sin contraseña, de servicios innecesarios, …; en general, todo lo que tenga que ver con la fortificación o bastionado, ..., cifrado de la información, ..., armarios ignífugos, ... [IM] minimización del impacto / limitación del impacto Se dice que una salvaguarda minimiza o limita el impacto cuando acota las consecuencias de un incidente. Ejemplos: desconexión de redes o equipos en caso de ataque, detención de servicios en caso de ataque, seguros de cobertura, cumplimiento de la legislación vigente [CR] corrección Diremos que una salvaguarda es correctiva cuando, habiéndose producido un daño, lo repara. Son salvaguardas que actúan después de que el incidente se haya producido y por tanto reducen los daños. Véase: recuperación más abajo. Ejemplos: gestión de incidentes, líneas de comunicación alternativas, fuentes de alimentación redundantes, ... [RC] recuperación Diremos que una salvaguarda ofrece recuperación cuando permite regresar al estado anterior al incidente. Son salvaguardas que no reducen las probabilidades del incidente, pero acotan los daños a un periodo de tiempo. Ejemplos: copias de seguridad (back-up) [MN] monitorización Son las salvaguardas que trabajan monitorizando lo que está ocurriendo o lo que ha ocurrido. Si se detectan cosas en tiempo real, podemos reaccionar atajando el incidente para limitar el impacto; si se detectan cosas a posteriori, podemos aprender del incidente y mejorar el sistema de salvaguardas de cara al futuro. Ejemplos: registros de actividad, registro de descargas de web, ... [DC] detección Diremos que una salvaguarda funciona detectando un ataque cuando informa de que el ataque está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación otras medidas que atajen la progresión del ataque, minimizando daños. Ejemplos: anti-virus, IDS, detectores de incendio, ... [AW] concienciación Son las actividades de formación de las personas anexas al sistema que pueden tener una influencia sobre él. La formación reduce los errores de los usuarios, lo cual tiene un efecto preventivo. También mejora las salvaguardas de todo tipo pues los que las operan lo hacen con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo por una mala operación. Ejemplos: cursos de concienciación, cursos de formación, ... [AD] administración Se refiere a las salvaguardas relacionadas con los componentes de seguridad del sistema. Una buena administración evita el desconocimiento de lo que hay y por tanto impide que © Ministerio de Hacienda y Administraciones Públicas página 33 (de 127) Magerit 3.0 Proyectos de análisis de riesgos hayan puertas desconocidas por las que pudiera tener éxito un ataque. En general pueden considerarse medidas de tipo preventivo. Ejemplos: inventario de activos, análisis de riesgos, plan de continuidad, ... La siguiente tabla relaciona cada uno de estos tipos de protección con el modelo anterior de reducción de la degradación y de la probabilidad: efecto tipo preventivas: reducen la probabilidad [PR] preventivas [DR] disuasorias [EL] eliminatorias acotan la degradación [IM] minimizadoras [CR] correctivas [RC] recuperativas [MN] de monitorización [DC] de detección [AW] de concienciación [AD] administrativas consolidan el efecto de las demás Tabla 3. Tipos de salvaguardas Eficacia de la protección Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100% eficaz, eficacia que combina 2 factores: desde el punto de vista técnico • • es técnicamente idónea para enfrentarse al riesgo que protege se emplea siempre está perfectamente desplegada, configurada y mantenida existen procedimientos claros de uso normal y en caso de incidencias los usuarios están formados y concienciados existen controles que avisan de posibles fallos desde el punto de vista de operación de la salvaguarda • • • • Entre una eficacia del 0% para aquellas que faltan y el 100% para aquellas que son idóneas y que están perfectamente implantadas, se estimará un grado de eficacia real en cada caso concreto. Para medir los aspectos organizativos, se puede emplear una escala de madurez que recoja en forma de factor corrector la confianza que merece el proceso de gestión de la salvaguarda: factor 0% nivel significado L0 L1 L2 L3 L4 100% L5 inexistente inicial / ad hoc reproducible, pero intuitivo proceso definido gestionado y medible optimizado Tabla 4. Eficacia y madurez de las salvaguardas © Ministerio de Hacienda y Administraciones Públicas página 34 (de 127) Paso 4: impacto residual Dado un cierto conjunto de salvaguardas desplegadas y una medida de la madurez de su proceso de gestión. Traducido a los términos empleados en los párrafos anteriores. son vulnerabilidades todas las ausencias o ineficacias de las salvaguardas pertinentes para salvaguardar el valor propio o acumulado sobre un activo. el sistema queda en una situación de posible impacto que se denomina residual.Magerit 3. El riesgo residual puede calcularse acumulado sobre los activos inferiores. tanto el riesgo potencial (sin salvaguardas). Se dice que hemos modificado el impacto. Como no han cambiado los activos. A veces se emplea el término “insuficiencia” para resaltar el hecho de que la eficacia medida de la salvaguarda es insuficiente para preservar el valor del activo expuesto a una amenaza. Paso 5: riesgo residual Dado un cierto conjunto de salvaguardas desplegadas y una medida de la madurez de su proceso de gestión. Se dice que hemos modificado el riesgo. como el impacto residual (incluyendo el efecto de las salvaguardas desplegadas para proteger el sistema). ni sus dependencias. como el riesgo residual (incluyendo el efecto de las salvaguardas desplegadas para proteger el sistema).1. sino solamente la magnitud de la degradación y la probabilidad de las amenazas. 3. o más detalladamente a las debilidades de los activos o de sus medidas de protección que facilitan el éxito de una amenaza potencial. Formalización de las actividades Este conjunto de actividades tiene los siguientes objetivos: • • • • Levantar un modelo del valor del sistema. desde un valor potencial a un valor residual. Levantar un conocimiento de la situación actual de salvaguardas.1.2. Como no han cambiado los activos. La magnitud de la degradación se toma en consideración en el cálculo del impacto residual. o repercutido sobre los activos superiores. 3. El cálculo del impacto residual es sencillo. identificando y valorando las amenazas sobre aquellos activos.0 Proyectos de análisis de riesgos Vulnerabilidades Se denomina vulnerabilidad a toda debilidad que puede ser aprovechada por una amenaza. El cálculo del riesgo residual es sencillo. sino solamente la magnitud de la degradación. es la proporción que resta entre la eficacia perfecta y la eficacia real. Evaluar el impacto posible sobre el sistema en estudio. • © Ministerio de Hacienda y Administraciones Públicas página 35 (de 127) . Evaluar el riesgo del sistema en estudio. El impacto residual puede calcularse acumulado sobre los activos inferiores. desde un valor potencial a un valor residual. se repiten los cálculos de impacto con este nuevo nivel de degradación. 3. o repercutido sobre los activos superiores. se repiten los cálculos de riesgo usando el impacto residual y la probabilidad residual de ocurrencia. identificando y valorando los activos relevantes.7. La magnitud de la degradación tomando en cuenta la eficacia de las salvaguardas.6. el sistema queda en una situación de riesgo que se denomina residual. ni sus dependencias. Levantar un mapa de riesgos del sistema. La magnitud de la probabilidad residual tomando en cuenta la eficacia de las salvaguardas. tanto el impacto potencial (sin salvaguardas). es la proporción que resta entre la eficacia perfecta y la eficacia real. 2 – Caracterización de las amenazas MAR.12: Dependencias entre activos Tarea MAR.31 – Identificación de las salvaguardas pertinentes MAR.4 – Estimación del estado de riesgo MAR.1 – Caracterización de los activos MAR. identificando las relaciones entre los diferentes activos. El resultado de esta actividad se concreta en varios informes: — declaración de aplicabilidad — evaluación de salvaguardas — insuficiencias (o vulnerabilidades del sistema de protección) © Ministerio de Hacienda y Administraciones Públicas página 36 (de 127) .13: Valoración de los activos MAR.21: Identificación de las amenazas Tarea MAR.3 – Caracterización de las salvaguardas MAR. calificándolas por su eficacia frente a las amenazas que pretenden mitigar. determinando en qué dimensiones de seguridad son importantes y valorando esta importancia.11 – Identificación de los activos MAR.41 – Estimación del impacto MAR. Sub-tareas: Tarea MAR.32 – Valoración de las salvaguardas MAR.2: Caracterización de las amenazas Esta actividad busca identificar las amenazas relevantes sobre el sistema a analizar. Sub-tareas: Tarea MAR. El resultado de esta actividad es el informe denominado “modelo de valor”. El resultado de esta actividad es el informe denominado “mapa de riesgos”.12 – Dependencias entre activos MAR.11: Identificación de los activos Tarea MAR.13 – Valoración de los activos MAR.42 – Estimación del riesgo MAR.Magerit 3.22 – Valoración de las amenazas MAR.0 • Proyectos de análisis de riesgos Informar de las áreas del sistema con mayor impacto y/o riesgo a fin de que se puedan tomar las decisiones de tratamiento con motivo justificado.22: Valoración de las amenazas MAR.1: Caracterización de los activos Esta actividad busca identificar los activos relevantes dentro del sistema a analizar.21 – Identificación de las amenazas MAR. caracterizándolas por las estimaciones de ocurrencia (probabilidad) y daño causado (degradación).3: Caracterización de las salvaguardas Esta actividad busca identificar las salvaguardas desplegadas en el sistema a analizar. caracterizándolos por el tipo de activo. El análisis de los riesgos se lleva a cabo por medio de las siguientes tareas: MAR – Método de Análisis de Riesgos MAR. determinando sus características.11: Identificación de los activos MAR.2) e identificación de las salvaguardas actuales (MAR.42: Estimación del riesgo Es frecuente que las tareas relacionadas con los activos (MAR. viendo todo lo que le afecta antes de pasar al siguiente. y determinar que parte del valor del sistema se soporta en cada activo. 3.1) se realicen concurrentemente con las tareas relacionadas con las amenazas sobre dichos activos (MAR. MAR: Análisis de riesgos MAR.31: Identificación de las salvaguardas pertinentes Tarea MAR.1: Caracterización de los activos MAR. Podemos resumirlo en la expresión “conócete a ti mismo”.Magerit 3.12: Dependencias entre activos MAR.11: Identificación de los activos Objetivos • Identificar los activos que componen el sistema.4: Estimación del estado de riesgo Esta actividad procesa todos los datos recopilados en las actividades anteriores para • • realizar un informe del estado de riesgo: estimación de impacto y riesgo realizar un informe de insuficiencias: deficiencias o debilidades en el sistema de salvaguardas Sub-tareas: Tarea MAR.3).13: Valoración de los activos El objetivo de estas tareas es reconocer los activos que componen el sistema.41: Estimación del impacto Tarea MAR. Tarea MAR.1: Caracterización de los activos Esta actividad consta de tres sub-tareas: MAR. definir las dependencias entre ellos.2. simplemente porque suelen coincidir las personas y es difícil que el interlocutor no tienda de forma natural a tratar cada activo “verticalmente”.0 Sub-tareas: Proyectos de análisis de riesgos Tarea MAR.32: Valoración de las salvaguardas MAR.1. atributos y clasificación en los tipos determinados Inventario de datos manejados por el sistema Inventario de servicios prestados por el sistema Procesos de negocio Diagramas de uso Diagramas de flujo de datos Inventarios de equipamiento lógico Inventarios de equipamiento físico Locales y sedes de la Organización Caracterización funcional de los puestos de trabajo página 37 (de 127) Productos de entrada • • • • • • • • • © Ministerio de Hacienda y Administraciones Públicas . Diagramas de flujo de datos Diagramas de procesos Entrevistas (ver "Guía de Técnicas") Reuniones Técnicas. Especialmente relevante en el caso de datos.0 MAR: Análisis de riesgos MAR. Por ejemplo en caso de datos de carácter personal cabe diferenciar entre el responsable del dato y el operador u operadores que lo manejan.Magerit 3. persona responsable. técnica (en activos intangibles) o geográfica (en activos materiales) cantidad. Una buena identificación es importante desde varios puntos de vista: • • • • • • materializa con precisión el alcance del proyecto permite las interlocución con los grupos de usuarios: todos hablan el mismo lenguaje permite determinar las dependencias precisas entre activos permite valorar los activos con precisión permite identificar y valorar las amenazas con precisión permite determinar qué salvaguardas serán necesarias para proteger el sistema Caracterización de los activos Para cada activo hay que determinar una serie de características que lo definen: • • • • • • código.1: Caracterización de los activos MAR.11: Identificación de los activos Productos de salida • • • Proyectos de análisis de riesgos Relación de activos a considerar Caracterización de los activos: valor propio y acumulado Relaciones entre activos Ver “Libro II – Catálogo”. en el caso de aplicaciones cabe diferenciar entre la unidad que la mantiene y la que la explota. típicamente procedente del inventario nombre (corto) descripción (larga) tipo (o tipos) que caracterizan el activo unidad responsable. Por ejemplo. A veces hay más de un responsable. prácticas y pautas • • • • • Esta tarea es crítica. A veces hay más de una unidad. ubicación. si procede como puede ser en el caso de la informática personal (por ejemplo 350 equipos de sobremesa) otras características específicas del tipo de activo • • • © Ministerio de Hacienda y Administraciones Públicas página 38 (de 127) . 1: Caracterización de los activos MAR.Magerit 3.11.12. Dependencias entre activos Modelo de valor: informe de valor de los activos Ver “Libro II – Catálogo”. prácticas y pautas • Diagramas de flujo de datos • Diagramas de procesos • Entrevistas (ver "Guía de Técnicas") • Reuniones • Valoración Delphi (ver "Guía de Técnicas") Para cada dependencia conviene registrar la siguiente información: • • • estimación del grado de dependencia: hasta un 100% explicación de la valoración de la dependencia entrevistas realizadas de las que se ha deducido la anterior estimación MAR: Análisis de riesgos MAR. Identificación de los activos Resultados de la tarea MAR. Entrevistas (ver "Guía de Técnicas") Reuniones Valoración Delphi (ver "Guía de Técnicas") Productos de entrada • • Productos de salida • Técnicas.2.0 MAR: Análisis de riesgos MAR.1: Caracterización de los activos MAR. Identificación • Procesos de negocio • Diagramas de flujo de datos • Diagramas de uso Productos de salida • Diagrama de dependencias entre activos Técnicas.1.12: Dependencias entre activos Proyectos de análisis de riesgos Objetivos • Identificar y valorar las dependencias entre activos. es decir la medida en que un activo de orden superior se puede ver perjudicado por una amenaza materializada sobre un activo de orden inferior Productos de entrada • Resultados de la tarea T1.13: Valoración de los activos Objetivos • • Identificar en qué dimensión es valioso el activo Valorar el coste que para la Organización supondría la destrucción del activo Resultados de la tarea MAR. prácticas y pautas • • • • © Ministerio de Hacienda y Administraciones Públicas página 39 (de 127) . Podemos resumirlo en la expresión “conoce a tu enemigo”. Caracterización de los activos Informes relativos a defectos en los productos. Tarea MAR.22: Valoración de las amenazas El objetivo de estas tareas es caracterizar el entorno al que se enfrenta el sistema.2. que conocen las consecuencias de un incidente dimensiones en las que el activo es relevante estimación de la valoración en cada dimensión explicación de la valoración entrevistas realizadas de las que se han deducido las anteriores estimaciones Para cada valoración conviene registrar la siguiente información: • • • • 3.2: Caracterización de las amenazas Esta actividad consta de dos sub-tareas: MAR.0 Proyectos de análisis de riesgos Para la adquisición de este conocimiento puede ser necesario entrevistar a diferentes colectivos dentro de la Organización: • • • • dirección o gerencia.21: Identificación de las amenazas MAR. qué consecuencias se derivarían y cómo de probable es que pase. Productos de entrada • • Productos de salida • Relación de amenazas posibles Catálogos de amenazas (ver "Catálogo de Elementos") Árboles de ataque (ver "Guía de Técnicas") Entrevistas (ver "Guía de Técnicas") Reuniones Valoración Delphi (ver "Guía de Técnicas") Técnicas. qué puede pasar. que conocen las consecuencias para la misión de la Organización responsables de los datos. que conocen las consecuencias de la no prestación del servicio o de su prestación degradada responsables de sistemas de información y responsables de operación.1. tomando en consideración: © Ministerio de Hacienda y Administraciones Públicas página 40 (de 127) .2: Caracterización de las amenazas MAR. prácticas y pautas • • • • • En esta tarea se identifican las amenazas significativas sobre los activos identificados. que conocen las consecuencias de sus fallos de seguridad responsables de los servicios. Esto es. informes de vulnerabilidades. MAR: Análisis de riesgos MAR.Magerit 3.21: Identificación de las amenazas Objetivos • Identificar las amenazas relevantes sobre cada activo Resultados de la actividad MAR.2. prácticas y pautas • • • • En esta tarea se valoran las amenazas identificadas en la tarea anterior. bien en otras organizaciones que se haya considerado relevantes Para cada amenaza sobre cada activo conviene registrar la siguiente información: • • • MAR: Análisis de riesgos MAR. © Ministerio de Hacienda y Administraciones Públicas página 41 (de 127) . tomando en consideración: • • • • • la experiencia (historia) universal la experiencia (historia) del sector de actividad la experiencia (historia) del entorno en que se ubican los sistemas la experiencia (historia) de la propia Organización los informes anexos a los reportes de defectos proporcionados por los fabricantes y organismos de respuesta a incidentes de seguridad (CERTS) Sabiendo que existen una serie de posibles agravantes. bien en la propia Organización. caracterizadas por su frecuencia de ocurrencia y la degradación que causarían en los activos Árboles de ataque (ver "Guía de Técnicas") Entrevistas (ver "Guía de Técnicas") Reuniones Valoración Delphi (ver "Guía de Técnicas") Productos de entrada • • • • Productos de salida • Técnicas. Identificación de las amenazas Series históricas de incidentes Informes de defectos en los productos Antecedentes: incidentes en la Organización Mapa de riesgos: informe de amenazas posibles.2: Caracterización de las amenazas MAR.0 • • • • Proyectos de análisis de riesgos el tipo de activo las dimensiones en que el activo es valioso la experiencia de la Organización los defectos reportados por los fabricantes y organismos de respuesta a incidentes de seguridad (CERTS) explicación del efecto de la amenaza entrevistas realizadas de las que se ha deducido la anterior estimación antecedentes. si los hubiera. como se describe en la sección X.1.22: Valoración de las amenazas Objetivos • • Estimar la frecuencia de ocurrencia de cada amenaza sobre cada activo Estimar la degradación que causaría la amenaza en cada dimensión del activo si llegara a materializarse Resultados de la tarea MAR2.Magerit 3. 3: Caracterización de las salvaguardas MAR. prácticas y pautas • • • • Catálogos de salvaguardas (ver "Catálogo de Elementos") Árboles de ataque (ver "Guía de Técnicas") Entrevistas (ver "Guía de Técnicas") Reuniones Para cada salvaguarda conviene registrar la siguiente información: • • • descripción de la salvaguarda y su estado de implantación descripción de las amenazas a las que pretende hacer frente entrevistas realizadas de las que se ha deducido la anterior información Para determinar las salvaguardas pertinentes es frecuente recurrir a catálogos de salvaguardas o al consejo de personas expertas.Magerit 3. © Ministerio de Hacienda y Administraciones Públicas página 42 (de 127) .31: Identificación de las salvaguardas pertinentes Objetivos • Identificar las salvaguardas convenientes para proteger el sistema Productos de entrada • • • • modelo de activos del sistema modelo de amenazas del sistema indicadores de impacto y riesgo residual informes de productos y servicios en el mercado Productos de salida • • Declaración de aplicabilidad: relación justificada de las salvaguardas necesarias Relación de salvaguardas desplegadas Técnicas.32: Valoración de las salvaguardas El objetivo de estas tareas es doble: saber qué necesitamos para proteger el sistema y saber si tenemos un sistema de protección a la altura de nuestras necesidades. MAR: Análisis de riesgos MAR.3.3: Caracterización de las salvaguardas Esta actividad consta de dos sub-tareas: MAR.0 Proyectos de análisis de riesgos Para cada amenaza sobre cada activo conviene registrar la siguiente información: • • • • estimación de la frecuencia de la amenaza estimación del daño (degradación) que causaría su materialización explicación de las estimaciones de frecuencia y degradación entrevistas realizadas de las que se han deducido las anteriores estimaciones 3. de forma que el complejo problema de encontrar lo que necesitamos se reduce al problema más sencillo de descartar lo que no necesitamos.2. De una u otra forma dispondremos de una colección de salvaguardas para elegir. Tarea MAR.31: Identificación de las salvaguardas pertinentes MAR. 32: Valoración de las salvaguardas Objetivos • Determinar la eficacia de las salvaguardas pertinentes Productos de entrada • Inventario de salvaguardas derivado de la tarea MAR. prácticas y pautas • • • Entrevistas (ver "Guía de Técnicas") Reuniones Valoración Delphi (ver "Guía de Técnicas") En esta tarea se valora la efectividad de las salvaguardas identificadas en la tarea anterior. caracterizadas por su grado de efectividad Informe de insuficien cias (o vul nerabilidades): relación de salvaguardas que deberían estar pero no están desplegadas o están desplegadas de forma insuficiente Técnicas.Magerit 3. si tienen un papel activo la existencia de controles de medida de su efectividad la existencia de procedimientos de revisión regular estimación de su eficacia para afrontar aquellas amenazas explicación de la estimación de eficacia entrevistas realizadas de las que se ha deducido la anterior estimación Para cada salvaguarda conviene registrar la siguiente información: • • • © Ministerio de Hacienda y Administraciones Públicas página 43 (de 127) .31 Productos de salida • • Evaluación de salvaguardas : informe de salvaguardas desplegadas.0 Proyectos de análisis de riesgos En el proceso de descarte hay varias razones para eliminar una salvaguarda propuesta: • • • • • porque no es apropiada para el activo que necesitamos defender porque no es apropiada para la dimensión de seguridad que necesitamos defender porque no es efectiva oponiéndose a la amenaza que necesitamos contrarrestar porque es excesiva para el valor que tenemos que proteger (desproporcionada) porque disponemos de medidas alternativas MAR: Análisis de riesgos MAR.3: Caracterización de las salvaguardas MAR. tomando en consideración: • • • • • • la idoneidad de la salvaguarda para el fin perseguido la calidad de la implantación la formación de los responsables de su configuración y operación la formación de los usuarios. 3.42: Estimación del riesgo Objetivos • Determinar el riesgo potencial al que está sometido el sistema • Determinar el riesgo residual al que está sometido el sistema Productos de entrada • Resultados de la actividad MAR.3) para derivar estimaciones del estado de riesgo de la Organización.Magerit 3. al que está expuesto el sistema teniendo en cuenta el valor de los activos y la valoración de las amenazas. Caracterización de las salvaguardas • Resultados de la actividad MAR.4.41: Estimación del impacto Objetivos • Determinar el impacto potencial al que está sometido el sistema • Determinar el impacto residual al que está sometido el sistema Productos de entrada • Resultados de la actividad MAR.1. al que está expuesto el sistema teniendo en cuenta el valor de los activos y la valoración de las amenazas.2 y MAR. prácticas y pautas • Análisis mediante tablas (ver "Guía de Técnicas") • Análisis algorítmico (ver "Guía de Técnicas") En esta tarea se estima el impacto al que están expuestos los activos del sistema: • • el impacto potencial. MAR: Análisis de riesgos MAR. MAR. Tarea MAR.4: Estimación del estado de riesgo En esta tarea se combinan los descubrimientos de las tareas anteriores (MAR. Esta actividad consta de tres tareas: MAR.3.41: Estimación del impacto MAR. así como la eficacia de las salvaguardas actualmente desplegadas MAR: Análisis de riesgos MAR.1. Caracterización de los activos • Resultados de la actividad MAR. Caracterización de los activos • Resultados de la actividad MAR.4: Estimación del estado de riesgo MAR.42: Estimación del riesgo El objetivo de estas tareas es disponer de una estimación fundada de lo que puede ocurrir (impacto) y de lo que probablemente ocurra (riesgo).2.0 Proyectos de análisis de riesgos 3. Caracterización de las amenazas • Resultados de la actividad MAR. Caracterización de las salvaguardas Productos de salida • Informe de impacto (potencial) por activo • Informe de impacto residual por activo Técnicas. Estimaciones de impacto © Ministerio de Hacienda y Administraciones Públicas página 44 (de 127) .4. pero no las salvaguardas actualmente desplegadas el impacto residual.2. Caracterización de las amenazas • Resultados de la actividad MAR.1.2.4: Estimación del estado de riesgo MAR. 4: Estimación del estado de riesgo MAR. • Evaluación de salvaguardas: Informe que detalla las salvaguardas existentes calificándolas en su eficacia para reducir el riesgo que afrontan. Informes y evaluaciones de defectos de los productos. Información existente utilizable por el proyecto (por ejemplo inventario de activos) Documentación auxiliar: planos. al que está sometido el sistema teniendo en cuenta el valor de los activos y la valoración de las amenazas. modelos de datos. • Informe de insuficiencias o vulnerabilidades: Informe que detalla las salvaguardas necesarias pero ausentes o insuficientemente eficaces. manuales de usuario. • Documentación final • Modelo de valor Informe que detalla los activos. las dimensiones en las que son valiosos y la estimación de su valor en cada dimensión. prácticas y pautas • Análisis mediante tablas (ver "Guía de Técnicas") • Análisis algorítmico (ver "Guía de Técnicas") Proyectos de análisis de riesgos En esta tarea se estima el riesgo al que están sometidos los activos del sistema: • • el riesgo potencial.Magerit 3. análisis funcionales. Documentación de otras fuentes: estadísticas. • Mapa de riesgos: Informe que detalla las amenazas significativas sobre cada activo. caracterizándolas por su frecuencia de ocurrencia y por la degradación que causaría su materialización sobre el activo.0 MAR: Análisis de riesgos MAR. manuales de explotación. procedentes de fabricantes o de centros de respuesta a incidentes de seguridad (CERTs). observaciones de expertos y observaciones de los analistas. etc. al que está sometido el sistema teniendo en cuenta el valor de los activos y la valoración de las amenazas. • Declaración de aplicabilidad: Informe que recoge las contramedidas que se consideran apropiadas para defender el sistema de información bajo estudio.3. sus dependencias. © Ministerio de Hacienda y Administraciones Públicas página 45 (de 127) . Documentación Documentación intermedia • • • • Resultados de las entrevistas. cuadernos de carga.42: Estimación del riesgo Productos de salida • Informe de riesgo (potencial) por activo • Informe de riesgo residual por activo Técnicas. así como la eficacia de las salvaguardas actualmente desplegadas 3. organigramas. especificaciones. requisitos. pero no las salvaguardas actualmente desplegadas el riesgo residual. diagramas de flujo de información y de procesos. Lista de control √ actividad Se han identificado los activos esenciales: información que se trata y servicios que se prestan Se han valorado las necesidades o niveles de seguridad requeridos por cada activo esencial en cada dimensión de seguridad Se han identificado los demás activos del sistema Se han establecido el valor (o nivel requerido de seguridad) de los demás activos en función de su relación con los activos esenciales (por ejemplo.4. mediante identificación de las dependencias) Se han identificado las amenazas posibles sobre los activos Se han estimado las consecuencias que se derivarían de la materialización de dichas amenazas Se ha estimado la probabilidad de que dichas amenazas se materialicen Se han estimado los impactos y riesgos potenciales. Esta documentación es un fiel reflejo del estado de riesgo y de las razones por la que este riesgo no es aceptable. Es fundamental entender las razones que llevan a una valoración determinada de riesgo para que el proceso de gestión de riesgos esté bien fundamentado. frente a cada amenaza. que es el nivel de impacto y riesgo que aún soporta el sistema tras el despliegue de las salvaguardas tarea MAR.32 MAR.11 MAR.4 MAR.4 © Ministerio de Hacienda y Administraciones Públicas página 46 (de 127) .23 MAR.13 MAR.12 MAR.11 MAR.21 MAR. inherentes al sistema Se han identificado las salvaguardas apropiadas para atajar los impactos y riesgos potenciales Se ha valorado el despliegue de las salvaguardas identificadas Se han estimado los valores de impacto y riesgo residuales.0 • Proyectos de análisis de riesgos Estado de riesgo: Informe que detalla para cada activo el impacto y el riesgo.31 MAR.Magerit 3.22 MAR. potenciales y residuales. El proceso de gestión de riesgos partirá de estas valoraciones para atajar el riesgo o reducirlo a niveles aceptables. 3. determinándose si . etc. nuevas oportunidades de negocio. tales como capacidad de alcanzar acuerdos estratégicos. siendo un factor básico para establecer la prioridad relativa de las diferentes actuaciones. capacidad de ofrecer una carrera profesional atractiva. tales como capacidad de contratar al personal idóneo. etc. © Ministerio de Hacienda y Administraciones Públicas página 47 (de 127) ..0 Proyectos de análisis de riesgos 4. medio o largo plazo. aceptación del riesgo. permite un mejor desempeño de las funciones de la Organización en su entorno de operación. capacidad de obtener trato prioritario. capacidad de incrementar la oferta..Magerit 3. relaciones con otras organizaciones. al centrarse en la evaluación de daños. relaciones con los clientes o usuarios. 1. tales como formas de recuperar la inversión en seguridad acceso a sellos o calificaciones reconocidas de seguridad • • • • • Todas las consideraciones anteriores desembocan en una calificación de cada riesgo significativo. relaciones con los proveedores. . capacidad de soportar rotaciones de personas. Las razones que pueden llevar a esta aceptación son: • • • cuando el impacto residual es asumible cuando el riesgo residual es asumible cuando el coste de las salvaguardas oportunas es desproporcionado en comparación al impacto y riesgo residuales La calificación de los riesgos tendrá consecuencias en las tareas subsiguientes. generando un ambiente de confianza. es apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento 4. pueden aparecer consideraciones adicionales sobre la capacidad de la Organización para aceptar ciertos impactos de naturaleza intangible 16 tales como: • • imagen pública de cara a la Sociedad (aspectos reputacionales) política interna: relaciones con los propios empleados.. etc. Proceso de gestión de riesgos A la vista de los impactos y riesgos a que está expuesto el sistema. capacidad de diferenciarse frente a la competencia. tales como capacidad de llegar a acuerdos ventajosos a corto. no captura plenamente los beneficios de la ausencia de daños que. es crítico en el sentido de que requiere atención urgente 2. siempre es arriesgada y hay que tomarla con prudencia y justificación. es asumible en el sentido de que no se van a tomar acciones para atajarlo La opción 4. es grave en el sentido de que requiere atención 3. hay que tomar una serie de decisiones condicionadas por diversos factores: • • • • la gravedad del impacto y/o del riesgo las obligaciones a las que por ley esté sometida la Organización las obligaciones a las que por reglamentos sectoriales esté sometida la Organización las obligaciones a las que por contrato esté sometida la Organización Dentro del margen de maniobra que permita este marco.. capacidad de retener a los mejores. 16 La metodología de análisis y gestión de riesgos. alianzas. tales como capacidad de retención. Conceptos El análisis de riesgos determina impactos y riesgos. típicamente no porque no haya nada hecho. Es importante entender que un valor residual es sólo un número. las salvaguardas existentes no valen para nada. 4. Los párrafos siguientes se refieren conjuntamente a impacto y riesgo. En cambio. sino porque hay elementos fundamentales sin hacer. © Ministerio de Hacienda y Administraciones Públicas página 48 (de 127) . Los impactos recogen daños absolutos. entre la inseguridad potencial (sin salvaguarda alguna) y las medidas adecuadas que reducen impacto y riesgo a valores aceptables.0 Proyectos de análisis de riesgos 4. La caja ‘estudio de los riesgos’ pretende combinar el análisis con la evaluación. es decir. Evaluación: interpretación de los valores de impacto y riesgo residuales Impacto y riesgo residual son una medida del estado presente. Decisiones de tratamiento de los riesgos Todos estos aspectos se desarrollan en las secciones siguientes. El resultado del análisis es sólo un análisis. mientras que el riesgo refleja el daño probable (lo que probablemente ocurra). que se denomina Informe de Insuficiencias o de vulnerabilidades. Los responsables de la toma de decisiones deberán prestar cuidadosa atención a esta relación de tareas pendientes.Magerit 3. Si el valor residual es igual al valor potencial. el riesgo pondera la probabilidad de que ocurra.1. El impacto refleja el daño posible (lo peor que puede ocurrir). de las vulnerabilidades que presenta el sistema. Todo ello sintetizado en los valores de impacto y riesgo.1. las decisiones son de los órganos de gobierno de la Organización que actuarán en 2 pasos: • • paso 1: evaluación paso 2: tratamiento La siguiente figura resume las posibles decisiones que se pueden tomar tras haber estudiado los riesgos. Para su correcta interpretación debe venir acompañado de la relación de lo que se debería hacer y no se ha hecho. A partir de el disponemos de información para tomar decisiones conociendo lo que queremos proteger (activos valorados=.1. Ilustración 11. A partir de aquí. independientemente de que sea más o menos probable que se dé la circunstancia. de qué lo queremos proteger (amenazas valoradas) y qué hemos hecho por protegerlo (salvaguardas valoradas). en un determinado servicio.Magerit 3. 4. Más propiamente dicho.. regulación pública o sectorial. Estos niveles de aceptación se pueden establecer por activo o por agregación de activos (en un determinado departamento.. etc. Zonas de riesgo 17 Hablar de Dirección es pecar de simplificar la realidad. • equilibrio con otros tipos de riesgos: comerciales. sino todos los que tienen su confianza puesta en la Organización y cuyo lamentable desempeño oscurecería sus legítimas expectativas. financieros.1. compromisos internos.) Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y acepta formalmente la Dirección 17 . Tratamiento La Dirección puede decidir aplicar algún tratamiento al sistema de seguridad desplegado para proteger el sistema de información. casi la única opción es reducir el riesgo. usuarios. políticos. misión de la Organización. laborales. En cualquier caso hay que mantener una monitorización continua de las circunstancias para que el riesgo formal cuadre con la experiencia real y reaccionemos ante cualquier desviación significativa. Ilustración 12.3.2. . culturales. Esta decisión no es técnica. Hay dos grandes opciones: • • reducir el riesgo residual (aceptar un menor riesgo) ampliar el riesgo residual (aceptar un mayor riesgo) Para tomar una u otra decisión hay que enmarcar los riesgos soportados por el sistema de información dentro de un contexto más amplio que cubre un amplio espectro de consideraciones de las que podemos apuntar algunas sin pretender ser exhaustivos: cumplimiento de obligaciones. … En condiciones de riesgo residual extremo. económicos.0 Proyectos de análisis de riesgos 4. Aceptación del riesgo La Dirección de la Organización sometida al análisis de riesgos debe determinar el nivel de impacto y riesgo aceptable. responsabilidad corporativa. Porque al final si se aceptan riesgos imprudentemente elevados. podemos optar entre aceptar el nivel actual o ampliar el riesgo asumido. medioambientales. En inglés suele emplearse el término “stakeholders” (o tenedores de la estaca) para referirse a los afectados por las decisiones estratégicas de una Organización: dueños. En condiciones de riesgo residual aceptable . empleados e incluso la sociedad en general. el perjudicado puede no ser sólo el que dirige. © Ministerio de Hacienda y Administraciones Públicas página 49 (de 127) . sean legales. En última instancia puede verse afectada la confianza en un sector o en una tecnología por la imprudente puesta en escena de algunos actores. Puede ser una decisión política o gerencial o puede venir determinada por ley o por compromisos contractuales con proveedores o usuarios. en una determinada dimensión. etc.1. debe aceptar la responsabilidad de las insuficiencias. • • • posibles beneficios derivados de una actividad que en sí entraña riesgos condicionantes técnicos. gerentes. regulatorios. con rapidez y salimos de la incertidumbre. También conviene considerar la incertidumbre del análisis. propia o ajena.Magerit 3. • • • • zona 1 – riesgos muy probables y de muy alto impacto. Estos escenarios suelen afectar a las zonas 4 y 3. Aparecen en la práctica gráficos como el siguiente que ponen uno frente al otro el coste de la inseguridad (lo que costaría no estar protegidos) y el coste de las salvaguardas. A veces que estos escenarios de incertidumbre ocurren en un terreno en el que hay obligaciones de cumplimiento y la propia normativa elimina o reduce notablemente las opciones disponibles. normalmente adquirimos experiencia. toda incertidumbre debe considerarse como mala y debemos hacer algo: • • • buscar formas de mejorar la previsión. posiblemente nos planteemos sacarlos de esta zona zona 2 – riesgos de probabilidad relativa e impacto medio. pero hay un amplio rango de opiniones sobre su magnitud (incertidumbre en el impacto). 4. suponen un reto de decisión pues su improbabilidad no justifica que se tomen medidas preventivas. o tener preparados sistemas de alerta temprana y procedimientos flexibles de contención. o incluso analizar el estado del sector en el que operamos para compararnos con la “norma”. centros de respuesta a incidentes o expertos en la materia. © Ministerio de Hacienda y Administraciones Públicas página 50 (de 127) . típicamente indagando en foros. pero su elevado impacto exige que tengamos algo previsto para reaccionar. evitar el riesgo cambiando algún aspecto. Estudio cuantitativo de costes / beneficios Es de sentido común que no se puede invertir en salvaguardas más allá del valor que queremos proteger.4. componente o arquitectura del sistema. hay que poner el énfasis en medidas de reacción para limitar el daño y de recuperación del desastre si ocurriera. el sistema se protege por obligación más que por certidumbre del riesgo. En términos de las zonas de riesgo que se expusieron anteriormente.0 Proyectos de análisis de riesgos En condiciones de riesgo residual medio. es decir. limitación y recuperación del posible incidente. En cualquier caso. pues cuando la probabilidad es alta. En otras ocasiones la incertidumbre afecta a la probabilidad. Hay veces que sospechamos las consecuencias. se pueden tomar varias opciones zona 3 – riesgos improbables y de bajo impacto. o los dejamos como están. es decir. o permitimos que suban a mayores si ello nos ofreciera alguna ventaja o beneficio en otro terreno zona 4 – riesgos improbables pero de muy alto impacto. A la vista de estas consideraciones se tomarán las decisiones de tratamiento.1. podemos observar otras características como las pérdidas y ganancias que pueden verse afectadas por el escenario presente. mientras que el coste de la inversión en salvaguardas aumenta. bien derivado del riesgo (baja seguridad). la curva anterior es conceptual y no se puede dibujar en un caso real. bien derivado de la inversión en protección. que pudiera estar justificada económicamente.0 Proyectos de análisis de riesgos 0 10 20 30 40 50 60 70 80 90 100 grado de seguridad riesgo residual gasto en salvaguardas coste total Ilustración 13. se contabilizan como valores negativos las pérdidas de dinero y como valores positivos las entradas de dinero. habría que convertirla a términos anuales. aparecen varios escenarios hipotéticos: E0: si no se hace nada E1: si se aplica un cierto conjunto de salvaguardas E2: si se aplica otro conjunto de salvaguardas Y así N escenarios con diferentes combinaciones de salvaguardas. Para poder agregar costes. los datos de riesgo residual estarán automáticamente anualizados. el coste de la inseguridad (el riesgo) disminuye. Relación entre el gasto en seguridad y el riesgo residual Este tipo de gráficas intentan reflejar cómo al avanzar de un grado de seguridad 0 hacia un grado de seguridad del 100%. Reflejando una vez más que la seguridad absoluta (riesgo cero) no existe. En otras palabras. ni por la parte del cálculo del coste de las salvaguardas. punto al que hay que tender si la única consideración es económica. Es intencionado el hecho de que el riesgo caiga fuertemente con pequeñas inversiones 18 y que el coste de las inversiones se dispare para alcanzar niveles de seguridad cercanos al 100% 19 . Si se hubiera empleado otra escala.Magerit 3. Considerando los siguientes componentes: − − 18 19 20 (recurrente) riesgo residual 20 (una vez) coste de las salvaguardas 21 Medidas básicas de seguridad suponen un importante descenso del riesgo. © Ministerio de Hacienda y Administraciones Públicas página 51 (de 127) . En cada escenario hay que estimar a lo largo del tiempo el coste que va a suponer. El análisis económico tendrá como misión decidir entre estas opciones. siendo E0 (seguir como estamos) una opción posible. En la práctica. Pero llevar el sentido común a la práctica no es evidente. De alguna forma existe un punto de equilibrio entre lo que se arriesga y lo que se invierte en defensa. Si la frecuencia de las amenazas se ha estimado como tasa anual. La curva central suma el coste para la Organización. Por ello son inexcusables. ni por la parte del cálculo del riesgo. cuando hay que protegerse de un riesgo que se considera significativo. usuarios. Ilustración 14. Más atractivo aún es el escenario E3 en el que a costa de un mayor desembolso inicial. No así el escenario E2 que. que se acumula año tras año. entrar en asociación con otras organizaciones. e incluso se llega a obtener beneficios operativos a partir del quinto año. Como ejemplo típico de salvaguardas que mejoran la productividad podemos citar la introducción de dispositivos de autenticación en sustitución de la clásica contraseña. etc. o puede ser negativo. 21 Si la salvaguarda ya existe. suponiendo un mayor desembolso inicial. Ejemplos de decisiones de tratamiento del riesgo • • • • En E0 se sabe lo que cada año (se estima que) se pierde El escenario E1 aparece como mala idea. La pendiente de la recta responde a los costes recurrentes. si empeora. © Ministerio de Hacienda y Administraciones Públicas página 52 (de 127) . En ordenadas aparecen costes en unidades arbitrarias. se empieza a ahorrar al tercer año. Se presentan valores acumulados a lo largo de un periodo de 5 años. 22 Este epígrafe puede ser positivo si la Organización mejora su productividad. empieza a ser rentable a partir del cuarto año. hay cosas que suman y cosas que restan. coste de adquisición e instalación. En los demás escenarios. 23 En el eje X se muestran años. Como ejemplo típico de salvaguardas que minoran la productividad podemos citar la clasificación de documentación con control de acceso restringido.0 − + + Proyectos de análisis de riesgos (recurrente) coste anual de mantenimiento de las salvaguardas (recurrente) mejora en la productividad 22 (recurrente) mejoras en la capacidad de la Organización para prestar nuevos servicios. etc. en referencia al año 0 en que se realiza el análisis de riesgos. pero este gasto no se recupera en años venideros. En cualquier caso hay que imputar costes de formación de los operadores. Si no existiera. coste de mejora. pudiendo darse varias situaciones 23 como las recogidas en la gráfica siguiente. El escenario E0 es muy simple: todos los años se afronta un gasto marcado por el riesgo. pues supone un gasto añadido el primer año.Magerit 3. conseguir mejores condiciones de los proveedores. Se puede decir que en escenario E3 se ha hecho una buena inversión. El valor el primer año corresponde a los costes de implantación. 1. si bien siempre hay que hacer un cálculo de lo que cuesta la solución y cerciorarse de que el gasto es asumible. Cambiar estos activos supone reorientar la misión de la Organización. que están presentes simple y llanamente para implementar la misión. que puede ser obligatorio o voluntario — capacidad de operar — productividad Estas consideraciones nos llevan a contemplar diversos escenarios para determinar el balance neto. … Las decisiones de eliminación de las fuentes de riesgo suponen realizar un nuevo análisis de riesgos sobre el sistema modificado. 4. En términos de madurez de las salvaguardas: subir de nivel.0 Proyectos de análisis de riesgos 4. Es extremadamente raro que podamos prescindir de la información o los servicios esenciales por cuanto constituyen la misión de la Organización. desdoblar equipos para atender a necesidades concretas. emplean otros en su lugar. … Reordenar la arquitectura del sistema (el esquema de dependencias en nuestra terminología) de forma que alteremos el valor acumulado en ciertos activos expuestos a grandes amenazas. Opciones de tratamiento del riesgo: eliminación La eliminación de la fuente de riesgo es una opción frente a un riesgo que no es aceptable. © Ministerio de Hacienda y Administraciones Públicas página 53 (de 127) .6. eligiendo una combinación de medidas que sea asumible. hay que buscar un punto de equilibrio. siempre que no afecten a la esencia de la Organización. Por ejemplo: cambiar de sistema operativo. Entre los aspectos intangibles se suelen contemplar: — aspectos reputacionales o de imagen — aspectos de competencia: comparación con otras organizaciones de mismo ámbito de actividad — cumplimiento normativo. el no adoptar medidas puede exponernos a un cierto riesgo que causaría mala imagen.Magerit 3.7. la supuesta solución no es una opción. Estudio cualitativo de costes / beneficios Cuando el análisis es cualitativo. pero si la solución preventiva causa también mala imagen o supone un merma notable de oportunidades o de productividad. Por ejemplo: segregar redes. Esta opción puede tomar diferentes formas: • • Eliminar cierto tipo de activos.1. 4. la decisión la marca el balance de costes y beneficios intangibles. Por ejemplo. En un sistema podemos eliminar varias cosas. pero no son parte constituyente de la misma. 4. De o contrario.1. primero hay que pasar el filtro económico y luego elegir la mejor de las soluciones factibles. alejando lo más valioso de lo más expuesto. Opciones de tratamiento del riesgo: mitigación La mitigación del riesgo se refiere a una de dos opciones: • • reducir la degradación causada por una amenaza (a veces se usa la expresión ‘acotar el impacto’) reducir la probabilidad de que una amenaza de materializa En ambos casos lo que hay que hacer es ampliar o mejorar el conjunto de salvaguardas.8.1. Es decir. Estudio mixto de costes / beneficios En análisis de riesgos meramente cualitativos. en la balanza de costes beneficios aparecen aspectos intangibles que impiden el cálculo de un punto numérico de equilibrio.5. de fabricante de equipos. Más viable es prescindir de otros componentes no esenciales. la Organización hará bien en reservar fondos para el caso de que el riesgo se concrete y haya que responder de sus consecuencias. Hay pues que repetir el análisis de riesgos. una PKI de clave pública. de forma que se reparten responsabilidades: unas técnicas para el que opera el componente técnico. notablemente las de tipo técnico. A veces de habla de ‘fondos de contingencia’ y también puede ser parte de los contratos de aseguramiento. cerciorarse de que el riesgo del sistema ampliado es menor que el del sistema original. Hay dos formas básicas de compartir riesgo: •Riesgo cualitativo: se comparte por medio de la externalización de componentes del sistema. es decir. Normalmente esta opción no modifica nada del sistema y nos vale el análisis de riesgos disponible.10.Magerit 3. tarjetas inteligentes de identificación de los usuarios. © Ministerio de Hacienda y Administraciones Públicas página 54 (de 127) . y otras legales según el acuerdo que se establezca de prestación del servicio. se traducen en el despliegue de más equipamiento 24 que se convierte a su vez en un activo del sistema.9. Hay multitud de tipos y cláusulas de seguros para concretar el grado de responsabilidad de cada una de las partes. 4. requiriéndose un nuevo análisis del sistema resultante. Estos nuevos activos también acumularán valor del sistema y estarán a su vez sujetos a amenazas que pueden perjudicar a los activos esenciales. un sistema de gestión de redes privadas virtuales. etc. es más general hablar de ‘compartir el riesgo’. 4. ampliándolo con el nuevo despliegue de medios y. por supuesto. bien su valoración. Opciones de tratamiento del riesgo: compartición Tradicionalmente se ha hablado de ‘transferir el riesgo’. que las salvaguardas efectivamente disminuyen el estado de riesgo de la Organización.2. Opciones de tratamiento del riesgo: financiación Cuando se acepta un riesgo. Como la transferencia puede ser parcial o total. Riesgo cuantitativo: se comparte por medio de la contratación de seguros. el tomador reduce el impacto de las posibles amenazas y el asegurador corre con las consecuencias. • Cuando se comparten riesgos cambia. Proceso de gestión de riesgos 24 Ejemplos típicos pueden ser un equipo cortafuegos.1.0 Proyectos de análisis de riesgos Algunas salvaguardas. Formalización de las actividades Ilustración 15. bien el conjunto de componentes del sistema. de forma que a cambio de una prima. 4.1. Tiene la responsabilidad última sobre qué seguridad requiere una cierta información manejada por la Organización. aunque a veces baja a nivel ejecutivo. Responsable de la seguridad Típicamente a nivel ejecutivo. actuando como engranaje entre las directrices emanadas de los responsables de la información y los servicios. Roles y funciones En el proceso de gestión de riesgos aparecen varios actores. A veces se denomina a esta figura CISO (Chief Information Security Officer). los responsables de la calidad de los servicios prestados por la organización. de producción.1. A veces este role lo asume el Comité de Seguridad de la Información.0 Proyectos de análisis de riesgos 4. A veces este role lo ejerce el Comité de Seguridad de la Información.2. suele aparecer en este nivel. etc. de explotación y similares. y el responsable del sistema. A su vez funciona como supervisor de la operación del sistema y vehículo de reporte al Comité de Seguridad de la Información. Se dice que son los “propietarios del riesgo”. Órganos de gobierno En este epígrafe se incluyen aquellos que órganos colegiados o unipersonales que deciden la misión y los objetivos de la Organización. En esta fun- © Ministerio de Hacienda y Administraciones Públicas página 55 (de 127) . los procedimientos operativos. Estos órganos tienen la autoridad última para aceptar los riesgos con que se opera. Típicamente se incluyen en esta categoría los responsables de unidades de negocio. Esquema Nacional de Seguridad En el Esquema Nacional de Seguridad de identifican ciertos roles que pueden verse involucrados en el proceso de gestión de riesgos: Responsable de la información Típicamente a nivel de gobierno.Magerit 3. A este nivel se suele concretar la responsabilidad sobre datos de carácter personal y sobre la clasificación de la información. Típicamente se incluyen en esta categoría los altos cargos de los organismos. Responsable del servicio Típicamente a nivel de gobierno. Dirección operacional En este epígrafe se incluyen aquellos órganos colegiados o unipersonales que toman decisiones prácticas para materializar las indicaciones dadas por los órganos ejecutivos. que aprueba la declaración de aplicabilidad de salvaguardas. los riesgos residuales y los planes de seguridad. Dirección ejecutiva En este epígrafe se incluyen aquellos órganos colegiados o unipersonales que toman decisiones que concretan cómo alcanzar los objetivos de negocio marcados por los órganos de gobierno. Tiene la responsabilidad última de determinar los niveles de servicio aceptables por la Organización. Los siguientes párrafos intentan identificarlos de forma somera y explicitar cuales son sus funciones y responsabilidades. En lo que respecta al proceso de gestión de riesgos. Cuando existe un Comité de Seguridad de la Información. Típicamente se incluyen en esta categoría los responsables de operaciones. es la persona que traslada la valoración de los activos esenciales. Lo más habitual es que exista sólo un R. Es quien debe ejecutar las tareas.0 Proyectos de análisis de riesgos ción de informante. Administradores y operadores Son las personas encargadas de ejecutar las acciones diarias de operación del sistema según las indicaciones recibidas de sus superiores jerárquicos. si existe más de uno. suele ser la persona encargada de elaborar los indicadores del esto de seguridad del sistema. Es quien debe asegurar que se ejecutan las tareas. A diferencia del Consultado. Sólo puede existir un A por cada tarea. A Accountable Este rol se encarga de aprobar el trabajo finalizado y a partir de ese momento. los procedimientos operativos y los planes de seguridad. Se le informa y se le consulta información (comunicación bidireccional). de los tipos de responsabilidad) se utiliza generalmente en la gestión de proyectos para relacionar actividades con recursos (individuos o equipos de trabajo). También es la persona responsable de la implantación y correcta operación de las salvaguardas. Roles en procesos distribuidos Tarea niveles de seguridad requeridos por la información niveles de seguridad requeridos por el servicio análisis de riesgos declaración de aplicabilidad aceptación del riesgo residual implantación de las medidas de seguridad supervisión de las medidas de seguridad Dirección RINF O A I I I RSER V I A I I A I RSE G R R A/R A/R R C A RSI S C C C C I A C AS S I A I R R © Ministerio de Hacienda y Administraciones Públicas página 56 (de 127) . Tabla 5. Responsable del sistema A nivel operacional. C Consulted I Informed Este rol posee alguna información o capacidad necesaria para terminar el trabajo. De esta manera se logra asegurar que cada una de las tareas esté asignada a un individuo o a un órgano colegiado. se vuelve responsable por él. usando para ello las matrices RASCI. instalaciones y operación del día a día. rol descripción R Responsible Este rol realiza el trabajo y es responsable por su realización. la declaración de aplicabilidad de salvaguardas. Toma decisiones operativas: arquitectura del sistema. Matriz RACI La matriz que se expone a continuación es orientativa y cada organismo deberá adecuarla a su organización particular. En lo que respecta al proceso de gestión de riesgos. la comunicación es unidireccional. La matriz de la asignación de responsabilidades (RACI por las iniciales. adquisiciones. Este rol debe ser informado sobre el progreso y los resultados del trabajo. entonces el trabajo debería ser subdividido a un nivel más bajo. en inglés. es la persona que propone la arquitectura de seguridad.Magerit 3. Por ejemplo. viniendo marcados por el ámbito de actividad de la Organización. al menos. — tratamiento de información clasificada.Magerit 3.0 Tarea estado de seguridad del sistema planes de mejora de la seguridad planes de concienciación y formación planes de continuidad seguridad en el ciclo de vida Tabla 6. Contexto Hay que documentar el entorno externo en el que opera la Organización: cultural. Hay que identificar las obligaciones legales. — tratamiento de información y productos sometidos a derechos de propiedad intelectual — prestación de servicios públicos — operación de infraestructuras críticas — etc. Esto incluye tanto aspectos nacionales como internacionales. Hay que identificar el contexto interno en el que se desenvuelve la actividad de la Organización: política interna. social y político. La identificación del contexto en el que se desarrolla el proceso de gestión de riesgos debe ser objeto de una revisión continua para adaptarse a las circunstancias de cada momento.Tareas relacionadas con la gestión de riesgos Proyectos de análisis de riesgos Dirección I RINF O I RSER V I RSE G A A A C C RSI S I C C A A AS S R Siendo Dirección – Alta Dirección.3. Hay que identificar el entorno en cuanto competencia y posicionamiento respecto de la competencia. Órganos de Gobierno RINFO – Responsable de la Información RSERV – Responsable del Servicio RSEG – Responsable de la Seguridad RSIS – Responsable (operacional) del Sistema ASS – Administrador(es) de la Seguridad del Sistema 4. Conviene que las estimaciones sean lo más objetivas que sea posible o. Criterios Múltiples aspectos relacionados con los riesgos son objeto de estimaciones. explicables y comparables. suele haber obligaciones asociadas a — tratamiento de datos de carácter personal. 4. que sean repetibles. reglamentarias y contractuales.2.2. compromisos con los accionistas y con los trabajadores o sus representantes. Matriz RACI .2. En particular conviene establecer escalas de valoración para — valorar los requisitos de seguridad de la información — valorar los requisitos de disponibilidad de los servicios © Ministerio de Hacienda y Administraciones Públicas página 57 (de 127) . servicios prestados.2. — reducir o limitar el impacto — reducir la probabilidad de que la amenaza ocurra — en el caso de amenazas derivadas de defectos de los productos (vulnerabilidades técnicas): reparar el producto (por ejemplo. Hay múltiples formas de reducir el riesgo: — eliminar el riesgo eliminando sus causas: información tratada. Evaluación de los riesgos Se sigue la metodología descrita en el capítulo anterior. Decisión de tratamiento Se pueden tomar las diferentes opciones mencionadas al principio de este capítulo.2. aplicar los parches del fabricante) — implantar nuevas salvaguardas o mejorar la calidad de las presentes — externalizar partes del sistema — contratar seguros de cobertura A veces la decisión consiste en aceptar un incremento del riesgo: — aceptando trabajar con nueva información o prestar nuevos servicios — alterando la arquitectura del sistema — reduciendo las salvaguardas presentes — reduciendo la calidad de las salvaguardas presentes (es decir.0 — estimar la probabilidad de una amenaza — estimar las consecuencias de un incidente de seguridad Proyectos de análisis de riesgos — estimar el nivel de riesgo a partir de las estimaciones de impacto y probabilidad — … (ver “Libro II – Catálogo de Elementos”) Hay que establecer reglas y/o criterios para tomar decisiones de tratamiento: — umbrales de impacto — umbrales de probabilidad — umbrales combinados de impacto y probabilidad — umbrales de nivel de riesgo — impacto en la reputación de la Organización o de las personas responsables — impacto en la posición de competencia — impacto comparado con otras áreas de riesgo: financiero. porque adolecen de una amplia incertidumbre o porque su ocurrencia causaría una notable alarma social con grave daño para la reputación o la continuidad de las operaciones de la Organización. etc — combinaciones o concurrencia de riesgos que pudieran tener un efecto combinado — amenazas especialmente sensibles (puede ser por motivos técnicos. 4. incluso si sus consecuencia técnicas o materiales son modestas) — … 4. La primera vez que se ejecuta esta actividad puede ser conveniente lanzar un proyecto específico de análisis de riesgos. medioambiental.4. arquitectura del sistema. Ver capítulo siguiente. dedicando menos recursos) © Ministerio de Hacienda y Administraciones Públicas página 58 (de 127) . regulatorio. seguridad industrial.5.Magerit 3. — puntualmente. dificulte la operación del sistema. — y extraordinariamente cuando se supera un umbral de riesgo o estos indicadores estarán a disposición de los auditores © Ministerio de Hacienda y Administraciones Públicas página 59 (de 127) . en cuyo caso es posible que se decide reservar fondos para hacer frente a alguna contingencia.2. Y debe estar preparado un sistema de detección precoz de posibles incidentes (en base a indicadores predictivos) así como un sistema de reacción a incidentes de seguridad. Comunicación y consulta Antes de tomar ninguna decisión relativa al tratamiento de un riesgo hay que entender para qué se usa el sistema y cómo se usa. Es absolutamente necesario que el sistema esté bajo monitorización permanente. basado en múltiples estimaciones y valoraciones que pueden no compadecerse con la realidad.2.Magerit 3. — la periodicidad de evaluación y — los umbrales de aviso y alarma (atención urgente) o se le presentan al responsable correspondiente — rutinariamente. identificando tanto el grado de cumplimiento como los problemas que causa su seguimiento.6. Esto quiere decir mantener un contacto fluido con varios actores — los órganos de gobierno y decisión.0 Proyectos de análisis de riesgos En última instancia siempre hay que acabar aceptando un cierto riesgo residual. pues toda decisión debe estar alineada con la misión de la Organización — los usuarios y técnicos de sistemas. 4. pues toda decisión debe tener en cuenta su impacto en la productividad y sobre la usabilidad del sistema — los proveedores.7. la definición indicará exactamente: — en qué medidas se basan. pues toda decisión debe contar con su colaboración Hay que tener en cuenta que cualquier medida de seguridad que merme la productividad. Seguimiento y revisión El análisis de los riesgos es un ejercicio formal. Toda medida de seguridad debe estar — apoyada por la Dirección — amparada por la Política de Seguridad de la Organización — apoyada por normativa clara y legible. o requiera una elaborada formación de los usuarios. Estos indicadores: o o son propuestos por el Responsable de la Seguridad. 4. por demanda del propietario del riesgo medido. — cuál es el algoritmo de cálculo. su definición es acordada por el Responsable de la Seguridad y el propietario del riesgo. está condenada al fracaso. ampliamente divulgada — explicada de forma breve. Se procurará disponer de un conjunto de indicadores clave de riesgo (KRI – Key Risk Indicators). clara y directa en procedimientos operativos de seguridad Por último es interesante disponer de indicadores que midan el grado de aceptación por parte de los usuarios. con la periodicidad establecida. Los indicadores de impacto y riesgo potenciales son útiles para decidir qué puntos deben ser objeto de monitorización. 4.2.2. escalado y resolución de los incidentes de seguridad.0 Proyectos de análisis de riesgos La responsabilidad de monitorizar un riesgo recae en su propietario.5 4. Documentación del proceso Documentación interna • • • • Definición de roles.2.3 4. sin perjuicio de que la función puede ser delegada en el día a día. tanto con un buen sistema de reporte.2.5 página 60 (de 127) . funciones y esquemas de reporte Criterios de valoración de la información Criterios de valoración de los servicios Criterios de evaluación de los escenarios de impacto y riesgo Documentación para otros • Plan de Seguridad 4. como en el establecimiento de indicadores predictivos.Magerit 3. retomando el control de la situación cuando hay que tomar medidas para atajar un riesgo que se ha salido de los márgenes tolerables. Indicadores de control del proceso de gestión de riesgos √ actividad Se han definido los roles y responsabilidades respecto de la gestión de riesgos Se ha establecido el contexto de gestión de riesgos Se han establecido los criterios de valoración de riesgos y toma de decisiones de tratamiento Se han interpretado los riesgos residuales en términos de impacto en el negocio o misión de la Organización Se han identificado y valorado opciones de tratamiento de los riesgos residuales (propuesta de programas de seguridad) Los órganos de gobierno han adoptado una propuesta de tratamiento — evitar el riesgo — prevenir: mitigar la probabilidad de que ocurra — mitigar el impacto si ocurriera — compartir el riesgo con un tercero — asumir el riesgo Se han previsto recursos para acometer el plan de seguridad © Ministerio de Hacienda y Administraciones Públicas tarea 4. Servicios subcontratados Cuando dependemos de terceros es especialmente importante conocer el desempeño de nuestros proveedores. tenemos información de en qué medida y en qué dimensiones de seguridad dependemos de cada proveedor externo.5 4. 4.1 4. Del análisis de dependencias realizado durante el análisis de riesgos.4 4.2.2 4. Cada vez que la realidad difiere de nuestras estimaciones conviene hacer un ciclo de revisión del análisis y las decisiones de tratamiento. De esta información se sigue qué elementos debemos monitorizar para asegurarnos que satisfacen nuestros requisitos de seguridad.2.2.3. 2.Magerit 3.2.6 4.2.5 4.2.7 4.0 √ actividad Se han previsto recursos para atender a contingencias Se han comunicado las decisiones a las partes afectadas Proyectos de análisis de riesgos tarea 4.7 Se ha desplegado un sistema de monitorización constante para detectar modificaciones en los supuestos de análisis de riesgos Se han establecido las normas y procedimientos de actuación en caso de detectar desviaciones de los supuestos © Ministerio de Hacienda y Administraciones Públicas página 61 (de 127) . sea interno o se subcontrate a una consultora externa.1 – Actividades preliminares PAR. Podemos llamar ‘análisis de riesgos marginales’ a las salidas de estas actividades que. requieren poco volumen de trabajo en cada iteración. así como por los responsables de la informática y de la gestión dentro de dichas unidades. Proyectos de análisis de riesgos Las actividades de análisis de riesgo son recurrentes dentro del proceso de gestión. PAR. se consumen una serie de recursos apreciables y conviene planificar estas actividades dentro de un proyecto. Las responsabilidades de este equipo consisten en • • • llevar a cabo las tareas del proyecto recopilar. Si el proyecto se hace con asistencia técnica mediante contratación externa. A veces el Comité de Seguimiento toma la forma de subcomité del Comité de Seguridad de la Información. recursos humanos. Esto ocurre la primera vez que se realiza un análisis de riesgos y cuando la política de la organización marque que se prepare una nueva plataforma. Las responsabilidades de este comité consisten en • • • • resolver las incidencias durante el desarrollo del proyecto asegurar la disponibilidad de recursos humanos con los perfiles adecuados y su participación en las actividades donde es necesaria su colaboración aprobar los informes intermedios y finales de cada proceso elaborar los informes finales para el comité de dirección Este comité se suele nombrar por el Comité de Seguridad de la Información. hay que disponer de un análisis de riesgos que sirva de plataforma de trabajo. con conocimientos de gestión de seguridad en general y de la aplicación de la metodología de análisis y gestión de riesgos en particular. Equipo de proyecto Formado por personal experto en tecnologías y sistemas de información y personal técnico cualificado del dominio afectado.1. presupuesto.Magerit 3.3 – Comunicación de resultados 5. etc. administración. También será importante la participación de los servicios comunes de la Organización (planificación. procesar y consolidar datos elaborar los informes página 62 (de 127) © Ministerio de Hacienda y Administraciones Públicas . generalmente.2 – Elaboración del análisis de riesgos PAR. y dicho comité reporta el avance del proyecto. Roles y funciones Durante la ejecución del proyecto es frecuente que se creen algunos roles específicos para llevar el proyecto a buen fin. el subsiguiente personal especialista en seguridad de sistemas de información se integrará en este equipo de proyecto. Comité de Seguimiento Está constituido por los responsables de las unidades afectadas por el proyecto. Pero antes de pasar a las iteraciones marginales.) En cualquier caso la composición del comité depende de las características de las unidades afectadas. En esta sección se presentan las consideraciones que se deben tener en cuenta para que este proyecto llegue a buen término. sea por razones formales o porque los cambios acumulados justifican una revisión completa.0 Proyectos de análisis de riesgos 5. ya que hay que estar continuamente revisando el análisis y manteniéndolo al día. Cuando se realiza un análisis de riesgos partiendo de cero. 12 – Determinación del alcance del proyecto PAR. Lo constituyen varios posibles subgrupos: • • • Responsables de servicio. con responsabilidades en seguridad dentro de la Organización. conscientes de los medios desplegados (de producción y salvaguardas) y de las incidencias habituales Además de dichos órganos colegiados.2 – Elaboración del análisis de riesgos PAR. que tenga capacidad para conectar al equipo de proyecto con el grupo de usuarios. Enlace operacional Será una persona de la Organización con buen conocimiento de las personas y de las unidades implicadas en el proyecto. de sistemas de información o. de planificación. es decir. en su defecto.14 – Lanzamiento del proyecto PAR. hay que identificar algunos roles singulares: Promotor Es una figura singular que lidera las primeras tareas del proyecto.13 – Planificación del proyecto PAR. sin necesidad de conocer los detalles. Debe ser una persona con visión global de los sistemas de información y su papel en las actividades de la Organización.. conscientes de la misión de la Organización y sus estrategias a medio y largo plazo Responsables de servicios internos Personal de explotación y operación de los servicios informáticos. La figura del enlace operacional adquiere una relevancia permanente que no es habitual en otro tipo de proyectos más técnicos.Magerit 3. Director del Proyecto Debe ser un directivo de alto nivel. perfilando su oportunidad y alcance para lanzar el proyecto de análisis de riesgos propiamente dicho.1 – Actividades preliminares PAR. El proyecto de análisis de los riesgos se lleva a cabo por medio de las siguientes tareas: PAR – Proyecto de Análisis de Riesgos PAR. Conviene recordar que un proyecto de análisis de riesgos siempre es mixto por su propia naturaleza. Es la cabeza visible del equipo de proyecto e interlocutor con el Responsable de la Seguridad de la Organización. servicios o áreas semejantes. Grupos de Interlocutores Está formado por usuarios representativos dentro de las unidades afectadas por el proyecto. de coordinación o de materias. Es el interlocutor visible del comité de seguimiento con los grupos de usuarios.11 – Estudio de oportunidad PAR. pero si al tanto de las incidencias.0 Proyectos de análisis de riesgos El Equipo de Proyecto reporta al Comité de Seguimiento a través del Director del Proyecto. requiere la colaboración permanente de especialistas y usuarios tanto en las fases preparatorias como en su desarrollo.3 – Comunicación de resultados © Ministerio de Hacienda y Administraciones Públicas página 63 (de 127) . El resultado de esta actividad está constituido por: • • un plan de trabajo para el proyecto procedimientos de trabajo Tarea PAR. El resultado de esta actividad está constituido por: • • • • los cuestionarios para las entrevistas el catálogo de tipos de activos la relación de dimensiones de seguridad y los criterios de valoración 5.1 – Actividades preliminares Tarea PAR. El resultado de esta actividad es un perfil de proyecto de análisis de riesgos.14: Lanzamiento del proyecto Se adaptan los cuestionarios para la recogida de información adaptándolos al proyecto presente. Tarea PAR.1: Actividades preliminares PAR. del proyecto de análisis de riesgos. El resultado de esta actividad es el informe denominado “preliminar”.2. En esta actividad se determinan los participantes y se estructuran los diferentes grupos y comités para llevar a cabo el proyecto.0 Proyectos de análisis de riesgos 5.11: Determinar la oportunidad Objetivos • Identificar o suscitar el interés de la Dirección de la Organización en la realización de un proyecto de análisis de riesgos Productos de entrada © Ministerio de Hacienda y Administraciones Públicas página 64 (de 127) . ahora. Se elabora el plan de trabajo para la realización del proyecto. su dominio y sus límites. Tarea PAR.12: Determinación del alcance del proyecto Se definen los objetivos finales del proyecto. enmarcándolo en el desarrollo de las demás actividades de la Organización.11: Estudio de oportunidad Se fundamenta la oportunidad de la realización.1.11: Estudio de oportunidad PAR: Proyecto de análisis de riesgos PAR. Para ello se parte de los criterios establecidos dentro del Proceso de Gestión de Riesgos. Se planifican las entrevistas que se van a realizar para la recogida de información: quiénes van a ser entrevistados. También se realiza una campaña informativa de sensibilización a los afectados sobre las finalidades y requerimientos de su participación.13: Planificación del proyecto Se determinan las cargas de trabajo que supone la realización del proyecto. PAR.2. Normalmente la evolución del proyecto viene marcada por una serie de entrevistas con los interlocutores que conocen la información relativa a algún activo o grupo de activos del sistema bajo análisis. Tarea PAR.Magerit 3. Desarrollo de nuevos sistemas de información. sino al propio funcionamiento de la Organización y. Desarrollo La iniciativa para la realización de un proyecto de análisis de riesgos parte de un promotor interno o externo a la Organización.Magerit 3. Cambios en la tecnología utilizada. en las situaciones críticas. Reestructuraciones en los productos o servicios proporcionados. Inexistencia de previsiones en cuestiones relacionadas con la evaluación de necesidades y medios para alcanzar un nivel aceptable de seguridad de los sistemas de información que sea compatible con el cumplimiento correcto de la misión y funciones de la Organización.11: Determinar la oportunidad Productos de salida • • • Proyectos de análisis de riesgos Informe preliminar recomendando la elaboración del proyecto Sensibilización y apoyo de la Dirección a la realización del proyecto Creación del comité de seguimiento Técnicas. deben poder expresar su opinión por los proyectos de seguridad ya realizados (con su grado de satisfacción o con las limitaciones de éstos). pero no tanto de los nuevos problemas de seguridad que estas técnicas implican. o de las obligaciones legales o reglamentarias que les afectan En toda Organización pública o privada es importante transformar en medidas concretas la creciente preocupación por la falta de seguridad de los sistemas de información. así como sus expectativas ante la elaboración de un proyecto de análisis de riesgos 25 . informáticas y telemáticas a su funcionamiento. puesto que sus efectos no sólo afectan a dichos sistemas. El cuestionario permite proceder a un examen informal de la situación en cuanto a la seguridad de sus sistemas de información. consciente de los problemas relacionados con la seguridad de los sistemas de información.0 PAR: Proyecto de análisis de riesgos PAR.1: Actividades preliminares PAR. prácticas y pautas • Participantes • El promotor La Dirección suele ser muy consciente de las ventajas que aportan las técnicas electrónicas. © Ministerio de Hacienda y Administraciones Públicas página 65 (de 127) . Esta aproximación de alto nivel permite obtener una primera visión de los objetivos concretos y las opciones que tendrían que subyacer a la elaboración del proyecto. como por ejemplo: • • Incidentes continuados relacionados con la seguridad. a su propia misión y capacidad de supervivencia. • • • El promotor puede elaborar un cuestionario-marco (documento poco sistematizable que deberá crear en cada caso concreto) para provocar la reflexión sobre aspectos de la seguridad de los sistemas de información por parte de : Los responsables de las unidades operativas (responsables de servicios). 25 Probablemente no se conozca lo que esto significa y haya que incluir en el cuestionario marco una sucinta explicación de qué es y qué objetivos persigue el análisis de riesgos en general y el proyecto en particular. por su soporte y entorno. Con estos elementos el promotor realiza el informe preliminar recomendando la elaboración del proyecto de análisis de riesgos e incluyendo estos elementos: • • • Exposición de los argumentos básicos. Primera aproximación al dominio a incluir en el proyecto en función de • • • • las finalidades de las unidades o departamentos las orientaciones gerenciales y técnicas la estructura de la Organización el entorno técnico. tanto humanos como materiales. En dicha estimación se ha de tener en cuenta la posible existencia de otros planes (por ejemplo un Plan Estratégico de Sistemas de Información o de Seguridad general en las unidades que pueden ser afectadas o en la Organización) y el plazo de tiempo considerado para la puesta en práctica del proyecto. el promotor obtiene una primera aproximación sobre las funciones. la existencia de un Plan Estratégico de Sistemas de Información para las unidades que pueden ser afectadas dentro de la Organización puede determinar en gran medida el alcance y la extensión de las actividades que se realicen en esta actividad. es decir los participantes y sus cargas de trabajo. tras integrar las opciones anteriores.12: Determinación del alcance del proyecto Objetivos • • • Determinar los objetivos del proyecto. alcance o perímetro del proyecto página 66 (de 127) © Ministerio de Hacienda y Administraciones Públicas . • Primera aproximación de los medios. etc. aprobar el proyecto. PAR: Proyecto de análisis de riesgos PAR.Magerit 3. la ubicación geográfica de aquéllos. los medios humanos. De las respuestas al cuestionario-marco y de las entrevistas mantenidas con los responsables y colectivos anteriores.1: Actividades preliminares PAR. Tarea PAR. Plan de Actuación. etc. El cuestionario permite obtener una panorámica técnica para la elaboración del proyecto y posibilita abordar el estudio de oportunidad de realización. los medios técnicos. los servicios y los productos implicados en cuestiones de seguridad de los sistemas de información. diferenciados según horizontes temporales a corto y medio plazo Determinar las restricciones generales que se imponen sobre el proyecto Determinar el dominio.12: Determinación del alcance del proyecto Una vez que se ha constatado la oportunidad de realizar el proyecto y se cuenta con el apoyo de la Dirección.). o bien modificar su dominio y/o sus objetivos.2.0 Proyectos de análisis de riesgos Los responsables de informática. esta actividad estima los elementos de planificación del proyecto. En particular. o bien retrasar el proyecto. El promotor presenta este informe preliminar a la Dirección que puede decidir: • • • 5. para la realización del proyecto. Relación de antecedentes sobre la seguridad de los sistemas de información (Plan Estratégico.2. hay que determinarlo. bien como proveedores o como suministradores de servicios. Para incorporar las restricciones al análisis y gestión de riesgos. reingeniería de procesos. Restricciones temporales Que toman en consideración situaciones coyunturales: conflictividad laboral. estas se agrupan por distintos conceptos. no necesariamente técnicas. cambio de la propiedad. Restricciones estratégicas Derivadas de la evolución prevista de la estructura u objetivos de la Organización. Islas. Especialmente a la hora de tomar acciones correctoras. © Ministerio de Hacienda y Administraciones Públicas página 67 (de 127) . etc.3: Delphi technique Participantes • El comité de seguimiento Un proyecto de análisis de riesgos puede perseguir objetivos a muy corto plazo tales como el aseguramiento de cierto sistema o un cierto proceso de negocio. Restricciones geográficas Derivadas de la ubicación física de la Organización o de su dependencia de medios físicos de comunicaciones.2: Structured or semi-structured interviews 31010:B. sino que el proyecto se encontrará con una serie de restricciones.1: Actividades preliminares PAR.Magerit 3.0 PAR: Proyecto de análisis de riesgos PAR. típicamente: Restricciones políticas o gerenciales Típicas de organizaciones gubernamentales o fuertemente relacionadas con organismos gubernamentales. etc. En todo caso. crisis internacional. emplazamientos fuera de las fronteras. hay que tener en cuenta que “no todo vale”.12: Determinación del alcance del proyecto Productos de entrada • Proyectos de análisis de riesgos Recopilación de la documentación pertinente de la Organización Productos de salida • • • • • • • Especificación detallada de los objetivos del proyecto Relación de restricciones generales Relación de unidades de la Organización que se verán afectadas como parte del proyecto Lista de roles relevantes en la unidades incluidas en el alcance del proyecto los activos esenciales los puntos de interconexión con otros sistemas los proveedores externos Técnicas. que establecen un marco al que atenerse. prácticas y pautas • • • • • Entrevistas (ver "Guía de Técnicas") Reuniones 31010:B.1: Brainstorming 31010:B. o puede pretender objetivos más amplios como fuera el análisis global de la seguridad de la Organización. etc. aclarando qué información se intercambia y qué servicios se prestan mutuamente — los proveedores externos en los que se apoya nuestro sistema de información © Ministerio de Hacienda y Administraciones Públicas página 68 (de 127) . contratos externos e internos. etc. dependencia de casas matrices internacionales. con perjuicio en las estimaciones de los elementos del análisis. La tarea presume un principio básico: el análisis y la gestión de riesgos debe centrarse en un dominio limitado. ya que un proyecto de ámbito demasiado amplio o indeterminado podría ser inabarcable. carreras profesionales. compromisos contractuales. Restricciones culturales La “cultura” o forma interna de trabajar puede ser incompatible con ciertas salvaguardas teóricamente ideales. Restricciones metodológicas Derivadas de la naturaleza de la organización y sus hábitos o habilidades de trabajo que pueden imponer una cierta forma de hacer las cosas. reglamentos. etc. Restricciones funcionales Que tienen en cuenta los objetivos de la Organización. regulaciones sectoriales.Magerit 3.0 Restricciones estructurales Proyectos de análisis de riesgos Tomando en consideración la organización interna: procedimientos de toma de decisiones. Para que el alcance quede determinado debemos concretar: — los activos esenciales: información que se maneja y servicios que se prestan — los puntos de intercambio de interconexión con otros sistemas. que puede incluir varias unidades o mantenerse dentro de una sola unidad (según la complejidad y el tipo de problema a tratar). pero también la forma de planificar el gasto y de ejecutar el presupuesto Alcance Esta tarea identifica las unidades objeto del proyecto y especifica las características generales de dichas unidades en cuanto a responsables. el acceso a medios informáticos comunes. Restricciones relacionadas con el personal Perfiles laborales. Restricciones presupuestarias La cantidad de dinero es importante. por excesivamente generalista o por demasiado extendido en el tiempo. compromisos sindicales. etc. por ejemplo el intercambio de información en diversos soportes. servicios proporcionados y ubicaciones geográficas. Restricciones legales Leyes. También identifica las principales relaciones de las unidades objeto del proyecto con otras entidades. 2. 5.13: Planificación del proyecto Objetivos • • • • • Definir los grupos de interlocutores: usuarios afectados en cada unidad Planificar las entrevistas de recogida de información Determinar el volumen de recursos necesarios para la ejecución del proyecto: humanos.1: Actividades preliminares PAR. actividades y tareas del proyecto Establecer un calendario de seguimiento que defina las fechas tentativas de reuniones del comité de dirección. prácticas y pautas • Planificación de proyectos Participantes • • El director de proyecto El comité de seguimiento El plan de entrevistas debe detallar a qué persona se va a entrevistar. bien del entorno.3.Magerit 3.2. de forma que el entrevistador pueda evolucionar las preguntas tomando en consideración hechos (experiencia histórica) antes que valoraciones y perspectivas de servicio a terceros.13: Planificación del proyecto Proyecto de análisis de riesgos PAR. bien del dominio. También conviene ordenar las entrevistas de forma que primero se recaben las opiniones más técnicas y posteriormente las gerenciales. las posibles modificaciones en los objetivos marcados. el plan de entregas de los productos del proyecto. Tarea PAR. cuándo y con qué objetivo.2.4. Determinación del alcance del proyecto Productos de salida • • • • Relación de participantes en los grupos de interlocutores Plan de entrevistas Informe de recursos necesarios Informe de cargas Técnicas.0 Proyectos de análisis de riesgos 5. temporales y financieros Elaborar el calendario concreto de realización de las distintas etapas. El plan de entrevistas es especialmente importante cuando los sujetos a entrevistar se hayan en diferentes localizaciones geográficas y la entrevista requiere el desplazamiento de una o ambas partes. © Ministerio de Hacienda y Administraciones Públicas página 69 (de 127) . etc Productos de entrada • Resultados de la actividad A1.14: Lanzamiento del proyecto Esta actividad completa las tareas preparatorias del lanzamiento del proyecto: empezando por seleccionar y adaptar los cuestionarios que se utilizarán en la recogida de datos y por realizar la campaña informativa de sensibilización a los implicados. Este plan permite determinar la carga que el proyecto va a suponer para las unidades afectadas. Tarea PAR. etc. vulnerabilidades. Los cuestionarios se adaptan con el objetivo de identificar correctamente los elementos de trabajo: activos. amenazas. de organización. La mayor parte de las tareas requerirán dos o tres entrevistas con los interlocutores apropiados: © Ministerio de Hacienda y Administraciones Públicas página 70 (de 127) .) para la realización del proyecto Informar a las unidades afectadas Crear un ambiente de conocimiento general de los objetivos.1: Actividades preliminares PAR. prácticas y pautas • Cuestionarios (ver "Catálogo de Elementos") Participantes • • El director del proyecto El equipo de proyecto La tarea adapta los cuestionarios a utilizar en la recogida de información en el proceso P1 en función de los objetivos del proyecto.3.14: Lanzamiento del proyecto Objetivos • Disponer de los elementos de trabajo para acometer el proyecto Productos de entrada • Marco de trabajo establecido en el Proceso de Gestión de Riesgos: criterios y relaciones con las partes afectadas Productos de salida • • • • • • • • Cuestionarios adaptados Determinar el catálogo de tipos de activos Determinar las dimensiones de valoración de activos Determinar los niveles de valoración de activos. Pero el grado mayor o menor de adaptación depende además de las condiciones en que se realice la explotación de dichos cuestionarios. 5. PAR. técnicos.2 (caracterización de las amenazas) y A2.1 (caracterización de los activos). impactos.0 Proyectos de análisis de riesgos Proyecto de análisis de riesgos PAR. salvaguardas existentes.Magerit 3.2 – Elaboración del análisis de riesgos Se siguen los pasos del método descrito en el capítulo X anterior. responsables y plazos Técnicas. No habrá la misma profundidad de adaptación para entrevistas guiadas por el especialista en seguridad. incluyendo una guía unificada de criterios para asignar un cierto nivel a un cierto activo Determinar los niveles de valoración de las amenazas: frecuencia y degradación Asignar los recursos necesarios (humanos. del dominio y de los temas a profundizar con los usuarios. que para cuestionarios auto administrados por el responsable del dominio o por los usuarios de sus sistemas de información. en previsión de las necesidades de las actividades A2. etc. A2. restricciones generales.3 (caracterización de las salvaguardas). La necesidad de una adaptación siempre existe (debido al amplísimo espectro de los problemas de seguridad que puede y debe tratar Magerit). Para el informe ejecutivo final basta destacar gráficamente los escenarios de mayor impacto. riesgo. con la detección de las áreas críticas claves. organigramas. Control del proyecto 5.Magerit 3. es decir. aprobada y con unos procedimientos de revisión continua.4.1. sino que hay que poder analizar el por qué de ese valor.5. de mayor nivel de riesgo y combinaciones peligrosas de ambos indicadores (ver los cuadrantes o zonas más arriba). basándose en el estudio de oportunidad realizado por el promotor. Documentación de otras fuentes: estadísticas. así como su dinámica y los razonamientos o la base de las estimaciones empleadas para derivar resultados. La información de carácter verbal o informal debe limitarse a facilitar la comprensión. 5. cuadernos de carga. amenazas. agrupación y valoración de activos. diagramas de flujo de información y de procesos.5. Y para cada escenario de riesgo es necesario disponer de información suficiente para poder entender en qué consiste el riesgo.5.2: El comité de seguimiento del proyecto validará el informe de "Planificación del Proyecto de Análisis de Riesgos" que contendrá una síntesis de los productos obtenidos en las actividades realizadas en el proceso P1. modelos de datos. análisis funcionales. Documentación resultante Documentación intermedia • • • Resultados de las entrevistas.2. etc. No basta conocer el valor final del indicador.3 – Comunicación de resultados La salida de la fase de análisis es la entrada de la fase de tratamiento. Para la tomar decisiones de tratamiento es necesario conocer tanto los indicadores residuales como los indicadores potenciales de impacto y riesgo. Por otra parte. mecanismos de salvaguarda. Información existente utilizable por el proyecto (por ejemplo inventario de activos) Resultados de posibles aplicaciones de métodos de análisis y gestión de riesgos realizadas anteriormente (por ejemplo catalogación.). especificaciones. impactos. Es por ello que es fundamental el soporte de herramientas que automaticen el cálculo. requisitos. no a transmitir elementos sustanciales que no están documentados en parte alguna. observaciones de expertos y observaciones de los analistas. etc. 5.0 Proyectos de análisis de riesgos — una primera entrevista para exponer las necesidades y recabar los datos — una segunda entrevista para validar que los datos son completos y se han entendido correctamente — según las circunstancias puede ser necesaria alguna entrevista adicional si la validación levanta muchas inexactitudes o dudas El todas estas tareas debe procurarse manejar documentación escrita sometida a un proceso formal de gestión. PAR. vulnerabilidades. Frecuentemente es necesario analizar situaciones hipotéticas (¿qué ocurriría si …?) para poder optar por una decisión u otra. Análisis de los resultados. Hitos de control Hito de control H1. página 71 (de 127) • • • © Ministerio de Hacienda y Administraciones Públicas . 5.1: La Dirección procederá a la aprobación o no de la realización del proyecto de análisis de riesgos. las decisiones de tratamiento pueden requerir la realización de modificaciones del análisis de riesgo. manuales de explotación. Documentación auxiliar: planos. Hito de control H1. manuales de usuario. Magerit 3.0 Proyectos de análisis de riesgos Documentación final • • • • • • Modelo de valor: identificación de activos junto con sus dependencias y valoración propia y acumulada Mapa de amenazas junto con sus consecuencias y probabilidad de ocurrencia. Informe de valoración de la efectividad de las salvaguardas presentes. © Ministerio de Hacienda y Administraciones Públicas página 72 (de 127) . potenciales y residuales. Informe de insuficiencias o debilidades del sistema de salvaguardas. Indicadores de impacto y riesgo. Documento de aplicabilidad de las salvaguardas. Magerit 3.1. PS: Plan de seguridad PS.1: Identificación de proyectos de seguridad Objetivos • Elaborar un conjunto armónico de programas de seguridad Resultados de las actividades de análisis y tratamiento de riesgos Conocimientos de técnicas y productos de seguridad Catálogos de productos y servicios de seguridad Relación de programas de seguridad Planificación de proyectos Productos de entrada • • • Productos de salida • Técnicas. Estos planes reciben diferentes nombres en diferentes contextos y circunstancias: • • • • plan de mejora de la seguridad plan director de seguridad plan estratégico de seguridad plan de adecuación (en concreto es el nombre que se usa en el ENS) Se identifican 3 tareas: PS – Plan de Seguridad PS.1: Identificación de proyectos de seguridad Se traducen las decisiones de tratamiento de los riesgos en acciones concretas.1 – Identificación de proyectos de seguridad PS.2 – Plan de ejecución PS.0 Plan de seguridad 6. prácticas y pautas • Participantes • • • El equipo de proyecto Especialistas en seguridad Especialistas en áreas específicas de seguridad En última instancia se trata de implantar o mejorar la implantación de una serie de salvaguardas que lleven impacto y riesgo a los niveles residuales determinados por la Dirección. La agrupación se realiza por conveniencia. Un programa de seguridad es una agrupación de tareas.3 – Ejecución 6. Plan de seguridad Esta sección trata de cómo llevar a cabo planes de seguridad. entendiendo por tales proyectos para materializar las decisiones adoptadas para el tratamiento de los riesgos. bien porque se trata de tareas que en singular carecerían de eficacia. Tarea PS. bien porque se trata de © Ministerio de Hacienda y Administraciones Públicas página 73 (de 127) . Este tratamiento de las salvaguardas se materializa en una serie de tareas a llevar a cabo. comunicaciones e instalaciones. cada proyecto desarrollará los detalles últimos por medio de una serie de tareas propias de cada proyecto que. Las estimaciones anteriores pueden ser muy precisas en los programas sencillos. amenazas afrontadas. plan de despliegue plan de formación • Una relación de subtareas a afrontar. Una estimación del estado de riesgo (impacto y riesgo residual a su compleción). teniendo en cuenta: • • • • • costes de adquisición (de productos). o de desarrollo (de soluciones llave en mano). Cada programa de seguridad debe detallar: • • • • • Su objetivo genérico. Coste de un desarrollo específico. equipos. tanto de los operadores como de los usuarios. teniendo en cuenta • • • • • • • Una estimación del tiempo de ejecución desde su arranque hasta su puesta en operación. propio o subcontratado. Un sistema de indicadores de eficacia y eficiencia que permitan conocer en cada momento la calidad del desempeño de la función de seguridad que se desea y su evolución temporal. pudiendo ser necesario evaluar diferentes alternativas costes de implantación inicial y mantenimiento en el tiempo costes de formación. pero pueden ser simplemente orientativas en los programas complejos que conlleven la realización de un proyecto específico de seguridad. o de contratación (de servicios). En este último caso. eficacia y eficiencia La relación de escenarios de impacto y/o riesgo que afronta: activos afectados. según convenga al caso costes de explotación impacto en la productividad de la Organización cambios en la normativa y desarrollo de procedimientos solución técnica: programas. en líneas generales responderán a los siguientes puntos: • • • Estudio de la oferta del mercado: productos y servicios. Si se estima adecuado un desarrollo específico hay que determinar: • • • • • la especificación funcional y no-funcional del desarrollo el método de desarrollo que garantice la seguridad del nuevo componente los mecanismos de medida (controles) que debe llevar empotrados los criterios de aceptación el plan de mantenimiento: incidencias y evolución © Ministerio de Hacienda y Administraciones Públicas página 74 (de 127) . bien porque se trata de tareas que competen a una única unidad de acción. valoración de activos y amenazas y niveles de impacto y riesgo La unidad responsable de su ejecución. Las salvaguardas concretas a implantar o mejorar.0 Plan de seguridad tareas con un objetivo común. Una estimación de costes.Magerit 3. detallando sus objetivos de calidad. tipos de activos. tanto económicos como de esfuerzo de realización. etc. Este plan director permite ir desarrollando planes anuales que. la evolución del marco legal. gravedad o conveniencia de los impactos y/o riesgos que se afrontan.2. estableciendo la planificación de los programas de seguridad. por último. Plan anual (una serie de planes anuales). dentro del marco estratégico. las relaciones con otras organizaciones. Trabaja en el corto plazo (típicamente menos de 1 año). © Ministerio de Hacienda y Administraciones Públicas página 75 (de 127) . trabaja sobre un periodo largo (típicamente entre 3 y 5 años). habrá una serie de proyectos que materializan los programas de seguridad. ejecución) de las tareas programadas otros factores como puede ser la elaboración del presupuesto anual de la Organización.2: Planificación de los proyectos de seguridad PS: Plan de seguridad PS. Y. reglamentario o contractual. que es el que da perspectiva y unidad de objetivos a las actuaciones puntuales.1 Programas de seguridad Cronograma de ejecución del plan Plan de Seguridad Análisis de riesgos (ver “Método de Análisis de Riesgos”) Planificación de proyectos Departamento de desarrollo Departamento de compras Productos de entrada • • Productos de salida • • Técnicas. en particular partidas presupuestarias. Tarea PS. Trabaja sobre un periodo corto (típicamente entre 1 y 2 años). prácticas y pautas • • Participantes • • Hay que ordenar en el tiempo los proyectos de seguridad teniendo en cuenta los siguientes factores: • • • • la criticidad. A menudo denominado “plan de actuación”.2: Plan de ejecución Objetivos • Ordenar temporalmente los programas de seguridad Resultados de las actividades de análisis y tratamiento de riesgos Resultados de la tarea PS. en su caso. Se debe desarrollar un (1) plan director único. estableciendo las directrices de actuación. estableciendo el plan detallado de ejecución de cada programa de seguridad. Plan de proyecto (un conjunto de proyectos con su planificación). teniendo máxima prioridad los programas que afronten situaciones críticas el coste del programa la disponibilidad del personal propio para responsabilizarse de la dirección (y. Típicamente un plan de seguridad se planifica en tres niveles de detalle: Plan director (uno). van estructurando la asignación de recursos para la ejecución de las tareas.0 Plan de seguridad 6.Magerit 3. 1 (proyectos de seguridad) y PS.1 PS.2 PS.1 PS.2 (planificación) Proyecto de seguridad que nos ocupa Productos de entrada • • Productos de salida • • • • • • Salvaguardas implantadas Normas de uso y procedimientos de operación Sistema de indicadores de eficacia y eficiencia del desempeño de los objetivos de seguridad perseguidos Modelo de valor actualizado Mapa de riesgos actualizado Estado de riesgo actualizado (impacto y riesgo residuales).3: Ejecución Objetivos • Alcanzar los objetivos previstos en el plan de seguridad para cada proyecto planificado Resultados de las actividades PS.3 PS.Magerit 3.4. Tarea PS. prácticas y pautas • • Participantes • • 6.0 Plan de seguridad 6.3. Análisis de riesgos (ver “Método de Análisis de Riesgos”) Planificación de proyectos El equipo de proyecto: evolución del análisis de riesgos Personal especializado en la salvaguarda en cuestión Técnicas.1 PS.2 PS.1 PS.3: Ejecución del plan PS: Plan de seguridad PS. Lista de control de los planes de seguridad √ actividad Se han definido los proyectos constituyentes Se han definido las interdependencias entre proyectos (necesidades de que uno avance para que progrese otro) Se han asignado recursos — disponibles para los proyectos en curso — previstos para los proyectos que seguirán en el futuro Se han definido roles y responsabilidades Se ha establecido un calendario de ejecución Se han definido indicadores de progreso Se han previsto necesidades de concienciación y formación Se han previsto necesidades de documentación: — normativa de seguridad y — procedimientos operativos de seguridad tarea PS.1 © Ministerio de Hacienda y Administraciones Públicas página 76 (de 127) . sean fuentes de riesgo para la seguridad. humanos. Gestión de la seguridad basada en los riesgos. los riesgos a los que estén expuestos y las medidas de seguridad. Artículo 9. La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos. Reevaluación periódica.Magerit 3. La seguridad debe estar embebida en el sistema desde su primera concepción. 7. se pueden identificar dos tipos de actividades diferenciadas: • • SSI: actividades relacionadas con la propia seguridad del sistema de información que se está desarrollando. Inicialización de los procesos Hay varias razones que pueden llevar a plantear el desarrollo de un nuevo sistema de información o la modificación de uno ya existente: © Ministerio de Hacienda y Administraciones Públicas página 77 (de 127) . A veces. relacionados con el sistema. Artículo 6.0 Desarrollo de sistemas de información 7. La aplicación del Esquema Nacional de Seguridad estará presidida por este principio. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos. ni instrucciones inadecuadas. llegando incluso a un replanteamiento de la seguridad. La presencia de aplicaciones en un sistema de información es siempre una fuente de riesgo en el sentido de que constituyen un punto donde se pueden materializar amenazas.1. si fuese necesario. completando el plan de seguridad vigente en la Organización. 2. Las medidas de seguridad se reevaluarán y actualizarán periódicamente. asegurando su consistencia y seguridad. que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos. las aplicaciones son parte de la solución en el sentido de que constituyen una salvaguarda frente a riesgos potenciales. 1. incorporar durante la fase de desarrollo las funciones y mecanismos que refuerzan la seguridad del nuevo sistema y del propio proceso de desarrollo. La seguridad como un proceso integral. minimizando los riesgos hasta niveles aceptables. Desarrollo de sistemas de información Las aplicaciones (software) constituyen un tipo de activos frecuente y nuclear para el tratamiento de la información en general y para la prestación de servicios basados en aquella información. materiales y organizativos. SPD: actividades que velan por la seguridad del proceso de desarrollo del sistema de información. ni la ignorancia. La gestión de riesgos permitirá el mantenimiento de un entorno controlado. para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. además. El análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente actualizado. e imperativo. Es posible. 2. En cualquier caso es necesario que el riesgo derivado de la presencia de aplicaciones esté bajo control. Durante el desarrollo de un sistema de información. para que. El análisis de los riesgos constituye una pieza fundamental en el diseño y desarrollo de sistemas de información seguros. El Esquema Nacional de Seguridad recoge el riesgo como pieza fundamental de la seguridad de los sistemas en varios de sus principios básicos: Artículo 5. 1. ni la falta de organización y coordinación. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad. Es un hecho reconocido que tomar en consideración la seguridad del sistema antes y durante su desarrollo es más efectivo y económico que tomarla en consideración a posteriori. que excluye cualquier actuación puntual o tratamiento coyuntural. La iniciativa la lleva el responsable de seguridad. Las tecnologías TIC se encuentran en evolución continua. Típicamente requiere la modificación de un sistema ya operativo. actuando el responsable de seguridad como subsidiario. No obstante. en los lenguajes o las plataformas de desarrollo. permite un tratamiento sistemático y homogéneo que es esencial para poder comparar opciones alternativas y para gestionar la evolución de los sistemas. • Modificación de los cri terios de calificación de riesgos. como metodología. La iniciativa la lleva el responsable de seguridad. La evolución de las tecnologías y los servicios de comunicaciones pueden habilitar nuevas amenazas o convertir amenazas que eran despreciables en el pasado en amenazas relevantes en el futuro. En consecuencia. Puede implicar la desaparición de partes actualmente operativas. facilitando el mejor análisis de riesgos posible para poder tomar decisiones de tratamiento adecuadas a cada momento. sino que frecuentemente habrá que tantear opciones alternativas y revisar decisiones tomadas. Raramente implica el desarrollo de un nuevo sistema o la desaparición de partes actualmente operativas. se puede entender el modelo de valor como evolutivo. más frecuentemente. actuando el responsable de sistemas como subsidiario. concretada en sus activos. Puede venir inducido por criterios de calidad operativa. actuando el responsable de seguridad como subsidiario. Raramente implica el desarrollo de un nuevo sistema o la desaparición de partes actualmente operativas. 7.Magerit 3. desde una perspectiva muy global durante los procesos de planificación hasta una visión en detalle durante el desarrollo y explotación. • • Típicamente requiere la modificación del sistema. Puede implicar la desaparición de partes actualmente operativas.2. El análisis de riesgos debe basar sus estimaciones de impacto y riesgo en la realidad de los sistemas. actuando el responsable de sistemas como subsidiario. etc. • • Requiere el desarrollo de un nuevo sistema o la modificación de un sistema ya operativo. en sus condiciones de explotación. actuando el responsable de sistemas como subsidiario. • • Desarrollo de sistemas de información Requiere el desarrollo de un nuevo sistema o la modificación de un sistema ya operativo. Evolución tecnológica. • • Consideración de nuevas amenazas. en las plataformas de explotación. por novedades en la legislación aplicable.0 Nuevos servicios y/o datos. bien en sus componentes o. Modificación de la calificación de seguridad de servicios o datos. Raramente implica el desarrollo de un nuevo sistema o la desaparición de partes actualmente operativas. en los servicios de comunicaciones. pudiendo presentarse cambios en las técnicas de desarrollo de sistemas. en la reglamentación sectorial o por acuerdos o contratos con terceros. SSI – Seguridad del sistema de información Toda la existencia de un sistema de información puede verse como etapas de concreción creciente. La iniciativa la lleva el responsable de seguridad. La iniciativa la lleva el responsable de desarrollo. La iniciativa la lleva el responsable de desarrollo. este ciclo de vida no es lineal. recogiendo en cada momento el nivel de detalle de que se dispone. Magerit. en los servicios de explotación. © Ministerio de Hacienda y Administraciones Públicas página 78 (de 127) . • Típicamente requiere la modificación del sistema. Como principio básico debe considerarse que el análisis de los riesgos debe seguir fielmente la realidad del sistema de información y su contexto. Bien porque aparecen nuevos requisitos. La aplicación se usa por parte de los usuarios. siendo atendidos los incidentes por parte de usuarios y/o los operadores.0 Desarrollo de sistemas de información 7. en última instancia a la especificación básica.1. Mantenimiento. En esta fase se determinan los requisitos que debe satisfacer la aplicación y se elabora un plan para las siguientes fases. una aplicación sigue un ciclo de vida a través de varias fases: especificación adquisición (estándar) desarrollo subcontratado desarrollo propio aceptación despliegue operación mantenimiento Ilustración 16. se puede adquirir un producto. Consistente en instalar el código en el sistema y configurarlo para que entre en operación. Ciclo de vida de las aplicaciones Especificación. la aplicación puede requerir un mantenimiento que obligue a regresar a cualquiera de las etapas anteriores. nunca una aplicación debe entrar en operación sin haber sido formalmente aceptada. Despliegue. bien en casa. Para traducir una especificación en una realidad. MÉTRICA versión 3 La metodología MÉTRICA Versión 3 ofrece a las Organizaciones un instrumento para la sistematización de las actividades que dan soporte al ciclo de vida del software. bien por subcontratación externa. Operación.Magerit 3. Ciclo de vida de las aplicaciones Típicamente. o se puede desarrollar. Tanto si es una aplicación nueva como si es modificación de una aplicación anterior.2. MÉTRICA versión 3 identifica los siguientes elementos: © Ministerio de Hacienda y Administraciones Públicas página 79 (de 127) . Aceptación. bien porque se ha detectado un fallo. Adquisición o desarrollo. 3.2. • • • • La Dirección aporta los servicios necesarios y la calidad de la seguridad deseada. CSI – Construcción del sistema de información aceptación despliegue operación mantenimiento MSI – Mantenimiento del sistema de información IAS – Implantación y aceptación del sistema Tabla 7. La misma Dirección aprueba el riesgo residual. Fase de especificación: adquisición de datos Se debe recopilar información sobre — la información esencial y sus requisitos de seguridad © Ministerio de Hacienda y Administraciones Públicas página 80 (de 127) . Métrica 3 .0 planificación PSI desarrollo EVS ASI DSI CSI IAS Desarrollo de sistemas de información gestión de configuración aseguramiento de la calidad gestión de proyectos mantenimiento MSI seguridad Ilustración 17. Contexto Se debe determinar el contexto general: — política de seguridad y normas — requisitos de cumplimiento normativo — obligaciones contractuales — roles y funciones — criterios de valoración de información y servicios — criterios de valoración de riesgos — criterios de aceptación de riesgos En particular. hay que establecer unos procedimientos operativos que instrumenten la comunicación entre las tareas de desarrollo y las tareas de análisis y tratamiento de riesgos. El equipo de desarrollo aporta los elementos técnicos que materializan la aplicación.2. 7.2.Magerit 3. El equipo de análisis de riesgos aporta un juicio crítico sobre la seguridad del sistema. Ciclo de vida y actividades en Métrica 3 7.Actividades Métrica 3 especificación PSI – Planificación del sistema de información EVS – Estudio de viabilidad del sistema ASI – Análisis del sistema de información adquisición o desarrollo DSI – Diseño del sistema de información. Las decisiones que se adopten dependerán de los criterios establecidos en la política de seguridad de la Organización y de otras consideraciones específicas de cada caso. Por ello. Es posible que el equipo de desarrollo pueda presentar dos o más opciones. Normalmente la iniciativa la toma el equipo de desarrollo proponiendo una solución técnica que responda a los requisitos funcionales del sistema.4. así como controles que permitan monitorizar su eficacia. la propuesta se eleva para su aprobación. monitorización y control de su eficacia y eficiencia. del entorno o de origen humano. Si bien la política de seguridad establece un marco de referencia que no puede violentarse. El informe de riesgos será un elemento más de decisión entre las diferentes opciones. Cuando ambos equipos lleguen a una situación estable. 7. 7. Estos requisitos de monitorización se suelen concretar en los siguientes aspectos: — registros de actividad — mecanismos para procesar estos registros e informar de la efectividad del sistema de protección — disparo de alarmas cuando los hecho evidencian un problema de seguridad © Ministerio de Hacienda y Administraciones Públicas página 81 (de 127) . sean accidentales o deliberadas. Debido a la interrelación entre los elementos que constituyen un sistema. dispondremos de especificaciones técnicas de desarrollo acompañadas de un análisis de los riesgos y sus decisiones de tratamiento. La especificación de salvaguardas debe incorporar tanto los mecanismos de actuación como los mecanismos de configuración. Como resultado de esta fase. Es frecuente que aparezcan algunos desarrollos específicamente destinados a configurar el conjunto de salvaguardas y a monitorizar su operación. el equipo rehará su propuesta para un nuevo análisis. Análisis y tratamiento de los riesgos La seguridad requerida para la información que se maneja y los servicios que se prestan quedó fijada en la fase de especificación y no se puede modificar ahora. pero siempre con un análisis global sobre la seguridad del conjunto. con un riesgo aceptable y unos requisitos aceptables de recursos.2.5. Soporte al desarrollo: puntos críticos Durante el desarrollo hay que incorporar las salvaguardas aprobadas en la fase de diseño. en cuyo todas ellas serán evaluadas en lo que respecta a riesgo y salvaguardas requeridas. La caracterización del potencial del atacante debe formar parte de las especificaciones del diseño y su modificación más adelante en el ciclo de vida del sistema será objeto de un nuevo análisis y decisión de tratamiento.0 — los servicios esenciales y sus requisitos de seguridad Desarrollo de sistemas de información — el contexto en el que se va a desarrollar y explotar el sistema En particular se debe establecer un perfil de amenazas. la toma de decisiones de tratamiento es local sobre una parte del sistema. proponiendo salvaguardas que pudieran dejar el riesgo en niveles aceptables. en su caso.Magerit 3. no es suficiente proteger un cierto tipo de activos para proteger el conjunto. es habitual que no prevea todos los detalles técnicos y coyunturales del servicio para tomar decisiones precisas. Fase de diseño: estudio de opciones La toma de decisiones de tratamiento de los riesgos puede recomendar salvaguardas evaluando su efecto en los indicadores de impacto y riesgo. sean naturales. con un diseño técnicamente viable. El equipo de desarrollo y el equipo de análisis de riesgos trabajan de forma iterativa hasta encontrar una solución que satisfaga a ambas partes. El equipo de seguridad analiza la propuesta informando de los riesgos asociados y.2. En la medida en que las salvaguardas propuestas afecten al diseño. Esto incluye normativa. las siguientes líneas muestran pruebas de aceptación que conviene realizar: — datos de prueba • • si no son reales. Durante el desarrollo conviene gestionar los riesgos según se indica en la sección relativa a “Seguridad del Proceso de Desarrollo” más adelante. bloqueando cualquier otra forma de acceso — los mecanismos de identificación y autenticación están protegidos para evitar que un atacante pueda acceder a información o mecanismos que pongan en peligro su efectividad Sistema(s) de control de acceso: — todo acceso a la información y a los servicios verifica previamente que el usuario tiene las autorizaciones pertinentes Servicios externalizados: cuando parte de la operación del sistema está delegada en un tercero: — hay que revisar los contratos de prestación del servicio — hay que revisar la completitud de los procedimientos de reporte y gestión de incidencias Si el sistema no refleja el modelo cuyos riesgos han sido analizados. Aceptación y puesta en marcha: puntos críticos Cuando el sistema se prueba antes de ponerlo en funcionamiento. Sin poder ser exhaustivos. concretamente que las salvaguardas están desplegadas.Magerit 3. así como los sistemas de procesamiento y de alarma incorporados al sistema. puertas traseras de acceso escalado de privilegios problemas de desbordamiento de registros (buffer overflow) — pruebas funcionales (de los servicios de seguridad) • • • — inspección de servicios / inspección de código • • • • © Ministerio de Hacienda y Administraciones Públicas página 82 (de 127) . procedimientos operacionales. deben ser realistas si no se puede evitar que sean reales. que su despliegue es efectivo y que no existen formas de circunvalarlas u obviarlas: es decir que el sistema no permite puertas traseras fuera de control. debe revisarse que todos los registros de actividad funcionan correctamente. 7. etc. a través de los registros.2. será rechazado sin pasar a producción.6.0 Desarrollo de sistemas de información El despliegue de estos elementos viene modulado por el nivel de riesgo potencial que se soporta en cada componente del sistema de información. material de concienciación y de formación. Hay que verificar que la documentación de seguridad es clara y precisa. También debe comprobarse que el sistema responde al diseño previsto. Sistema(s) de identificación y autenticación: — todo acceso al sistema requiere que el usuario se identifique y se autentique según lo previsto. hay que controlar copias y acceso simulación de ataques: verificando que se detectan y reportan pruebas en carga: verificando que no se obvian las medidas de protección intrusión controlada (hacking ético) fugas de información: canales encubiertos. En estos casos hay que analizar la nueva situación de riesgo y determinar cual es su tratamiento adecuado para seguir operando.2. esto significa una diferente valoración de los activos o de las salvaguardas desplegadas. Cambios en la utilización del sistema A veces un sistema ya operacional no se utiliza como estaba previsto: — nueva información con diferentes requisitos de seguridad — nuevos servicios con diferentes requisitos de seguridad — nuevos procedimientos operativos En términos del análisis de riesgos.2. En entornos formales. defectos reportados por los fabricantes. 7. Lo ideal es parchear el sistema. los nuevos elementos deben llevar a un nuevo análisis de riesgos. Operación: análisis y gestión dinámicos Durante la vida operativa del sistema podemos encontrarnos con cambios en el escenario que invalidan el análisis de riesgos realizado anteriormente. el sistema requiere una re-acreditación para seguir operando bajo las nuevas condiciones. En estos casos hay que rehacer el análisis y decidir cómo tratar los nuevos resultados. obligando a un ciclo de mantenimiento que rediseñe el sistema o parte de él. podemos encontrarnos en una situación nueva ante la cual hay que decidir cómo tratar el riesgo. Es posible que la alteración del sistema en alguna de las facetas contempladas en los puntos anteriores lleve a unos niveles de riesgo que no sean aceptables. pero bien porque el parche no existe o porque su aplicación requiere unos recursos de los que no disponemos. regresando a los ciclos iterativos de propuestas y soluciones de la fase de diseño. En concreto: — proteger el valor de la información manejada: retención y control de acceso — proteger las claves criptográficas de cifra y de autenticación: retención y control de acceso Todo lo que no sea necesario retener se destruirá de forma segura: — datos operacionales © Ministerio de Hacienda y Administraciones Públicas página 83 (de 127) . Un incidente de seguridad también puede suponer un cambio en el sistema.7. con el atacante en un nuevo lugar y con unas opciones nuevas.9 Terminación Cuando un sistema de información se retira del servicio. Por ejemplo. 7. obligando a revisar el análisis.8. hay que realizar una serie de tareas de seguridad proporcionadas al riesgo al que están sometidos los componentes del sistema a retirar. bien porque la valoración de la capacidad del atacante se modifica.0 Desarrollo de sistemas de información 7.2. Ciclos de mantenimiento: análisis marginal Cuando se propone una modificación del sistema. Nuevas amenazas Bien porque se descubren nuevas formas de ataque. Vulnerabilidades sobrevenidas Por ejemplo.Magerit 3. Incidentes de seguridad Los incidentes de seguridad pueden indicarnos un fallo en nuestra identificación de amenazas o en su valoración. una intrusión significa que no podemos contar con la defensa perimetral: tenemos un nuevo sistema. 3. control de versiones.10 Documentación de seguridad La documentación de seguridad evoluciona con el ciclo de vida del sistema: fase contexto especificación diseño desarrollo documentación de seguridad se revisa la política de seguridad se revisa la normativa de seguridad se amplia la normativa de seguridad se prepara el índice de procedimientos operacionales de seguridad se elaboran los procedimientos operacionales de seguridad aceptación y se validan los procedimientos operacionales de seguridad puesta en operación operación mantenimiento se actualizan los procedimientos operacionales de seguridad se actualizan los procedimientos operacionales de seguridad Tabla 8. etc. La interfaz de seguridad de Métrica identifica hasta 4 tareas que se repiten en cada proceso. compilación.0 — copias de seguridad — configuración de los sistemas Desarrollo de sistemas de información 7. Aquí se tratan de forma compacta: Activos a considerar En cada proceso se requiere un análisis de riesgos específico que contemple: • los datos que se manejan: • • • • especificaciones y documentación de los sistemas código fuente manuales del operador y del usuario datos de prueba herramientas de tratamiento de la documentación: generación. CSI. control de documentación. etc. publicación.Magerit 3. EVS. ASI. SPD – Seguridad del proceso de desarrollo Lo que se comenta en esta sección afecta a todas y cada uno de los procesos y subprocesos de Métrica: PSI. Documentación de seguridad a lo largo del ciclo de vida de las aplicaciones 7. personal de mantenimiento y usuarios (de pruebas) Actividades Se siguen los siguientes pasos © Ministerio de Hacienda y Administraciones Públicas página 84 (de 127) . • el entorno software de desarrollo: • • • • • • el entorno hardware de desarrollo: equipos centrales. herramientas de tratamiento del código: generación. puestos de trabajo. equipos de archivo. el entorno de comunicaciones de desarrollo las instalaciones el personal involucrado: desarrolladores. DSI.2. IAS y MSI. etc. notablemente en PSI. 2000. el equipo de análisis de riesgos elabora los informes correspondientes a las soluciones adoptadas 8.0 Desarrollo de sistemas de información 1. en particular evitar la concentración en una sola persona de aquellas aplicaciones o partes de una aplicación que soporten un alto riesgo 7. incluyendo costes de desarrollo y desviaciones en los plazos de entrega 6. Consejo Superior de Informática y para el Impulso de la Administración Electrónica. Desarrollo y Mantenimiento de sistemas de información. el equipo de análisis de riesgos realiza el análisis 4.4. Moya (editores). es cierto que se trata de modelos tremendamente similares por lo que el mayor esfuerzo lo llevará el primero que se haga. la dirección califica el riesgo y decide las salvaguardas a implantar oyendo el informe conjunto de análisis de riesgos y coste de las soluciones propuestas 7. pueden aparecer contribuciones de alto nivel que afecten a la normativa de seguridad de la Organización e incluso a la propia política de seguridad corporativa. el equipo de desarrollo elabora un informe del coste que supondrían las medidas recomendadas. La construcción de la confianza para una sociedad conectada”. AENOR. E. proponiendo una serie de medidas a tomar 5. Métrica v3. Fernández-Medina y R. En todos los procesos hay que prestar una especial atención al personal involucrado. el equipo de desarrollo expone a través del jefe de proyecto los elementos involucrados 2. la dirección aprueba el plan para ejecutar el proceso con la seguridad requerida Resultados del análisis y gestión de riesgos En todos los casos • • salvaguardas recomendadas normas y procedimientos de tratamiento de la información Otras consideraciones Aunque cada proceso requiere su análisis de riesgos específico. el equipo de análisis de riesgos recibe a través del director de seguridad la información de los activos involucrados 3. siendo los demás adaptaciones de aquel primero. Entre las normas y procedimientos generados es de destacar la necesidad de una normativa de clasificación de la documentación y procedimientos para su tratamiento. 2003.Magerit 3. el equipo de seguridad elabora la normativa de seguridad pertinente 9. Metodología de Planificación. © Ministerio de Hacienda y Administraciones Públicas página 85 (de 127) . el equipo de análisis de riesgos expone a través de su director el estado de riesgo. En los primeros procesos. Como reglas básicas conviene: • • • • identificar los roles y las personas determinar los requisitos de seguridad de cada puesto e incorporarlos a los criterios de selección y condiciones de contratación limitar el acceso a la información: sólo por necesidad segregar tareas. Referencias • • “Seguridad de las Tecnologías de la Información. Siguen algunos casos prácticos frecuentes: • • • • • • • • sólo se requiere un estudio de los ficheros afectos a la legislación de datos de carácter personal sólo se requiere un estudio de las garantías de confidencialidad de la información sólo se requiere un estudio de la seguridad de las comunicaciones sólo se requiere un estudio de la seguridad perimetral sólo se requiere un estudio de la disponibilidad de los servicios (típicamente porque se busca el desarrollo de un plan de contingencia) se busca una homologación o acreditación del sistema o de un producto se busca lanzar un proyecto de métricas de seguridad. frecuentes. las tareas que a continuación se detallan hay que adaptarlas 1.. En resumen. verticalmente a la profundidad oportuna © Ministerio de Hacienda y Administraciones Públicas página 86 (de 127) . Consejos prácticos Todo el planteamiento anterior puede quedar un poco abstracto y no permitir al analista progresar con solvencia a través de los pasos indicados si confundiera lo importante con lo esencial. el usuario puede encontrarse ante situaciones donde el análisis es más restringido. Una estrategia frecuente es identificar como servicio a proporcionar el ámbito que deseamos analizar en detalle y usarlo como perímetro exterior de los activos.1. todo tipo de situaciones. guías de valoración. Se recomienda también la consulta del "Catálogo de Elementos" que recopila tipos de activos.. 8. dimensiones de valoración. Por ello se ha considerado conveniente incluir algunos comentarios que puedan servir de guía para avanzar.Magerit 3. En la práctica. debiendo identificar qué puntos interesa controlar y con qué grado de periodicidad y detalle etc.0 Consejos prácticos 8. en definitiva. se traducen en un ajuste del alcance del análisis.1) 2. pueden darse situaciones en las que se requieren análisis de diferente calado: • • • • • un análisis urgente para determinar los activos críticos un análisis global para determinar las medidas generales un análisis de detalle para determinar salvaguardas específicas para ciertos elementos del sistema de información un análisis de detalle cuantitativo para determinar la oportunidad de un gasto elevado . Estas situaciones. todo tipo de aspectos de seguridad. En el planteamiento de estas guías se ha seguido un criterio “de máximos”. Alcance y profundidad Magerit cubre un espectro muy amplio de intereses de sus usuarios. catálogos de amenazas y de salvaguardas. reflejando todo tipo de activos. incorporando directamente valoraciones inferidas de la información que se maneja y la calidad que se espera del servicio. Además de cubrir un dominio más o menos extenso. horizontalmente al alcance que se requiere (tarea MAR. 26 No todos los autores son unánimes en que sea una buena idea identificar activos intangibles. Impactos” / ”3.4. Incluso es frecuente hacer paquetes de { información + servicios } que la Dirección entiende como un uno. 28 Ver Magerit versión 1. Criterios de valoración”.0 Consejos prácticos 8. el coste que suponga la pérdida de confidencialidad de los datos es el valor de confidencialidad que se le imputará al servidor . A título de ejemplo. pero es discutible que sean recursos propiamente dichos del sistema de información.Magerit 3. “Guía de Procedimientos” / “3. el coste que suponga la interrupción del servicio es el valor de disponibilidad que se le imputará al servidor el acceso no controlado al servidor pone en riesgo el secreto de los datos que presenta.0. capítulo “4. La cuantificación de estos conceptos es a menudo difícil. Esto puede asegurarse porque no es normal que una Organización despliegue un servidor de presentación web salvo que lo necesite para prestar un servicio. Ocurre que si a los interlocutores se les pregunta durante las entrevistas en términos de valores intangibles de la Organización.0 28 . se pierde la perspectiva del día a día. Para identificar activos Conviene repetir que sólo interesan los recursos de los sistemas de información que tienen un valor para la Organización. Identificación de activos Quizás la mejor aproximación para identificar los activos sea preguntar directamente: • • • ¿Qué activos son esenciales para que usted consiga sus objetivos? ¿Hay más activos que tenga que proteger por obligación legal? ¿Hay activos relacionados con los anteriores? Lo esencial es siempre la información que se maneja y los servicios que se prestan. y así con las diferentes dimensiones en consideración • Los intangibles Ciertos elementos de valor de las organizaciones son de naturaleza intangible: • • • • • credibilidad o buena imagen conocimiento acumulado independencia de criterio o actuación intimidad de las personas integridad física de las personas Estos elementos pueden incorporarse al análisis de riesgos como activos 26 o como elementos de valoración 27 . A veces nos interesa singularizar la diferente información y los diferentes servicios. Es cierto que son activos en el sentido financiero.. Submodelo de Elementos” / “3. Tipos”. bien porque sobre sus hombros descansan activos de valor. bien en sí mismos. mientras que otras veces podemos agrupar varias informaciones o varios servicios que son equivalentes a efectos de requisitos de seguridad. Todo su valor es imputado: • • la indisponibilidad del servidor supone la interrupción del servicio.4. pero de una u otra forma nunca puede olvidarse que lo que hay que proteger en última instancia es la misión de la Organización y el valor de ésta reside en estos intangibles como ya se reconocía en Magerit versión 1. © Ministerio de Hacienda y Administraciones Públicas página 87 (de 127) .3. un servidor de presentación web es un activo de escaso valor propio. pues la mayor parte de los miembros de la Organización tienen objetivos más concretos y cercanos sobre los que sí pueden emitir una opinión fundada. 27 Ver “Catálogo de Elementos”..2. No siempre es evidente qué es un activo en singular. Si es posible. pero lo más frecuente es que el valor esté en la información y deba ser respetado por los servicios que la manejan. Dependencias al nivel superior A veces es más difícil de lo esperado porque los responsables de los activos suelen estar más preocupados por el encadenamiento funcional entre activos que por la dependencia en el sentido de propagación de valor (requisitos de seguridad). un servidor central que se encarga de mil funciones: servidor de ficheros. 8. más precisamente. de la intranet. los soportes de información (discos). y fases de compresión. Si en el futuro se consigue segregar servicios entre varios servidores. Baste analizar un PC genérico que cuya problemática representa la de todos. etc. Un subsistema típico es un equipo informático. Para descubrir y modelar las dependencias entre activos Siempre hay que empezar poniendo en lo más alto la información y los servicios. que bajo ese nombre contiene el hardware. En este caso conviene segregar los servicios prestados como servicios (internos) independientes. Depende de cada circunstancia el que sea antes la información o los servicios. del sistema de gestión documental y . no es conveniente analizar 300 activos idénticos. todos idénticos a efectos de configuración y datos que manejan. Durante la fase de identificación de activos es frecuente que haya ciclos de expansión en los que los activos complejos se desagregan en activos más sencillos. periféricos.3. Es necesario transmitir al interlocutor que no se busca qué es necesario para que el sistema funciones.. se busca dónde puede fallar el sistema o.Magerit 3. antivirus. en las que muchos activos se agrupan bajo un activo único (es frecuente hablar de subsistemas). Estos ciclos se repiten recurrentemente hasta que — el conjunto de activos sea lo bastante detallado como para no olvidarnos de nada — el número de activos no sea tan grande que nos perdamos — la denominación de los activos no sea ambigua y recoja la terminología habitual en la Organización en pocas palabras. Sólo cuando se llegue al nivel de equipamiento físico habrá que hacer confluir en un único equipo todos los servicios. de mensajería. trate ese conglomerado como un activo único.. entonces es fácil revisar el modelo de valor y dependencias. sino al revés. dónde puede verse comprometida la seguridad de los activos.0 Consejos prácticos Es habitual y práctico identificar lo que podríamos llamar subsistemas. sistema operativo y aplicaciones (software) de base tales como ofimática. © Ministerio de Hacienda y Administraciones Públicas página 88 (de 127) . Ilustración 18. el modelo debe ser manejable y fácil de explicar a los que van a tomar decisiones a partir de nuestras conclusiones. Una buena idea es tener tantos activos como perfiles de configuración de equipos personales. Otras veces se presenta el caso contrario. Si por ejemplo en su unidad tiene 300 puestos de trabajo PC. Agrupar simplifica el modelo. que depende a su vez de los locales donde se ubican los equipos. no debe preocupar tanto la ruta que siguen los datos como el conjunto (desordenado) de elementos que intervienen. Si un servicio es importante por su disponibilidad. Unos datos dependen de todos los sitios por donde pasen. Las anteriores consideraciones pueden desembocar en un diagrama “plano” de dependencias que se puede (y conviene a efectos prácticos) convertir en un árbol más compacto. © Ministerio de Hacienda y Administraciones Públicas página 89 (de 127) . Así. Hay organizaciones donde está muy clara la información que hay que tratar y a partir de ella podemos identificar los servicios que la tratan y el equipamiento desplegado. ¿dónde atacaría para robarlos? si usted quisiera detener este servicio. Si unos datos son importantes por su integridad. 29 Ver “Guía de Técnicas”. si usted quisiera acceder a estos datos. Tanto en unos como en otros diagramas es frecuente encontrar descripciones jerarquizadas donde un proceso se subdivide en niveles de mayor detalle. Servicios internos Cuando se usen diagramas de flujo de datos o diagramas de procesos.0 • • • Consejos prácticos Si unos datos son importantes por su confidencialidad. En efecto. 30 En la "Guía de Técnicas" encontrará el modelo algorítmico para calcular las dependencias totales entre activos a partir de las dependencias directas. se necesita saber en qué sitios van a residir dichos datos y por qué lugares van a circular: en esos puntos pueden ser revelados. pues las dependencias de dichos servicios se interpretan sin ambigüedad como dependencia de todos los elementos que prestan el servicio. se necesita saber en qué sitios van a residir dichos datos y por qué lugares van a circular: en esos puntos pueden ser alterados.Magerit 3. Estos servicios intermedios son eficaces para compactar el grafo de dependencias. sin necesidad de explicitar que los servicios dependen de los locales 30 . Ilustración 19. ¿dónde atacaría para estropearlo? Estas consideraciones pueden plantearse con argumentos del tipo: • • Este planteamiento de “póngase en el lugar del atacante” es el que da pie a las técnicas denominadas “árboles de ataque” 29 que van parejas a lo que en esta metodología se denominan dependencias. es normal decir que los servicios dependen del equipamiento. se necesita saber qué elementos se usan para prestar dicho servicio: el fallo de esos elementos detendría el servicio. Un proceso depende de todos los activos que aparecen en su diagrama. Estas jerarquías de diagramas pueden ayudar a elaborar el grafo de dependencias. un activo puede ser atacado directamente o indirectamente a través de otro activo del que dependa. Es frecuente identificar “servicios internos” o “servicios horizontales” que son agrupaciones de activos para una cierta función. El razonamiento de quien tal afirma es que “la aplicación no funcionaría sin equipo”. Más bien es todo lo contrario: la [seguridad de la] información depende de la aplicación que la maneja. equipos. pudiendo partir de una enumeración de servicios para asociarles la información que manejan y el equipamiento desplegado. { información + servicios } → equipamiento (incluyendo datos. Luego la información depende de la aplicación. El razonamiento de quien tal afirma es que “la aplicación no funcionaría sin datos”. Errores típicos No es correcto decir que una aplicación depende de la información que maneja. La información es un bien esencial. a veces conviene distinguir entre los datos y la información. y la información es alcanzable por medio de la aplicación. La información es valiosa. lo que es correcto. …) 2. sin buscar caminos retorcidos. mal bien aplicación → información información → aplicación Tabla 9.Magerit 3.0 Consejos prácticos Hay organizaciones más centradas en los servicios que prestan. información → servicios → equipamiento (incluyendo datos. …) No es correcto decir que una aplicación dependa del equipo donde se ejecuta. son los requisitos de seguridad de la información los que hereda la aplicación. Pero como el valor es una propiedad de la información. pero no es lo que interesa reflejar. La información que maneja un sistema o bien se pone por encima de los servicios. convirtiéndose la aplicación en la vía de ataque. En términos de servicio. siendo los datos una concreción TIC de la información. En otras palabras: a través de la aplicación puede accederse a la información. el valor del servicio se transmite tanto a los datos como a las aplicaciones intervinientes. aplicaciones. lo demás es valioso en la medida en que contiene información. Dependencias de los servicios © Ministerio de Hacienda y Administraciones Públicas página 90 (de 127) . Dado que datos y aplicaciones suelen aunar esfuerzos para la prestación de un servicio. Si tanto la aplicación como el equipo son necesarios para prestar un servicio. o bien se agrupa 1. se puede decir que la aplicación no vale para nada sin datos. se debe decir explícitamente. aplicaciones. lo que es correcto. mal • • bien servicio → aplicación • servicio → aplicación aplicación → equipo • servicio → equipo Tabla 10. pero no es lo que interesa reflejar. equipos. Dependencias de la información y las aplicaciones En este contexto. Hay veces que el análisis empieza por el inventariado de equipamiento y luego se va buscando qué servicios se prestan y qué información se trata en el sistema. Por ejemplo. Resulta entonces imposible relacionar la aplicación con uno o más equipos.4. 8. Y se debe responder positivamente a las preguntas de si • • ¿Están todos los que son? Es decir. ¿Son todos los que están? Es decir. Antes de dar por bueno un modelo de dependencias hay que trazar para cada activo todos los activos de los que depende directa o indirectamente. simplemente. salvo considerando cada caso Ilustración 21. si realmente el activo valorado puede ser atacado en todos esos activos de los que depende Como la relación de dependencia propaga el valor acumulado. que el activo es irrelevante. Si se han modelado servicios esenciales (prestados a usuarios externos al dominio de análisis). En otras palabras: para saber si las dependencias están bien establecidas. Dependencias entre activos para la prestación de unos servicios ¿Están bien modeladas las dependencias? Establecer dependencias es una tarea delicada que puede acabar mal. una aplicación X puede ejecutarse en diferentes equipos con diferentes datos para prestar diferentes servicios. © Ministerio de Hacienda y Administraciones Públicas página 91 (de 127) . si se han identificado todos los activos en los que puede ser atacado indirectamente el activo valorado. conviene valorarlos igualmente. encontrar un activo sin valor acumulado es síntoma de que las dependencias están mal modeladas o. pero aparecen en cuanto el sistema crece.0 Consejos prácticos Ilustración 20. estudie el valor acumulado. una aplicación y un equipo). Jerarquía de dependencias Los errores comentados a veces pasan desapercibidos mientras el sistema es muy reducido (sólo hay un servicio. Para valorar activos Siempre conviene valorar la información que constituye la razón de ser del sistema de información.Magerit 3. determinar su valor: el daño que supondría su revelación o alteración indebida. A menudo no existe el responsable único y singular de un activo y/o servicio. Los activos más sencillos de valorar son aquellos que se adquieren en un comercio. Datos de carácter personal Los datos de carácter personal están tipificados por leyes y reglamentos. criterios que trascienden a los analistas y que deben proceder de los órganos superiores que son los encargados de valorar el sistema y de recibir los resultados del análisis. En cualquier caso. el análisis de impactos y riesgos permitirá proteger los datos tanto por obligación legal como por su propio valor. Por ello en las metodologías de gestión de riesgos se requiere que la Organización establezca unos criterios para valorar. Y llegar a un consenso. A este responsable hay que ayudarle con tablas de valoración como las del capítulo 4 del "Catálogo de Elementos" que.. que será la persona adecuada para valorar el activo.Magerit 3. hay que tener en cuenta que la persona que desempeña ese puesto se convierte en muy valiosa. Si se avería. para valorar un activo se debe identificar al responsable. La forma más realista de enfrentarse a los activos de carácter personal es caracterizarlos como tales en el nivel que corresponda y. permitan traducir la percepción de valor en una medida cualitativa o cuantitativa del mismo. adaptadas al caso concreto. hay que poner otro.0 Consejos prácticos Es fácil identificar activos de tipo información y valorarlos siguiendo clasificaciones pautadas como su carácter personal o su clasificación de seguridad. Si el consenso no es obvio. todos reciban una copia de la valoración global del sistema para que aprecien el valor relativo de “sus activos” y opinen en contexto. en general. 31 Ver "Guía de Técnicas". sino que varias personas dentro de la Organización tienen opinión cualificada al respecto. Se habla de un coste de reposición. pero si un puesto supone una formación lenta y trabajosa. Esta aproximación no vale en un análisis cualitativo. © Ministerio de Hacienda y Administraciones Públicas página 92 (de 127) . tanto más frecuente cuanto más especializado esté el entrevistado. Salvo notorias excepciones. Y es frecuente que cada entrevistado considere sus activos como de la máxima importancia. más dinero). Como muchas valoraciones son estimaciones de valor. pudiendo obviarse. Y es importante que tras haber preguntado a los que entienden de cada activo. puede requerir un careo: junte a los que opinan e intente que lleguen a una opinión común un Delphi 31 : mande cuestionarios a los que opinan e intente que converjan a una opinión común En los procesos de valoración de activos es frecuente recurrir a personas diferentes para valorar activos diferentes. además. 32 Es posible aproximarse a la valoración de los activos que son de carácter personal cuantificando la multa que impondría la Agencia de Protección de Datos. hay que cuidar que todo el mundo use la misma escala de estimar. esta aproximación parte de la hipótesis de que lo peor que puede pasar con ese dato es ser motivo de multa.. pues su valor más importante es soportar la información y/o los servicios y de ese cálculo se encargan las relaciones de dependencias. El resto de los activos puede frecuentemente pasar sin valorar. frecuentemente ocurre que el coste de los activos físicos es despreciable frente a otros costes. Hay que oírlas todas. directamente o adaptada al caso concreto. Es difícil valorar las personas. No obstante. En un análisis cuantitativo. pues su “coste de reposición” es notable. si considera oportuno valorar otro tipo de activos . Por ello es importante usar una tabla como la del capítulo 4 del "Catálogo de Elementos". requiriendo de la Organización que adopte una serie de medidas de protección independientes del valor del activo 32 . Con esta aproximación. Pero pasa a ser mucho más delicado valorar datos de tipo comercial u operacional porque hay que ir a las consecuencias del daño sufrido. Esto cuesta dinero y tiempo (o sea. en su conocimiento por todo el mundo. en cada dimensión. Se puede partir de la experiencia pasada.. 8.Magerit 3. buena o mala. en cualquier caso. propia o de organizaciones similares. pero si el experto empaqueta su ataque en una herramienta con una simple interfaz gráfica. En el caso de desastres naturales o accidentes industriales. Si alguien sabe cómo organizarse. Póngase en la piel del atacante e imagine qué haría con sus conocimientos y su capacidad económica. Esta técnica es la que a veces se denomina “árboles de ataque”.). Es más. usar la herramienta se convierte en un deporte que no requiere del atacante sino ausencia de escrúpulos (es decir. Complementariamente. sería impresentable no tenerlo en cuenta. determinar la degradación que causarían y la probabilidad de ocurrencia. . se puede disponer de series históricas. Lo que ha ocurrido puede repetirse y. identificar amenazas. A menudo se recurre a idear escenarios de ataque que no son sino dramatizaciones de cómo un atacante se enfrentaría a nuestros sistemas.. Y lo más complejo es calificar los ataques deliberados pues dependen de la suerte. no es difícil poner a la red a “trabajar para mí” lo que supone que el atacante disponga de muchísimos más medios efectivos que el atacado. que se vengan a través de nuestros sistemas • • 33 Hay que estar atentos a la “comercialización” de las herramientas de ataque pues un ataque puede requerir un gran experto para realizarlo manualmente (es decir. Para identificar amenazas La tarea aparece como imposible: para cada activo. Probablemente también se disponga de un historial que informe de lo que es frecuente y de lo que “no pasa nunca”. genéricas o del lugar en el que se ubican los equipos de nuestro sistema de información bajo estudio. simplemente para causar daño que haya una mala relación con los usuarios externos. pero la experiencia permite ir aquilatando valores realistas.6.0 Consejos prácticos 8. evite los retos y jamás alardee de que su sistema de información es invulnerable: no lo es y no tiene gracia que se lo demuestren que haya un mal ambiente de trabajo. Estas dramatizaciones son interesantes para poder calcular impactos y riesgos. Puede que tenga que plantearse diferentes situaciones dependiendo del perfil técnico del atacante o de sus recursos técnicos y humanos. © Ministerio de Hacienda y Administraciones Públicas página 93 (de 127) . Hay muchos motivos que agudizan el peligro de una amenaza: • • • • que no requiera grandes conocimientos técnicos por parte del atacante 33 que no requiera gran inversión en equipo por parte del atacante 34 que haya un enorme beneficio económico en juego (que el atacante puede enriquecerse) que haya un enorme beneficio en juego (que el atacante pueda salir fuertemente beneficiado.5. Siempre que sea posible conviene partir de datos estándar. cuando evalúe las salvaguardas puede ser conveniente revisar estos escenarios de ataque. semilla de empleados descontentos que se vengan a través de los sistemas. 34 Hay que tener muy en cuenta que Internet es una red inmensa de poder de cómputo. en su estima. un catálogo de amenazas como el incluido en el "Catálogo de Elementos" ayuda a localizar lo que conviene considerar en función del tipo de activo y de las dimensiones en las que tiene un valor propio o acumulado. pero además serán muy útiles a la hora de convencer a la alta dirección y a los usuarios de por qué una amenaza no es teórica sino muy real. Más complicado es calificar los errores humanos. la amenaza ha pasado a ser muy frecuente). por lo que más quiera. Es habitual que las herramientas de soporte al análisis de riesgos aporten perfiles típicos para apoyar en esta tarea. Para valorar amenazas La tarea es desmoralizadora: para cada activo en cada dimensión. es poco frecuente). Lo ideal es que la salvaguarda sea transparente de forma que el usuario no tenga que hacer nada o. Nunca se debe aceptar un valor injustificado de degradación en la esperanza de compensarlo con la frecuencia. sobre todo si como consecuencia se van a recomendar salvaguardas costosas. 8. es decir. Pero algunas contra medidas son realmente costosas (en su adquisición. conviene realizar aproximaciones sucesivas. identificando rápidamente lo más crítico: activos de gran valor. hay que documentarla pues antes o después se pedirán explicaciones. en su defecto. hay que ir aumentando o disminuyendo sus calificaciones de frecuencia y degradación hasta reflejar lo más posible el caso concreto. lo que implica que haya que explicar y consensuar lo que significa cada cosa para no estar expuestos a impactos o riesgos que se ignoran o se infravaloran. pues la estimación del impacto es importante en sí misma. posteriormente.). mejor. y no menos importante. simplemente. con diferentes calidades. Es habitual que las herramientas de soporte al análisis de riesgos aporten perfiles típicos para apoyar en esta tarea. hay que introducir muchos elementos que no son objetivos. Recuerde que la frecuencia no afecta al impacto. pero cabe confiar en que lleve en la direc© Ministerio de Hacienda y Administraciones Públicas página 94 (de 127) . tomar siempre decisiones de gasto que supongan un ahorro neto. Se empieza por un análisis somero. sino estimaciones del analista. evidentemente. Use un (sistema) experto que le ayude a ver qué solución es adecuada para cada combinación de • • • • tipo de activo amenaza a la que está expuesto dimensión de valor que es motivo de preocupación nivel de riesgo A menudo encontrará muchas soluciones para un problema. a no hacer crítica una cierta amenaza. ni convertir la paranoia en un dispendio de recursos injustificados. Simplemente porque una salvaguarda de complejo manejo requiere personal especializado y añade a las amenazas que ya tenía el sistema la amenaza que supone su defectuosa utilización. aprovechando la experiencia de los demás. bastando configurar adecuadamente los sistemas u organizar normativa para que el personal haga las cosas de forma adecuada.. requiriendo tiempo y esfuerzo.8. en la formación del personal a su cargo.0 Consejos prácticos Partiendo de un valor estándar.. El uso de algún tipo de herramienta es muy útil para estudiar las consecuencias de un cierto valor. Por último. de alto nivel. en su mantenimiento periódico. Sea cual sea la decisión final que se tome para estimar un valor. Para seleccionar salvaguardas Probablemente la única forma es tirar de catálogo.Magerit 3. además de la de riesgo. cuanto menos haya que hacer. a la hora de desplegar salvaguardas hay que considerar su facilidad de uso. Este análisis de riesgos es imperfecto. estudiando el riesgo se puede ajustar la frecuencia. vulnerabilidades manifiestas o. . Además. 8. es decir. Muchas salvaguardas son de bajo coste. En estos casos debe elegir una solución proporcionada a los niveles de impacto y riesgo calculados. Si se aprecia que los resultados cambian radicalmente ante pequeñas alteraciones de una estimación de frecuencia o degradación. Si hay que ser prácticos y efectivos. en su despliegue. En estos casos conviene ponderar si el coste de la salvaguarda no supera el riesgo potencial. Aproximaciones sucesivas El lector ya se habrá percibido de que el análisis de riesgos puede ser muy laborioso. lo que algunos autores denominan la sensibilidad del modelo a cierto dato. recomendaciones de libro de texto porque no hay nada más prudente que aprender en cabeza ajena.7. A menudo no es evidente determinar el valor correcto y es necesario recurrir a simulaciones que orienten. hay que (1) ser realistas y (2) prestar extrema atención a por qué el sistema es tan sensible a algo tan concreto y tomar medidas orientadas a independizar el sistema. por lo que estudiando el impacto se puede ajustar la degradación y. etc. 8. no hay medida de si falta o si sobra. Protección básica Es frecuente oír hablar de medidas básicas de protección (baseline) que deberían implantarse en todos los sistemas. Puede protegerlos física o lógicamente. o imponiendo una identificación de acceso lógico. ni lo dude: a sus sistemas de información no debe poder acceder cualquiera en cualquier momento. Si usted tiene datos clasificados como confidenciales.Magerit 3. no discuta. La protección por catálogo puede refinarse un poco considerando el valor y la naturaleza de los activos o cuantificando las amenazas. tiene que poner un cortafuegos en el punto de conexión. se puede avanzar a niveles más elaborados. poniéndolos en una sala donde no entra cualquiera. se llegue a la fase de gestión de riesgos tras un análisis exhaustivo. Por favor. habrá llevado a cabo una especie de “vacunación preventiva” de activos que seguro que son importantes. específicos de cada sistema. tiene que etiquetarlos y cifrarlos. salvo que se demuestre que no son pertinentes a algún caso particular. aún estando probablemente en la senda correcta. por ejemplo [ISO 27002] normas sectoriales normas corporativas. No es pues trabajo perdido seguir estas aproximaciones informales. especialmente frecuentes en pequeñas delegaciones de grandes organizaciones es muy rápido cuesta menos esfuerzo que ponerse a analizar y decidir se logra un nivel homogéneo con otras organizaciones parecidas el sistema puede protegerse frente a amenazas que no padece.8. con tiempo. En base a la tipificación de los activos Si usted tiene datos de carácter personal calificados de nivel alto. Una vez avanzado lo que es obvio y no se debería nunca discutir. lo que supone un gasto injustificado el sistema puede estar inadecuadamente protegido frente a amenazas reales Las ventajas de protegerse por catálogo son: • • • Los inconvenientes de protegerse por catálogo son: • • En general.0 Consejos prácticos ción correcta. Existen numerosas fuentes. © Ministerio de Hacienda y Administraciones Públicas página 95 (de 127) . Nótese que estas aproximaciones imperfectas permiten desplegar rápidamente sistemas razonablemente protegidos cuando no hay tiempo para un análisis de riesgos en toda su plenitud. No obstante. muy probablemente ocurra que muchas salvaguardas están ya dispuestas. Los párrafos siguientes dan indicaciones de cómo orientarse rápidamente hacia el objetivo final: tener impactos y riesgos bajo control. Aparte de cumplir con la legislación y normativa específica. Cuando. necesitándose sólo la introducción de algunas nuevas y/o la mejora de la eficacia de las existentes. entre las que cabe destacar: • • • normas internacionales.1. Pero ¡protéjalos! Este tipo de razonamientos se pueden aplicar con frecuencia y llevan a desplegar un mínimo de salvaguardas “de puro sentido común”. Si usted tiene una red local conectada al exterior. con la protección básica no se sabe lo que se hace y. Para aplicar un tratamiento básico se requiere un catálogo de salvaguardas. tiene que cifrarlos. puede ser un punto de partida útil para refinar posteriormente. Si tiene usted una aplicación en producción. por si le pasara algo. teniendo que determinar quién tiene razón y quien paga los perjuicios. registre cuidadosamente quién hace qué en cada momento pues se enfrentará a incidencias con los usuarios. Lo que vale hay que cuidarlo. y parte de las responsabilidades del responsable de seguridad es disponer de la información correcta cuando haga falta.0 Consejos prácticos En base al valor de los activos Si usted tiene todos los datos operacionales en soporte informático. debe instalar un cortafuegos. es necesario. Si usted tiene equipos informáticos. También habrá quien quiera usar sus servicios sin tener derecho a ello (fraude). tiene que hacer copias de seguridad. © Ministerio de Hacienda y Administraciones Públicas página 96 (de 127) . manténgalos al día con las actualizaciones del fabricante. En base a las amenazas Si se trata de un sistema de la llamada administración electrónica (tramitación administrativa no presencial) o si los sistemas se usan para comerciar electrónicamente (compras y ventas no presenciales).Magerit 3. En base a la exposición Si usted tiene una red de equipos antiguos y se conecta a Internet. Cuando se sabe que los sistemas de información son vulnerables. Lo que se puede necesitar. hay que protegerlos. sin entrar en muchas precisiones de qué les puede pasar exactamente. debe mantenerla al día aplicando mejoras y corrigiendo los defectos anunciados por el fabricante. Cuando la definición procede de alguna fuente. [Octave:2003] Asset: Any information resource with value that is worth protecting or preserving. [UNE 71504:2008] Recursos del sistema de información o relacionados con éste. necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. [UNE-ISO Guía 73:2010] Acción de facultar a un sistema o red de información para que procese datos sensibles. siempre se ha preferido mantener la definición propuesta en Magerit v1 (1997). Salvo razones en contra.Magerit 3. necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. Incluye: información. [Magerit: 2006] Recursos del sistema de información o relacionados con éste. equipos (hardware). datos. Términos en español Aceptación del riesgo Acreditación Decisión informada a favor de tomar un riesgo. [CESID:1997] Accreditation: Formal declaration by the responsible management approving the operation of an automated system in a particular security mode using a particular set of safeguards. comunicaciones. Assets may be of four types: physical. data. Accreditation is based on the certification process as well as other management considerations.1. servicios. recursos administrativos. Glosario Diferentes autores u organizaciones definen los mismos términos de diferentes formas y maneras. La ausencia de fuente indica que es definición propia de esta guía. [UNE 71504:2008] Potential cause of an unwanted incident. [Magerit:1997] Bienes: En la teoría de los valores. application software.0 Glosario Apéndice 1. resaltándola en negrita. or end user services. tanto en español como en inglés. se cita esta. De las múltiples definiciones se ha seleccionado la preferida en Magerit v2. Las siguientes tablas recopilan definiciones acordes al sentido en el cual se emplean los términos en esta guía metodológica. determinando el grado en el que el diseño y la materialización de dicho sistema cumple los requerimientos de seguridad técnica preestablecidos. Accreditation is the official authorization by management for the operation of the system. aplicaciones (software). [CRAMM:2003] Asset: Something of value to the enterprise. and acceptance by that management of the associated residual risks. [DRAE] Asset: A component or part of the total system. recursos físicos y recursos humanos. [154431:2005] Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. la realidad que posee un valor positivo y por ello es estimable. A1. [TDIR:2003] Assets: Information or resources to be protected by the countermeasures of a Target of Evaluation. [CC:1999] Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. [ISO/IEC 27000:2009] página 97 (de 127) Activo Amenaza © Ministerio de Hacienda y Administraciones Públicas . which may result in harm to a system or organization. This analysis is used as a basis for identifying appropriate and cost-effective security countermeasures. with the potential for causing harm to an automated information system or activity. [UNE-ISO Guía 73:2010] Identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con el sistema de información (conocidos como ‘activos’). or physical destruction or impairment. [CNSS:2003] Risk Analysis: An analysis of system assets and vulnerabilities to establish an expected loss from certain events based on estimated probabilities of occurrence. [CIAO:2000] A threat is an indication of a potential undesirable event.0 Aceptación del riesgo Glosario Decisión informada a favor de tomar un riesgo. compromise of data integrity. dada una oportunidad. [Magerit:2006] Eventos que pueden desencadenar un incidente en la Organización. [TDIR:2003] © Ministerio de Hacienda y Administraciones Públicas página 98 (de 127) . operation or activity. deliberate or unintentional. disclosure. Análisis del riesgo – Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo. para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organización. modification of data. destruction. and/or denial of service. and/or denial of service. agency assets. [Magerit:1997] Condición del entorno del sistema de información que. and vulnerabilities of. produciendo daños materiales o pérdidas inmateriales en sus activos. modification of information. [NSTISSI:1998] Threat: A potential violation of security. or reputation). [800-53:2009] Threat: Any circumstance or event with the potential to adversely impact an information system through unauthorized access. podría dar lugar a que se produjese una violación de la seguridad. [7498-2:1989] Análisis de impacto Estudio de las consecuencias que tendría una parada de X tiempo sobre la Organización. [CESID:1997] Threat: Any circumstance or event with the potential to adversely impact agency operations (including mission. denial or disruption of service. [UNE-ISO Guía 73:2010] Eventos que pueden desencadenar un incidente en la Organización. [CNSS:2003] Risk Assessment:: Process of analyzing threats to and vulnerabilities of an information system. functions. disclosure. image. and the potential impact resulting from the loss of information or capabilities of a system.Magerit 3. produciendo daños materiales o pérdidas inmateriales en sus activos. or individuals through an information system via unauthorized access. [CNSS:2003] Threat: An activity. [Magerit:1997] Risk assessment: Process of evaluating the risks of information loss based on an analysis of threats to. a system. [OPSEC] Risk Analysis: Examination of information to identify the risk to an information system. obteniendo cierto conocimiento del riesgo que se corre. Análisis de riesgos Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. [TDIR:2003] Threat: Any circumstance or event that could harm a critical asset through unauthorized access. destruction. [CNSS:2003] [TDIR:2003] página 99 (de 127) Auditoría de seguridad Autenticidad Certificación Confidencialidad © Ministerio de Hacienda y Administraciones Públicas . [Magerit:2006] Autenticación: Característica de dar y reconocer la autenticidad de los activos del dominio (de tipo información) y/o la identidad de los actores y/o la autorización por parte de los autorizadores. y que los criterios de evaluación utilizados fueron correctamente aplicados. [UNE-ISO Guía 73:2010] Risk Assessment: A study of vulnerabilities. including means for protecting personal privacy and proprietary information. así como la verificación de dichas tres cuestiones. sensitive. o violar alguna política de seguridad de alguna otra manera. or devices. [Magerit:1997] Confidentiality: An assurance that information is not disclosed to unauthorized entities or processes (DOD JP 1994. con la finalidad de comprobar la idoneidad de los controles del sistema. [Magerit:1997] Authenticity: Having an undisputed identity or origin. The process of evaluating threats and vulnerabilities. JCS 1997) [OPSEC] Confidentiality: Preserving authorized restrictions on information access and disclosure. [CESID:1997] Estudio y examen independiente del historial y actividades de un sistema de información. [UNE 71504:2008] Aseguramiento de la identidad u origen. Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. confidence in the validity of a transmission. Propiedad o característica consistente en que la información ni se pone a disposición ni se revela a individuos. likelihood. [800-53:2009] Confidentiality: The requirement of keeping proprietary. asegurar su conformidad con la estructura de seguridad y procedimientos operativos establecidos. processes. [Magerit:2006] Característica que previene contra la divulgación no autorizada de activos del dominio. entidades o procesos no autorizados. or message originator. [UNE 71504:2008] Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso. a fin de detectar brechas en la seguridad y recomendar cambios en los procedimientos. a message. [TDIR:2003] Ataque Intento de destruir.Magerit 3. [Octave:2003] Confidentiality: Assurance that information is not disclosed to unauthorized persons. threats. alterar o inhabilitar un sistema de información o la información que el sistema maneja. or personal information private and inaccessible to anyone that is not authorized to see it. exponer. and theoretical effectiveness of security measures. loss or impact. to determine expected loss and establish the degree of acceptability to system operations.0 Aceptación del riesgo Glosario Decisión informada a favor de tomar un riesgo. [OPSEC] Authenticity: The property of being genuine and being able to be verified and trusted. [800-53:2009] Confirmación del resultado de una evaluación. known and postulated. controles y estructuras de seguridad. [ISO/IEC 18043:2006] Cualquier acción deliberada encaminada a violar los mecanismos de seguridad de un sistema de información. Tasa de ocurrencia de una amenaza. [Magerit:1997] Availability: The assurance that data transmissions. Informe: Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan. [ISO 7498-2:1989] Informe: Caracterización de los activos por su riesgo residual. [UNE-ISO Guía 73:2010] Selección e implantación de salvaguardas para conocer. reducir o controlar los riesgos identificados. Documento formal en el que. diferenciado de otros posibles aspectos. [Magerit:2006] Selección e implantación de las medidas o ‘salvaguardas’ de seguridad adecuadas para conocer. Un aspecto. Pérdida de valor de un activo como consecuencia de la materialización de una amenaza. impedir. Número de sucesos o de efectos en una unidad de tiempo definida. an asset must be present or ready for use. and/or communications are not denied to those who are authorized to use them (JCS 1997) [OPSEC] Availability: Ensuring timely and reliable access to and use of information. por el contrario. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. [800-53:2009] Availability: The extend to which. entities. es decir lo que puede pasar tomando en consideración las salvaguardas desplegadas. or frequency with which. carecen de sentido. La gestión de riesgos se basa en los resultados obtenidos en el análisis de los riesgos. reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles perjuicios. [CNSS:2003] [TDIR:2003] [CIAO:2000] Availability: The property of being accessible and usable upon demand by an authorized entity. impedir. reliable access to data and information services for authorized users. [UNE 71504:2008] Característica que previene contra la denegación no autorizada de acceso a activos del dominio. [Octave:2003] Availability: Timely. prevenir. [UNEISO Guía 73:2010] Estado de riesgo Evaluación de salvaguardas Frecuencia Gestión de riesgos Actividades coordinadas para dirigir y controlar una organización el lo relativo al riesgo. Véase salvaguarda. prevenir. [UNE-ISO Guía 73:2010] Confidentiality: The property that information is not made available or disclosed to unauthorized individuals. se indica sin son de aplicación en el sistema de información bajo estudio o si. computer processing systems.0 Aceptación del riesgo Glosario Decisión informada a favor de tomar un riesgo. [ISO 7498-2:1989] Contra medida Control Declaración de aplicabilidad Degradación Dimensión de seguridad Disponibilidad Véase salvaguarda. [Magerit:1997] © Ministerio de Hacienda y Administraciones Públicas página 100 (de 127) .Magerit 3. or processes. respecto del que se puede medir el valor de un activo en el sentido del perjuicio que causaría su pérdida de valor. para un conjunto de salvaguardas. organizational policy. Propiedad o característica consistente en que el activo no ha sido alterado de manera no autorizada. [ISO/IEC 27000:2009] Information security incident: single or a series of unwanted or unexpected information security events that have a significant probability of compromising business operations and threatening information security. This is often called an attack. [UNE 71504:2008] Característica que previene contra la modificación o destrucción no autorizadas de activos del dominio. Suceso (inesperado o no deseado) con consecuencias en detrimento de la seguridad del sistema de información. [ISO/IEC 27000:2009] Incident: A successful or unsuccessful action attempting to circumvent technical controls.0 Aceptación del riesgo Glosario Decisión informada a favor de tomar un riesgo. or law. [TDIR:2003] Informe: Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir el riesgo sobre el sistema. JCS 1997). altered. [CRAMM:2003] Impacto remanente en el sistema tras la implantación de las salvaguardas determinadas en el plan de seguridad de la información. [CIAO:2000] Impacto Consecuencia que sobre un activo tiene la materialización de una amenaza. [Magerit:1997] Information integrity: The state that exists when information is unchanged from its source and has not been accidentally or intentionally modified. inherent vulnerabilities.Magerit 3. [OPSEC] Risk management: Process of identifying and applying countermeasures commensurate with the value of the assets protected based on a risk assessment. [Octave:2003] Impact: The effect on the organisation of a breach in security. [Magerit:2006] Information security event: identified occurrence of a system. and mitigation of probabilistic security events (risks) in information systems to a level commensurate with the value of the assets protected. [Magerit:1997] Impact: The effect of a threat on an organization's mission and business objectives. service or network state indicating a possible breach of information security policy or failure of controls. [UNEISO Guía 73:2010] Consecuencia que sobre un activo tiene la materialización de una amenaza. Consecuencia – Resultado de un suceso que afecta a los objetivos. or a previously unknown situation that may be security relevant. [UNE-ISO Guía 73:2010] Risk management: A security philosophy which considers actual threats. [OPSEC] página 101 (de 127) Impacto residual Incidente de seguridad Informe de insuficiencias Integridad © Ministerio de Hacienda y Administraciones Públicas . assessment. and the availability and costs of countermeasures as the underlying basis for making security decisions (JSCR 1994). [UNE 71504:2008] Evento con consecuencias en detrimento de la seguridad del sistema de información. [CNSS:2003] The identification. or destroyed (NSC EO 1995. altered. que esta posibilidad está definida. [Octave:2003] Data integrity: A condition existing when data is unchanged from its source and has not been accidentally or maliciously modified.Magerit 3. alteration. and completeness of an asset. cualitativa o cuantitativamente. and consequence of acts or events that could place sensitive information and assets as risk. Efecto de la incertidumbre sobre la consecución de los objetivos. bien porque se trata de tareas con un objetivo común. [UNE-ISO Guía 73:2010] NOTA 1 – En la terminología de la gestión del riesgo. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. [UNE-ISO Guía 73:2010] Integrity: Guarding against improper information modification or destruction. bien porque se trata de tareas que competen a una única unidad de acción. La agrupación se realiza por conveniencia. [CRAMM:2003] Integrity: Condition existing when an information system operates without unauthorized modification. impairment. [800-53:2009] Integrity: the authenticity. accuracy. or destruction of any of its components. [Magerit:1997] página 102 (de 127) Medida de seguridad Modelo de valor Plan de seguridad Probabilidad Proyecto de seguridad Riesgo © Ministerio de Hacienda y Administraciones Públicas . likelihood. [TDIR:2003] Véase salvaguarda. [CNSS:2003] [TDIR:2003] [CIAO:2000] Data integrity: The data quality that exists as long as accidental or malicious destruction. medida o determinada objetiva o subjetivamente. y descrita utilizando términos generales o de forma matemática [tales como una probabilidad o una frecuencia sobre un periodo de tiempo dado]. Probabilidad (likelihood) – Posibilidad de que un hecho se produzca. and includes ensuring information non-repudiation and authenticity. bien porque se trata de tareas que en singular carecerían de eficacia. Agrupación de tareas orientadas a tratar el riesgo del sistema. alteration. [CIAO:2000] Mapa de riesgos Informe: Relación de las amenazas a que están expuestos los activos. or loss of data does not occur. [UNEISO Guía 73:2010] Posibilidad de que se produzca un impacto determinado en un activo. Conjunto de proyectos de seguridad que permiten materializar las decisiones de gestión de riesgos. Informe: Caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos. [TDIR:2003] Threat Assessment: An evaluation of the nature. en un dominio o en toda la Organización. or destroyed. Threat Analysis: The examination of all actions and events that might adversely affect a system or operation. la palabra “probabilidad” se utiliza para indicar la posibilidad de que algún hecho se produzca.0 Aceptación del riesgo Glosario Decisión informada a favor de tomar un riesgo. technical. medidas ambas sobre activos de los que depende. the potential for any applicable threat to exploit a system vulnerability). [CRAMM:2003] Riesgo acumulado Dícese del calculado tomando en consideración el valor propio de un activo y el valor de los activos que depende de él. practices or organizational structures. implementing controls) [RiskIT-PG:2009] Riesgo potencial Riesgo repercutido Dícese del calculado tomando en consideración únicamente el valor propio de un activo. [UNEISO Guía 73:2010] Riesgo remanente en el sistema tras la implantación de las salvaguardas determinadas en el plan de seguridad de la información. Control: Medida que modifica un riesgo. Los riesgos del sistema de información en la hipótesis de que no hubieran salvaguardas presentes.g.e.0 Aceptación del riesgo Glosario Decisión informada a favor de tomar un riesgo. [TDIR:2003] Risk: A measure of the exposure to which a system or potential system may be subjected. [TDIR:2003] Procedimiento o mecanismo tecnológico que reduce el riesgo. Este valor se combina con la degradación causada por una amenaza y la frecuencia estimada de la misma. the likelihood that a threat occurrence will result in an adverse impact. [CESID:1997] Risk: A measure of the potential degree to which protected information is subject to loss through adversary exploitation. [Magerit:1997] Residual risk: Portion of risk remaining after security measures have been applied. [UNE-ISO Guía 73:2010] Control: Means of managing risks. [UNE-ISO Guía 73:2010] Probabilidad de que una vulnerabilidad propia de un sistema de información sea explotada por las amenazas a dicho sistema. including policies. which can be of administrative. [CNSS:2003] Risk: A combination of the likelihood that a threat will occur. guidelines. con el objetivo de penetrarlo. and the severity of the resulting adverse impact. Este valor se combina con la degradación causada por una amenaza y la frecuencia estimada de la misma. [TDIR:2003] Total risk: The potential for the occurrence of an adverse event if no mitigating action is taken (i. [OPSEC] página 103 (de 127) Salvaguarda © Ministerio de Hacienda y Administraciones Públicas .. procedures. [ISO/IEC 27000:2009] Countermeasure: Anything which effectively negates or mitigates an adversary's ability to exploit vulnerabilities. [UNE 71504:2008] Inherent risk – The risk level or exposure without taking into account the actions that management has taken or might take (e. [CNSS:2003] [CRAMM:2003] Residual Risk: The potential for the occurrence of an adverse event after adjusting for the impact of all in-place safeguards. [Magerit:2006] Riesgo que se da tras la aplicación de salvaguardas dispuestas en un escenario de simulación o en el mundo real. [OPSEC] Risk: Possibility that a particular threat will adversely impact an information system by exploiting a particular vulnerability. Reducing either the threat or the vulnerability reduces the risk. Riesgos potenciales. management or legal nature.Magerit 3. Riesgo residual Riesgo remanente en el sistema después del tratamiento del riesgo. [Reglamento (CE) n 460/2004 del Parlamento Europeo y del Consejo. areas. compartir. technique. or other measure that mitigates risk by reducing the vulnerability of. management constraints. threat to. presentar o transmitir. [CNSS:2003] Confianza en que los sistemas de información están libres y exentos de todo peligro o daño inaceptables. and devices. Information System Security: Protection of information systems against unauthorized access to or modification of information. así como los datos electrónicos almacenados. [CESID:1997] Information System: Set of information resources organized for the collection. processing or disseminating information. procesados. Conjunto organizado de recursos para que la información se pueda recoger. integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. or transmission of information. [Magerit:1997] Cualquier sistema o producto destinado a almacenar. de 10 de marzo de 2004. [CNSS:2003] Countermeasure: Any action. recuperados o transmitidos por los mismos para su operación.0 Aceptación del riesgo Glosario Decisión informada a favor de tomar un riesgo. use. disposition. transmisión y proceso de la información. display. [UNE-ISO Guía 73:2010] El proceso de selección e implantación de las medidas o salvaguardas papágina 104 (de 127) Seguridad de la información Sistema de información Tratamiento de riesgos © Ministerio de Hacienda y Administraciones Públicas . management constraints. that provides a way of acquiring. and counter such threats. including those measures necessary to detect. and security of physical structures. [CNSS:2003] Security safeguard: Protective measures and controls prescribed to meet the security requirements specified for an information system. dissemination. datos y personal que permiten el almacenamiento.e. distribuir. device. personnel security. con un determinado nivel de confianza. Information systems include applications and their supporting infrastructure.Magerit 3. or other measure that reduces the vulnerability of an information system. and devices. processing or transit. device. confidentiality. los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad. whether in storage. personnel security. protección y mantenimiento. [800-53:2009] Countermeasure: Action. usar. [UNE 71504:2008] Los ordenadores y redes de comunicaciones electrónicas. and against the denial of service to authorized users. procesar (tratar). [CNSS:2003] Information System: Any procedure or process. por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información]. [TDIR:2003] Seguridad La capacidad de las redes o de los sistemas de información de resistir. almacenar. integrity. technique.. procedure. document. mantener. storage. procesar o transmitir información. lógicos. sharing. procedure. and security of physical structures. autenticidad. processing. Safeguards may include security features. and availability) specified for an information system. [UNE 71504:2008] Conjunto de elementos físicos. Safeguards may include security features. areas. with or without IT support. or impact on a system. [CRAMM:2003] Proceso destinado a modificar el riesgo. uso. poner a disposición. [UNE-ISO Guía 73:2010] Safeguard: Protective measures prescribed to meet the security requirements (i. elementos de comunicación. storing. maintenance. [OPSEC] Vulnerability: Weakness in an information system. [UNE 71504:2008] Trazabilidad Aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento. Bienes de abolengo: Los heredados de los abuelos. [UNE-ISO Guía 73:2010] ra prevenir. or implementation that could be exploited. [CRAMM:2003] Valor Valor acumulado Vulnerabilidad © Ministerio de Hacienda y Administraciones Públicas página 105 (de 127) . Propiedades intrínsecas de que algo se produzca como resultado de una sensibilidad a una fuente de riesgo que puede conducir a un suceso con una consecuencia. internal controls. [ISO/IEC 7498-2:1989] Responsabilidad: Cualidad que permite que todas las acciones realizadas sobre un sistema de tecnología de la información sean asociadas de modo inequívoco a un individuo o entidad. consideradas bienes.Magerit 3. [Magerit:1997] Debilidad en la seguridad de un sistema de información. [UNE 71504:2008] Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad. Es una estimación del coste inducido por la materialización de una amenaza. system security procedures. or operation and management that could be exploited to violate the system's security policy.0 Aceptación del riesgo Glosario Decisión informada a favor de tomar un riesgo. [DRAE] Defecto o debilidad en el diseño. reducir o controlar los riesgos identificados. [DRAE] Considera tanto el valor propio de un activo como el valor de los activos que dependen de él. [CESID:1997] Accountability: Process of tracing information system activities to a responsible source. [CNSS:2003] De un activo. implementation. [RFC4949:2007] Estimación de la exposición efectiva de un activo a una amenaza. [UNE-ISO Guía 73:2010] A weakness in design. impedir. [Magerit:2006] Vulnerabilidad de un activo es la potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo. [RiskIT-PG:2009] A flaw or weakness in a system's design. Se determina por dos medidas: frecuencia de ocurrencia y degradación causada. [CNSS:2003] Vulnerability: A weakness or lack of controls that would allow or facilitate a threat actuation against a specific asset or target. implementación u operación de un sistema que habilita o facilita la materialización de una amenaza. implementation. por lo cual son estimables. [CESID:1997] Vulnerability: The susceptibility of information to exploitation by an adversary. Cualidad que poseen algunas realidades. operation or internal control. 0 Glosario A1. and Compliance Accountability Authenticity Availability Asset Business Impact Analysis Compliance Confidentiality Countermeasure Frequency Impact Information security Information security incident Information system Integrity Residual risk Risk Risk acceptance Risk analysis Risk assessment Risk management Risk map Risk treatment Safeguard Security Statement of applicability Traceability Threat Value Vulnerability Trazabilidad Autenticidad Disponibilidad Activo Análisis de impacto Cumplimiento Confidencialidad Contra medida Frecuencia Impacto Seguridad de la información Incidente de seguridad Sistema de información Integridad Riesgo residual Riesgo Aceptación de riesgos Análisis de riesgos Análisis de riesgos Gestión de riesgos Mapa de riesgo Tratamiento del riesgo Salvaguarda Seguridad Documento de selección de controles Trazabilidad Amenaza Valor Vulnerabilidad © Ministerio de Hacienda y Administraciones Públicas página 106 (de 127) .Magerit 3. Términos anglosajones Breve diccionario inglés-español de términos habituales en análisis y gestión de riesgos: Acrónimos ALE BIA Annual Loss Expectancy ARO Annual Rate of Occurrence Business Impact Analysis GRC Governance. Risk Management.2. de salud y seguridad. establecimiento del contexto. evaluación. © Ministerio de Hacienda y Administraciones Públicas página 107 (de 127) . de un producto. ISO – Gestión del riesgo La definiciones de ISO en lo que respecta a riesgos se recogen en la guía [ISO 73] Definiciones Riesgo Efecto de la incertidumbre sobre la consecución de los objetivos. de sus consecuencias o de su probabilidad. nivel de un proyecto. seguimiento y revisión del riesgo. — eliminar la fuente de riesgo. Tratamiento del riesgo Proceso destinado a modificar el riesgo. consulta. tratamiento. “prevención del riesgo” y “reducción del riesgo”. — aceptar o aumentar el riesgo con objeto de buscar una oportunidad. NOTA 3 – Con frecuencia. o a una combinación de ambos. respecto a lo previsto. — cambiar la probabilidad. NOTA 2 – Los objetivos pueden tener diferentes aspectos (tales como financieros. — cambiar las consecuencias.3. NOTA 1 – Un efecto es una desviación. decidiendo no iniciar o continuar con la actividad que motiva el riesgo. análisis. — compartir el riesgo con otra u otras partes [incluyendo los contratos y la financiación del riesgo]. procedimientos y prácticas de gestión a las actividades de comunicación. positiva y/o negativa. el riesgo se caracteriza por referencia a sucesos potenciales y a sus consecuencias. NOTA 3 – El tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes. Proceso de gestión del riesgo Aplicación sistemática de políticas. NOTA 4 – Con frecuencia. NOTA 1 – El tratamiento del riesgo puede implicar: — evitar el riesgo.Magerit 3. NOTA 5 – La incertidumbre es el estado. “eliminación del riesgo”. de deficiencia en la información relativa a la comprensión o al conocimiento de un suceso. NOTA 2 – Los tratamientos del riesgo que conducen a consecuencias negativas. de un proceso o de una organización completa). e identificación. Dueño del riesgo Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo. o ambientales) y se pueden aplicar a diferentes niveles (tales como nivel estratégico. el riesgo se expresa en términos de combinación de las consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su probabilidad. en ocasiones se citan como “mitigación del riesgo”. y — mantener el riesgo en base a una decisión informada.0 Glosario A1. incluso parcial. CESID Centro Superior de Información de la Defensa.htm EA-7 European Co-Operation for Accreditation. © Ministerio de Hacienda y Administraciones Públicas página 108 (de 127) . Accounting and Information Management Division. Vocabulario”. GAO United States General Accounting Office. “Glosario de Términos de Criptología”. DARPA 1601 “The Vulnerability Assessment and Mitigation Methodology”. February 2000.rae.. EBIOS “Méthode pour l’Expression des Besoins et l’Identification des Objectifs de Sécurité”. Mayo. Ministerio de Defensa. “Information Security Risk Assessment — GAO Practices of Leading Organizations. Ver [ISO 18045]. DRAE Real Academia Española. “IT Baseline Protection Manual”. Version 5. http://buscon. BSI Federal Office for Information Security (BSI). Referencias Arreglo 2000 “Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el campo de la Seguridad de las Tecnologías de la Información”. 1997. “Guidelines for the Accreditation of Bodies Operating Certification / Registration of Information Security Management Systems”. 2003. CRAMM “CCTA Risk Analysis and Management Method (CRAMM)”. 2000. Antón et al. 2001.0. CEM Common Evaluation Methodology. 22.ª edición. Instruction No. ISO 73 ISO Guide 73:2009. UNE-ISO Guía 73:2010. May 2003. “Gestión del riesgo. 2003. “Information processing systems — Open Systems Interconnection — Basic Reference Model — Part 2: Security Architecture”. Ver [ISO 15408]. http://www. “Practices for Securing Critical Information Assets”.Magerit 3. France. January 2000. “National Information Assurance (IA) Glossary“. 4009. CNSS Committee on National Security Systems.htm CC Comon Criteria.de/gshb/english/etc/index. 3ª edición. October 2003. CIAO Critical Infrastructure Assurance Office. Germany. ISO 7498-2 ISO 7498-2:1989.S. “Risk management — Vocabulary”. EA-7/03. RAND National Defense Research Institute.bsi. Diccionario de la Lengua Española. P.0 Glosario Apéndice 2. MR-1601-DARPA. Service Central de la Sécurité des Systèmes d'Information.es/diccionario/drae. UNE-ISO 31000:2010.Magerit 3. “Information technology — Security techniques — Information security risk management”. ISO 18045 ISO/IEC 18045:2008. “Risk management — Risk assessment techniques”. UNE-ISO/IEC 31010:2010. “Information technology — Security techniques — Methodology for IT security evaluation”. ISO 31000 ISO 31000:2009. “Corporate governance of information technology”. “Tecnología de la Información. “Information technology — Security techniques — Code of practice for information security management”. “Gestión del riesgo. © Ministerio de Hacienda y Administraciones Públicas página 109 (de 127) . Principios y directrices”. Magerit:2006 Ministerio de Hacienda y Administraciones Públicas. ISO 38500 ISO/IEC 38500:2008. Sistemas de Gestión de la Seguridad de la Información (SGSI). “Gestión del riesgo. Magerit:1997 Ministerio de Hacienda y Administraciones Públicas. ISO 27000 ISO/IEC 27000:2009. “Engineering Principles for Information Technology Security (A Baseline for Achieving Security)”. “Information technology — Security techniques — Evaluation criteria for IT security”. SP 800-27 Rev. “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información . ISO 27005 ISO/IEC 27005:2011.Versión 1”.2. “Information technology — Security techniques — A framework for IT security assurance -. ISO 31010 ISO/IEC 31010:2009. “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información – Versión 2”. 1991. June 2004. Técnicas de apreciación del riesgo”. A. “Tecnología de la información. version 1. ISO 27001 ISO/IEC 27001:2005. Requisitos” ISO 27002 ISO/IEC 27002:2005. “Information Technology Security Evaluation Criteria”. UNE-ISO/IEC 27002:2009. “Information technology — Security techniques — Information security management systems — Requirements” UNE-ISO/IEC 27001:2007. ISO 15443-1 ISO/IEC TR 15443-1:2005.0 Glosario ISO 15408 ISO/IEC 15408:2009. 1997. “Information technology — Security techniques — Information security management systems — Overview and vocabulary”. ITSEC European Commission. “Information technology — Security techniques — Selection. deployment and operations of intrusion detection systems”. Técnicas de seguridad.Part 1: Overview and framework”. NIST 800-27 NIST. “Risk management — Principles and guidelines”. 2006. ISO 18043 ISO/IEC 18043:2006. Código de Buenas Prácticas de la Gestión de la Seguridad de la Información”. por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999.3. Ediciones CODA.I. 1998. de 21 de diciembre. 1997. Centro Nacional de Inteligencia. RD 1720/2007 Real Decreto 1720/2007. “Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach”. “Risk Management Guide for Information Technology Systems”. RD 3/2010 Real Decreto 3/2010. 2001) PILAR “Procedimiento Informático-Lógico para el Análisis de Riesgos”. © Ministerio de Hacienda y Administraciones Públicas página 110 (de 127) .gov/docs/definitions. RIS2K Soporte de Magerit v1. The OCTAVE Approach”.Magerit 3. http://www. Aug. National Institute of Standards and Technology. 2009. 2003. “Glosario de Términos de Seguridad de las T. “The Risk IT Practitioner Guide”. por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.html Peltier 2001 T. RiskIt-PG ISACA. 4014. Mar.2. SP 800-30. NIST 800-64 NIST. 2009. España. “DRAFT Guide for Conducting Risk Assessments”. Centro Criptológico Nacional. Auerbach Pub. 2Jul. SP 800-39. 2010 NIST 800-39 NIST. Ministerio de Hacienda y Administraciones Públicas. NSTISSC Secretariat. de 13 de diciembre. Ribagorda A. “The Risk IT Framework”. Ministerio de Presidencia. NISR. 2009. OCDE Directrices de la ocde para la seguridad de sistemas y redes de información : hacia una cultura de seguridad. 2011. de protección de datos de carácter personal. special publication SP 800-53 Rev.1. “Recommended Security Controls for Federal Information Systems”. Mission. OPSEC OPSEC Glossary of Terms.R. Addison Wesley.1.0. and Information System View”. de 8 de enero.0 Glosario NIST 800-30 NIST. 1st edition (January 23. Peltier. Feb. Alberts and A. Oct. 2004 Octave C.”. NSTISSI no. “Security Considerations in the Information System Development Life Cycle”. España. Ribagorda. SP 800-30 Rev. 2011 NIST 800-53 NIST. 002. NIST 800-37 NIST. 2008.ioss. SP 800-37 Rev. “Managing Information Security Risk: Organization. “Managing information Security Risks. Dorofee. Sept. “Information Security Risk Analysis”. “Index of National Security Telecommunications Information Systems Security Issuances”. RiskIt-F ISACA. NSTISS National Security Telecommunications and Information Systems Security Committee. SP 800-64 Rev. TDIR:2003 Texas Department of Information Resources. Dec. “Practices for Protecting Information Resources Assets“. Revised September 2003. “Metodología de análisis y gestión de riesgos para los sistemas de información”. UNE 71504 UNE 71504:2008. DOD 5200.0 Glosario TCSEC Department of Defense. © Ministerio de Hacienda y Administraciones Públicas página 111 (de 127) . 1985. “Trusted Computer System Evaluation Criteria”.28-STD.Magerit 3. . de 19 de diciembre. BOE de 29 de enero de 2010. por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. Real Decreto 1720/2007. Se han incluido algunas referencias a acuerdos de carácter político o de otra naturaleza a los cuales conviene también prestar atención. © Ministerio de Hacienda y Administraciones Públicas página 112 (de 127) . Marco legal En este apéndice se apunta cierta normativa legal. Real Decreto 1317/2001. A3. relevante al caso del análisis y gestión de riesgos. Ley 66/1997. de 13 de diciembre. informáticos y telemáticos. Corrección de errores del Real Decreto 3/2010. de 5 de abril sobre Secretos Oficiales. de 21 de diciembre. de Medidas Fiscales. A3. de acceso electrónico de los ciudadanos a los Servicios Públicos.0 Marco legal Apéndice 3. de 20 de Febrero. que modifica la Ley 9/1968. bien por exigirlo. Firma electrónica • • • Ley 59/2003. por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. por el que se desarrollan las disposiciones de la Ley 9/1968. de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. sobre secretos oficiales. de 8 de enero. Por ejemplo. de 30 de noviembre. Real Decreto 4/2010. amén de estar sujeta a un proceso legislativo activo. por el que se desarrolla el artículo 81 de la Ley 66/1997. las Guías de la OCDE. en las comunicaciones a través de técnicas y medios electrónicos. de 5 de abril. nacional e internacional.1. por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999. BOE de 29 de enero 2010. por lo que es obligación del responsable prestar atención a las novedades que vayan apareciendo. bien por sustentarlo. de 5 de abril.Magerit 3. Administrativas y del Orden Social. de 30 de diciembre. de 8 de enero.4. de 30 de diciembre. de firma electrónica. de Protección de Datos de Carácter Personal. La relación no pretende ser exhaustiva. art. 81. Administrativas y del Orden Social. de 26 de noviembre. Seguridad en el ámbito de la Administración electrónica • • • • Ley 30/1992. Decreto 242/1969. Ley 48/1978. Ley 11/2007.2. por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. de 13 de diciembre. Real Decreto 3/2010. en materia de prestación de servicios de seguridad por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda. de protección de datos de carácter personal. Ley Orgánica 15/1999. BOE de 11 de marzo de 2010. de 22 de junio. con las Administraciones Públicas. de Medidas Fiscales. • A3.3. sobre Secretos Oficiales. A3. bien por ser de utilidad en el Proceso de Gestión de Riesgos. de 8 de enero. LRJ-PAC. de 7 de octubre. Información clasificada • • • Ley 9/1968. Protección de datos de carácter personal • • LOPD. procesada o transmitida por sistemas de información y telecomunicaciones.5.Hacia una cultura de seguridad © Ministerio de Hacienda y Administraciones Públicas página 113 (de 127) . LEY 11/2002. de 6 de mayo. reguladora del Centro Nacional de Inteligencia. de 18 de abril. CECA. Seguridad de las redes y de la información • • COM(2001)298 final -. por la que se adoptan las normas de seguridad del Consejo (2001/264/EC) Decisión de la Comisión de 29 de noviembre de 2001.Seguridad de las redes y de la información: Propuesta para un enfoque político europeo OCDE: Directrices para la seguridad de los sistemas y redes de información . por la que se establece la política de seguridad para la protección de la información del Ministerio de Defensa almacenada.0 • Marco legal Orden Ministerial número 76/2002. Euratom) • • • • A3.Magerit 3. por el que se regula el Centro Criptológico Nacional. por la que se modifica su Reglamento interno (2001/844/CE. Decisión del Consejo de 19 de marzo de 2001. Real Decreto 421/2004. de 12 de marzo. Esto incluye analizar la situación de la Organización: dónde estamos y dónde queremos estar. C – Check – Se evalúan los resultados obtenidos para determinar en qué medida se han alcanzado los objetivos propuestos. se entiende por “sistema de gestión de la seguridad de la información” (SGSI) la parte relacionada con la seguridad de la información. Sistemas de gestión de la seguridad de la información (SGSI) Se define “sistema de gestión” como lo que la Organización hace para gestionar sus procesos o actividades. Es habitual entender que los sistemas de gestión deben ajustarse al llamado ciclo de Denning (PDCA). se actualizan los planes y su implantación. Ciclo PDCA La planificación (P de Plan) debe incluir una política de seguridad que marque objetivos y un análisis de riesgos que modele el valor del sistema. típicamente • • satisfacer la calidad demandada por los clientes cumplir con las obligaciones legales. La acción (D de Do) es la ejecución del plan. Es natural que con estas bases se genere un plan de seguridad razonado para la gestión de riesgos. © Ministerio de Hacienda y Administraciones Públicas página 114 (de 127) . de forma que los productos que fabrica o los servicios que presta satisfagan los objetivos que la propia organización de ha marcado. y lo que se tiene (o se necesita) para mantener el riesgo bajo control. su exposición a amenazas.0 Evaluación y certificación Apéndice 4. Marco de evaluación y certificación La complejidad de los sistemas de información conlleva un gran esfuerzo para determinar la calidad de las medidas de seguridad de que se ha dotado y la confianza que merecen. juicios que se emiten tras una evaluación rigurosa y que se plasman en un documento reconocido.1. A4. la forma de organizarse para alcanzar la certificación y el marco administrativo y normativo en el que se desarrolla la actividad.Magerit 3. Plan planificación planificación Act mantenimiento mantenimiento y mejora y mejora Check monitorización monitorización y evaluación y evaluación Do implementación implementación y operación y operación Ilustración 22. habitual en sistemas de gestión de la calidad: P – Plan – Se establecen objetivos y se preparan planes para alcanzarlos. A – Act – A fin de estar cada día mejor (mejora continua). En este capítulo se repasan someramente dos marcos en los que se ha formalizado el proceso de evaluación y certificación (o registro): • • en los sistemas de gestión de la seguridad de la información en los productos de seguridad Para cada uno de estos marcos se indica su oportunidad. involucrando a las personas que se hacen cargo del sistema o están relacionadas con éste. Un plan tiene éxito cuando lleva a una operación diaria sin sorpresas. D – Do – Se ejecutan los planes. en sus aspectos técnicos y de organización. Es frecuente la aparición de terceras partes que de forma independiente emiten juicios sobre dichos aspectos. regulatorias y contractuales Dentro del sistema de gestión de una Organización. Antes de que venga el equipo evaluador. es conocido por los involucrados y se mantiene al día.1. La reacción (A de Act) es saber derivar consecuencias de la experiencia. Actualmente es raro encontrar una organización cerrada desde el punto de vista de sus sistemas de información: la externalización de servicios. Es típico de organizaciones inmaduras que las actividades se realizan siguiendo normas y procedimientos que se sobreentienden o están en la cabeza de las personas. El que certifica compromete en ello su palabra (por escrito). la administración electrónica y el comercio electrónico han diluido las fronteras. En el caso que nos ocupa. La certificación Certificar un sistema de gestión de la seguridad consiste en que alguien. valorándolos. el organigrama interno rara vez responde a las responsabilidades en seguridad. ni todo el mundo adopta la misma estrategia para protegerse. A menudo la política de seguridad incluye la relación de la legislación que afecta. Y bien escrito: se entiende. Con todas las cautelas de alcance y tiempo que se consideren oportunas (y se recojan explícitamente). propia y de sistemas similares. tanto en cuanto a modificaciones del propio sistema de información. escrito y mantenido es la política de seguridad corporativa. Y hay que atender a las novedades que se produzcan. ni valen lo mismo. Un proceso de certificación siempre tiene un fuerte componente de revisión de documentación. Es decir. Por otra parte. Esta es una delimitación propia de cada Organización. Lo siguiente que hay que tener claro. A partir de este conocimiento podemos tomar decisiones de tratamiento y ejecutarlas.0 Evaluación y certificación La monitorización (C de Check) de la operación del sistema parte del hecho de que no se puede confiar ciegamente en la eficacia de las medidas. Si el perímetro es difuso no quedará claro qué hay que hacer en los pasos siguientes. Sin entrar en excesivo detalle nos centraremos en qué evalúa el equipo que envía el organismo de certificación a juzgar a la Organización. afirma que ha auditado el sistema y lo considera ajustado a la norma correspondiente. A4. Cada caso es un mundo aparte: ni todo el mundo tiene los mismos activos. Por hacer o dejar de hacer un análisis de riesgos no se está ni más ni menos seguro: simplemente. que hay que hacer un análisis de riesgos identificando activos. identificando y valorando las amenazas significativas. A veces se habla del “coste de la inseguridad” como justificación de que el gasto de dinero y esfuerzo tiene fundamento. ni están igualmente interconectados. Y sabiendo que lo que se asegura hoy. no se sabrá muy bien a qué personas y departamentos hay que dirigirse para reclamar la información pertinente. Lo primero que hay que hacer es delimitar el alcance de lo que se va a evaluar como “Sistema de Gestión de la Seguridad de la Información”. Para obtener un certificado hay que seguir una serie de formalismos. sino que continuamente hay que evaluar si responden a lo esperado con la eficacia deseada. Es importante delimitar con claridad. que refleja su misión y su organización interna. Nótese que un sistema de gestión maduro debe estar documentado en todos sus aspectos. en particular.1. externo a la Organización y acreditado para la tarea. hay que revisarlo a medio plazo pues todo evoluciona. como a nuevas amenazas. El análisis de riesgos es una herramienta (imprescindible) de gestión. Nótese que esto puede no ser evidente. hay que tener una foto del estado de riesgo de la Organización. se divulga. La evaluación de un sistema de gestión de la seguridad parte del supuesto de que el esquema anterior vertebra las actuaciones de la Organización en materia de seguridad. Todo debe estar escrito. En este proceso se determina qué salvaguardas requiere el sistema y con qué calidad. ni todo el mundo está sujeto a las mismas amenazas. repitiendo el ciclo PDCA. © Ministerio de Hacienda y Administraciones Públicas página 115 (de 127) . la norma es la UNE-ISO/IEC 27001:2007. Sólo cuando todo figura por escrito podemos hablar de un sistema de gestión que puede ser objeto de una certificación. es coherente. y juzga la eficacia de los controles implantados para alcanzar asegurarnos de que se alcanzan los objetivos propuestos. Es absolutamente necesario delimitar el marco legislativo y regulatorio al que hay que atenerse.Magerit 3. se sabe dónde se está. Hay que medir tanto lo que ocurre como lo que ocurriría si no se hubieran tomado medidas. El equipo evaluador inspecciona el sistema de información que se desea certificar contrastándolo con una referencia reconocida que permita objetivar la evaluación a fin de evitar cualquier tipo de arbitrariedad o subjetividad y permitir la utilización universal de las certificaciones emitidas. La norma 27001 tiene por objeto la especificación de “los requisitos para establecer.1. Acreditación Procedimiento mediante el cual un Organismo autorizado reconoce formalmente que una organización es competente para la realización de una determinada actividad de evaluación de la conformidad. and producing the desired outcome with respect to meeting the security requirements for the system. documentar y evaluar un Sistema de Gestión de la Seguridad de la Información con independencia de su tipo. de quedar satisfecho. Un segundo componente es la credibilidad de la organización que emite los certificados. Certification: A comprehensive assessment of the management. Esta organización es responsable de la competencia del equipo evaluador y de la ejecución del proceso de evaluación. Certificación El objetivo de la certificación es “declarar públicamente que un producto. Auditoría Ver “evaluación”. made in support of security accreditation. que se acoge a la normativa internacional de reconocimiento mutuo de certificados emitidos por diferentes certificadores en diferentes países.1. Todo esto deberá ser verificado por el equipo evaluador que. © Ministerio de Hacienda y Administraciones Públicas página 116 (de 127) . [NIST 800-37] Documento de certificación (o registro) Documento que afirma que el sistema de gestión de la seguridad de la información (SGSI) de una organización es conforme a la normativa de referencia adaptada a la singularidad de la organización certificada. En España. Terminología Se recogen a continuación los términos usados en las actividades de certificación de sistemas de información. Se utiliza un “esquema de certificación” (en el caso que nos ocupa. Para certificar que estas responsabilidades se cumplen se procede al llamado “proceso de acreditación” donde una nueva organización evalúa al evaluador.2. implantar. A4. proceso o servicio es conforme con requisitos establecidos” . operating as intended. La acreditación de la entidad certificadora La credibilidad del certificado es la confianza que merezca el certificador.Magerit 3. and technical security controls in an information system. Documento de selección de controles Documento que describe los objetivos de control y los controles relevantes y aplicables al Sistema de Gestión de la Seguridad de la Información de la organización. Éste documento debe estar basado en los resultados y conclusiones del proceso de análisis y gestión de riesgos. operational. la organización encargada de acreditar organismos certificadores es ENAC. to determine the extent to which the controls are implemented correctly.3.0 Evaluación y certificación Los resultados del análisis de riesgos permiten justificar las decisiones de tratamiento del riesgo.” A4. tamaño o área de actividad. tal y como se entienden en este contexto. ¿Cómo se construye esta confianza? Un componente esencial es la credibilidad del esquema de certificación. la norma UNE-ISO/IEC 27001:2007). avalará la concesión del certificado. ya sean del sector reglamentario o del voluntario.2. certifica (o registra) la satisfacción por la organización de los requisitos establecidos en el esquema de certificación. procedimientos. guías. capturan la naturaleza cambiante de las tecnologías de la información que. publica el llamado “Libro Naranja” (TCSEC – Trusted Computer System Evaluation Criteria). A mediados de los años 90. de forma que no haya malentendidos sino un esquema transparente de evaluación. — la definición y asignación de responsabilidades. establece. Los CC permiten © Ministerio de Hacienda y Administraciones Públicas página 117 (de 127) . en el periodo desde 1980. incluyendo la información considerada como sensible. monitoriza. basado en los riesgos para el negocio.0 Evaluación y certificación Esquema de certificación Marco técnico y administrativo que establece la referencia de trabajo frente a la que se contrasta el cumplimiento de la organización sometida a evaluación. garantizando la objetividad de las adquisiciones. revisión de la documentación. son gestionados. a englobar sistemas de información mucho más complejos. implementa. A4. Sistema de gestión Conjunto de recursos que utiliza una organización para alcanzar sus. si procede. Sistema de gestión de la seguridad de la información Parte del sistema de gestión que. Los CC. — la planificación de actividades. Evaluación Conjunto de actividades que permiten determinar si la organización satisface los criterios aplicables dentro del esquema de certificación. La misma necesidad lleva a la aparición de iniciativas europeas como ITSEC (Information Technology Security Evaluation Criteria). en 1983. Criterios comunes de evaluación (CC) La necesidad de evaluar la seguridad de un sistema de información aparece muy temprano de la mano de los procesos de adquisición de equipos del Departamento de Defensa de los EEUU que. opera. Política de seguridad Conjunto de normas reguladoras. además de la necesidad de un entendimiento universal.Magerit 3. existe en el mundo una proliferación de criterios de evaluación que dificulta enormemente el comercio internacional. llegándose a un acuerdo de convergencia que recibe el nombre de “Common Criteria for Information Technology Security Evaluation”. Organismos de evaluación de la conformidad Son los encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. El sistema de gestión incluye aspectos tan diversos como — la estructura organizativa. instrucciones. — la documentación: política(s). se emite el certificado o registro y se mantiene actualizado y válido. Incluye actividades preparatorias. inspección del sistema de información y la preparación de la documentación pertinente para la emisión del certificado de conformidad. han pasado de estar centradas en los equipos de computación. etc. reglas y prácticas que determinan el modo en que los activos. normalmente conocidos como “Criterios Comunes” o por sus siglas. CC. mantiene y mejora la seguridad de la información. normativa. a la vista del informe de evaluación. revisa. El objetivo es especificar sin ambigüedad qué se necesita por parte del comprador y qué se ofrece por parte del vendedor. Organismo de certificación (o registro) Entidad que. protegidos y distribuidos dentro de una organización. Dado que [la calidad de] la seguridad requerida de un sistema no es siempre la misma. entre cuyas funciones aparece la de “constituir el organismo de certificación del esquema nacional de evaluación y certificación de la seguridad de las tecnologías de información. Suecia. Austria. Nueva Zelanda.ccn. rigurosa pero no siempre intuitiva. 36 El día 23 de mayo de 2000 tuvo lugar en Baltimore (Maryland. construir la confianza en que los resultados de un proceso de certificación son válidos universalmente. Singapur e India. Noruega. Para certificar es necesario disponer de 1. Italia. definir las funciones de seguridad 35 de los productos y sistemas (en tecnologías de la información) y 2. Finlandia.Magerit 3. Proceso de certificación De esta forma se puede garantizar la objetividad del proceso. es decir. sino que depende de para qué se quiera emplear.es/csi/pg3433. Más adelante se recoge la definición precisa de cada término en el contexto de los CC. España. que marque cómo se lleva a cabo la evaluación 3. Canadá.oc.” El esquema nacional puede encontrarse en http://www.htm. reconocen las certificaciones de seguridad emitidas en otros países en base al “Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el Campo de la Tecnología de la Información” 36 .cni. ni por el usuario) de forma que la elección de salvaguardas adecuadas se vea notablemente simplificada para las organizaciones que necesitan mitigar sus riesgos. Posteriormente. que definen el significado de los elementos que se van a evaluar 2. Estados Unidos.csi. unos criterios. se han incorporado Israel. Corea. determinar los criterios para evaluar [la calidad] de dichas funciones. Es esencial la posibilidad que los CC abren para que la evaluación sea objetiva y pueda realizarse por una tercera parte (ni por el proveedor. 37 El Real Decreto 421/2004 de 12 de marzo. y otras muchas.map. Véase http://www. al Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el campo de la Seguridad de la Tecnología de la Información (en lo sucesivo Arreglo). Japón. CC establece una escala de niveles de aseguramiento 38 : EAL0: sin garantías EAL1: probado funcionalmente 35 En CC se emplea una terminología propia. Países Bajos y Reino Unido. un esquema de certificación 37 que fije el marco administrativo y regulatorio bajo el que se realiza la certificación Ilustración 23. regula las funciones del Centro Criptológico Nacional. 38 EAL: Evaluation Assurance Level © Ministerio de Hacienda y Administraciones Públicas página 118 (de 127) . Australia.es/ . una metodología. de aplicación a productos y sistemas en su ámbito. Turquía. La evaluación de un sistema es la base para su certificación. República Checa. independientemente de dónde se realice la certificación. Francia. Hungría. Grecia.0 Evaluación y certificación 1. Estados Unidos) la ratificación de la adhesión de Alemania. La administración española. lo que permite engarzar con las ventajas citadas. en el ámbito de la firma electrónica. un producto evaluado EAL4+ significa que cumple todos los niveles de calidad del nivel 4 y algunos de niveles superiores. Cuando un análisis de riesgos expone la relación de salvaguardas adecuadas. Requisitos de seguridad Dado un sistema se pueden determinar. Por ejemplo. A4.2. los dispositivos seguros de firma suelen certificarse contra un perfil de nivel EAL4+ 39 . que es el servicio o producto (de seguridad) cuyas características (de seguridad) se quieren evaluar. © Ministerio de Hacienda y Administraciones Públicas página 119 (de 127) .2. convirtiéndose en una especificación normalizada. ofreciendo a cambio unas grandes garantías a los usuarios.2. Este análisis puede hacerse sobre un sistema genérico o sobre un sistema concreto. qué salvaguardas se requieren y con qué calidad. qué requieren los usuarios que pueden expresar sin ambigüedad lo que hacen sus desarrollos Para los evaluadores • que disponen de un marco formalizado para saber qué tienen que evaluar y cómo tienen que calificarlo Para todo el mundo • que dispone de unos criterios objetivos que permiten aceptar las certificaciones realizadas en cualquier parte Todos estos participantes convergen sobre un objeto a evaluar denominado TOE (Target Of Evaluation). Un lenguaje común entre todos ellos se traduce en ventajas apreciables: Para los consumidores • que pueden expresar sus necesidades. a través de un análisis de riesgos. probado y verificado formalmente Evaluación y certificación Los niveles superiores requieren un mayor esfuerzo de desarrollo y de evaluación. objetivamente.Magerit 3. los desarrolladores y los evaluadores. Así. como en la identificación de necesidades de grupos de usuarios • • que pueden analizar las características de los servicios o productos que ofrece el mercado que pueden comparar diferentes ofertas Para los desarrolladores • que saben qué se les va a exigir y cómo se van a evaluar sus desarrollos • • que saben. probado y revisado metódicamente EAL5: diseñado y probado semi-formalmente EAL6: diseñado. estas pueden venir expresadas en terminología CC.0 EAL2: probado estructuralmente EAL3: probado y chequeado metódicamente EAL4: diseñado. Beneficiarios Los CC se dirigen a una amplia audiencia de potenciales beneficiarios de la formalización de los conceptos y elementos de evaluación: los consumidores (usuarios de productos de seguridad).1. probado y verificado semi-formalmente EAL7: diseñado. el conjunto de requisitos que se le exigen a un sistema genérico se de39 Cuando un producto está entre dos niveles. se indica su nivel inferior seguido de un signo “+” que se lee como “aumentado”. En CC. A4. esta caracterización puede resultar útil tanto en adquisiciones individuales. antes de adquirir los servicios o productos que las satisfagan. el conjunto de requisitos se conoce como declaración de seguridad (ST – Security Target). 41 Un ejemplo típico de ST podría ser aquel que fija las características de seguridad del modelo 3000 del fabricante XXL S.Magerit 3. un modelo que permite cifrar las comunicaciones telefónicas.perfil de protección Introduction — TOE description — Security environment • assumptions • threats • organizational security policies — Security objectives • for the TOE • for the environment — Security requirements • for the environment • TOE functional requirements • TOE assurance requirements — Application notes — Rationale — — ST – declaración de seguridad Introduction — TOE description — Security environment • assumptions • threats • organizational security policies — Security objectives • for the TOE • for the environment — Security requirements • for the environment • TOE functional requirements • TOE assurance requirements — TOE summary specification — PP claims • PP reference • PP tailoring • PP additions — Rationale Tabla 11. En la terminología de CC. © Ministerio de Hacienda y Administraciones Públicas página 120 (de 127) . habiendo determinado el dominio del análisis (el TOE en terminología de CC). CC determina los apartados en que debe estructurarse un PP o un ST. identifica amenazas y determina.2. a través de los indicadores de impacto y riesgo. las salvaguardas requeridas se denominan requisitos d e seguridad y se subdividen en dos grandes grupos 40 Un ejemplo típico de PP podría ser aquel que fija las características de seguridad que se deben exigir a un cortafuegos. las salvaguardas que se requieren. Suelen ser preparados por los propios fabricantes que de esta manera formalizan su oferta 41 . dado su carácter específico. Suelen ser preparados por grupos de usuarios u organismos internacionales que quieren modelar el mercado 40 . cubren diferentes productos concretos. Los PP así evaluados pueden pasar a registros públicos para ser compartidos por diferentes usuarios.. Los ST. En la elaboración de un ST se hace referencia a los PP a los que se acoge.0 Evaluación y certificación nomina perfil de protec ción (PP – Protection Profile). dado su carácter genérico. A4. cubren un producto concreto. El índice de estos documentos es un buen indicador de su alcance: PP.3. Perfiles de protección y Declaraciones de seguridad Los PP y los ST pueden ser a su vez sometidos a una evaluación formal que verifique su completitud e integridad. Creación de perfiles de protección La generación de un PP o un ST es básicamente un proceso de análisis de riesgos donde el analista. sino de un sistema concreto. Los PP.A. Si no se está hablando de un sistema genérico. según convenga en cada caso. instalarlo y operarlo en las condiciones adecuadas. No se hace sino reconocer que el mejor producto. seleccionar un conjunto apropiado a nuestro mapa de riesgos. La norma CC nos proporciona en su parte 2 el catálogo estandarizado de objetivos funcionales. en ocasiones. los productos certificados son componentes muy sólidos de un sistema. En la medida en que un producto certificado se ajusta a un PP o ST que satisface nuestras necesidades. Uso de productos certificados Cuando un TOE ha sido certificado de acuerdo a un PP o un ST. Por ello.2.0 requisitos funcionales de seguridad (functional requirements) • • Evaluación y certificación ¿qué hay que hacer? definen el comportamiento funcional del TOE ¿está el TOE bien construido? ¿es eficaz? ¿satisface el objetivo para el que se requiere? ¿es eficiente? ¿alcanza sus objetivos con un consumo razonable de recursos? requisitos de garantía de la funcionalidad de la seguridad (assurance requirements) • • • Es importante destacar que CC establece un lenguaje común para expresar los objetivos funcionales y de aseguramiento. pero además hay que garantizar su entorno para asegurar el sistema completo. EAL4). Requisitos funcionales y de aseguramiento de la función A4. La certificación de un sistema o producto no es garantía ciega de idoneidad: es necesario cerciorarse de que el PP o ST respecto del que se han certificado satisface los requisitos de nuestro sistema. la gestión de riesgos se reduce a adquirir el producto.Magerit 3. es incapaz de garantizar la satisfacción de los objetivos globales. El análisis de riesgos nos ha permitido elaborar el PP o el ST o. Parte 2: Requisitos funcionales FAU: Security audit FCO: Communication FCS: Cryptographic support FDP: User data protection FIA: Identification and authentication FMT: Security management FPR: Privacy FPT: Protection of the TOE security functions FRU: Resource utilisation FTA: TOE access FTP: Trusted path / channels Parte 3: Requisitos de garantía ACM: Configuration management ADO: Delivery and operation ADV: Development AGD: Guidance documents ALC: Life cycle support ATE: Tests AVA: Vulnerability assessment APE: PP evaluation ASE: ST evaluation Tabla 12. Pero lo esencial es que de análisis de riesgos se han obtenido unos requisitos de seguridad cuya satisfacción permitirá mantener impacto y riesgo residuales bajo control.4. Es importante destacar que tanto los PP como los ST incluyen una sección denominada “hipótesis” (assumptions) en la que se establecen una serie de prerrequisitos que debe satisfacer el entorno operacional en el que se instala TOE. mientras que en su parte 3 nos proporciona el catálogo estandarizado de objetivos de aseguramiento. © Ministerio de Hacienda y Administraciones Públicas página 121 (de 127) . Es necesario pues que el análisis de riesgos utilice esta terminología en la selección de salvaguardas. inadecuadamente instalado u operado. se puede tener la certeza de que dicho TOE satisface las necesidades y además las satisface con la calidad requerida (por ejemplo. 0 Evaluación y certificación A4. Formal Expresado en un lenguaje de sintaxis restringida con una semántica definida basada en conceptos matemáticos bien establecidos. En el texto previo se han venido introduciendo los términos según se necesitaban. Security objective (objetivo de seguridad) Declaración de la intención de contrarrestar las amenazas identificadas y/o de cumplir las políticas e hipótesis de seguridad identificadas de la organización. Evaluation (evaluación) Valoración de un PP. los criterios comunes deben ser muy precisos en su terminología. ST o TOE frente a criterios definidos. Organisational security policies (Políticas de seguridad organizativas ) Una o más reglas de seguridad.Magerit 3. Semiformal Expresado en un lenguaje de sintaxis restringida con semántica definida. Protection Profile (PP) (perfil de protección) Conjunto de requisitos de seguridad.2. Evaluation authority (autoridad de evaluación) Organismo que implementa los CC para una comunidad específica mediante un esquema de evaluación por el que se establecen las normas y se supervisa la calidad de las evaluaciones realizadas por organismos de dicha comunidad.5. firmware y/o hardware de TI que proporciona una funcionalidad diseñado para su uso o su incorporación en una gran variedad de sistemas. System (sistema) Instalación específica de TI. estos términos se recogen formalmente a continuación: Assurance (garantía) Base de la confianza en que una entidad cumple sus objetivos de seguridad. para una categoría de TOEs que satisfacen unas necesidades específicas del consumidor. © Ministerio de Hacienda y Administraciones Públicas página 122 (de 127) . con un propósito y en un entorno particulares. Target of Evaluation (TOE) (objeto a evaluar) Producto o sistema de TI y sus manuales de administrador y de usuario asociados que se somete a evaluación. procedimientos. independiente de la implementación. Evaluation scheme (esquema de evaluación) Marco administrativo y regulador bajo el que una autoridad de evaluación aplica los CC en una comunidad específica. Product (producto) Paquete de software. prácticas o directrices impuestas por una organización sobre sus operaciones. Terminología Debido a que su objetivo es servir de referencia internacional y sustentar evaluaciones y certificaciones. Evaluation Assurance Level (EAL) (nivel de garantía de evaluación) Paquete que consiste en componentes de garantía de la Parte 3 y que representa un nivel en la escala de garantía predefinida de CC. Security Target (ST) (declaración de seguridad) Conjunto de requisitos de seguridad y especificaciones utilizados como base de la evaluación de un TOE identificado. Informal Expresado en lenguaje natural. protegen y distribuyen los activos en el TOE. © Ministerio de Hacienda y Administraciones Públicas página 123 (de 127) . firmware y software del TOE con el que hay que contar para la correcta aplicación de la TSP. TOE Security Policy (TSP) (política de seguridad del TOE) Conjunto de reglas que regulan cómo se gestionan.0 Evaluación y certificación TOE Security Functions (TSF) (funciones de seguridad del TOE) Conjunto compuesto de todo el hardware.Magerit 3. Manejar un catálogo razonablemente completo de dimensiones de valoración. con capacidad de entrar en un modelo cuantitativo para aquellos componentes cuya protección va a requerir fuertes desembolsos. Los modelos cualitativos son eficaces relativizando lo más importante de lo que no es tan importante. En esta línea se orienta el capítulo 4 del "Catálogo de Elementos". Análisis de Riesgos y no ocultar al analista el razonamiento que lleva a las conclusiones. por el contrario. Es notablemente más dificultoso generar un modelo de valor desde cero que ir adaptando un modelo existente a la evolución de los activos del sistema y a la evolución de los servicios que presta la Organización. También es cierto que el modelo de valor de una Organización debe emplearse durante largo tiempo. Las herramientas pueden hacer un tratamiento cualitativo o cuantitativo de la información. Los modelos cualitativos ofrecen resultados útiles antes que los modelos cuantitativos. mientras que el número de salvaguardas está en los millares. En esta línea se orienta el capítulo 3 del "Catálogo de Elementos". Los modelos cuantitativos. En esta línea se orienta el capítulo 2 del "Catálogo de Elementos". Todo ello nos indica que hay que manejar multitud de datos y combinaciones entre ellos. simplemente porque la captura de datos cualitativa es más ágil que la cuantitativa 42 . Manejar un catálogo razonablemente completo de amenazas. amenazas y salvaguardas. El número de amenazas típicamente está del orden de las decenas. pero la experiencia permite ir ajustando las valoraciones a la realidad. Como requisitos generales. especialmente como soporte al proceso P2. Una opción mixta es útil: un modelo cualitativo para el sistema de información completo. Es de destacar que los datos de caracterización de las posibles amenazas son datos tentativos en los primeros modelos. En esta línea se encamina el capítulo 5 del "Catálogo de Elementos". © Ministerio de Hacienda y Administraciones Públicas página 124 (de 127) . Impacto y riesgo residual pueden ser cualitativos hasta que aparecen grandes inversiones y hay que determinar su racionalidad económica: ¿qué es lo que interesa más? En este punto se necesitan números. En esta evolución continua puede afrontarse la progresiva migración de un modelo cualitativo inicial hacia un modelo cada vez más cuantitativo. Tanto la valoración como la búsqueda del consenso son notablemente más rápidas si hay que determinar un orden de magnitud que si hay que determinar un número absoluto. lo que lleva lógicamente a buscar apoyo de herramientas automáticas. una herramienta de apoyo al análisis de riesgos debe: • • • • permitir trabajar con un conjunto amplio de activos. estas deben: • • • • Manejar un catálogo razonablemente completo de tipos de activos. al menos durante los años que dure el plan de seguridad para analizar el efecto de la ejecución del plan de seguridad. 42 Hay que valorar activos y esta es una tarea de consenso. consiguen una ubicación precisa de cada aspecto. La opción entre uno y otro planteamiento ha sido motivo de largo debate. Herramientas La realización de un proyecto de análisis de riesgos supone trabajar con una cierta cantidad de activos que rara vez baja de las decenas y que habitualmente son algunos centenares.Magerit versión 2 Herramientas Apéndice 5. permitir un tratamiento flexible del conjunto de activos para acomodar un modelo cercano a la realidad de la Organización. Sean herramientas cualitativas o cuantitativas. pero agrupan las conclusiones en grandes grupos. ser utilizada a lo largo de los tres procesos que constituyen el proyecto. Ayudar a valorar los activos ofreciendo criterios de valoración. De esta forma es posible elaborar diferentes tipos de informes y presentaciones de los resultados. acumulado y repercutido. © Ministerio de Hacienda y Administraciones Públicas página 125 (de 127) . La herramienta evalúa el impacto y el riesgo. dependencias y valoración Caracterización de las amenazas Evaluación de las salvaguardas La herramienta incorpora los catálogos del "Catálogo de Elementos" permitiendo una homogeneidad en los resultados del análisis: • • • • tipos de activos dimensiones de valoración criterios de valoración catálogo de amenazas Para incorporar este catálogo.Magerit versión 2 • • Herramientas Manejar un catálogo razonablemente completo de salvaguardas. Típicamente se puede incorporar el resultado de los diferentes proyectos de seguridad a lo largo de la ejecución del plan de seguridad. pudiendo alternarse entre uno y otro para extraer el máximo beneficio de las posibilidades teóricas de cada uno de ellos. que puede ser reemplazada para seguir el paso de la evolución en el tiempo de los catálogos de elementos. PILAR diferencia entre el motor de cálculo de riesgos y la biblioteca de elementos. presentándolo de forma que permita el análisis de por qué se da cierto impacto o cierto riesgo. La herramienta soporta todas las fases del método Magerit: • • • Caracterización de los activos: identificación. monitorizando la mejora del sistema. la herramienta calcula calificaciones de seguridad siguiendo los epígrafes de normas de iure o de facto de uso habitual. Los resultados se presentan en varios formatos: informes RTF.1. Caben citarse: • • • UNE-ISO/IEC 27002:2009: sistemas de gestión de la seguridad RD 1720/2007: datos de carácter personal RD 3/2010: Esquema Nacional de Seguridad Por último hay que destacar que PILAR incorpora tanto los modelos cualitativo como cuantitativo. Por último. Evaluar el impacto y el riesgo residuales. potencial y residual. cabiendo citar • XML – Extended Markup Language que es la opción tomada en esta guía. que establece formatos XML de intercambio CSV – Comma Separated Values • A5. clasificación. En esta línea se orienta el capítulo 6 del "Catálogo de Elementos". acrónimo de “Procedimiento Informático-Lógico para el Análisis de Riesgos” es una herramienta desarrollada bajo especificación del Centro Nacional de Inteligencia para soportar el análisis de riesgos de sistemas de información siguiendo la metodología Magerit. gráficas y tablas para incorporar a hojas de cálculo. permitiendo la incorporación a un mismo modelo de diferentes situaciones temporales. Las salvaguardas se califican por fases. PILAR PILAR. Es interesante que las herramientas puedan importar y exportar los datos que manejan en formatos fácilmente procesables por otras herramientas. se planteó como revisión constructiva. publicada en 1997 ha resistido en su mayor parte el paso del tiempo. han evolucionado: Magerit versión 1 Magerit versión 3 Libro I. Marco legal cas 43 Dimensión. vulnerabilidades. impactos.0 ha resistido bien el paso del tiempo en lo conceptual. Esta parte conceptual ha sido refrendada por el paso del tiempo y sigue siendo el eje alrededor del cual se vertebran las fases fundamentales de análisis y gestión. ratificándose en lo fundamental. Esta tercera versión busca una nueva adaptación. Para los que han trabajado con Magerit v1 Si usted ha trabajado con Magerit v1. Guía de técnicas Libro I – Método Guía de Técnicas Libro IV. dícese que es “Cada una de las magnitudes de un conjunto que sirven para definir un fenómeno. Arquitectura de la información y espe. adaptándola al tiempo presente e incorporando la experiencia de estos años. Guía para desarrolladores de aplica. Por ejemplo. El submodelo de procesos aparece bajo el epígrafe de “estructuración del proyecto de análisis y gestión de riesgos”. Referencia de normas legales y técni. el espacio de cuatro dimensiones de la teoría de la relatividad. No obstante.Libro II – Catálogo de Elementos / formatos cificaciones de la interfaz para el intercambio de XML datos Libro VII.Libro I – Método / Capítulo 7 Desarrollo de sisciones temas de información Libro V. Esto se traduce en parametrizar el método de trabajo. no se puede decir lo mismo de los detalles técnicos de los sistemas de información con los que se trabaja.1. se puedan adaptar los detalles a cada momento. Se intenta una puesta al día. Guía de aproximación a la seguridad de Libro I – Método los sistemas de información Libro II. La segunda versión. Si bien Magerit v1. adaptándose al paso del tiempo. Así pues. Guía para responsables del dominio Libro I – Método protegible Libro II – Catálogo de Elementos Libro VI.Magerit versión 2 Evolución de Magerit Apéndice 6. pero ante todo se intenta diferenciar lo que es esencial (y permanente) de lo que es coyuntural y cambiará con el tiempo. teniendo en cuenta no solo la experiencia práctica sino también la evolución de las normas internacionales de ISO que constituyen un referente obligado. referenciándolo a catálogos externos de amenazas y salvaguardas que se podrán actualizar. amenazas.” © Ministerio de Hacienda y Administraciones Públicas página 126 (de 127) . Los 7 libros segregados en Magerit versión 1. Guía de procedimientos Libro III. en una de las acepciones del Diccionario de la Lengua Española. Se ha corregido y ampliado lo que se denominaba “subestados de seguridad” dándole el nuevo nombre de “dimensiones” 43 e introduciendo nuevas varas de medir lo que interesa de los activos.Libro I – Método / Apéndice 3. abierto de forma que estando claro qué se hace y cómo. riesgos y salvaguardas. publicada en 2005. quede el método. aunque hay cierta evolución. En particular reconocerá lo que se denominaba submodelo de elementos: activos. todos los conceptos le resultarán familiares. A6. Evolución de Magerit La primera de Magerit. el tiempo pasado permite mejorar notablemente aquella primera versión.0. Para los que han trabajado con Magerit v2 Esta versión 3 mantiene en gran medida la estructura de la versión 2: — Libro I – Método — Libro II – Catálogo de Elementos — Técnicas Cambios en la versión 3: — mejor alineamiento con la normativa ISO.2.Magerit versión 2 Evolución de Magerit A6. buscando una integración de las tareas de análisis de riesgos dentro de un marco organizacional de gestión de riesgos dirigido desde los órganos de gobierno — se aligera el texto — se eliminan partes poco importantes o poco usadas — se normalizan las diferentes actividades o o o MAR – Método de Análisis de Riesgos PAR – Proyecto de Análisis de Riesgos PS – Plan de Seguridad © Ministerio de Hacienda y Administraciones Públicas página 127 (de 127) . Catálogo de Elementos .0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro II .MAGERIT – versión 3. 0. Catedrático de la Universidad Politécnica de Madrid Características: Adobe Acrobat 5. Ministerio de la Presidencia Consultor externo: José Antonio Mañas.TÍTULO: MAGERIT – versión 3. Libro II . Procedimientos e Impulso de la Administración Electrónica Equipo responsable del proyecto: Director. Miguel Angel Amutio Gómez.0 Responsable edición digital: Subdirección General de Información. Documentación y Publicaciones Centro de Publicaciones Colección: administración electrónica NIPO: 630-12-171-8 .gob. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. octubre de 2012 Disponible esta publicación en el Portal de Administración Electrónica (PAe): http://administracionelectronica. Documentación y Publicaciones (Jesús González Barroso) Madrid.Catálogo de Elementos Elaboración y coordinación de contenidos: Dirección General de Modernización Administrativa. Ministerio de Hacienda y Administraciones Públicas Javier Candau. Centro Criptológico Nacional.es/ Edita: © Ministerio de Hacienda y Administraciones Públicas Secretaría General Técnica Subdirección General de Información. ...................................13 2.......... Referencias ......1....10 2...... [T] Trazabilidad.............................2..............2...........................5] Avería de origen físico o lógico ....................3...................2] Daños por agua ...13 2...16 3.......................................................2......1. Sintaxis BNF ................................2....................1...........32 5......13.............................2.........................................1............1.......................*] Desastres industriales ........... Amenazas.....7...........................2....................................................... [N..........6.......1........ [N...... [AUX] Equipamiento auxiliar....................... [D] Disponibilidad ................................7................................................................ [I....................................................... [Media] Soportes de información.....8 2....2..........................................9] Interrupción de otros servicios y suministros esenciales... 15 3..........................................................................14 3.......................................................................... Tipos de activos ....... [I................. [I.........................11] Emanaciones electromagnéticas..2................0 Índice 1.....................1....................................12.................... XML .................................................................2.......................................................25 5.. [C] Confidencialidad de la información........................1........10 2..........................................................................................................3.............................1] Errores de los usuarios . Dimensiones de valoración ..........................................................31 5.........5.............9.......23 4............................................... [D] Datos / Información.24 4........................................ [I] De origen industrial ..........................................................2........................................................2...........3] Contaminación mecánica ......................33 5......................16 3..........................................8] Fallo de servicios de comunicaciones ...................................................17 4...................25 5..................... 7 2................................................................................................... [I....................Magerit 3..........................................19 4...........................26 5......................................... [L] Instalaciones ... [N] Desastres naturales.......2.... [I.......... [E........................... [I.........................8 2........ Datos de carácter personal .................. 19 4................................................................2.... [A] Autenticidad ..........................................28 5....................................2] Errores del administrador .................................. [I........................................................1.....................................................10......................7 2......27 5.....................................................27 5........13 2........................................1..2........................................................2.................................................... Escalas estándar............................17 3...............12 2......................6.................... Referencias ......................................................................................................................................7] Condiciones inadecuadas de temperatura o humedad .....8 [COM] Redes de comunicaciones........2] Daños por agua ...6....................................................34 © Ministerio de Hacienda y Administraciones Públicas página 3 (de 75) .......................29 5...........23 4...................................12.........................................................24 5........................... [E..9 2..........................1.....2.31 5................................................................................................................ [HW] Equipamiento informático (hardware) ................................... [E] Errores y fallos no intencionados....................13......................................33 5...................3] Errores de monitorización (log) ...2..............27 5................16 3..... [I................ [S] Servicios ........ [I..1] Fuego ..............2.................28 5.......15 3.................. [P] Personal.2.............33 5............................................5.............................................................. Esquema XSD .......................3......9.11 2.....................25 5.30 5.......................................13..........................................................................................................................................13 2......2... [I.....11.......................................... [K] Claves criptográficas......................9 2............................................................................29 5...............3......................................30 5....3..............7.................12 2.....*] Desastres naturales..................... Arquitectura del sistema......................... 6 2.....2............................................................ Introducción.......1...............1...............8 2................................................................................. Activos esenciales...... Esquema XSD ...... Esquema XSD ......................................................4....... XML .................... [N.............1] Fuego ............ [I..........4] Contaminación electromagnética ....16 3............................. [I...................2....15 3.....................................10] Degradación de los soportes de almacenamiento de la información ...................4..................................................................................3.......... Sintaxis BNF .......................................4....... Criterios de valoración....6] Corte del suministro eléctrico ..........3..............................2..........................3...........................................................6............................................30 5.................................................3.......................15 3.................................................................................................. [SW] Software ....................................... [E............... [I] Integridad de los datos ...............................1.......................................................................... 25 5...11.................................6.....................5..........2......1....................................... XML .3...........................10..............................................................................................................................8....................... Sintaxis BNF ...........................................................................................Aplicaciones informáticas.................................................... ...... [A.......................2.............................22] Manipulación de programas ..........13] Repudio ...........14] Escapes de información ............. Protección en los puntos de interconexión con otros sistemas ..................... [E.........................3...............42 5.....8........... [E....47 5........4.... [A......46 5....22..........3. [A............................................4..................3....42 5... [A........7] Uso no previsto ................6] Abuso de privilegios de acceso. [A...........51 5........ Nivel de la amenaza: XML ..................34 5...24..... Protecciones generales u horizontales ..............17........... [A................55 6..........................28] Indisponibilidad del personal ....11.38 5...........................................51 6....................................................................49 5.................................15.............................40 5........38 5...35 5........45 5........................17.7] Deficiencias en la organización............................55 6............................. Correlación de errores y ataques ..................3...... [E.......................16..... [A......4...4..........1........ [A] Ataques intencionados.............40 5.......9.........4.................... Esquema XSD ...............................43 5......................6...... [E....................24] Caída del sistema por agotamiento de recursos..........................Magerit 3....................4.........................................54 6................................34 5.......4.......................3.... [E....................................................11....... [A.............. [A..................47 5.3............. [A....................16.....................3] Manipulación de los registros de actividad (log) ..................46 5.................................3...4....... Protección de las claves criptográficas ................ [A....................................................................15] Modificación deliberada de la información ..... [A..............23] Manipulación de los equipos ........7........................4.........18] Destrucción de información........................................ Protección de los servicios.................. [E......2..........................................................................................................4.........12...........9] Errores de [re-]encaminamiento.....................29] Extorsión .........23.............36 5.....41 5.............46 5... Protección de los datos / información ....47 5..............4.......................................................................................0 5...................................................... Esquema XSD ..................................................... Protección de los soportes de información .....................19....20............ [E...4......................5.................35 5............................. Referencias .........................................4.................13.................................................................6..2............................54 6...............4....1..4..........4.........................................................................................................................4......4...........................4........6................4..........18.......................................... [A............ [E..............10........................................ [A.............15..... [E.....8.10] Alteración de secuencia ............... 53 6..... Protección de las comunicaciones .....................37 5......................................................26] Ataque destructivo ................ [A...4.....6..............53 6.....................................19] Divulgación de información ......................... [E.............42 5...........28] Indisponibilidad del personal ..................................................................................9.......24] Denegación de servicio ..1..........................3................... [A....................................5.......21] Errores de mantenimiento / actualización de programas (software) .... [A...20] Vulnerabilidades de los programas (software) ..40 5................................ Protección de las aplicaciones (software) .........19] Fugas de información.....................................................12] Análisis de tráfico ...................12.54 6..4.47 5........49 5..15] Alteración accidental de la información....5..........................................5.........................8] Difusión de software dañino ..18] Destrucción de información..........3.....4] Errores de configuración ...........35 5...........................41 5....... [A......3....38 5......................................18.14......... Sintaxis BNF ....9..............21......................................................................43 5..............................................4........................8] Difusión de software dañino ... [E..............7................37 5........................4....................................49 5..........39 5.................... [E.................................................................55 © Ministerio de Hacienda y Administraciones Públicas página 4 (de 75) .36 5.............................................50 5.............30] Ingeniería social (picaresca) ..................25] Robo..........................................3..........................................................................50 5...........................4....................................5] Suplantación de la identidad del usuario ................ Salvaguardas ...................3.......37 5.............. [A...................4] Manipulación de la configuración .......10] Errores de secuencia .............9] [Re-]encaminamiento de mensajes.............45 5..........................23] Errores de mantenimiento / actualización de equipos (hardware) ..3...... [E......................55 6......1.....10...................................................................4......................35 5.........25] Pérdida de equipos ................ Sintaxis BNF ..................................6..7.....................................................3.........48 5....................... Nuevas amenazas: XML .................................................7...........6............................................................. [E.......43 5................. [A.......................................................... [E.........8........................................... [A.......14] Interceptación de información (escucha) ......44 5..45 5........14...........................13....................................4................4.....2................7...11] Acceso no autorizado..................... [A.......................44 5............................54 6........................ [A.......................................................... Protección de los equipos (hardware)........................44 5.............. [A.......27] Ocupación enemiga .........................................3.............3.........................................8.............41 5.............7....3..... ......................................................56 6...........................2... [SW] Aplicaciones (software) .....57 6....... Seguridad física – Protección de las instalaciones ....12................................................................ Externalización ................ [D] Datos / Información .......9...............................................................16....................................................... [P] Personal ..............................................7..... [service] Activos esenciales: Servicio ..................................................................60 A2........4..............................................................72 A4.....................................................................................................................56 6.............................................................................................. [L] Instalaciones ...............................................................................1.............................56 6........................................................................................... Informe de insuficiencias ....... [info] Activos esenciales: información .......................................74 © Ministerio de Hacienda y Administraciones Públicas página 5 (de 75) ...........................1....61 A2..................................................................67 A2................. [AUX] Equipamiento auxiliar ......73 A4.......56 6............... Formato XML ....................5............... Fichas ................................................................ Modelo de valor ................................... Adquisición y desarrollo ....................................70 Apéndice 4...................Magerit 3...........................................................14............................3................57 6.........................12...........................................................................................................................2.6.........................68 A2...... Continuidad de operaciones...11..................................17.......................63 A2........................1. [COM] Redes de comunicaciones ....................................66 A2........ Mapa de riesgos ...4................................................. Estado de riesgo ................................................................................ [S] Servicios .62 A2................................................ Notación XML ...................................... Salvaguardas de tipo organizativo .................................................................................. Informes ................. 72 A4..10...............64 A2.......... Evaluación de salvaguardas ............................56 6..................................................................................................................................................................................................5......................................... 60 A2..73 A4.......................15............................ Plan de seguridad ................................................................................73 A4.................... [K] Claves criptográficas .. [Media] Soportes de información ...............................................................................................0 6........ Modelo de valor ...........................68 Apéndice 3........................................................ [HW] Equipamiento informático (hardware) ..........63 A2......................72 A4...8..................57 Apéndice 1.. 70 A3..............................................................11..65 A2........ Protección de los elementos auxiliares .......................10...................13........... Referencias .....................65 A2...6......................................................................................................................... Salvaguardas relativas al personal .................................................................... 59 Apéndice 2....................3.................................. Persiguiendo estos objetivos.0 Introducción 1.Magerit 3. Salvaguardas. Por una parte. 1 Este catálogo deberá adaptarse a la evolución de los sistemas de información. las secciones que siguen describen un catálogo1 que marca unas pautas en cuanto a Tipos de activos. Cada sección incluye una notación XML que se empleará para publicar los elementos en un for­ mato estándar capaz de ser procesado automáticamente por herramientas informáticas. pero con una razonable esperanza de que este catálogo crezca lentamente. Por otra. y sabiendo que la tecnología cambia rápidamente. facilitar la labor de las personas que acometen el proyecto. sino que también se propone cómo se rela­ cionan las diferentes dimensiones entre sí. Dimensiones de valoración. Se ha intentado un lenguaje intermedio que satis­ faga a ambos colectivos. © Ministerio de Hacienda y Administraciones Públicas página 6 (de 75) . pero en la certidumbre de estar recogido lo esencial. homogeneizar los resultados de los análisis. sabiendo que es un terreno extremadamente complejo por su riqueza de tecno­ logías. productos y combinaciones ingeniosas de elementos básicos. Amenazas. Introducción El objetivo de este catálogo de elementos que aparecen en un proyecto de análisis y gestión de riesgos es doble: 1. 2. sabiendo que aparecerán nuevos tipos de activos continuamente. centrándose en lo es­ pecífico del sistema objeto del análisis. mientras que se tratan con un enfoque de “controles de eficacia y eficiencia” por los auditores de sistemas. Criterios de valoración. pero marcando una primera pauta de homogeneidad. sabiendo que hay un fuerte componente de estimación por los exper­ tos. Las salvaguardas se tratan con un enfoque de “identificación de necesidades” por parte de los responsables de los sistemas de información. promoviendo una terminología y unos criterios que permitan comparar e incluso integrar análisis realizados por diferentes equipos. El ánimo es relativizar el valor de los diferentes activos en sus diferentes dimensiones de valoración. en el sentido de ofrecerles ítem estándar a los que puedan adscribirse rápidamente. Es por ello que para cada categoría de elementos se define una notación XML que permitirá publicar ágilmente actualizaciones de este catálogo. de forma que no sólo se propone una escala dentro de una dimensión. sabiendo que en casos específicos pueden aparecer dimensio­ nes específicas. sabiendo que no todas las amenazas son significativas sobre todos los sistemas. con requisitos legales. es decir. Dícese de cualquier información concerniente a personas físicas identificadas o identifica­ bles. Se pue­ den identificar aquellos que son imprescindibles para que la Organización supere una situa­ ción de emergencia.0 Tipos de activos 2. Dícese de aquellos sometidos a normativa específica de control de acceso y distribución. La tipificación de qué datos deben ser clasificados y cuales son las normas para su tratamiento. con requisitos normativos: [essential] Activos esenciales [info] información [adm] datos de interés para la administración pública [vr] datos vitales (registros de la organización) (1) [per] datos de carácter personal (2) [A] nivel alto [M] nivel medio [B] nivel bajo [classified] datos clasificados (3) [C] nivel confidencial [R] difusión limitada [UC] sin clasificar [pub] de carácter público [service] servicio (1) Dícese de aquellos que son esenciales para la supervivencia de la Organización. Los datos de carácter personal están regulados por leyes y reglamentos en cuanto afectan a las libertades públicas y los derechos fundamentales de las personas físicas. puede ser interesante considerar algunas características formales tales como si son de carácter personal. y especialmente su honor e intimidad personal y familiar. por acuerdos entre organizaciones o por normativa interna. es decir que su carencia o daño afectaría directamente a la existencia de la Organización. Dentro de la información que se maneja. es decir aquellos cuya confidencialidad es especialmente relevante. Estos activos esenciales marcan los requisitos de seguridad para todos los demás componentes del sistema.Magerit 3.1. un activo puede ser simultáneamente de varios tipos. página 7 (de 75) (2) (3) © Ministerio de Hacienda y Administraciones Públicas . Tipos de activos La tipificación de los activos es tanto un información documental de interés como un criterio de identificación de amenazas potenciales y salvaguardas apropiadas a la naturaleza del activo. La relación que sigue clasifica los activos dentro de una jerarquía. aquellos sustancian la naturaleza legal o los derechos financieros de la Organización o sus usuarios. o si están sometidos a alguna clasificación de seguridad. La siguiente tabla no puede ser exhaustiva. ni tan siquiera válida para siempre. Nótese que las pertenencia de un activo a un tipo no es excluyente de su pertenencia a otro tipo. determinando para cada uno un código que refleja su posición jerárquica. Activos esenciales En un sistema de información hay 2 cosas esenciales: — la información que se maneja y — los servicios que prestan. vienen deter­ minadas por regulaciones sectoriales. 2. un nombre y una breve descripción de las características que recoge el epígrafe. aquellos que permiten desempeñar o reconstruir las misiones críticas. cuando para la prestación de nuestros servicios recurrimos a un tercero.0 Tipos de activos 2.3. definiendo su arquitectura interna y sus relaciones con el exterior. (BOE número 17 de 19/1/2008) El reglamento establece medidas específicas de nivel básico. Datos de carácter personal Existen leyes relativas a los datos de carácter personal que. número 298.1. Establece una frontera inter-pares: cuando dos sistemas se interconectan para intercambiar información.E. medio y alto. de 21 de diciembre.O. de 13 de diciembre.2. 2. Los requisitos de seguridad del usuario se convierten en obligaciones del prestatario. contraseñas) [auth] datos de validación de credenciales [acl] datos de control de acceso [log] registro de actividad (2) © Ministerio de Hacienda y Administraciones Públicas página 8 (de 75) . de 14/12/1999) Real Decreto 1720/2007. mientras que los incidentes de seguridad en el proveedor repercuten en el usuario. En el caso de la legislación española. Establece una frontera inferior. [D] Datos / Información [files] ficheros [backup] copias de respaldo [conf] datos de configuración (1) [int] datos de gestión interna [password] credenciales (ej. se ajusta a los dispuesto en • • Ley Orgánica 15/1999. de protección de datos de carácter personal. establecen una serie de obligaciones a los sistemas de información que los tratan. Arquitectura del sistema Se trata de elementos que permiten estructurar el sistema. La información es un activo abstracto que será almacenado en equipos o soportes de información (normalmente agrupado como ficheros o bases de datos) o será transferido de un lugar a otro por los medios de transmisión de datos. [D] Datos / Información Los datos son el corazón que permite a una organización prestar sus servicios.1. de 13 de diciembre.Magerit 3. de Protección de Datos de Carácter Personal (B. por el que se aprueba el Reglamento de desa­ rrollo de la Ley Orgánica 15/1999. (2) (3) 2. [arch] Arquitectura del sistema [sap] punto de [acceso al] servicio (1) [ip] punto de interconexión (2) [ext] proporcionado por terceros (3) (1) Establece una frontera entre la prestación de un servicio (proveedor) y el usuario (consumi­ dor). en función de su naturaleza y las cir­ cunstancias. [K] Claves criptográficas Las criptografía se emplea para proteger el secreto o autenticar a las partes. 2. [keys] Claves criptográficas [info] protección de la información [encrypt] claves de cifra [shared_secret] secreto compartido (clave simétrica) (1) [public_encryption] clave pública de cifra (2) [public_decryption] clave privada de descifrado (2) [sign] claves de firma [shared_secret] secreto compartido (clave simétrica) [public_signature] clave privada de firma (2) [public_verification] clave pública de verificación de firma (2) [com] protección de las comunicaciones [channel] claves de cifrado del canal [authentication] claves de autenticación [verification] claves de verificación de autenticación [disk] cifrado de soportes de información [encrypt] claves de cifra [x509] certificados de clave pública (1) (2) Por ejemplo. 2. combinando secretos e información pública. RSA. etc.4. [S] Servicios Función que satisface una necesidad de los usuarios (del servicio). curvas elípticas. [S] Servicios [anon] anónimo (sin requerir identificación del usuario) [pub] al público en general (sin relación contractual) [ext] a usuarios externos (bajo una relación contractual) [int] interno (a usuarios de la propia organización) © Ministerio de Hacienda y Administraciones Públicas página 9 (de 75) .Magerit 3. 3-DES. son esenciales para garantizar el funcionamien­ to de los mecanismos criptográficos. Esta sección contempla servi­ cios prestados por el sistema. DES. Las claves criptográ­ ficas. AES. Los registros de actividad sustancian los requisitos de trazabilidad. Diffie-Hellman. etc. Por ejemplo.0 [D] Datos / Información [source] código fuente [exe] código ejecutable [test] datos de prueba Tipos de activos (1) (2) Los datos de configuración son críticos para mantener la funcionalidad de las partes y del conjunto del sistema de información.5. (2) (3) 2.7. etc. destinados a soportar directa o indirectamente los servi­ cios que presta la organización. incluyendo su caracteriza­ ción y activando los servicios de aprovisionamiento asociados a sus cambios de estado respecto de la organización.6. Servicios asociados a sistemas de criptografía de clave pública.0 [S] Servicios [www] world wide web [telnet] acceso remoto a cuenta local [email] correo electrónico [file] almacenamiento de ficheros [ftp] transferencia de ficheros [edi] intercambio electrónico de datos [dir] servicio de directorio (1) [idm] gestión de identidades (2) [ipm] gestión de privilegios [pki] PKI .) este epígrafe se refiere a tareas que han sido automatizadas para su desempeño por un equipo informático. analizan y transforman los datos permitiendo la explotación de la información para la prestación de los servicios. [SW] Aplicaciones (software) [prp] desarrollo propio (in house) [sub] desarrollo a medida (subcontratado) [std] estándar (off the shelf) [browser] navegador web [www] servidor de presentación [app] servidor de aplicaciones [email_client] cliente de correo electrónico [email_server] servidor de correo electrónico [file] servidor de ficheros [dbms] sistema de gestión de bases de datos [tm] monitor transaccional [office] ofimática [av] anti virus [os] sistema operativo [hypervisor] gestor de máquinas virtuales [ts] servidor de terminales [backup] sistema de backup 2.Aplicaciones informáticas Con múltiples denominaciones (programas. [HW] Equipamiento informático (hardware) Dícese de los medios materiales. aplicativos.infraestructura de clave pública (3) Tipos de activos (1) Localización de personas (páginas blancas). © Ministerio de Hacienda y Administraciones Públicas página 10 (de 75) . Servicios que permiten altas y bajas de usuarios de los sistemas. desarrollos. No preocupa en este apartado el denominado “código fuente” o programas que serán datos de interés comercial. físicos. per­ mitiendo la identificación y facilitando los atributos que caracterizan al elemento determina­ do.Magerit 3. a valorar y proteger como tales. empresas o servicios (páginas amarillas). Dicho código aparecería como datos. [SW] Software . Las aplicacio­ nes gestionan. siendo pues depositarios temporales o permanentes de los datos. incluyendo especialmente la gestión de certificados. Se caracterizan por ser equipos afectos a la clasificación como informática personal que. Dícese de impresoras y servidores de impresión. pero siempre centrándose en que son medios de transporte que llevan datos de un sitio a otro. Son aquellos equipos preparados para hacerse cargo inmediato de los equipos en produc­ ción. Se caracterizan por ser multitud. Son fácilmente reemplazables en caso de destrucción.0 Tipos de activos soporte de ejecución de las aplicaciones informáticas o responsables del procesado o la transmi­ sión de datos. Se caracterizan por haber varios. © Ministerio de Hacienda y Administraciones Públicas página 11 (de 75) . etc. ser económicamente gravosos y requerir un entorno específico para su operación. módems. [HW] Equipos informáticos (hardware) [host] grandes equipos (1) [mid] equipos medios (2) [pc] informática personal (3) [mobile] informática móvil (4) [pda] agendas electrónicas [vhost] equipo virtual [backup] equipamiento de respaldo (5) [peripheral] periféricos [print] medios de impresión (6) [scan] escáneres [crypto] dispositivos criptográficos [bp] dispositivo de frontera (7) [network] soporte de la red (8) [modem] módems [hub] concentradores [switch] conmutadores [router] encaminadores [bridge] pasarelas [firewall] cortafuegos [wap] punto de acceso inalámbrico [pabx] centralita telefónica [ipphone] teléfono IP (1) Se caracterizan por haber pocos. además.Magerit 3. Dícese de equipamiento necesario para transmitir datos: routers. No es difícil reemplazarlos en caso de destrucción. frecuentemente uno sólo. son fácilmente transportables de un sitio a otro. Son difícilmente reemplazables en caso de destrucción. tener un coste económico medio tanto de adquisición co­ mo de mantenimiento e imponer requerimientos estándar como entorno de operación.8 [COM] Redes de comunicaciones Incluyendo tanto instalaciones dedicadas como servicios de comunicaciones contratados a terce­ ros. Son los equipos que se instalan entre dos zonas de confianza. tener un coste económico relativamente pequeño e impo­ ner solamente unos requerimientos mínimos como entorno de operación. (2) (3) (4) (5) (6) (7) (8) 2. pudiendo estar tanto dentro del re­ cinto propio de la organización como en cualquier otro lugar. Magerit 3. de cintas [disk] .0 [COM] Redes de comunicaciones [PSTN] red telefónica [ISDN] rdsi (red digital) [X25] X25 (red de datos) [ADSL] ADSL [pp] punto a punto [radio] comunicaciones radio [wifi] red inalámbrica [mobile] telefonía móvil [sat] por satélite [LAN] red local [MAN] red metropolitana [Internet] Internet Tipos de activos 2. de discos [supply] suministros esenciales [destroy] equipos de destrucción de soportes de información [furniture] mobiliario: armarios.10.. [AUX] Equipamiento auxiliar En este epígrafe se consideran otros equipos que sirven de soporte a los siste­ mas de información. [Media] Soportes de información [electronic] electrónicos [disk] discos [vdisk] discos virtuales [san] almacenamiento en red [disquette] disquetes [cd] cederrón (CD-ROM) [usb] memorias USB [dvd] DVD [tape] cinta magnética [mc] tarjetas de memoria [ic] tarjetas inteligentes [non_electronic] no electrónicos [printed] material impreso [tape] cinta de papel [film] microfilm [cards] tarjetas perforadas 2. durante largos periodos de tiempo. al menos.. etc [safe] cajas fuertes © Ministerio de Hacienda y Administraciones Públicas página 12 (de 75) . [Media] Soportes de información En este epígrafe se consideran dispositivos físicos que permiten almacenar in­ formación de forma permanente o.. sin estar directamente relacionados con datos.9.. [AUX] Equipamiento auxiliar [power] fuentes de alimentación [ups] sistemas de alimentación ininterrumpida [gen] generadores eléctricos [ac] equipos de climatización [cabling] cableado [wire] cable eléctrico [fiber] fibra óptica [robot] robots [tape] . 0 Tipos de activos 2. etc. [ship] vehículo marítimo: buque.11. XML Los tipos de activos cabe esperar que evolucionen en el tiempo para adaptarse a la evolución tec­ nológica.12. camión. [P] Personal [ue] usuarios externos [ui] usuarios internos [op] operadores [adm] administradores de sistemas [com] administradores de comunicaciones [dba] administradores de BBDD [sec] administradores de seguridad [des] desarrolladores / programadores [sub] subcontratas [prov] proveedores 2. Sintaxis BNF La notación se describe en el apéndice 1. [shelter] contenedores [channel] canalización [backup] instalaciones de respaldo 2.1.Magerit 3. [L] Instalaciones En este epígrafe entran los lugares donde se hospedan los sistemas de información y comunica­ ciones. [plane] vehículo aéreo: avión. <magerit-extension> { tipos }* </magerit-extension> tipos ::= <classes under > { tipo }* </classes> tipo ::= <class code> #name# [ descripción ] { tipo }* </tipo> © Ministerio de Hacienda y Administraciones Públicas página 13 (de 75) . lancha.13. etc. etc.13. Por ello se incluye a continuación una gramática de tipo XML que permita publicar perió­ dicamente actualizaciones de los tipos antes descritos. [L] Instalaciones [site] recinto [building] edificio [local] cuarto [mobile] plataformas móviles [car] vehículo terrestre: coche. [P] Personal En este epígrafe aparecen las personas relacionadas con los sistemas de información. 2. Magerit 3.0 descripción ::= <description> #texto# </description> Tipos de activos Atributo under code Ejemplo under=”X” code=”X” Descripción X identifica a un tipo de activos ya definido, indicando que los nuevos tipos de activos son refinamientos de X. X es un identificador único que permite determinar unívocamente a qué tipo se refiere. 2.13.2. Esquema XSD <?xml version="1.0" encoding="ISO-8859-1" ?> <xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema" elementFormDefault="qualified" attributeFormDefault="unqualified" version="2.0"> <xsd:annotation> <xsd:documentation>version: magerit 3.0 (2011)</xsd:documentation> <xsd:documentation>date: 19.11.2011</xsd:documentation> </xsd:annotation> <xsd:element name="magerit-extension"> <xsd:complexType> <xsd:sequence> <xsd:element name="classes" type="classesType" minOccurs="0" maxOccurs="unbounded"/> </xsd:sequence> </xsd:complexType> </xsd:element> <xsd:complexType name="classesType" mixed="true"> <xsd:sequence> <xsd:element name="class" type="classType" minOccurs="0" maxOccurs="unbounded"/> </xsd:sequence> <xsd:attribute name="under" type="xsd:string" use="required"/> </xsd:complexType> <xsd:complexType name="classType" mixed="true"> <xsd:sequence> <xsd:element name="description" type="xsd:string" minOccurs="0"/> <xsd:element name="class" type="classType" minOccurs="0" maxOccurs="unbounded"/> </xsd:sequence> <xsd:attribute name="code" type="xsd:string" use="required"/> </xsd:complexType> </xsd:schema> © Ministerio de Hacienda y Administraciones Públicas página 14 (de 75) Magerit 3.0 Dimensiones de valoración 3. Dimensiones de valoración Son las características o atributos que hacen valioso un activo. Una dimensión es una faceta o aspecto de un activo, independiente de otras facetas. Pueden hacerse análisis de riesgos centra­ dos en una única faceta, independientemente de lo que ocurra con otros aspectos2. Las dimensiones se utilizan para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la or­ ganización si el activo se ve dañado en dicha dimensión. 3.1. [D] Disponibilidad [D] disponibilidad Propiedad o característica de los activos consistente en que las entidades o procesos au­ torizados tienen acceso a los mismos cuando lo requieren. [UNE 71504:2008] ¿Qué importancia tendría que el activo no estuviera disponible? Un activo tiene un gran valor desde el punto de vista de disponibilidad cuando si una amenaza afectara a su disponibilidad, las consecuencias serían graves. Y recíprocamente, un activo carece de un valor apreciable desde el punto de vista de disponibili­ dad cuando puede no estar disponible frecuentemente y durante largos periodos de tiempo sin por ello causar mayor daño. La disponibilidad es una característica que afecta a todo tipo de activos. A menudo la disponibilidad requiere un tratamiento por escalones pues el coste de la indisponibili­ dad aumenta de forma no lineal con la duración de la interrupción, desde breves interrupciones sin importancia, pasando por interrupciones que causan daños considerables y llegando a interrup­ ciones que no admiten recuperación: la organización está acabada. 3.2. [I] Integridad de los datos [I] integridad Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada. [ISO/IEC 13335-1:2004] ¿Qué importancia tendría que los datos fueran modificados fuera de control? Los datos reciben una alta valoración desde el punto de vista de integridad cuando su alteración, voluntaria o intencionada, causaría graves daños a la organización. Y, recíprocamente, los datos carecen de un valor apreciable desde el punto de vista de integridad cuando su alteración no supone preocupación alguna. 3.3. [C] Confidencialidad de la información [C] confidencialidad Propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados. [UNE-ISO/IEC 27001:2007] ¿Qué importancia tendría que el dato fuera conocido por personas no autorizadas? 2 Como es el caso típico conocido como análisis de impacto (BIA) que busca determinar el coste de las paradas de los sistemas y desarrollar planes de contingencia para poner coto al tiempo de parada de la organización. En este caso se hace un análisis sectario de la disponibilidad. © Ministerio de Hacienda y Administraciones Públicas página 15 (de 75) Magerit 3.0 Dimensiones de valoración Los datos reciben una alta valoración desde el punto de vista de confidencialidad cuando su reve­ lación causaría graves daños a la organización. Y, recíprocamente, los datos carecen de un valor apreciable desde el punto de vista de confiden­ cialidad cuando su conocimiento por cualquiera no supone preocupación alguna. 3.4. [A] Autenticidad [A] autenticidad Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. [UNE 71504:2008] ¿Qué importancia tendría que quien accede al servicio no sea realmente quien se cree? La autenticidad de los usuarios de un servicio es lo contrario de la oportunidad de fraude o uso no autorizado de un servicio. Así, un servicio recibe una elevada valoración desde el punto de vista de autenticidad cuando su prestación a falsos usuarios supondría un grave perjuicio para la organización. Y, recíprocamente, un servicio carece de un valor apreciable desde el punto de vista de autentici­ dad cuando su acceso por cualquiera no supone preocupación alguna. ¿Qué importancia tendría que los datos no fueran realmente imputables a quien se cree? Los datos reciben una elevada valoración desde el punto de vista de autenticidad del origen cuan­ do un defecto de imputación causaría graves quebrantos a la organización. Típicamente, se habili­ ta la oportunidad de repudio. Y, recíprocamente, los datos carecen de un valor apreciable desde el punto de vista de autentici­ dad del origen cuando ignorar la fuente es irrelevante. 3.5. [T] Trazabilidad [T] trazabilidad Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad. [UNE 71504:2008] ¿Qué importancia tendría que no quedara constancia fehaciente del uso del servicio? Abriría las puertas al fraude, incapacitaría a la Organización para perseguir delitos y podría supo­ ner el incumplimiento de obligaciones legales. ¿Qué importancia tendría que no quedara constancia del acceso a los datos? Abriría las puertas al fraude, incapacitaría a la Organización para perseguir delitos y podría supo­ ner el incumplimiento de obligaciones legales. 3.6. XML Las dimensiones de valoración cabe esperar que evolucionen en el tiempo para adaptarse a la evolución tecnológica. Por ello se incluye a continuación una gramática de tipo XML que permita publicar periódicamente actualizaciones de las dimensiones antes descritas. 3.6.1. Sintaxis BNF La notación se describe en el apéndice 1. <magerit-extension> { dimensiones }* </magerit-extension> © Ministerio de Hacienda y Administraciones Públicas página 16 (de 75) Magerit 3.0 dimensiones ::= <dimensions> { dimensión }* </dimensions> dimensión ::= <dimension code > #nombre# [ descripción ] </dimension> descripción ::= <description> #texto# </description> Dimensiones de valoración Atributo code Ejemplo code=”X” Descripción X es un identificador único que permite determinar unívocamente a qué dimensión se refiere. 3.6.2. Esquema XSD <?xml version="1.0" encoding="ISO-8859-1" ?> <xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema" elementFormDefault="qualified" attributeFormDefault="unqualified" version="2.0"> <xsd:annotation> <xsd:documentation>version: magerit 3.0 (2011)</xsd:documentation> <xsd:documentation>date: 19.11.2011</xsd:documentation> </xsd:annotation> <xsd:element name="magerit-extension"> <xsd:complexType> <xsd:sequence> <xsd:element name="dimensions" type="dimensionsType" minOccurs="0" maxOccurs="unbounded"/> </xsd:sequence> </xsd:complexType> </xsd:element> <xsd:complexType name="dimensionsType" mixed="true"> <xsd:sequence> <xsd:element name="dimension" type="dimensionType" minOccurs="0" maxOccurs="unbounded"/> </xsd:sequence> </xsd:complexType> <xsd:complexType name="dimensionType" mixed="true"> <xsd:sequence> <xsd:element name="description" type="xsd:string" minOccurs="0"/> </xsd:sequence> <xsd:attribute name="code" type="xsd:string" use="required"/> </xsd:complexType> </xsd:schema> 3.7. Referencias • ISO 7498-2:1989, “Information processing systems -- Open Systems Interconnection -- Basic Reference Model -- Part 2: Security Architecture”, 1989. página 17 (de 75) © Ministerio de Hacienda y Administraciones Públicas org/octave/ • © Ministerio de Hacienda y Administraciones Públicas página 18 (de 75) . “Standards for Security Categorization of Federal Information and Informa­ tion Systems”.0 • • Dimensiones de valoración ISO/IEC 27000 FIPS PUB 199. 2003. Addison Wesley.gov/publications/fips/index. http://www.html C.Magerit 3. Dorofee. December 2003. Alberts and A. The OCTAVE Approach”.cert. http://csrc. “Managing information Security Risks.nist. 1. quedando a discreción del usuario. se use una escala logarítmica. cualquier escala de valores.000 a 1. Por el contrario.pi1 6.1 a 2.002. dejando en valor 0 como determinante de lo que sería un valor despreciable (a efectos de riesgo). es decir. © Ministerio de Hacienda y Administraciones Públicas página 19 (de 75) . Criterios de valoración Para valorar los activos vale. independientemente de su valor absoluto. Escalas estándar [pi] Información de carácter personal 6 6. A efectos prácticos es sin embargo muy importante que • • • se use una escala común para todas las dimensiones. 4.pi2 probablemente afecte gravemente a un grupo de individuos probablemente quebrante seriamente la ley o algún reglamento de protección de información personal 3 Así siempre es igual de relevante que un activo sea el doble de valioso que otro.000. permitiendo comparar riesgos. sería extraño opinar que un activo vale dos más que otro sin explicitar su valor absoluto pues no es igual de relevante pasar de 0. Se ha elegido una escala detallada de diez valores. que pasar de 1. hay poco más que hablar: dinero. Pero frecuentemente la valora­ ción es cualitativa.1. Ambas escalas. centrada en diferencias relativas de valor. detallada y simplificada se correlacionan como se indica a continuación: valor 10 9 6-8 3-5 1-2 0 extremo muy alto alto medio bajo despreciable criterio daño extremadamente grave daño muy grave daño grave daño importante daño menor irrelevante a efectos prácticos Las tablas siguientes pretenden guiar con más detalle a los usuarios valorando de forma homogé­ nea activos cuyo valor es importante por diferentes motivos. que no en diferen­ cias absolutas3 y se use un criterio homogéneo que permita comparar análisis realizados por separado Si la valoración es económica. Si se realiza un análisis de riesgos de poco detalle. teóricamente.Magerit 3.0 Criterios de valoración 4. se puede optar por la tabla simplificada de menos niveles. respondiendo a criterios subjeti­ vos.000. a 7.pi2 3 3.pi1 4.lro 3.pi1 probablemente afecte gravemente a un individuo probablemente quebrante seriamente leyes o regulaciones probablemente afecte a un grupo de individuos probablemente quebrante leyes o regulaciones probablemente afecte a un individuo Criterios de valoración probablemente suponga el incumplimiento de una ley o regulación pudiera causar molestias a un individuo pudiera quebrantar de forma leve leyes o regulaciones pudiera causar molestias a un individuo [lpo] Obligaciones legales 9 7 5 3 1 9.cei.pi1 5.lro 1.si 1.lro probablemente cause un incumplimiento excepcionalmente grave de una ley o re­ gulación probablemente cause un incumplimiento grave de una ley o regulación probablemente sea causa de incumplimiento de una ley o regulación probablemente sea causa de incumplimiento leve o técnico de una ley o regulación pudiera causar el incumplimiento leve o técnico de una ley o regulación [si] Seguridad 10 9 7 3 1 10.a 9.pi2 1 1.cei.pi2 2 2.cei.cei.si probablemente sea causa de un incidente excepcionalmente serio de seguridad o dificulte la investigación de incidentes excepcionalmente serios probablemente sea causa de un serio incidente de seguridad o dificulte la investi­ gación de incidentes serios probablemente sea causa de un grave incidente de seguridad o dificulte la investi­ gación de incidentes graves probablemente sea causa de una merma en la seguridad o dificulte la investiga­ ción de un incidente pudiera causar una merma en la seguridad o dificultar la investigación de un inci­ dente [cei] Intereses comerciales o económicos 9 9.si 9.cei.pi1 3.lro 5.cei.d de enorme interés para la competencia de muy elevado valor comercial causa de pérdidas económicas excepcionalmente elevadas causa de muy significativas ganancias o ventajas para individuos u organizaciones constituye un incumplimiento excepcionalmente grave de las obligaciones contrac­ tuales relativas a la seguridad de la información proporcionada por terceros de alto interés para la competencia de elevado valor comercial causa de graves pérdidas económicas proporciona ganancias o ventajas desmedidas a individuos u organizaciones página 20 (de 75) © Ministerio de Hacienda y Administraciones Públicas .b 7.si 3.pi1 2.lro 7.cei.cei.0 5 5.c 9.b 9.c 7.Magerit 3.e 7 7.si 7.d 9.pi2 4 4.cei. po alteración seria del orden público probablemente cause manifestaciones.olm 5.c 3.0 7.cei.e 3 3.da2 3 1 3.po 6.cei.cei.da2 7 7.da 7.da 9.a 1.po 1.cei.3 Criterios de valoración constituye un serio incumplimiento de obligaciones contractuales relativas a la se­ guridad de la información proporcionada por terceros de cierto interés para la competencia de cierto valor comercial causa de pérdidas financieras o merma de ingresos facilita ventajas desproporcionadas a individuos u organizaciones constituye un incumplimiento leve de obligaciones contractuales para mantener la seguridad de la información proporcionada por terceros de bajo interés para la competencia de bajo valor comercial de pequeño interés para la competencia de pequeño valor comercial supondría pérdidas económicas mínimas [da] Interrupción del servicio 9 9.e 2 2.cei. o presiones significativas causa de protestas puntuales pudiera causar protestas puntuales [olm] Operaciones 10 9 7 5 10.Magerit 3.a 3.da Probablemente cause una interrupción excepcionalmente seria de las actividades propias de la Organización con un serio impacto en otras organizaciones Probablemente tenga un serio impacto en otras organizaciones Probablemente cause una interrupción seria de las actividades propias de la Or­ ganización con un impacto significativo en otras organizaciones Probablemente tenga un gran impacto en otras organizaciones Probablemente cause la interrupción de actividades propias de la Organización con impacto en otras organizaciones Probablemente cause un cierto impacto en otras organizaciones Probablemente cause la interrupción de actividades propias de la Organización Pudiera causar la interrupción de actividades propias de la Organización [po] Orden público 9 6 3 1 9.cei.b 3.da 1.a 2.cei.po 3.cei.cei.cei.olm 9.olm 7.da2 5 5.b 0 0.da 5.b 1 1.d 3.olm Probablemente cause un daño excepcionalmente serio a la eficacia o seguridad de la misión operativa o logística Probablemente cause un daño serio a la eficacia o seguridad de la misión operati­ va o logística Probablemente perjudique la eficacia o seguridad de la misión operativa o logística Probablemente merme la eficacia o seguridad de la misión operativa o logística más allá del ámbito local página 21 (de 75) © Ministerio de Hacienda y Administraciones Públicas . lg.lg 1.lg.a 7.b 5 5.lg 2.b 3 2 1 0 3.crm 4.lg.lg.adm 1.4 [crm] Persecución de delitos 8 4 8. pu­ diendo llegar a su cierre probablemente impediría la operación efectiva de la Organización probablemente impediría la operación efectiva de más de una parte de la Organi­ zación probablemente impediría la operación efectiva de una parte de la Organización pudiera impedir la operación efectiva de una parte de la Organización [lg] Pérdida de confianza (reputación) 9 9.olm Criterios de valoración Probablemente merme la eficacia o seguridad de la misión operativa o logística (alcance local) Pudiera mermar la eficacia o seguridad de la misión operativa o logística (alcance local) [adm] Administración y gestión 9 7 5 3 1 9.adm 7.crm Impida la investigación de delitos graves o facilite su comisión Dificulte la investigación o facilite la comisión de delitos [rto] Tiempo de recuperación del servicio 7 7.adm 3.a 5.b 7 7.olm 1.adm probablemente impediría seriamente la operación efectiva de la Organización.lg.Magerit 3.rto RTO < 4 horas página 22 (de 75) © Ministerio de Hacienda y Administraciones Públicas .0 3 1 3.lg 0.a Probablemente causaría una publicidad negativa generalizada por afectar de for­ ma excepcionalmente grave a las relaciones a las relaciones con otras organiza­ ciones Probablemente causaría una publicidad negativa generalizada por afectar de for­ ma excepcionalmente grave a las relaciones a las relaciones con el público en ge­ neral Probablemente causaría una publicidad negativa generalizada por afectar grave­ mente a las relaciones con otras organizaciones Probablemente causaría una publicidad negativa generalizada por afectar grave­ mente a las relaciones con el público en general Probablemente sea causa una cierta publicidad negativa por afectar negativamen­ te a las relaciones con otras organizaciones Probablemente sea causa una cierta publicidad negativa por afectar negativamen­ te a las relaciones con el público Probablemente afecte negativamente a las relaciones internas de la Organización Probablemente cause una pérdida menor de la confianza dentro de la Organización Pudiera causar una pérdida menor de la confianza dentro de la Organización no supondría daño a la reputación o buena imagen de las personas u organizacio­ nes 9.lg.adm 5. nat] Información clasificada (nacional) 10 9 8 7 6 5 4 3 2 1 10.lbl 9. Sintaxis BNF La notación se describe en el apéndice 1.0 4 1 0 4.ue] Información clasificada (Unión Europea) 10 9 8 7 6 5 4 3 10.lbl 5.ue 4.lbl 3.ue 3.ue TRES SECRET UE SECRET UE CONFIDENTIEL UE CONFIDENTIEL UE RESTREINT UE RESTREINT UE RESTREINT UE RESTREINT UE 4.lbl 1. XML Los tipos de activos cabe esperar que evolucionen en el tiempo para adaptarse a la evolución tec­ nológica.ue 6.ue 5.lbl 2.rto 4 horas < RTO < 1 día 1 día < RTO < 5 días 5 días < RTO Criterios de valoración [lbl.ue 9.lbl Secreto Reservado Confidencial Confidencial Difusión limitada Difusión limitada Difusión limitada Difusión limitada Sin clasificar Sin clasificar [lbl. criterios ::= <criteria> { criterio }* </criteria> criterio ::= <criterion code [ value ] > #texto# { criterio }* </criterion> © Ministerio de Hacienda y Administraciones Públicas página 23 (de 75) .rto 1.2.ue 8. 4.1.2.lbl 8.lbl 7.Magerit 3.ue 7. Por ello se incluye a continuación una gramática de tipo XML que permita publicar perió­ dicamente actualizaciones de los tipos antes descritos.lbl 6.rto 0.lbl 4. SP 800-60. 2003. Dorofee. http://csrc.org/octave/ • • © Ministerio de Hacienda y Administraciones Públicas página 24 (de 75) .nist. “7. “Residual Risk Assessment Method”.4. 2003. “Managing information Security Risks.0" encoding="ISO-8859-1" ?> <xsd:schema xmlns:xsd="http://www.3.w3. X es un código único para identificar el criterio.0"> <xsd:annotation> <xsd:documentation>version: magerit 3.Magerit 3. Addison Wesley. Esquema XSD <?xml version="1. June 2004. Alberts and A.2. Referencias • • CCN-STIC-803 – Esquema Nacional de Seguridad – Criterios de Valoración. http://www. 1. en relación a la tabla previa. por ejemplo.0 Atributo value code Ejemplo code=”X” Descripción Criterios de valoración value=”X” X es un índice entre 0 y 10 de valoración cualitativa de activos. NIST.2011</xsd:documentation> </xsd:annotation> <xsd:element name="criteria"> <xsd:complexType> <xsd:sequence> <xsd:element name="criterion" type="criterionType" minOccurs="0" maxOccurs="unbounded"/> </xsd:sequence> </xsd:complexType> </xsd:element> <xsd:complexType name="criterionType" mixed="true"> <xsd:sequence> <xsd:element name="criterion" type="criterionType" minOccurs="0" maxOccurs="unbounded"/> </xsd:sequence> <xsd:attribute name="code" type="xsd:string" use="required"/> <xsd:attribute name="value" type="xsd:integer"/> </xsd:complexType> </xsd:schema> 4.0 (2011)</xsd:documentation> <xsd:documentation>date: 19.html HMG. C.11. The OCTAVE Approach”.c” 4.gov/publications/nistpubs/index. “Guide for Mapping Types of Information and Information Systems to Security Categories”.cert.org/2001/XMLSchema" elementFormDefault="qualified" attributeFormDefault="unqualified" version="2.2. INFOSEC Standard No. se identificará el epígrafe. de seguridad que se pueden ver afecta­ das por este tipo de amenaza. [N.2] Daños por agua [N.PERJUICIOS OCASIONADOS POR EL AGUA © Ministerio de Hacienda y Administraciones Públicas página 25 (de 75) . Origen: Natural (accidental) 5. ordenadas de más a menos relevante Descripción: complementaria o más detallada de la amenaza: lo que le puede ocurrir a activos del tipo indi­ cado con las consecuencias indicadas 5.0 Amenazas 5. [D] disponibilidad Descripción: incendios: posibilidad de que el fuego acabe con recursos del sistema.1] Fuego [N. [D] disponibilidad Descripción: inundaciones: posibilidad de que el agua acabe con recursos del sistema. [N] Desastres naturales Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indire­ cta. [N. Ver: EBIOS: 01.1.INCENDIO 5. Amenazas Se presenta a continuación un catálogo de amenazas posibles sobre los activos de un sistema de información.1] Fuego Tipos de activos: • • • • [HW] equipos informáticos (hardware) [Media] soportes de información [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1.1.2.1.2] Daños por agua Tipos de activos: • • • • [HW] equipos informáticos (hardware) [Media] soportes de información [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1.1. Para cada amenaza se presenta un cuadro como el siguiente: [código] descripción sucinta de lo que puede pasar Tipos de activos: • que se pueden ver afectados por este ti­ po de amenazas Dimensiones: 1. Ver: EBIOS: 02 .Magerit 3. INUNDACIÓN © Ministerio de Hacienda y Administraciones Públicas página 26 (de 75) . Se excluyen desastres específicos tales como incendios (ver [N. Se excluye al personal por cuanto se ha previsto una amenaza específica [E. terremoto.*] Desastres naturales Tipos de activos: • • • • [HW] equipos informáticos (hardware) [Media] soportes de información [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1.2]). corrimiento de tierras.*] Desastres naturales [N.1]) e inundaciones (ver [N.FENÓMENO SÍSMICO 08 .1.FENÓMENO METEOROLÓGICO 10 .Magerit 3. [N.FENÓMENO CLIMÁTICO 07 . Ver: EBIOS: 03 – CONTAMINACIÓN 04 . [D] disponibilidad Descripción: otros incidentes que se producen sin intervención humana: rayo.FENÓMENO DE ORIGEN VOLCÁNICO 09 .31] para cubrir la indisponibilidad involuntaria del personal sin entrar en sus causas. ciclones..SINIESTRO MAYOR 06 .. tormenta eléctrica.3.0 Amenazas 5. avalancha. . [D] disponibilidad Descripción: incendio: posibilidad de que el fuego acabe con los recursos del sistema. Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: 02 .2.1] Fuego [I. fugas.0 Amenazas 5.2.Magerit 3. [D] disponibilidad Descripción: escapes.2. inundaciones: posibilidad de que el agua acabe con los recursos del sistema. derivados de la actividad humana de tipo indus­ trial.INCENDIO 5.2] Daños por agua [I.1. 5.2] Daños por agua Tipos de activos: • • • • [HW] equipos informáticos (hardware) [Media] soportes de información [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1. [I] De origen industrial Sucesos que pueden ocurrir de forma accidental. [I.2.PERJUICIOS OCASIONADOS POR EL AGUA © Ministerio de Hacienda y Administraciones Públicas página 27 (de 75) .1] Fuego Tipos de activos: • • • • [HW] equipos informáticos (hardware) [Media] soportes de información [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1. Estas amenazas puede darse de forma accidental o deliberada. [I. Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: 01. 4.Magerit 3. contaminación química. .3] Contaminación mecánica [I.. [I.. derrumbes. ... . para cubrir la indisponibilidad involuntaria del personal sin entrar en sus causas.*] Desastres industriales Tipos de activos: • • • • [HW] equipos informáticos (hardware) [Media] soportes de información [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1.2..1]) e inundación (ver [I.. [D] disponibilidad Descripción: otros desastres debidos a la actividad humana: explosiones. [E. [I. Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: 04 ..3. fluctuaciones eléctricas.. . .31]. Se excluyen amenazas específicas como incendio (ver [I. Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: 03 – CONTAMINACIÓN © Ministerio de Hacienda y Administraciones Públicas página 28 (de 75) .*] Desastres industriales [I.0 Amenazas 5..SINIESTRO MAYOR 5. suciedad. [D] disponibilidad Descripción: vibraciones.3] Contaminación mecánica Tipos de activos: • • • [HW] equipos informáticos (hardware) [Media] soportes de información [AUX] equipamiento auxiliar Dimensiones: 1. accidentes de tráfico.. polvo. Se excluye al personal por cuanto se ha previsto una amenaza específica.2]). sobrecarga eléctrica.2. [I. Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: 28 .0 Amenazas 5.Magerit 3. Puede ser debida a un defecto de origen o sobrevenida durante el funcionamiento del sistema.4] Contaminación electromagnética [I. . pero para las consecuencias que se derivan. En sistemas de propósito específico.FALLA DE FUNCIONAMIENTO DEL HARDWARE © Ministerio de Hacienda y Administraciones Públicas página 29 (de 75) . luz ultravioleta. a veces es difícil saber si el origen del fallo es físico o lógico.AVERÍA DEL HARDWARE 29 .6.. esta distinción no suele ser relevante.IMPULSOS ELECTROMAGNÉTICOS 5. [D] disponibilidad Descripción: fallos en los equipos y/o fallos en los programas. [I. campos magnéticos.5.5] Avería de origen físico o lógico Tipos de activos: • • • • [SW] aplicaciones (software) [HW] equipos informáticos (hardware) [Media] soportes de información [AUX] equipamiento auxiliar Dimensiones: 1.EMISIONES ELECTROMAGNÉTICAS 15.5] Avería de origen físico o lógico [I. [D] disponibilidad Descripción: interferencias de radio.2.RADIACIONES TÉRMICAS 16 .. Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: 14 .4] Contaminación electromagnética Tipos de activos: • • • [HW] equipos informáticos (hardware) [Media] soportes de información (electrónicos) [AUX] equipamiento auxiliar Dimensiones: 1.2. 8.6] Corte del suministro eléctrico Tipos de activos: • • • [HW] equipos informáticos (hardware) [Media] soportes de información (electrónicos) [AUX] equipamiento auxiliar Dimensiones: 1. exceso de humedad. [I. sea por destrucción.8] Fallo de servicios de comunicaciones [I.6] Corte del suministro eléctrico [I. [D] disponibilidad Descripción: deficiencias en la aclimatación de los locales.7] Condiciones inadecuadas de temperatura o humedad [I.2.. excediendo los márgenes de trabajo de los equipos: excesivo calor.2.8] Fallo de servicios de comunicaciones Tipos de activos: • [COM] redes de comunicaciones Dimensiones: 1.PÉRDIDA DE LOS MEDIOS DE TELECOMUNICACIÓN © Ministerio de Hacienda y Administraciones Públicas página 30 (de 75) . excesivo frío. [I.2. . Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: 13 .Magerit 3.9. detención o simple incapacidad para atender al tráfico presente. [I.. Típicamente se debe a la destruc­ ción física de los medios físicos de transporte o a la detención de los centros de conmutación.FALLAS EN LA CLIMATIZACIÓN 5.7] Condiciones inadecuadas de temperatura y/o humedad Tipos de activos: • • • [HW] equipos informáticos (hardware) [Media] soportes de información [AUX] equipamiento auxiliar Dimensiones: 1.PÉRDIDA DE SUMINISTRO DE ENERGÍA 5.0 Amenazas 5. [D] disponibilidad Descripción: cese de la alimentación de potencia Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: 12 . Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: 11. [D] disponibilidad Descripción: cese de la capacidad de transmitir datos de un sitio a otro.7. 2.10] Degradación de los soportes de almacenamiento de la informa­ ción [I.0 Amenazas 5. Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: no disponible 5.Magerit 3.11..9] Interrupción de otros servicios y suministros esenciales Tipos de activos: • [AUX] equipamiento auxiliar Dimensiones: 1. [D] disponibilidad Descripción: otros servicios o recursos de los que depende la operación de los equipos. toner.10.2. por ejemplo. refrigerante. papel para las impresoras.. . [D] disponibilidad Descripción: como consecuencia del paso del tiempo Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: 28 .10] Degradación de los soportes de almacenamiento de la información Tipos de activos: • [Media] soportes de información Dimensiones: 1.FALLA DE FUNCIONAMIENTO DEL HARDWARE © Ministerio de Hacienda y Administraciones Públicas página 31 (de 75) .9] Interrupción de otros servicios y suministros esenciales [I. [I. [I.AVERÍA DEL HARDWARE 29 . [I. Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: 17 . Prácticamente todos los dispositivos electrónicos emiten radiaciones al exterior que pudieran ser interceptadas por otros equipos (receptores de radio) derivándose una fuga de informa­ ción. nada de interés por si alguien lo captara. incorrecta pero frecuentemente.12. electromagnéticamente. Es una amenaza donde el emisor es víctima pasiva del ataque. queriendo decir que se ha diseñado para que no emita.Magerit 3.INTERCEPTACIÓN DE SEÑALES PARÁSITAS COMPROMETEDORAS © Ministerio de Hacienda y Administraciones Públicas página 32 (de 75) .11] Emanaciones electromagnéticas Tipos de activos: • • • • [HW] equipos informáticos (hardware) [Media] media [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1.11] Emanaciones electromagnéticas [I. etc. es frecuen­ te oír hablar de que un equipo disfruta de "TEMPEST protection". ataque TEMPEST (del inglés “Transient Electromagnetic Pulse Standard”). que estarán amenazadas de interceptación.0 Amenazas 5.2. No se contempla en esta amenaza la emisión por necesidades del medio de comunicación: redes inalámbricas. Abusando del significado primigenio. enlaces de microondas. [C] confidencialidad Descripción: hecho de poner vía radio datos internos a disposición de terceros. Esta amenaza se denomina. ERROR DE USO 5.3. [E. etc.0 Amenazas 5.2. [D] disponibilidad Descripción: equivocaciones de las personas cuando usan los servicios.1] Errores de los usuarios [E. 5. [I] integridad 3.ERROR DE USO © Ministerio de Hacienda y Administraciones Públicas página 33 (de 75) .2] Errores del administrador [E. [I] integridad 2.3. [C] confidencialidad 3. sino que está alineada con los ataques deliberados. [E] Errores y fallos no intencionados Fallos no intencionales causados por las personas.Magerit 3. [D] disponibilidad 2. Origen: Humano (accidental) Ver correlación de errores y amenazas. muchas veces de naturaleza similar a los errores no intencionados. La numeración no es consecutiva. [C] confidencialidad Descripción: equivocaciones de personas con responsabilidades de instalación y operación Ver: EBIOS: 38 .1] Errores de los usuarios Tipos de activos: • • • • • [D] datos / información [keys] claves criptográficas [S] servicios [SW] aplicaciones (software) [Media] soportes de información Dimensiones: 1. datos. Ver: EBIOS: 38 . difiriendo únicamente en el propósito del sujeto.2] Errores del administrador Tipos de activos: • • • • • • • [D] datos / información [keys] claves criptográficas [S] servicios [SW] aplicaciones (software) [HW] equipos informáticos (hardware) [COM] redes de comunicaciones [Media] soportes de información Dimensiones: 1.3. [E.1. 3] Errores de monitorización (log) [E.0 Amenazas 5. Acciones descoordinadas. [E. registros incompletos.5. [E. etc.4] Errores de configuración [E. [E. errores por omisión. Ver: EBIOS: no disponible © Ministerio de Hacienda y Administraciones Públicas página 34 (de 75) . Ver: EBIOS: no disponible 5..7] Deficiencias en la organización Obsoleta. [I] integridad (trazabilidad) Descripción: inadecuado registro de actividades: falta de registros.Magerit 3.3.log] registros de actividad Dimensiones: 1. [I] integridad Descripción: introducción de datos de configuración erróneos. [D] disponibilidad Descripción: cuando no está claro quién tiene que hacer exactamente qué y cuándo. Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del ad­ ministrador: privilegios de acceso.3.4. .conf] datos de configuración Dimensiones: 1. flujos de actividades. etc.3] Errores de monitorización (log) Tipos de activos: • [D. encaminamien­ to. registro de actividad.. incluyendo tomar me­ didas sobre los activos o informar a la jerarquía de gestión.3. Ver: EBIOS: no disponible 5. registros incorrec­ tamente fechados. [E. registros incorrectamente atribuidos.3.7] Deficiencias en la organización Tipos de activos: • [P] personal Dimensiones: 1.4] Errores de configuración Tipos de activos: • [D. 14] Escapes de información Obsoleta: use E.8] Difusión de software dañino Tipos de activos: • [SW] aplicaciones (software) Dimensiones: 1. Ver: EBIOS: no disponible 5. [E. acabando la información en manos de quien no se espera.3.9] Errores de [re-]encaminamiento [E. etc.10] Errores de secuencia Tipos de activos: • • • [S] servicios [SW] aplicaciones (software) [COM] redes de comunicaciones Dimensiones: 1.19. [C] confidencialidad Descripción: propagación inocente de virus. [E.10] Errores de secuencia [E. [D] disponibilidad 2. Es particularmente destacable el caso de que el error de encaminamiento suponga un error de entrega.Magerit 3.9] Errores de [re-]encaminamiento Tipos de activos: • • • [S] servicios [SW] aplicaciones (software) [COM] redes de comunicaciones Dimensiones: 1. [E.14] Escapes de información Tipos de activos: • Dimensiones: 1. troyanos.8. una ruta in­ correcta que lleve la información a donde o por donde no es debido.6. [E.0 Amenazas 5. sin que la información en sí misma se vea alterada.3. entre procesos o entre unos y otros.9. [C] confidencialidad Descripción: la información llega accidentalmente al conocimiento de personas que no deberían tener co­ nocimiento de ella. accidentalmente. gusanos.7. espías (spyware).3. [C] confidencialidad Descripción: envío de información a través de un sistema o una red usando. bombas lógicas. © Ministerio de Hacienda y Administraciones Públicas página 35 (de 75) . Ver: EBIOS: no disponible 5.3. [E. [I] integridad 3. [I] integridad Descripción: alteración accidental del orden de los mensajes transmitidos. puede tratarse de mensa­ jes entre personas. Ver: EBIOS: no disponible 5.8] Difusión de software dañino [E. 18] Destrucción de información Tipos de activos: • • • • • • • [D] datos / información [keys] claves criptográficas [S] servicios [SW] aplicaciones (SW) [COM] comunicaciones (tránsito) [Media] soportes de información [L] instalaciones Dimensiones: 1.10.11.15] Alteración accidental de la información Tipos de activos: • • • • • • • [D] datos / información [keys] claves criptográficas [S] servicios [SW] aplicaciones (SW) [COM] comunicaciones (tránsito) [Media] soportes de información [L] instalaciones Dimensiones: 1. Ver: EBIOS: no disponible 5.0 Amenazas 5.18] Destrucción de información [E. pues cuando la información está en algún soporte informático. Esta amenaza sólo se identifica sobre datos en general. [E. Ver: EBIOS: no disponible © Ministerio de Hacienda y Administraciones Públicas página 36 (de 75) . [I] integridad Descripción: alteración accidental de la información.3. Esta amenaza sólo se identifica sobre datos en general. [E.15] Alteración accidental de la información [E. pues cuando la información está en algún soporte informático. [D] disponibilidad Descripción: pérdida accidental de información.3. hay amenazas específicas.Magerit 3. hay amenazas específicas. Ver: EBIOS: no disponible 5.0 Amenazas 5.19] Fugas de información [E. [D] disponibilidad 3.19] Fugas de información Tipos de activos: • • • • • • • • [D] datos / información [keys] claves criptográficas [S] servicios [SW] aplicaciones (SW) [COM] comunicaciones (tránsito) [Media] soportes de información [L] instalaciones [P] personal (revelación) Dimensiones: 1.PERJUICIO A LA MANTENIBILIDAD DEL SISTEMA DE INFORMACIÓN © Ministerio de Hacienda y Administraciones Públicas página 37 (de 75) . Incontinencia verbal. medios electrónicos.20] Vulnerabilidades de los programas (software) Tipos de activos: • [SW] aplicaciones (software) Dimensiones: 1. [I] integridad 2. [E.3.12.13. etc. Ver: EBIOS: no disponible 5. [E. [I] integridad 2.20] Vulnerabilidades de los programas (software) [E. soporte papel. [C] confidencialidad Descripción: defectos en el código que dan pie a una operación defectuosa sin intención por parte del usuario pero con consecuencias sobre la integridad de los datos o la capacidad misma de operar.3. [D] disponibilidad Descripción: defectos en los procedimientos o controles de actualización del código que permiten que sigan utilizándose programas con defectos conocidos y reparados por el fabricante.21] Errores de mantenimiento / actualización de programas (softwa­ re) [E. [E.21] Errores de mantenimiento / actualización de programas (software) Tipos de activos: • [SW] aplicaciones (software) Dimensiones: 1.3.Magerit 3.FALLA DE FUNCIONAMIENTO DEL SOFTWARE 32 . Ver: EBIOS: 31 .14. [C] confidencialidad Descripción: revelación por indiscreción. es decir una indisponibilidad. [D] disponibilidad Descripción: defectos en los procedimientos o controles de actualización de los equipos que permiten que sigan utilizándose más allá del tiempo nominal de uso. [E.RECUPERACIÓN DE SOPORTES RECICLADOS O DESECHADOS © Ministerio de Hacienda y Administraciones Públicas página 38 (de 75) .Magerit 3. Se puede perder todo tipo de equipamiento.17.15. [E. En el caso de equipos que hospedan datos.24] Caída del sistema por agotamiento de recursos [E.23] Errores de mantenimiento / actualización de equipos (hardware) [E.16.25] Robo Tipos de activos: • • • [HW] equipos informáticos (hardware) [Media] soportes de información [AUX] equipamiento auxiliar Dimensiones: 1. Ver: EBIOS: 32 .25] Pérdida de equipos [E. además se puede sufrir una fuga de información. [D] disponibilidad Descripción: la carencia de recursos suficientes provoca la caída del sistema cuando la carga de trabajo es desmesurada.3. [D] disponibilidad 2.3. Ver: EBIOS: 30 . [C] confidencialidad Descripción: la pérdida de equipos provoca directamente la carencia de un medio para prestar los servi­ cios.PERJUICIO A LA MANTENIBILIDAD DEL SISTEMA DE INFORMACIÓN 5.23] Errores de mantenimiento / actualización de equipos (hardware) Tipos de activos: • • • [HW] equipos informáticos (hardware) [Media] soportes electrónicos [AUX] equipamiento auxiliar Dimensiones: 1. [E. Ver: EBIOS: 22 .SATURACIÓN DEL SISTEMA INFORMÁTICO 5.3.0 Amenazas 5. siendo la pérdida de equipos y soportes de infor­ mación los más habituales.24] Caída del sistema por agotamiento de recursos Tipos de activos: • • • [S] servicios [HW] equipos informáticos (hardware) [COM] redes de comunicaciones Dimensiones: 1. .DAÑO A LA DISPONIBILIDAD DEL PERSONAL © Ministerio de Hacienda y Administraciones Públicas página 39 (de 75) . [D] disponibilidad Descripción: ausencia accidental del puesto de trabajo: enfermedad. Ver: EBIOS: 42 . guerra bacteriológica.0 Amenazas 5. alteraciones del orden público..3.28] Indisponibilidad del personal [E. .Magerit 3.28] Indisponibilidad del personal Tipos de activos: • [P] personal interno Dimensiones: 1.18. [E. La numeración no es consecutiva para coordinarla con los errores no intencionados. [I] integridad (trazabilidad) Descripción: Ver: EBIOS: no disponible 5.log] registros de actividad Dimensiones: 1.4. muchas ve­ ces de naturaleza similar a los ataques deliberados. [A] Ataques intencionados Fallos deliberados causados por las personas. registro de actividad.Magerit 3. Origen: Humano (deliberado) Ver correlación de errores y amenazas. flujos de actividades. [A. difiriendo únicamente en el propósito del suje­ to. [A.0 Amenazas 5. etc.4] Manipulación de la configuración Tipos de activos: • [D. [C] confidencialidad 3.4] Manipulación de los registros de actividad (log) Tipos de activos: • [D. Ver: EBIOS: no disponible © Ministerio de Hacienda y Administraciones Públicas página 40 (de 75) . 5. [A] disponibilidad Descripción: prácticamente todos los activos dependen de su configuración y ésta de la diligencia del ad­ ministrador: privilegios de acceso. encaminamien­ to.4] Manipulación de la configuración [A.4.3] Manipulación de los registros de actividad (log) [A.4. [I] integridad 2.log] registros de actividad Dimensiones: 1.1.2. 7] Uso no previsto [A. programas personales. [C] confidencialidad 2.4. bases de datos personales. Ver: EBIOS: no disponible página 41 (de 75) © Ministerio de Hacienda y Administraciones Públicas .3.Magerit 3. [I] integridad 3. [D] disponibilidad Descripción: cada usuario disfruta de un nivel de privilegios para un determinado propósito. disfruta de los privile­ gios de este para sus fines propios. hay problemas. por personas ajenas a la Organiza­ ción o por personal contratado temporalmente.7] Uso no previsto Tipos de activos: • • • • • • • [S] servicios [SW] aplicaciones (software) [HW] equipos informáticos (hardware) [COM] redes de comunicaciones [Media] soportes de información [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1.4. [D] disponibilidad [C] confidencialidad [I] integridad Descripción: utilización de los recursos del sistema para fines no previstos. [A.ABUSO DE DERECHO 5. [A. [A. 3. almacenamiento de datos personales.6] Abuso de privilegios de acceso [A.5] Suplantación de la identidad del usuario Tipos de activos: • • • • • [D] datos / información [keys] claves criptográficas [S] servicios [SW] aplicaciones (software) [COM] redes de comunicaciones Dimensiones: 1. cuando un usuario abusa de su nivel de privilegios para realizar tareas que no son de su competencia. consultas personales en Internet.5] Suplantación de la identidad del usuario [A.0 Amenazas 5. típicamente de interés personal: juegos. 2. Esta amenaza puede ser perpetrada por personal interno. Ver: EBIOS: 39 .USURPACIÓN DE DERECHO 5.6] Abuso de privilegios de acceso Tipos de activos: • • • • • • [D] datos / información [keys] claves criptográficas [S] servicios [SW] aplicaciones (software) [HW] equipos informáticos (hardware) [COM] redes de comunicaciones Dimensiones: 1. [I] integridad Descripción: cuando un atacante consigue hacerse pasar por un usuario autorizado. [C] confidencialidad 2.4.5. [A] autenticidad 3. Ver: EBIOS: 40 .4. etc. [I] integridad Descripción: alteración del orden de los mensajes transmitidos.4.4. Con ánimo de que el nuevo orden altere el significado del conjunto de mensajes.0 Amenazas 5.7. Es particularmente destacable el caso de que el ataque de encaminamiento lleve a una entre­ ga fraudulenta. [A. gusanos.9] [Re-]encaminamiento de mensajes Tipos de activos: • • • [S] servicios [SW] aplicaciones (software) [COM] redes de comunicaciones Dimensiones: 1. Un atacante puede forzar un mensaje para circular a través de un nodo determinado de la red donde puede ser interceptado. espías (spyware).8. Ver: EBIOS: 36 . Ver: EBIOS: no disponible 5.9] [Re-]encaminamiento de mensajes [A.10] Alteración de secuencia Tipos de activos: • • • [S] servicios [SW] aplicaciones (software) [COM] redes de comunicaciones Dimensiones: 1. bombas lógicas. troyanos. que llevan la información a donde o por donde no es debido. puede tratarse de mensajes entre personas. [C] confidencialidad Descripción: envío de información a un destino incorrecto a través de un sistema o una red. [A.ALTERACIÓN DE DATOS © Ministerio de Hacienda y Administraciones Públicas página 42 (de 75) . entre procesos o entre unos y otros. acabando la información en manos de quien no debe.6.8] Difusión de software dañino Tipos de activos: • [SW] aplicaciones (software) Dimensiones: 1.10] Alteración de secuencia [A. etc. perjudicando a la integridad de los datos afectados. 3. Ver: EBIOS: no disponible 5. [A. [D] disponibilidad [I] integridad [C] confidencialidad Descripción: propagación intencionada de virus.8] Difusión de software dañino [A.4. 2.Magerit 3. 12] Análisis de tráfico Tipos de activos: • [COM] redes de comunicaciones Dimensiones: 1.13] Repudio Tipos de activos: • • [S] servicios [D. Ver: EBIOS: no disponible 5.USO ILÍCITO DEL HARDWARE 5. [A. [I] integridad (trazabilidad) Descripción: negación a posteriori de actuaciones o compromisos adquiridos en el pasado. Repudio de origen: negación de ser el remitente u origen de un mensaje o comunicación.12] Análisis de tráfico [A.4. Ver: EBIOS: 41 .11.Magerit 3. volumen y frecuencia de los in­ tercambios.11] Acceso no autorizado Tipos de activos: • • • • • • • • • [D] datos / información [keys] claves criptográficas [S] servicios [SW] aplicaciones (software) [HW] equipos informáticos (hardware) [COM] redes de comunicaciones [Media] soportes de información [AUX] equipamiento auxiliar [L] instalaciones Dim1nsiones: 1.10. [A.11] Acceso no autorizado [A. es capaz de extraer conclusiones a partir del análisis del origen. típi­ camente aprovechando un fallo del sistema de identificación y autorización. [I] integridad Descripción: el atacante consigue acceder a los recursos del sistema sin tener autorización para ello.9. Repudio de entrega: negación de haber recibido un mensaje para su entrega a otro. A veces se denomina “monitorización de tráfico”.4.log] registros de actividad Dimensiones: 1. sin necesidad de entrar a analizar el contenido de las comunicaciones. [C] confidencialidad 2. Ver: EBIOS: 33 .4.0 Amenazas 5. destino. [A. Repudio de recepción: negación de haber recibido un mensaje o comunicación. [C] confidencialidad Descripción: el atacante.NEGACIÓN DE ACCIONES © Ministerio de Hacienda y Administraciones Públicas página 43 (de 75) .13] Repudio [A. ESCUCHA PASIVA 5. Ver: EBIOS: no disponible © Ministerio de Hacienda y Administraciones Públicas página 44 (de 75) .0 Amenazas 5. [C] confidencialidad Descripción: el atacante llega a tener acceso a información que no le corresponde.15] Modificación deliberada de la información Tipos de activos: • • • • • • • [D] datos / información [keys] claves criptográficas [S] servicios (acceso) [SW] aplicaciones (SW) [COM] comunicaciones (tránsito) [Media] soportes de información [L] instalaciones Dimensiones: 1.18] Destrucción de información Tipos de activos: • • • • • • [D] datos / información [keys] claves criptográficas [S] servicios (acceso) [SW] aplicaciones (SW) [Media] soportes de información [L] instalaciones Dimensiones: 1. [D] disponibilidad Descripción: eliminación intencional de información. [A. [A. Ver: EBIOS: 19 . con ánimo de obtener un beneficio o causar un perjui­ cio.14] Interceptación de información (escucha) Tipos de activos: • [COM] redes de comunicaciones Dimensiones: 1. con ánimo de obtener un beneficio o causar un perjui­ cio.4.Magerit 3.13.14] Interceptación de información (escucha) [A.12.18] Destrucción de información [A.15] Modificación deliberada de la información [A. sin que la información en sí misma se vea alterada. Ver: EBIOS: no disponible 5. [A.14. [I] integridad Descripción: alteración intencional de la información.4.4. [C] confidencialidad Descripción: revelación de información. [C] confidencialidad 2. [A.SABOTAJE DEL HARDWARE © Ministerio de Hacienda y Administraciones Públicas página 45 (de 75) . [C] confidencialidad 2. persiguiendo un beneficio indi­ recto cuando una persona autorizada lo utiliza. [A.22] Manipulación de los equipos Tipos de activos: • • • [HW] equipos [Media] soportes de información [AUX] equipamiento auxiliar Dimensiones: 1. [I] integridad 3. Ver: EBIOS: 26 . [A.4. Ver: EBIOS: 23 – DIVULGACIÓN 27 – GEOLOCALIZACIÓN 34 .16.19] Revelación de información Tipos de activos: • • • • • • • [D] datos / información [keys] claves criptográficas [S] servicios (acceso) [SW] aplicaciones (SW) [COM] comunicaciones (tránsito) [Media] soportes de información [L] instalaciones Dimensiones: 1.23] Manipulación de los equipos [A. [D] disponibilidad Descripción: alteración intencionada del funcionamiento de los programas.ALTERACIÓN DE PROGRAMAS 5.0 Amenazas 5.22] Manipulación de programas Tipos de activos: • [SW] aplicaciones (software) Dimensiones: 1. Ver: EBIOS: 25 .4.15. [D] disponibilidad Descripción: alteración intencionada del funcionamiento de los programas.Magerit 3.COPIA ILEGAL DE SOFTWARE 5.4.19] Divulgación de información [A.17. persiguiendo un beneficio indi­ recto cuando una persona autorizada lo utiliza.22] Manipulación de programas [A. además se puede sufrir una fuga de información. siendo el robo de equipos y el robo de so­ portes de información los más habituales. lo que establece diferentes grados de facilidad para acceder al objeto sustraído y diferentes consecuencias.19. [D] disponibilidad Descripción: vandalismo.Magerit 3. [A.25] Robo Tipos de activos: • • • [HW] equipos informáticos (hardware) [Media] soportes de información [AUX] equipamiento auxiliar Dimensiones: 3.26] Ataque destructivo [A. terrorismo.24] Denegación de servicio [A. [A.24] Denegación de servicio Tipos de activos: • • • [S] servicios [HW] equipos informáticos (hardware) [COM] redes de comunicaciones Dimensiones: 1.4.ROBO DE SOPORTES O DOCUMENTOS 21 ..ROBO DE HARDWARE 5.4. personas ajenas a la Organización o personas con­ tratadas de forma temporal. Esta amenaza puede ser perpetrada por personal interno. En el caso de equipos que hospedan datos. .4. Ver: EBIOS: 05 . El robo puede realizarlo personal interno. El robo puede afectar a todo tipo de equipamiento.DESTRUCCIÓN DE HARDWARE O DE SOPORTES © Ministerio de Hacienda y Administraciones Públicas página 46 (de 75) . Ver: EBIOS: 20 .20.26] Ataque destructivo Tipos de activos: • • • • [HW] equipos informáticos (hardware) [Media] soportes de información [AUX] equipamiento auxiliar [L] instalaciones Dimensiones: 1.. [A. [D] disponibilidad Descripción: la carencia de recursos suficientes provoca la caída del sistema cuando la carga de trabajo es desmesurada.25] Robo [A.SATURACIÓN DEL SISTEMA INFORMÁTICO 5. [D] disponibilidad 4.0 Amenazas 5. acción militar. es decir una indisponibilidad. Ver: EBIOS: 30 .18. [C] confidencialidad Descripción: la sustracción de equipamiento provoca directamente la carencia de un medio para prestar los servicios. por personas ajenas a la Organiza­ ción o por personas contratadas de forma temporal. Ver: EBIOS: no disponible 5.27] Ocupación enemiga Tipos de activos: • [L] instalaciones Dimensiones: 1.29] Extorsión [A.4.22. [D] disponibilidad Descripción: presión que.DAÑO A LA DISPONIBILIDAD DEL PERSONAL 5.24. Ver: EBIOS: 42 . [A.4. Ver: EBIOS: no disponible 5. ..Magerit 3.21.30] Ingeniería social (picaresca) Tipos de activos: • [P] personal interno Dimensiones: 1.23.29] Extorsión Tipos de activos: • [P] personal interno Dimensiones: 1.4.27] Ocupación enemiga [A. bajas no justifi­ cadas. [A. [I] integridad 3. absentismo laboral..0 Amenazas 5.30] Ingeniería social (picaresca) [A.4.28] Indisponibilidad del personal Tipos de activos: • [P] personal interno Dimensiones: 1. bloqueo de los accesos. Ver: EBIOS: no disponible © Ministerio de Hacienda y Administraciones Públicas página 47 (de 75) . se ejerce sobre alguien para obligarle a obrar en determi­ nado sentido. [A. mediante amenazas. [I] integridad 3. [D] disponibilidad Descripción: abuso de la buena fe de las personas para que realicen actividades que interesan a un terce­ ro. [D] disponibilidad 2. [D] disponibilidad Descripción: ausencia deliberada del puesto de trabajo: como huelgas. [C] confidencialidad 2. [C] confidencialidad 2. [C] confidencialidad Descripción: cuando los locales han sido invadidos y se carece de control sobre los propios medios de tra­ bajo. [A.28] Indisponibilidad del personal [A. nunca ataques deliberados amenazas que nunca son errores: siempre son ataques deliberados amenazas que pueden producirse tanto por error como deliberadamente Para afrontar esta casuística. Correlación de errores y ataques Errores y amenazas constituyen frecuentemente las dos caras de la misma moneda: algo que le puede pasar a los activos sin animosidad o deliberadamente.Magerit 3. errores y amenazas se han numerado de tal manera que pueda es­ tablecerse este paralelismo. Se pueden dar hasta tres combina­ ciones: • • • amenazas que sólo pueden ser errores.0 Amenazas 5.5. La siguiente tabla alinea errores con ataques mostrando cómo se co­ rrelacionan: número 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 18 19 20 21 22 23 24 25 26 27 28 29 30 © Ministerio de Hacienda y Administraciones Públicas Indisponibilidad del personal Escapes de información Alteración accidental de la información Destrucción de información Fugas de información Vulnerabilidades de los programas (soft­ ware) Errores de mantenimiento / actualización de programas (software) Manipulación de programas Errores de mantenimiento / actualización Manipulación de los equipos de equipos (hardware) Caída del sistema por agotamiento de Denegación de servicio recursos Pérdida de equipos Robo Ataque destructivo Ocupación enemiga Indisponibilidad del personal Extorsión Ingeniería social (picaresca) página 48 (de 75) Deficiencias en la organización Difusión de software dañino Errores de [re-]encaminamiento Errores de secuencia error Errores de los usuarios Errores del administrador Errores de monitorización (log) Errores de configuración Manipulación de los registros de actividad Manipulación de la configuración Suplantación de la identidad del usuario Abuso de privilegios de acceso Uso no previsto Difusión de software dañino [Re-]encaminamiento de mensajes Alteración de secuencia Acceso no autorizado Análisis de tráfico Repudio Interceptación de información (escucha) Modificación deliberada de la información Destrucción de información Revelación de información ataque . 2011</xsd:documentation> </xsd:annotation> <xsd:element name="magerit-extension"> <xsd:complexType> © Ministerio de Hacienda y Administraciones Públicas página 49 (de 75) . Esquema XSD <?xml version="1. indicando que las nuevas ame­ nazas son refinamientos de X. Sintaxis BNF La notación se describe en el apéndice 1. 5. <magerit-extension> { amenazas }* </magerit-extension> amenazas ::= <threats under > { amenaza }* </ threats> amenaza ::= <threat code [ tho ] [ thc ]> #name# [ descripción ] { amenaza }* </threat> descripción ::= <description> #texto# </description> Atributo under code tho Ejemplo under=”X” code=”X” tho=”H” Descripción X identifica una amenaza ya definida.6. Nuevas amenazas: XML Los amenazas cabe esperar que evolucionen en el tiempo para adaptarse a la evolución tecnoló­ gica.org/2001/XMLSchema" elementFormDefault="qualified" attributeFormDefault="unqualified" version="2.w3.Magerit 3.0 Amenazas 5.0 (2011)</xsd:documentation> <xsd:documentation>date: 19.0"> <xsd:annotation> <xsd:documentation>version: magerit 3.2.6.11.Deliberada thc thc=”D” 5.0" encoding="ISO-8859-1" ?> <xsd:schema xmlns:xsd="http://www. Por ello se incluye a continuación una gramática de tipo XML que permita publicar periódi­ camente actualizaciones de las amenazas antes descritas.Humano Causa. Origen (agente causante) de la amenaza. Puede ser A – Accidental D .1. X es un identificador único que permite determinar unívocamente a qué amenaza se refiere. Puede ser N – Natural E – Entorno industrial H .6. 7.0 <xsd:sequence> <xsd:element name="threats" type="threatsType" minOccurs="0" maxOccurs="unbounded"/> </xsd:sequence> </xsd:complexType> </xsd:element> <xsd:complexType name="threatsType" mixed="true"> <xsd:sequence> <xsd:element name="threat" type="threatType" minOccurs="0" maxOccurs="unbounded"/> </xsd:sequence> <xsd:attribute name="under" type="xsd:string" use="required"/> </xsd:complexType> <xsd:complexType name="threatType" mixed="true"> <xsd:sequence> <xsd:element name="description" type="xsd:string" minOccurs="0"/> <xsd:element name="threat" type="threatType" minOccurs="0" maxOccurs="unbounded"/> </xsd:sequence> <xsd:attribute name="code" type="xsd:string" use="required"/> <xsd:attribute name="tho" type="threatOrigin"/> <xsd:attribute name="thc" type="threatCause"/> </xsd:complexType> <xsd:simpleType name="threatOrigin"> <xsd:restriction base="xsd:string"> <xsd:enumeration value="N"/> <xsd:enumeration value="E"/> <xsd:enumeration value="H"/> </xsd:restriction> </xsd:simpleType> <xsd:simpleType name="threatCause"> <xsd:restriction base="xsd:string"> <xsd:enumeration value="A"/> <xsd:enumeration value="D"/> </xsd:restriction> </xsd:simpleType> </xsd:schema> Amenazas 5. Sintaxis BNF La notación se describe en el apéndice 1. Nivel de la amenaza: XML Para que una fuente de información pueda proporcionar datos de inteligencia sobre la probabi­ lidad de que una amenaza se materialice sobre un cierto tipo de activos. <threat_announcement> { nivel_de_amenaza }* </ threat_announcement > nivel_de_amenaza ::= <tip class threat level > [ descripción ] </tip> descripción ::= <description> #texto# </description> © Ministerio de Hacienda y Administraciones Públicas página 50 (de 75) . 5.7.1.Magerit 3. Esquema XSD <?xml version="1.0 (2011)</xsd:documentation> <xsd:documentation>date: 19.0" encoding="ISO-8859-1" ?> <xsd:schema xmlns:xsd="http://www.0 Atributo class threat level Ejemplo class=”C” threat=”T” level=”A” Descripción C identifica por su código a un tipo ya conocido de activos. Nivel de la amenaza. Referencias Existen numerosas fuentes que catalogan amenazas dentro del ámbito de las tecnologías de la información y las comunicaciones.8.2011</xsd:documentation> </xsd:annotation> <xsd:element name="threat-announcement"> <xsd:complexType> <xsd:sequence> <xsd:element name="tip" type="tipType" minOccurs="0" maxOccurs="unbounded"/> </xsd:sequence> </xsd:complexType> </xsd:element> <xsd:complexType name="tipType" mixed="true"> <xsd:sequence> <xsd:element name="description" type="xsd:string" minOccurs="0"/> </xsd:sequence> <xsd:attribute name="asset" type="xsd:string" use="required"/> <xsd:attribute name="threat" type="xsd:string" use="required"/> <xsd:attribute name="level" type="levelType" use="required"/> </xsd:complexType> <xsd:simpleType name="levelType"> <xsd:restriction base="xsd:string"> <xsd:enumeration value="VR"/> <xsd:enumeration value="U"/> <xsd:enumeration value="P"/> <xsd:enumeration value="VH"/> <xsd:enumeration value="AC"/> </xsd:restriction> </xsd:simpleType> </xsd:schema> 5. • ISO/IEC 27005 • EBIOS © Ministerio de Hacienda y Administraciones Públicas página 51 (de 75) .0"> <xsd:annotation> <xsd:documentation>version: magerit 3.w3.2.org/2001/XMLSchema" elementFormDefault="qualified" attributeFormDefault="unqualified" version="2.7.11.Magerit 3. Puede ser VR – muy raro (very rare) U – improbable (unlikely) P – posible (possible) VH – probable (very high) AC – prácticamente segura (almost certain) Amenazas 5. T identifica por su código a una amenaza ya conocida. http://www. Germany. 1st edition (July 9. Alberts and A.0 • Amenazas IT Baseline Protection Manual. Federal Office for Information Security (BSI). C. Addison-Wesley Pub Co.org/octave/ • © Ministerio de Hacienda y Administraciones Públicas página 52 (de 75) .bsi. 2002) http://www.Magerit 3.J.cert.de/gshb/english/etc/index. Oc­ tober 2003.htm Managing Information Security Risks: The OCTAVE Approach. Doro­ fee.J. limitándose a establecer un paraguas taxonómico para ordenar y clasificar las dife­ rentes concreciones materiales.0 Salvaguardas 6.tools.HP H.IR H.Magerit 3.1.SFV H..TM H. porque van desapareciendo tecnologías antiguas.tools.LA H. 6. En consecuencia.tools.DLP H.VA H.tools.tools. especialmente las técnicas.AV H. organizativas y procedimentales que sean de apli­ cación en cada momento. Salvaguardas Las salvaguardas permiten hacer frente a las amenazas.tools.IDS H.tools.tools.ST H.tools H.IA H. Protecciones generales u horizontales H H.AC H. porque cambian los [tipos de] activos a considerar. varían con el avance tecnológico • • • • • porque aparecen tecnologías nuevas. tecnológicas.VM H. Las salvaguardas.CC H.tools. este catálogo de salvaguardas no entra en la selección de paquetes o produc­ tos a instalar. porque evolucionan las posibilidades de los atacantes o porque evoluciona el catálogo de salvaguardas disponibles.AU Protecciones Generales Identificación y autenticación Control de acceso lógico Segregación de tareas Gestión de incidencias Herramientas de seguridad Herramienta contra código dañino IDS/IPS: Herramienta de detección / prevención de intrusión Herramienta de chequeo de configuración Herramienta de análisis de vulnerabilidades Herramienta de monitorización de tráfico DLP: Herramienta de monitorización de contenidos Herramienta para análisis de logs Honey net / honey pot Verificación de las funciones de seguridad Gestión de vulnerabilidades Registro y auditoría © Ministerio de Hacienda y Administraciones Públicas página 53 (de 75) . op S.dir S.A SW. Protección de las claves criptográficas K K.DS D.CM S.disk K.end S.SC S.509 Gestión de claves criptográficas Gestión de claves de cifra de información Gestión de claves de firma de información Gestión de claves para contenedores criptográficos Gestión de claves de comunicaciones Gestión de certificados 6.end Protección de las Aplicaciones Informáticas Copias de seguridad (backup) Puesta en producción Se aplican perfiles de seguridad Explotación / Producción Cambios (actualizaciones y mantenimiento) Terminación página 54 (de 75) © Ministerio de Hacienda y Administraciones Públicas .A S. Protección de los servicios S S.Magerit 3. Protección de los datos / información D D.0 Salvaguardas 6.SC SW. Protección de las aplicaciones (software) SW SW.4.comms K.TW S.op SW.dns S.DS K.3.start S.start SW.www S.C D.TS Protección de la Información Copias de seguridad de los datos (backup) Aseguramiento de la integridad Cifrado de la información Uso de firmas electrónicas Uso de servicios de fechado electrónico (time stamping) 6.CM SW.voip Protección de los Servicios Aseguramiento de la disponibilidad Aceptación y puesta en operación Se aplican perfiles de seguridad Explotación Gestión de cambios (mejoras y sustituciones) Terminación Protección de servicios y aplicaciones web Protección del correo electrónico Protección del directorio Protección del servidor de nombres de dominio (DNS) Teletrabajo Voz sobre IP 6.2.IC K.I D.5.email S.A D. Protección de las comunicaciones COM COM.Magerit 3.A HW.DS Protección de las Comunicaciones Entrada en servicio Se aplican perfiles de seguridad Aseguramiento de la disponibilidad Autenticación del canal Protección de la integridad de los datos intercambiados Protección criptográfica de la confidencialidad de los datos intercambiados Operación Cambios (actualizaciones y mantenimiento) Terminación Internet: uso de ? acceso a Seguridad Wireless (WiFi) Telefonía móvil Segregación de las redes en dominios 6.IC Protección de los Soportes de Información Aseguramiento de la disponibilidad Protección criptográfica del contenido página 55 (de 75) © Ministerio de Hacienda y Administraciones Públicas .op COM. Protección de los soportes de información MP MP.9.C COM.A COM. Protección en los puntos de interconexión con otros sistemas IP IP.6.7.pabx Protección de los Equipos Informáticos Puesta en producción Se aplican perfiles de seguridad Aseguramiento de la disponibilidad Operación Cambios (actualizaciones y mantenimiento) Terminación Informática móvil Reproducción de documentos Protección de la centralita telefónica (PABX) 6.aut COM.op HW.BS Puntos de interconexión: conexiones entre zonas de confianza Sistema de protección perimetral Protección de los equipos de frontera 6.internet COM.start COM.end HW.0 Salvaguardas 6.CM COM.8.SPP IP.I COM. Protección de los equipos (hardware) HW HW.end COM.mobile COM.SC COM.wifi COM.print HW.SC HW.A MP.PCD HW.start HW.CM HW. AC L. Seguridad física – Protección de las instalaciones L L.12.end Protección de las Instalaciones Diseño Defensa en profundidad Control de los accesos físicos Aseguramiento de la disponibilidad Terminación 6.11. Continuidad de operaciones Prevención y reacción frente a desastres.BIA BC.A AUX.wires Elementos Auxiliares Aseguramiento de la disponibilidad Instalación Suministro eléctrico Climatización Protección del cableado 6. Protección de los elementos auxiliares AUX AUX. PS PS.design L.RM G.exam Organización Gestión de riesgos Planificación de la seguridad Inspecciones de seguridad 6. G G.A Gestión del Personal Formación y concienciación Aseguramiento de la disponibilidad 6.10.DRP Continuidad del negocio Análisis de impacto (BIA) Plan de Recuperación de Desastres (DRP) página 56 (de 75) © Ministerio de Hacienda y Administraciones Públicas .14.clean MP.end Limpieza de contenidos Destrucción de soportes Salvaguardas 6.power AUX. Salvaguardas de tipo organizativo Son aquellas que se refieren al buen gobierno de la seguridad. BC BC.13.AT PS.0 MP.plan G.AC AUX.A L.depth L.Magerit 3. Salvaguardas relativas al personal Son aquellas que se refieren a las personas que tienen relación con el sistema de información.start AUX. 15.3 E.17.es/ ISO JTC 71/SC 27 Numerosas guías producidas por ISO concretan medidas de seguridad.de/gshb/english/etc/index.0 Salvaguardas 6. Consulte el catálogo del comité 71 "TECNOLOGÍA DE LA INFORMACIÓN".ccn-cert.2 E.S NEW.SW NEW. Ver [ISO 15408].cni.Magerit 3. si la confidencialidad es un valor Identificación y calificación del personal encargado Procedimientos de escalado y resolución de incidencias Procedimiento de terminación (duración en el tiempo de las responsabilidades asumidas) Asunción de responsabilidades y penalizaciones por incumplimiento Relaciones Externas Acuerdos para intercambio de información y software Acceso externo Servicios proporcionados por otras organizaciones Personal subcontratado E E. En estos casos es fundamental cerrar los aspectos de re­ lación contractual: • • • • • • SLA: nivel de servicio. “IT Baseline Protection Manual”.HW NEW. Externalización Es cada vez más flexible la frontera entre los servicios de seguridad prestados internamente y los servicios contratados a terceras partes.MP NEW. http://www. © Ministerio de Hacienda y Administraciones Públicas página 57 (de 75) .htm CC Comon Criteria.16. Guías CCN-STIC https://www. si la disponibilidad es un valor NDA: compromiso de secreto. Referencias BSI Federal Office for Information Security (BSI). October 2003.bsi. Adquisición y desarrollo NEW NEW.4 6.COM NEW. Germany. subcomité SC 27 "TÉCNICAS DE SE­ GURIDAD".1 E.C Adquisición / desarrollo Servicios: Adquisición o desarrollo Aplicaciones: Adquisición o desarrollo Equipos: Adquisición o desarrollo Comunicaciones: Adquisición o contratación Soportes de Información: Adquisición Productos certificados o acreditados 6. ISO 27002 ISO/IEC 27002:2005. special publication SP 800-53 Rev. UNE-ISO/IEC 27002:2009. de 13 de diciembre. de 21 de diciembre.3. “Information technology — Security techniques — Evaluation criteria for IT security”. “Recommended Security Controls for Federal Information Systems”. “Information technology — Security techniques — Code of practice for in­ formation security management”. RD 1720/2007 Real Decreto 1720/2007. por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. RD 3/2010 Real Decreto 3/2010. National Institute of Standards and Technology. Código de Buenas Prácticas de la Gestión de la Seguridad de la Información”. de protección de datos de carácter perso­ nal. “Tecnología de la Información.Magerit 3.0 Salvaguardas ISO 15408 ISO/IEC 15408:2009. por el que se aprueba el Reglamento de desarro­ llo de la Ley Orgánica 15/1999. Aug. 2009. de 8 de enero. © Ministerio de Hacienda y Administraciones Públicas página 58 (de 75) . NIST 800-53 NIST. ] denota que es opcional (0 o 1) #texto# es contenido literal: un nombre o una descripción lo demás es obligatorio 4 BNF: Backus-Naur Form... © Ministerio de Hacienda y Administraciones Públicas página 59 (de 75) . o bien ser a su vez desarrollado mediante nuevas reglas de producción.. }+ denota que hay 1 o más | denota que son alternativas [.. }* denota que hay 0 o más { .. El lado derecho puede explicitar términos finales. Una gramática BNF consiste en una serie de reglas de producción.. Es una forma de representar la gramática de un lenguaje.Magerit 3. donde el lado izquierdo se materializa en lo que se indica en el lado derecho. Notación XML Las descripciones de formatos XML se ajustan a la siguiente notación de tipo BNF 4: • • • • • • • • las etiquetas XML se muestran como tales los atributos XML se explican en la sección “atributos” { .0 Notación XML Apéndice 1. 1.1. típicamente en las siguientes dimensiones de seguridad: [I] integridad [C] confidencialidad [A] autenticidad de los datos [T] trazabilidad de los datos. [info] Activos esenciales: información [info] Información código: descripción: nombre: propietario: responsable: tipo (marque todos los adjetivos que procedan) Ver Sección 2. del tipo que corresponda. Reproduzca las fichas siguientes. Fichas Las siguientes secciones proporciona fichas para la captura de datos en un proyecto de análisis y gestión de riesgos.0 Fichas Apéndice 2.Magerit 3. Valoración de la información. quién ha modificado qué Valoración dimensión [I] [C] [A] [T] Las dependencias normalmente identifican servicios y personas que manejan esta información: valor justificación Dependencias de activos inferiores (hijos) activo: grado: © Ministerio de Hacienda y Administraciones Públicas página 60 (de 75) . una por activo. A2. Valoración de los servicios que ofrece la Organización a otros. soportes de información (media). personas a cargo del servicio. equipos (hw). cuándo y que hace Valoración dimensión [D] [A] [T] Las dependencias normalmente identifican equipamiento desplegado para prestar este servicio:      aplicaciones (sw). típicamente en las siguientes di­ mensiones: [D] disponibilidad [A] autenticidad de quién accede al servicio [T] trazabilidad de quién accede al servicio.Magerit 3. etc.2.0 Dependencias de activos inferiores (hijos) ¿por qué?: activo: ¿por qué?: activo: ¿por qué?: grado: grado: Fichas A2.1. página 61 (de 75) valor justificación © Ministerio de Hacienda y Administraciones Públicas . [service] Activos esenciales: Servicio [service] Servicio código: descripción: nombre: responsable: tipo (marque todos los adjetivos que procedan) Ver Sección 2. equipos de comunicaciones. 3.0 Fichas Dependencias de activos inferiores (hijos) activo: ¿por qué?: activo: ¿por qué?: activo: ¿por qué?: grado: grado: grado: A2. Las dependencias normalmente identifican     equipos que los hospedan líneas de comunicación por las que se transfieren soportes de información personas relacionadas: usuarios. [D] Datos / Información [D] Datos / Información código: descripción: nombre: responsable: tipo (marque todos los adjetivos que procedan) Ver Sección 2.3. Dependencias de activos inferiores (hijos) activo: ¿por qué?: activo: ¿por qué?: activo: ¿por qué?: grado: grado: grado: © Ministerio de Hacienda y Administraciones Públicas página 62 (de 75) .Magerit 3. Magerit 3.4.0 Fichas A2. [S] Servicios [S] Servicios código: descripción: nombre: © Ministerio de Hacienda y Administraciones Públicas página 63 (de 75) . Dependencias de activos inferiores (hijos) activo: ¿por qué?: activo: ¿por qué?: activo: ¿por qué?: grado: grado: grado: A2. Las dependencias normalmente identifican    equipos que las hospedan soportes de información personas relacionadas: operadores. [K] Claves criptográficas [K] Claves criptográficas código: descripción: nombre: responsable: tipo (marque todos los adjetivos que procedan) Ver Sección 2.5.4. administradores y criptocustodios. 6. administradores y desarrolladores. Dependencias de activos inferiores (hijos) activo: ¿por qué?: grado: © Ministerio de Hacienda y Administraciones Públicas página 64 (de 75) .Magerit 3.5. Dependencias de activos inferiores (hijos) activo: ¿por qué?: activo: ¿por qué?: activo: ¿por qué?: grado: grado: grado: A2. [SW] Aplicaciones (software) [SW] Aplicaciones (software) código: descripción: nombre: responsable: tipo (marque todos los adjetivos que procedan) Ver Sección 2. Las dependencias normalmente identifican  personas relacionadas con esta aplicación: operadores.0 [S] Servicios responsable: tipo (marque todos los adjetivos que procedan) Ver Sección 2. operadores y administradores. Fichas Las dependencias normalmente identifican  personas relacionadas: usuarios.6. 0 activo: ¿por qué?: activo: ¿por qué?: grado: grado: Fichas A2.Magerit 3.7. Las dependencias normalmente identifican   personas relacionadas con este equipo: operadores. administradores instalaciones que lo acogen Dependencias de activos inferiores (hijos) activo: ¿por qué?: activo: ¿por qué?: activo: ¿por qué?: grado: grado: grado: A2. [HW] Equipamiento informático (hardware) [HW] Equipamiento informático (hardware) código: descripción: nombre: responsable: ubicación: número: tipo (marque todos los adjetivos que procedan) Ver Sección 2. [COM] Redes de comunicaciones [COM] Redes de comunicaciones código: nombre: © Ministerio de Hacienda y Administraciones Públicas página 65 (de 75) .7.8. 0 [COM] Redes de comunicaciones descripción: Fichas responsable: ubicación: número: tipo (marque todos los adjetivos que procedan) Ver Sección 2. administradores instalaciones que lo acogen Dependencias de activos inferiores (hijos) activo: ¿por qué?: activo: ¿por qué?: activo: ¿por qué?: grado: grado: grado: A2.8. Las dependencias normalmente identifican   personas relacionadas: operadores.Magerit 3. [Media] Soportes de información [SI] Soportes de información código: descripción: nombre: responsable: ubicación: número: tipo (marque todos los adjetivos que procedan) página 66 (de 75) © Ministerio de Hacienda y Administraciones Públicas .9. Las dependencias normalmente identifican  personas relacionadas con este equipo: operadores. administradores Dependencias de activos inferiores (hijos) activo: ¿por qué?: © Ministerio de Hacienda y Administraciones Públicas página 67 (de 75) grado: .10. [AUX] Equipamiento auxiliar [AUX] Equipamiento auxiliar código: descripción: nombre: responsable: ubicación: número: tipo (marque todos los adjetivos que procedan) Ver Sección 2.0 [SI] Soportes de información Ver Sección 2.10. Fichas Las dependencias normalmente identifican   personas relacionadas: operadores.9. administradores instalaciones que lo acogen Dependencias de activos inferiores (hijos) activo: ¿por qué?: activo: ¿por qué?: activo: ¿por qué?: grado: grado: grado: A2.Magerit 3. Las dependencias normalmente identifican  personas relacionadas con esta instalación: guardias.11.Magerit 3.11.12. encargados de mantenimiento Dependencias de activos inferiores (hijos) activo: ¿por qué?: activo: ¿por qué?: activo: ¿por qué?: grado: grado: grado: A2.0 activo: ¿por qué?: activo: ¿por qué?: grado: grado: Fichas A2. [P] Personal [P] Personal código: descripción: nombre: © Ministerio de Hacienda y Administraciones Públicas página 68 (de 75) . [L] Instalaciones [L] Instalaciones código: descripción: nombre: responsable: ubicación: número: tipo (marque todos los adjetivos que procedan) Ver Sección 2. Magerit 3.0 [P] Personal Fichas número: tipo (marque todos los adjetivos que procedan) Ver Sección 2. © Ministerio de Hacienda y Administraciones Públicas página 69 (de 75) .12. No suelen identificarse dependencias. Ver capítulo 2. clave clave=”responsable” texto tipo superior texto=”JRP” tipo=”T” superior=”X” © Ministerio de Hacienda y Administraciones Públicas página 70 (de 75) . ubicación. Este formato debe entenderse como de mínimos. Formato XML modelo ::= <modelo> { dato }* { activo }* { dependencia }* { valoración }* </modelo> dato ::= <dato clave texto /> activo ::= <activo código> #nombre# { tipo }+ { dato }* </activo> tipo ::= <tipo tipo /> dependencia ::= <dependencia superior inferior grado /> valoración ::= <valoracion activo dimension valor /> atributo código ejemplo codigo=”X” descripción Acrónimo que identifica unívocamente un activo en un modelo.1. etc. que no pueden haber códigos repeti­ dos. Texto asociado a la clave en una característica. fecha. Modelo de valor En este apéndice se describe un formato XML para el intercambio de modelos de activos entre herramientas. T es el código de alguno de los tipos definidos. Aparece como características adicionales que informan sobre el modelo o activo. es decir. La información que se intercambia incluye • • • • identificación de los activos. X es el código de algún activo del modelo. cla­ sificación. A3.Magerit versión 2 Modelo de valor Apéndice 3. Típicamente aparecen claves como autor. documentación relevante. en el sentido de que las herra­ mientas pueden incorporar información adicional a la prescrita. versión. con un código y un nombre descriptivo identificación de bajo qué tipo(s) cabe clasificar el activo identificación de las dependencias entre activos valoración de los activos en diferentes dimensiones La notación se describe en el apéndice 1. organización. Magerit versión 2 atributo inferior grado activo dimension valor ejemplo inferior=”X” grado=”valor” activo=”X” dimension=”D” valor=”[clave]” valor=”valor” Modelo de valor descripción X es el código de algún activo del modelo. Un número real entre 0. Ver capítulo 3. Puede ser una clave simbólica o una cantidad real.0. Ver capítulo 4. posi­ tiva. © Ministerio de Hacienda y Administraciones Públicas página 71 (de 75) .0 y 1. X es el código de algún activo del modelo. D es el código de alguna de las dimensiones definidas. 1. Valoración de los activos (valor propio) Indicando la razón de la valoración atribuida a cada activo en cada dimensión. Mapa de riesgos Relación de las amenazas a que están expuestos los activos. fecha. A4. 3. Activos 2. Informes A lo largo del proyecto de análisis y gestión de riesgos se han identificado una serie de informes para los cuales se propone un índice a continuación. Activos por amenaza Para cada amenaza: • activos afectados • degradación estimada en cada dimensión • frecuencia anual estimada © Ministerio de Hacienda y Administraciones Públicas página 72 (de 75) . Biblioteca de referencia.2.1. se puede extraer de estos informes un informe ejecutivo que excluye los detalles. Identificación del proyecto Código. propietario. Modelo de valor Caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos. Amenazas por activo Para cada activo: • amenazas relevantes (ver capítulo 5) • degradación estimada en cada dimensión • frecuencia anual estimada 4.1. organización. Identificación del proyecto Código. Árbol de activos (relaciones de dependencia) 2. Activos 2. 1.2.Magerit versión 2 Informes Apéndice 4. 3. descripción. descripción. Versión. fecha. propietario. Valoración de los activos (valor propio) Indicando la razón de la valoración atribuida a cada activo en cada dimensión. Biblioteca de referencia.1. Descripción detallada Para cada activo: • clasificación (ver capítulo 2) • activos superiores e inferiores • valoración: valor propio y acumulado en cada dimensión A4. 2. 2. Frecuentemente. Árbol de activos (relaciones de dependencia) 2.2. organización. Versión. indicación de su eficacia frente a los riesgos a los que se enfrenta. indicación de su eficacia frente a los riesgos a los que se en­ frenta. muéstrese la evolución histórica y la planificación actual. descripción. Biblioteca de referencia. muéstrese la evolución histórica y el efecto de la planificación actual. Se trabaja respecto de • un catálogo de salvaguardas (ver capítulo 5) 1. organización. propietario. propietario. 2. Evaluación de salvaguardas Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan. Si procede. es decir lo que puede pasar tomando en consideración las salvaguardas desplegadas. propietario. 2. Biblioteca de referencia. A4. Identificación del proyecto Código. muéstrese la evolución histórica y la planificación actual.5. fecha. Si procede. © Ministerio de Hacienda y Administraciones Públicas página 73 (de 75) . Salvaguardas Para cada salvaguarda.3. organización. Impacto repercutido 4. Se trabaja respecto de • • un catálogo de salvaguardas (ver capítulo 5) un umbral de eficacia 1. cuya eficacia sea infe­ rior a un umbral determinado. Identificación del proyecto Código. al nivel de detalle que se estime oportuno. organización. Riesgo acumulado 3. al nivel de detalle que se estime oportuno. 1. A4. descripción. Biblioteca de referencia.Magerit versión 2 Informes A4. descripción. 2. Versión. Versión. Versión. Impacto acumulado 2. Salvaguardas (ver capítulo 5) Para cada salvaguarda. Riesgo repercutido Si procede. Activos Para cada activo: 1. Identificación del proyecto Código.4. Estado de riesgo Caracterización de los activos por su riesgo residual. fecha. fecha. Informe de insuficiencias Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir el riesgo sobre el sistema. efi­ cacia y eficiencia La relación de escenarios de impacto y/o riesgo que afronta: activos afectados.6. Plan de seguridad Conjunto de programas de seguridad que permiten materializar las decisiones de gestión de riesgos. pudiendo ser necesario evaluar diferentes alternativas costes de implantación inicial y mantenimiento en el tiempo costes de formación. Las salvaguardas concretas a implantar o mejorar. plan de despliegue plan de formación página 74 (de 75) © Ministerio de Hacienda y Administraciones Públicas . teniendo en cuenta • • • • cambios en la normativa y desarrollo de procedimientos solución técnica: programas. comunicaciones y locales. Responsables y responsabilidades (a nivel de organización) 3.Magerit versión 2 Informes A4. tipos de acti­ vos. Marco de referencia • • Política de seguridad de la organización Relación de normas y procedimientos 2. Programas de seguridad Por cada programa identificado: • • • • • • • • objetivo genérico prioridad o urgencia ubicación temporal: ¿cuándo se llevará a cabo? salvaguardas involucradas unidad responsable de su ejecución estimación de costes financieros estimación de recursos estimación de impacto para la organización Cuando llega el momento para ser acometido. amenazas afrontadas. equipos. 1. teniendo en cuenta: • • • • • costes de adquisición (de productos). según convenga al caso costes de explotación impacto en la productividad de la Organización • Una relación de subtareas a afrontar. tanto de los operadores como de los usuarios. o de desarrollo (de soluciones llave en mano). valoración de activos y amenazas y niveles de impacto y riesgo La unidad responsable de su ejecución. tanto económicos como de esfuerzo de realización. cada programa de seguridad debe detallar: • • • • • Su objetivo genérico. Una estimación de costes. o de contratación (de servicios). detallando sus objetivos de calidad. Un sistema de indicadores de eficacia y eficiencia que permitan conocer en cada momento la calidad del desempeño de la función de seguridad que se desea y su evolución temporal.Magerit versión 2 • • • Informes Una estimación del tiempo de ejecución desde su arranque hasta su puesta en operación. © Ministerio de Hacienda y Administraciones Públicas página 75 (de 75) . Una estimación del estado de riesgo (impacto y riesgo residual a su compleción). Guía de Técnicas .0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro III .MAGERIT – versión 3. Procedimientos e Impulso de la Administración Electrónica Equipo responsable del proyecto: Director.0 Responsable edición digital: Subdirección General de Información. Miguel Angel Amutio Gómez. octubre de 2012 Disponible esta publicación en el Portal de Administración Electrónica (PAe): http://administracionelectronica. Documentación y Publicaciones (Jesús González Barroso) Madrid.0. Libro III .es/ Edita: © Ministerio de Hacienda y Administraciones Públicas Secretaría General Técnica Subdirección General de Información. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.Guía de Técnicas Elaboración y coordinación de contenidos: Dirección General de Modernización Administrativa.TÍTULO: MAGERIT – versión 3. Ministerio de Hacienda y Administraciones Públicas Javier Candau. Centro Criptológico Nacional.gob. Catedrático de la Universidad Politécnica de Madrid Características: Adobe Acrobat 5. Ministerio de la Presidencia Consultor externo: José Antonio Mañas. Documentación y Publicaciones Centro de Publicaciones Colección: administración electrónica NIPO: 630-12-171-8 . Índice 1. Introducción ...................................................................................................................4 2. Técnicas específicas .....................................................................................................5 2.1. Análisis mediante tablas.........................................................................................................6 2.1.1. Referencias.....................................................................................................................7 2.2. Análisis algorítmico. ...............................................................................................................8 2.2.1. Un modelo cualitativo .....................................................................................................8 2.2.2. Un modelo cuantitativo .................................................................................................12 2.2.3. Un modelo escalonado .................................................................................................16 2.2.4. Sobre la eficacia de las salvaguardas ..........................................................................20 2.3. Árboles de ataque ................................................................................................................22 2.3.1. Nodos con atributos......................................................................................................22 2.3.2. Riesgo residual .............................................................................................................23 2.3.3. Construcción del árbol ..................................................................................................23 2.3.4. Referencias...................................................................................................................24 3. Técnicas generales......................................................................................................25 3.4. Técnicas gráficas .................................................................................................................26 3.4.2. Por puntos y líneas .......................................................................................................26 3.4.3. Por barras .....................................................................................................................27 3.4.4. Gráficos de ‘radar’ ........................................................................................................28 3.4.5. Diagramas de Pareto....................................................................................................29 3.4.6. Diagramas de tarta .......................................................................................................33 3.6. Sesiones de trabajo..............................................................................................................34 3.6.1. Entrevistas ....................................................................................................................34 3.6.2. Reuniones.....................................................................................................................35 3.6.3. Presentaciones .............................................................................................................36 3.6.4. Referencias...................................................................................................................37 3.7. Valoración Delphi .................................................................................................................38 3.7.1. Resumen ejecutivo .......................................................................................................38 3.7.2. Aspectos sociológicos ..................................................................................................39 3.7.3. Análisis de las respuestas ............................................................................................40 3.7.4. Resumen ......................................................................................................................41 3.7.5. Referencias...................................................................................................................42 © Ministerio de Hacienda y Administraciones Públicas página 3 (de 42) Magerit 3.0 Introducción 1. Introducción Este documento la guía metodológica Magerit. Se presume el conocimiento y comprensión de los conceptos de análisis y gestión de riesgos, según se exponen en la guía metodológica. El objetivo de este documento es describir algunas técnicas utilizadas en análisis y gestión de riesgos. Se considera técnica a un conjunto de heurísticos y procedimientos que ayudan a alcanzar los objetivos propuestos. Para cada una de las técnicas referenciadas: • • • • • se explica brevemente el objetivo que se persigue al utilizarlas, se describen los elementos básicos asociados, se exponen los principios fundamentales de elaboración, se presenta una notación textual y/o gráfica y y se citan las fuentes bibliográficas que, sin ser exhaustivas, se han estimado de interés para que el lector profundice en cada materia. Todas las técnicas de este libro pueden utilizarse sin ayudas automatizadas; pero su aplicación repetitiva o compleja recomienda el empleo de herramientas tan amplia y frecuentemente como sea posible. Es importante resaltar que la notación que se propone en la aplicación de la técnica en ningún caso se considerará obligatoria. Cada organización podrá utilizar la notación que desee, la que suele utilizar o la que ofrecen sus herramientas de desarrollo, respetando las reglas y restricciones específicas de las distintas técnicas. © Ministerio de Hacienda y Administraciones Públicas página 4 (de 42) Magerit 3.0 Técnicas específicas 2. Técnicas específicas En este capítulo nos centraremos en algunas técnicas muy específicas de los proyectos de análisis y gestión de riesgos, técnicas que no se utilizan en otros contextos de trabajo. Se han considerado de especial interés: 1. uso de tablas para la obtención sencilla de resultados 2. técnicas algorítmicas para la obtención de resultados elaborados 3. árboles de ataque para complementar los razonamientos de qué amenazas se ciernen sobre un sistema de información que se desarrollan en las siguientes secciones. © Ministerio de Hacienda y Administraciones Públicas página 5 (de 42) Magerit 3.0 Análisis algorítmico 2.1. Análisis mediante tablas Dícese análisis de la distinción y separación de las partes de un todo hasta llegar a conocer sus principios o elementos. En el análisis de riesgos hay que trabajar con múltiples elementos que hay que combinar en un sistema para ordenarlo por importancia sin que los detalles, muchos, perjudiquen la visión de conjunto. La experiencia ha demostrado la utilidad de métodos simples de análisis llevados a cabo por medio de tablas que, sin ser muy precisas, sí aciertan en la identificación de la importancia relativa de los diferentes activos sometidos a amenazas. Sea la escala siguiente útil para calificar el valor de los activos, la magnitud del impacto y la magnitud del riesgo: • • • • • MB: muy bajo B: bajo M: medio A: alto MA: muy alto Estimación del impacto Se puede calcular el impacto en base a tablas sencillas de doble entrada: impacto 1% MA A valor M B MB M B MB MB MB degradación 10% A M B MB MB 100% MA A M B MB Aquellos activos que reciban una calificación de impacto muy alto (MA) deberían ser objeto de atención inmediata. © Ministerio de Hacienda y Administraciones Públicas página 6 (de 42) 1. UNE-ISO/IEC 31010:2010.Magerit 3. Gestión del riesgo. Referencias • • ISO/IEC 27005:2011.29 Matriz de consecuencia / probabilidad © Ministerio de Hacienda y Administraciones Públicas página 7 (de 42) . Information technology — Security techniques — Information security risk management.0 Estimación del riesgo Análisis algorítmico Por otra parte se modelan impacto. Risk management — Risk assessment techniques. B.1. Técnicas de apreciación del riesgo. ISO 31010 ISO/IEC 31010:2009. probabilidad y riesgo por medio de escalas cualitativas: escalas impacto MA: muy alto A: alto M: medio B: bajo probabilidad A: probable M: posible B: poco probable riesgo A: importante M: apreciable B: bajo MB: despreciable MA: prácticamente seguro MA: crítico MB: muy bajo MB: muy raro Pudiendo combinarse impacto y frecuencia en una tabla para calcular el riesgo: riesgo MB MA A impacto M B MB A M B MB MB B MA A M B MB probabilidad M MA A M B MB A MA MA A M B MA MA MA A M B 2. B depende de C.0 Análisis algorítmico 2. subjetiva. En esta sección se presenta un modelo de cálculo que trabaja sobre una escala discreta de valores. En particular. Esta serie de niveles satisface las siguientes propiedades: • • • elemento mínimo: ∀ i. los elementos involucrados. En ciencias químicas. Análisis algorítmico. A continuación se presenta un modelo escalonado. v 0 . Primero. Dícese análisis de la distinción y separación de las partes de un todo hasta llegar a conocer sus principios o elementos. En las siguientes secciones se presentan dos enfoques algorítmicos.. dícese análisis cualitativo del que tiene por objeto descubrir y aislar los elementos o ingredientes de un cuerpo compuesto. Un modelo cualitativo En un análisis de riesgos cualitativo se busca saber qué es lo que hay. típico del análisis de impacto sobre la disponibilidad de los sistemas de información.. la dependencia entre activos es un valor booleano: sí o no. en cada dimensión. El valor de los activos. . un modelo cualitativo que busca una valoración relativa del riesgo que corren los activos (¿qué es lo más frente a qué es lo menos?). Los activos reciben una valoración en cada una de las dimensiones de seguridad. interpretando v x como 10x.. Para todo ello se usará una escala de niveles simbólicos: V = { 0. los activos. .. Segundo.2. “v 0 ”. Se despreciarán los valores por debajo de v 0 . © Ministerio de Hacienda y Administraciones Públicas página 8 (de 42) . .2. en este sistema de valoración. y lo que es despreciable y se puede obviar.. por ejemplo. recibe un valor de la escala V. puede interpretar los puntos como órdenes de magnitud.. A diferencia del análisis cuantitativo que es el que se emplea para determinar la cantidad de cada elemento o ingrediente. un modelo cuantitativo que ambiciona responder a la pregunta de cuánto más y cuánto menos. 2 Si el lector lo desea.. o no de otro activo B. se dice que un activo tiene “i puntos” para indicar que su valoración es “v i “ 2 . Sólo hay que preocuparse de si un activo A depende. significativamente.Magerit 3. entre lo que es apreciable y debe preocupar. 1 Este nivel despreciable establece una frontera. A→B La dependencia puede ser transitiva: (A → B) ∧ (B → C) A depende de B. v 1 . Es decir. Las dependencias entre activos.. el impacto de las amenazas y el riesgo que se corre. al menos relativamente. v i < v i+1 existe un elemento singular. En un análisis de riesgos es necesario poder valorar.1. 0 < v i orden total: ∀ i. Cada activo. 2. que se denomina “despreciable” 1 . v i . sin cuantificarlo con precisión más allá de relativizar los elementos del modelo. Por último se incluye un modelo para estimar la eficacia de un paquete de salvaguardas. Valores. } El valor 0 representa que no vale absolutamente nada. Informalmente. 100%) = v ∀ d. d i ) < impacto(v. A i ⇒ B } Se define el valor acumulado sobre B como el mayor valor entre el propio y el de cualquiera de sus superiores: valor_acumulado(B) = max (valor(B). una parte de su valor se pierde. la pérdida de valor acumulado. v i < v j ⇒ impacto(v i . 0%) = 0 impacto(v. d) < impacto(v j .Magerit 3. El valor acumulado. Intuitivamente.0 (degradación del 0%) y 1. Se recoge “d” como un valor real entre 0. d j ) Cuando el impacto queda a “v 0 ”. B1 y B2 dependen de C. bien de alguno de sus superiores. d) ∀ v. es decir. La degradación [del valor] de un activo. Cuando un activo es víctima de una amenaza. Análisis algorítmico A B1 B2 C Interesa pues del cierre transitivo de las dependencias directas entre activos. de forma que se puede perder entre un 0% y un 100%. d i < d j ⇒ impacto(v. A ⇒ C ⇔ ∃ B. es decir el conjunto de activos que dependen directa o indirectamente de B: SUP(B) = { A i . © Ministerio de Hacienda y Administraciones Públicas página 9 (de 42) . se dice que el impacto es despreciable. Impacto acumulado de una amenaza sobre un activo.0 (degradación del 100%). ( A ⇒ B ) ∧ ( B → C ) A depende (indirectamente) de C sí y sólo si existe algún activo B tal que A depende directa o indirectamente de B y B depende directamente de C. bien propio. Sea SUP(B) el conjunto superiores de B. En lo que sigue no se distingue entre dependencias directas o indirectas. o menos. el valor del impacto se calcula con alguna función que cumpla las siguientes condiciones de contorno impacto(0. max i {valor(A i )}) La fórmula anterior dice que el valor acumulado sobre un activo es el mayor de los valores que soporta.0 E incluso puede dibujar figuras de diamante: (A → B 1 ) ∧ (A → B 2 ) ∧ (B 1 → C) ∧ (B 2 → C) A depende de B1 y B2. El impacto se mide en las mismas unidades que el valor. Es la medida de lo que implica una amenaza. Si un activo tiene un valor acumulado “v“ y se degrada un porcentaje “d”. se habla de un “porcentaje de degradación del activo”. 0%) = 0 impacto(v. p j < p j+1 existe un elemento singular. p) = 0 ℜ(v. d) impacto sobre B = impacto(v B . p i . . El riesgo es una función del impacto y la probabilidad: riesgo = ℜ(impacto. . que es distinta de la escala de valores. Si A tiene un valor propio “v A “. R = { 0. p i ) < ℜ(v . d) Análisis algorítmico activo A activo A activo B activo B amenaza Z Cuando el impacto queda reducido a “v 0 ”. . Habitualmente se emplea alguna función que de más peso al impacto que a la probabilidad. Ver “análisis tabular”. v i < v j ⇒ ℜ(v i . Si B sufre una degradación “d”.. se dice que el impacto es despreciable.. probabilidad) función que hay que definir con los siguientes requisitos: • • • • ℜ(0. … } El valor 0 refleja el riesgo inexistente. . y B tiene un valor propio v B . que son los elementos o átomos de análisis.Magerit 3. “f 0 ”. siendo el impacto sobre A la pérdida de su valor propio. En el cálculo del riesgo repercutido. una serie de niveles de probabilidad.0 Impacto repercutido de una amenaza sobre un activo. En el cálculo del riesgo acumulado. Riesgo acumulado. p i < p j ⇒ ℜ(v.. … } El valor 0 refleja el suceso imposible. e incluso valores inferiores. © Ministerio de Hacienda y Administraciones Públicas página 10 (de 42) .. se usará el impacto repercutido sobre el activo. El valor p 0 refleja una probabilidad despreciable. Riesgo repercutido. r 0 . que se denomina “probabilidad despreciable” Riesgo. las amenazas sobre B repercuten sobre A. p j ) El riesgo puede tomar el valor “r 0 ”.. en cuyo caso se entiende que el riesgo es “despreciable”. p) crece con la probabilidad: ∀ v. Para caracterizar la probabilidad de las amenazas se usará una escala de valores simbólicos: P = { 0. Probabilidad de una amenaza. los impactos sobre A y B serán: impacto sobre A = impacto(v A . p 1 . Si el activo A depende del activo B. p 0 . r 1 . se usará el impacto acumulado sobre el activo..... p) < ℜ(v j . 0) = 0 crece con el valor: ∀ f. El riesgo se mide por medio de la escala de valores. Esta serie de niveles satisface las siguientes propiedades: • • orden total: ∀ j. eso mismo le ocurre a A... Es decir. r i .. sin protección. Si la probabilidad era “p”. ep) = 0 pr(p. y una eficacia frente a la probabilidad “ep”. ahora queda: pr(0. la probabilidad de la amenaza sobre el activo se ve reducida a un valor residual. se han posicionado los activos en una escala de valor relativo. El impacto residual se calcula como el impacto. Si el activo. “ei”. “ef” es un valor entre 0. Sobre esta escala de valor se ha medido tanto el valor del activo. Riesgo residual. cuya eficacia.0 (no protege nada) y 1. 0) = p pr(p. definiendo arbitrariamente un valor “v 0 ” como frontera entre los valores que preocupan y los que son despreciables. perfecta). De forma similar al impacto. al nivel de despreciable. Baste adelantar que la eficacia es un valor real entre 0. valor que se puede descomponer en una eficacia frente al impacto. El riesgo residual repercutido se calcula sobre el impacto residual repercutido. Resumen En este modelo.Magerit 3. pero utilizando la degradación residual: impacto_residual = impacto(v. propio o acumulado. un paquete de salvaguardas. gracias a las salvaguardas la degradación se ve reducida a un valor residual “dr”: dr(0. ei) = 0 dr(d. o sea. el impacto seguirá siendo apreciable. como el impacto de una amenaza cuando ocurra y el riesgo al que está expuesto. Degradación residual. se calcula según se indica más adelante. Si las salvaguardas son insuficientes. denominado cualitativo. frecuencia_residual) El riesgo residual acumulado se calcula sobre el impacto residual acumulado.0 (salvaguarda plenamente eficaz). inútil) y 1. © Ministerio de Hacienda y Administraciones Públicas página 11 (de 42) p . La probabilidad residual. dr) Un paquete de salvaguardas perfectamente eficaz reduce el impacto a un valor residual “v 0 ”. El impacto acumulado residual se calcula sobre el valor acumulado. 1) = 0 El impacto residual. o sea. 0) = d dr(d. es decir. “e”.0 (100% de eficacia.0 (0% de eficacia. Es el riesgo calculado a partir del impacto y frecuencia residuales: riesgo_residual = ℜ(impacto_residual. Mientras el impacto mide el valor de la desgracia potencial. El impacto es la medida del coste si ocurriera mientras que el riesgo mide la exposición en un determinado periodo de tiempo. podía sufrir una degradación “d”. El impacto residual repercutido se calcula sobre el valor propio. 1) = 0 Siendo “e ” la eficacia de las salvaguardas mitigando la probabilidad de ocurrencia de la amenaza. el riesgo pondera ese impacto con la frecuencia estimada de ocurrencia de la amenaza.0 Análisis algorítmico Paquete de salvaguardas. Frente a una amenaza se desplegará una serie de salvaguardas. Como la dependencia puede ser directa o indirecta. A este coeficiente se le denomina grado de dependencia. Un modelo cuantitativo En un análisis de riesgos cuantitativo se busca saber qué y cuánto hay.Magerit 3. Calculando el grado de dependencia como: grado(A ⇒ C) = Σ i { grado(A ⇒ B i ) × grado(B i → C) } Donde las sumas se realizan de acuerdo con esta fórmula: a + b = 1 − (1 − a) × (1 − b) 3 3 Esta manera de sumar satisface las propiedades conmutativa.1] si los sumandos están dentro de dicho rango. bien reduciendo la probabilidad.0 Análisis algorítmico Las estimaciones de impacto y riesgo residual incorporan la eficacia de las salvaguardas para enfrentarse a la amenaza. El modelo pues combina los siguientes parámetros de análisis: • • • • • calibración del valor del activo por medio de una escala discreta calibración de la degradación que supone una amenaza como un porcentaje calibración de la probabilidad de ocurrencia de la amenaza por medio de una escala discreta vertebración de un paquete de salvaguardas calibración de la eficacia de las salvaguardas por medio de un porcentaje Parámetros todos ellos que permiten moverse arriba y abajo por las escalas de valores. Las dependencias entre activos. 2. como de saber en qué grado. sino con números reales (en el sentido matemático) positivos.0 (activos con dependencia absoluta). Se aplican los conceptos de dependencia directa o indirecta expuestos en el modelo cualitativo. El valor de un activo en una cierta dimensión es un valor real superior a cero. asociativa y existencia de un elemento neutro. El valor de los activos. bien limitando el impacto. tomada del cálculo de probabilidades de Bayes. Interesa tanto de saber si un activo A depende o no de otro activo B. La elección de esta curiosa fórmula.. “ep”. amén de acotar el resultado al rango [0.2. “v 0 “. “ei”.2. la dependencia total no puede superar el 100%. se calculará del cierre transitivo de las dependencias directas entre activos. ( A ⇒ B ) ∧ ( B → C ) A depende (indirectamente) de C sí y sólo si existe algún activo B tal que A depende directa o indirectamente de B y B depende directamente de C. A ⇒ C ⇔ ∃ B. Se determina que un cierto valor. deriva de la necesidad de reflejar el hecho de que si un activo depende de otro por varias vías (estructuras de diamante). El modelo que sigue no trabaja sobre una escala discreta de valores. cuantificando todos los aspectos posibles. representa la frontera entre los valores que son despreciables y los que son relevantes. pero ahora se calificará la dependencia por medio de un coeficiente entre 0. © Ministerio de Hacienda y Administraciones Públicas página 12 (de 42) .0 (activos independientes) y 1. El valor acumulado. el impacto es impacto = v × d × grado(A ⇒ B) © Ministerio de Hacienda y Administraciones Públicas página 13 (de 42) . o menos. En lo que sigue no se distingue entre dependencias directas o indirectas. una parte de su valor se pierde. A pierde en la proporción en que dependa de B. Cuando el impacto queda reducido a “v 0 ”. el impacto es impacto = i = v × d Ejemplo. Si el activo A depende del activo B. Se recogerá “d” como un valor real entre 0. A i ⇒ B } Se define el valor acumulado sobre B como la suma (tradicional) de valores de los activos superiores. es decir el conjunto de activos que dependen directa o indirectamente de B: SUP(B) = { A i . se habla de un “porcentaje de degradación del activo”.000. Cuando un activo es víctima de una amenaza.0 (degradación del 100%).Magerit 3. el impacto acumulado es de cuantía 900. Si un activo está valorado en 1. Si un activo tiene un valor acumulado ”v” y sufre una degradación ”d”. Intuitivamente. ponderados por el grado de dependencia: valor_acumulado(B) = valor(B) +Σ i { valor(A i ) × grado(A i ⇒ B) } La degradación [del valor] de un activo. Si el activo A tiene un valor propio “v”. se dice que el impacto es despreciable. Sea SUP(B) el conjunto de superiores de B.0 (degradación del 0%) y 1.0 Análisis algorítmico Ejemplos. Es la pérdida de valor acumulado. Impacto acumulado de una amenaza sobre un activo. Si B sufre una degradación ”d”. Impacto repercutido de una amenaza sobre un activo.000.000 y sufre una degradación del 90%. las amenazas sobre B repercuten sobre A. de forma que se puede perder entre un 0% y un 100%. e= ef. mientras que la pérdida anual prevista es de 90.000.Magerit 3.000 Cuando el impacto queda reducido a “v 0 ”.000 x 90% = 900. Se determina un valor “f 0 “ como frecuencia “despreciable”.0 (no protege) y 1. entonces la pérdida posible de valor es de 900. si 0. cuya eficacia.000. la pérdida de valor propio por amenazas en activos inferiores.. que es víctima de una amenaza que lo degrada un 90%. la pérdida de valor acumulado por amenazas sobre el mismo. de forma que (1 − ei) × (1 − ef) = 1 − e 4 4 La fórmula elegida disfruta de las siguientes propiedades. Para medir la probabilidad utilizaremos la frecuencia esperada de ocurrencia (ARO – Annual Rate of Occurrence) . y una eficacia frente a la frecuencia “ef”. estando al tiempo acotado al rango [0%. e= 0%.100%]. El resultado es pues creciente con los componentes ei y ef. es decir. Riesgo repercutido.1 = 90. “e”. Paquete de salvaguardas.000 x 0.000 euros.000. “ei”. El riesgo se calcula como riesgo = impacto × frecuencia Es un valor real. Riesgo. por debajo de la cual la amenaza no merece ser tomada en consideración. o menos. A sufre un impacto repercutido de cuantía 1. El riesgo se mide en las misma unidades que el valor. Probabilidad de una amenaza.0 Ejemplo.000. un paquete de salvaguardas. se usará el impacto acumulado sobre el activo. e= 100%. se usará el impacto repercutido sobre el activo.000 x 90% x 30% = 270.0 (salvaguarda plenamente eficaz).000. el riesgo estimado es de cuantía 900.000.000 euros. Si ei= 0% y ef= 0%. El impacto es de cuantía 1. Frente a una amenaza se despliega una serie de salvaguardas. se dice que el impacto es despreciable. En el cálculo del riesgo acumulado.La frecuencia de una amenaza es un valor real superior a cero.000 Si los valores son euros y la frecuencia mide tasa anual (o sea. Si ef= 0%. es decir. Si ei o ef= 100%. Si ei= 0%. valor que se puede descomponer en una eficacia frente al impacto.1 significa una vez cada 10 años). Ejemplo. que depende de otro activo B (cuyo valor no interesa aquí) en un 30%. En el cálculo del riesgo repercutido. mayor que cero. Si B es víctima de una amenaza que lo degrada un 90%.1. © Ministerio de Hacienda y Administraciones Públicas página 14 (de 42) . se calcula según se indica más adelante. Riesgo acumulado. Baste adelantar que la eficacia es un valor real entre 0. Análisis algorítmico Sea un activo A valorado en 1. Sea un activo valorado en 1. e= ei.000 Si el activo está expuesto a la amenaza con una frecuencia estimada de 0. 000 Si las salvaguardas tienen un 90% de eficacia sobre el impacto.000. © Ministerio de Hacienda y Administraciones Públicas página 15 (de 42) .500 (pérdida anual estimada) Si las cantidades son euros y las frecuencias anuales. la eficacia combinada de las salvaguardas es frecuencia residual = 0. La frecuencia residual.000 Si las salvaguardas tienen un 50% de eficacia sobre la frecuencia.000 * 0. que es víctima de una amenaza que lo degrada un 90%.1 x (1 – 50%) = 0. Al igual que para calcular el impacto residual.000.000 = pérdida anual estimada Si las salvaguardas tienen un 90% de eficacia sobre el impacto.Magerit 3.000 Si la frecuencia anual estimada es de 0.000. El riesgo residual. Ejemplo Sea un activo valorado en 1. el impacto residual es impacto residual = 900. Puede derivarse indirectamente como riesgo_residual = impacto_residual x frecuencia residual Ejemplo Sea un activo valorado en 1.000 x 90% = 900. El impacto repercutido se realiza con los datos de impacto repercutido sobre el activo superior y las salvaguardas adecuadas para las amenazas del activo inferior.000 x (1 – 90%) = 90.000. que es víctima de una amenaza que lo degrada un 90%.000 El impacto acumulado se realiza con los datos de impacto acumulado sobre un activo y las salvaguardas adecuadas para las amenazas sobre dicho activo. Un sistema de salvaguardas absolutamente ineficaz (ef = 0 ) deja la frecuencia donde estaba. El impacto residual.000. la pérdida posible es de 90.000 x 0.0 Degradación residual.000 x 90% = 900. se suele emplear alguna función de tipo Pareto. Un sistema de salvaguardas absolutamente ineficaz (ei = 0 ) deja el impacto donde estaba.9) = 90.500 euros. el impacto residual es impacto residual = 900. el riesgo es de cuantía riesgo = 900. El impacto es de cuantía 1.000 euros y la pérdida anual se estima en 4. Análisis algorítmico Es la parte de la degradación que no consigue contrarrestar la eficacia del paquete de salvaguardas aplicado. mientras que un sistema de salvaguardas plenamente eficaz (ef = 1) reduce la frecuencia a 0.05 = 4. El impacto es de cuantía impacto = 1.1 = 90.05 y el riesgo residual es riesgo residual = 90.1. mientras que un sistema de salvaguardas plenamente eficaz (ei = 1) reduce el impacto a 0.000 * (1 – 0.000. 3. El caso típico es la interrupción del servicio. Si la valoración del activo es económica (coste monetario que significaría su pérdida total y absoluta).Magerit 3. como el impacto de una amenaza cuando ocurra y el riesgo que supone. se trabaja con valores que son números reales. Mientras el impacto mide el valor de la desgracia potencial. Las estimaciones de impacto y riesgo residual incorporan la eficacia de las salvaguardas para enfrentarse a la amenaza. el impacto calculado es el coste inducido por la amenaza y el riesgo calculado es la cantidad que hay que prever como pérdidas anuales. El modelo pues combina los siguientes parámetros de análisis: • • • • • • calibración del valor del activo por medio de una cantidad numérica calibración de la dependencia entre activos por medio de un porcentaje calibración de la degradación que supone una amenaza por medio de un porcentaje calibración de la frecuencia de ocurrencia de la amenaza por medio de una frecuencia vertebración de un paquete de salvaguardas calibración de la eficacia de las salvaguardas por medio de un porcentaje Parámetros todos ellos que permiten moverse arriba y abajo por la escala de valores. lo que ocurre sobre el inferior repercute contundentemente sobre el superior).0 (activos independientes) y 1. Se mide tanto el valor del activo. El modelo cuantitativo permite pues comparar el gasto en salvaguardas con la disminución de pérdidas.0 Resumen Análisis algorítmico En este modelo.2.0 (activos absolutamente dependientes. Se modela el grado de dependencia entre activos como un continuo entre 0. el modelo cuantitativo permite comparar el gasto en salvaguardas con la disminución de pérdidas. siempre superiores a cero. Un modelo escalonado Ciertas dimensiones de degradación de un activo se modelan más adecuadamente como escalones de valor. El impacto mide el coste si ocurriera mientras que el riesgo es la medida de la exposición en un periodo de tiempo. Si la valoración del activo es económica. que responde a esquemas como el siguiente © Ministerio de Hacienda y Administraciones Públicas página 16 (de 42) . 2. propio o acumulado. denominado cuantitativo. el riesgo pondera ese impacto con la frecuencia estimada de ocurrencia de la amenaza. Si el servicio se demora más de un día. e n }. según el tipo de análisis de interés. pero siempre con la condición de que la serie sea monótona creciente: v[e 1 ] ≤ v[e 2 ] ≤ … ≤ v[e n ] Las dependencias entre activos. Actualmente ha introducido una ventanilla electrónica alternativa en la que se ha considerado excelente una respuesta en menos de 1 hora (en horario de atención al público). donde e 1 < e 2 < . Se calculará independientemente (en paralelo) para cada escalón.0 Análisis algorítmico coste de [la interrupción de la] disponibilidad 10 8 coste 6 4 2 15m 0 30m 1h 2h 6h 1d 2d 1s 2s 1m 2m 6m 1a S1 total duración de la parada donde se observa una serie de escalones de interrupción que terminan con la destrucción total o permanente del activo. Se usará el tratamiento cualitativo (binario: sí o no) o el cuantitativo (grado) según corresponda.. e 2 . El valor acumulado. la imagen ofrecida a los ciudadanos empieza a resentirse.. < e n Cada escalón refleja un tiempo de parada (ver gráfica ilustrativa anterior).Magerit 3. Se determina una serie. El valor de los activos. se ha prestado de forma escrita: el afectado reclama por carta y se le responde en el plazo máximo de 1 semana. Los escalones. se considera inútil. tradicionalmente.. Una unidad administrativa proporciona un servicio de reclamaciones que. A partir de una hora... © Ministerio de Hacienda y Administraciones Públicas página 17 (de 42) . aunque de una gravedad relativa pues siempre queda la opción de la reclamación por escrito. de escalones de valoración: E = { e 1 . En los párrafos siguientes se indica como analizar este tipo de dimensiones. ordenada. para cada activo se estima un valor propio y un valor acumulado en cada escalón. El activo recibe un valor para cada uno de los escalones v[e i ] valor que puede ser cualitativo o cuantitativo. Es decir. Ejemplo. . bien sea de forma cualitativa (escala discreta de niveles de valor) o cuantitativa (valor continuo). siendo x1 …≤ x < x2. “v[e i ]”. Es el valor correspondiente al escalón de degradación. lo mismo que en el servicio web. Así. En el caso anterior. y una parada superior a x2 horas. Ejemplo.Magerit 3. se puede desplegar un sistema antivirus que permite reactivar el servicio en 6 horas. según corresponda. El impacto acumulado empleará en valor acumulado sobre el activo que es víctima de la amenaza. En el ejemplo anterior. A fin de calificar la eficacia de la salvaguarda. Si una parada superior a x1 horas supone un perjuicio v1. 5 El razonamiento es como sigue. dado que no ha llegado al nivel x2. Ejemplo. El impacto repercutido empleará el valor propio del activo superior en el escalón de degradación del impacto inferior que es víctima de la amenaza. una parada de x horas. Se empleará el modelo cualitativo o cuantitativo. se toma el escalón correspondiente a dicho tiempo de “respuesta garantizada” 5 . un virus informático provoca una detención de unas 48 horas. se multiplica el valor propio por el grado de dependencia. según corresponda. un perjuicio v2. El impacto de una amenaza sobre un activo. Una salvaguarda frente a la interrupción del servicio se caracteriza por un tiempo de reacción: lo que tarde en reponer el servicio.0 Análisis algorítmico Ambos servicios dependen de un equipamiento informático que hereda las valoraciones de ambos servicios: activo escrito web servidor 1h [0] [3] [3] 1d [0] [5] [5] 1s [8] [5] [8] acumulado Degradación [del valor] de un activo. Se dice que su eficacia está en el escalón de las 6 horas. Si el análisis es cuantitativo. La frecuencia de una amenaza. El impacto en el servidor es [5]. cuyo valor económico se valoró anteriormente. se tomará el escalón correspondiente. El impacto repercutido en el servicio escrito es [0]. Se empleará el modelo cualitativo o cuantitativo. entonces. La eficacia de una salvaguarda frente al impacto. El riesgo que supone una amenaza para un activo. supone un perjuicio v1. © Ministerio de Hacienda y Administraciones Públicas página 18 (de 42) . Se indicará como el escalón “e i “ al que conduce la materialización de la amenaza. si la consecuencia de una amenaza Z es una parada de 2 horas. El impacto residual. La degradación residual. pero modulado por la eficacia “ei” frente al impacto. Este escalón de eficacia nunca puede ser superior al escalón de degradación. de un conjunto de salvaguardas concurrentes. pues una salvaguarda no puede empeorar la situación de un activo frente a una amenaza. 8 La notación ⎣v⎦ indica el entero que resulta de un redondeo por defecto. Este escalón de eficacia es el mismo que la degradación cuando la salvaguarda es incapaz de reducir el impacto 6 .Magerit 3. Además del escalón de eficacia. el impacto residual sería [0]. gracias a las salvaguardas se colocará en el escalón propuesto como escalón de eficacia. se posicionada en el escalón “e d “ de degradación. De forma que. “e s “. e 1 . y su eficacia reduciendo la frecuencia. Es el valor correspondiente al escalón residual: impacto_residual = valor[e r ] Ejemplo. Lo que sí hay que indicar es cómo calcular el escalón de efectividad de un paquete de salvaguardas: escalón(ps)= escalón(s) max k { escalón(ps k ) } min k { escalón(ps k ) } min k { escalón(ps k ) } si s es singular si ps= todas (ps k ) si ps= algunas (ps k ) si ps= una (ps k ) Donde el valor especial “na” 7 se comporta como elemento neutro en las operaciones. ef. Si el activo. el impacto residual en servidor y servicio web quedan en [3]. 7 na: no aplica. © Ministerio de Hacienda y Administraciones Públicas página 19 (de 42) . según corresponda. Se empleará el modelo cualitativo o cuantitativo. Si se desplegara un sistema antivirus que garantizase la reposición del servicio en 30 minutos. resultado en un escalón residual “e r “: r = ⎣d − ((d − s) × ei)⎦ 8 Donde el valor especial “na” se valora como 0. El cálculo de estos coeficientes se describe más adelante. En el caso anterior.0 Análisis algorítmico Este escalón de eficacia puede ser e 0 . las salvaguardas que se consideran aplicables al caso constituyen un paquete que se puede caracterizar por su eficacia reduciendo el impacto. ei. si la salvaguarda es tan contundente que no deja lugar ni al primer escalón valorado. Y que. La frecuencia residual. de un conjunto de salvaguardas alternativas se requiere al menos una que sea efectiva. 6 Un centro de respaldo que empieza a funcionar en 48 horas es inútil frente a amenazas que detienen el servicio durante 6 horas. la eficacia la marca la peor de ellas. si se despliega un sistema antivirus que permite reactivar el servicio en 6 horas. sin protección. 4. Las diferentes salvaguardas se pueden acumular de forma concurrente (todas son necesarias para surtir efecto). de un conjunto de salvaguardas aditivas. 9 El valor medio se calcula de la forma habitual: se suman las eficacias diferentes de NA y se divide por el número de sumandos. producto o suma. con un límite del 100%. De forma que.. Frente a una amenaza se despliega un paquete de salvaguardas que no es sino un conjunto de salvaguardas singulares acumuladas sobre un activo. según corresponda. e(ps)= e(s) media k { e(ps k ) } 9 si s es singular si ps= todas (ps k ) si ps= algunas (ps k ) si ps= una (ps k ) min { 1. se empleará el modelo cualitativo o cuantitativo. de forma excluyente (sólo tiene efecto una de un conjunto) o de forma aditiva (cuantas más. ps 1 .0: e e=1 razonamiento si una salvaguarda es idónea (100% eficaz) 0 < e < 1 si una salvaguarda es insuficiente e=0 e = na si una salvaguarda no sirve para nada i una salvaguarda no tiene sentido en este contexto La eficacia de la salvaguarda depende tanto de su capacidad natural para proteger el activo como de la calidad de su despliegue. Paquete de salvaguardas. Cada salvaguarda se valora según su eficacia reduciendo el riesgo del activo que protege.0. la eficacia es la media de ellas.) La eficacia de una salvaguarda.) una (ps 0 . ps::= | | | salvaguarda todas(ps 0 . la eficacia la marca la mejor. © Ministerio de Hacienda y Administraciones Públicas página 20 (de 42) . El valor de la eficacia recoge ambos aspectos en un único parámetro..) algunas (ps 0 . La eficacia de un paquete de salvaguardas es un número real entre 0. y de un conjunto de salvaguardas alternativas. mejor). 2.. . . ps 1 . ps 1 .0 y 1. Sobre la eficacia de las salvaguardas Todos los modelos requieren una evaluación de la eficacia de las salvaguardas que se despliegan para proteger a un activo de una amenaza..2.0 El riesgo residual. Se describe a continuación un modelo común para evaluar la eficacia de un conjunto de salvaguardas aplicadas sobre un activo. La eficacia de un paquete de salvaguardas. la eficacia de las salvaguardas se acumula. de un conjunto de salvaguardas concurrentes. Σ k e(ps k ) max k { e(ps k ) } Donde el valor especial “na” se comporta como elemento neutro en las operaciones de cálculo del máximo.Magerit 3.. Análisis algorítmico En base al impacto residual y la frecuencia residual. .. Este cálculo puede modularse si se tiene en cuenta que no todas las salvaguardas son de la misma naturaleza.0 Eficacia ponderada de un paquete de salvaguardas Análisis algorítmico Como eficacia de un paquete de salvaguardas se ha tomado el valor medio de las eficacias de los componentes.Magerit 3. Por último se puede calcular la eficacia reduciendo el riesgo. en los párrafos anteriores. se consigue tomando “p = 1”. como (1 − ei) × (1 − ef) = 1 − e © Ministerio de Hacienda y Administraciones Públicas página 21 (de 42) . se puede diferenciar entre la eficacia reduciendo el impacto. Así. Depende de la naturaleza de la salvaguarda el que actúe sobre el impacto o sobre la frecuencia. La eficacia frente al impacto y la frecuencia de una amenaza. y la eficacia reduciendo la frecuencia “ef”. introduciendo una ponderación “p”: e(ps) = Σ k e(ps k ) × p k / Σk p k El caso particular de que todas las salvaguardas sean igual de importantes. “e”. Ambas eficacias se estiman con el mismo criterio: satisfacción de su cometido. El riesgo combina impacto y frecuencia. o ambas facetas. o la frecuencia. “ei”. Una salvaguarda puede reducir el impacto. abusar del contrato (AND) 1. dar datos de cargo falsos Lo más habitual para alcanzar un objetivo o subobjetivo es que se disponga de varias maneras alternativas (nodos OR). inversión del atacante: cantidad de dinero y tiempo que tendría que desembolsar para realizar la acción riesgo para el atacante: si es capturado. de forma iterativa e incremental se van detallando como ramas del árbol las diferentes formas de alcanzar aquel objetivo. alguna experiencia. repudiar las trazas 4. Un árbol de ataque pasa revista a cómo se puede atacar un sistema y por tanto permite identificar qué salvaguardas se necesita desplegar para impedirlo. por ejemplo: • • • conocimientos que se requieren del atacante: cualquiera. manipulo del sw para que no las sume 3.3.3.1. un hacker profesional. aunque en ocasiones se requiere la concurrencia de varias actividades (nodos AND). etc. Árboles de ataque Los árboles de ataque son una técnica para modelar las diferentes formas de alcanzar un objetivo.0 Árboles de ataque 2. Los posibles ataques a un sistema se acaban modelando como un bosque de árboles de ataque. Nodos con atributos Identificadas las diferentes maneras de alcanzar un objetivo. engaño al operador para que las borre 3. convirtiéndose las ramas en objetivos intermedios que a su vez pueden refinarse. las destruyo yo 2. que puede ser de muy diferentes tipos. A partir de este objetivo. podemos obtener escenarios simplificados de ataque: • • usuarios inexpertos pero con bastante dinero atacantes profesionales pero sin capacidad de inversión (o sin necesidad de realizar una inversión adicional para perpetrar este ataque) página 22 (de 42) © Ministerio de Hacienda y Administraciones Públicas . que no queden trazas de uso 2. Aunque han existido durante años con diferentes nombres. conseguir que no se facture el servicio (OR) 1.Magerit 3. 2. En conjunto. Schneier que propuso sus sistematización en el área de los sistemas de información. Objetivo: usar sin pagar (OR) 1. ser un usuario legítimo 2. los nodos del árbol se pueden enriquecer con información de detalle. se hicieron famosos a partir de los trabajos de B. También permiten estudiar la actividad del atacante y por tanto lo que necesita saber y lo que necesita tener para realizar el ataque. Veamos un ejemplo ilustrativo sobre como usar fraudulentamente (sin pagar) un servicio de pago: 1. El objetivo del atacante se usa como raíz del árbol. soslayar la identificación de acceso al servicio 3. ¿qué consecuencias afrontaría? Si la información del árbol con estos atributos se procesa automáticamente. suplantar la identidad de un usuario legítimo 2. se consigue un esquema de las diferentes maneras en las que un usuario podría usarlo sin pagar por ello. un ingeniero. que se destruyan las trazas antes de facturación (OR) 1. de esta forma es posible refinar las posibilidades de que el ataque se produzca si se sabe a quién pudiera interesar el sistema y/o la información y se cruza esta información con la habilidades que se requieren. 2.Magerit 3. Sobre un árbol con atributos es posible determinar el ataque más probable. En el caso de analizar conocimientos.3. si el atacante es “más listo” tiene una oportunidad para utilizar una vía imprevista. pero está limitado por la imaginación del analista.3.2. 2. simplemente extrayendo aquel ataque que requiere menos medios y menos conocimiento por parte del atacante. su efecto puede reflejarse sobre el árbol de ataque: • • incrementando el conocimiento que el atacante necesitaría para alcanzar su objetivo pese a las salvaguardas desplegadas: idealmente debería ser imposible por mucho que supiera incrementando el desembolso que el atacante tendría que realizar para alcanzar su objetivo a la vista de las salvaguardas desplegadas: idealmente el coste debería ser superior al beneficio para el atacante Un sistema ideal de salvaguardas eliminaría todas las ramas del árbol. Nótese que para tomar decisiones combinadas hay que ir al último nodo de detalle. Los nodos OR cuestan lo que el más barato de sus hijos. La experiencia permite ir enriqueciendo el árbol con nuevos ataques realmente perpetrados o simplemente detectados en el perímetro con un buen sistema de monitorización. © Ministerio de Hacienda y Administraciones Públicas página 23 (de 42) . Puede encontrarse ayuda a la construcción del árbol en • • la experiencia propia o ajena en sistemas similares grupos de reflexión (brain storming meetings) en los que de forma informal se van exponiendo cosas que posiblemente pensarían los atacantes. 10 Los cálculos suelen ser sencillos y permiten trabajar con diferentes niveles de refinamiento. Riesgo residual Cuando se han desplegado salvaguardas. Un sistema real suele llevar los atributos a niveles elevados de conocimiento e inversión que reducen la posibilidad de que el ataque se materialice a un nivel residual aceptado por la Dirección. pues frecuentemente lo más barato y lo más sofisticado son condiciones contradictorias. estas sesiones suelen generar mucho material en bruto que hay que organizar y estructurar para ser utilizado como herramienta de análisis herramientas que sugieran ataques en base a la naturaleza de los activos presentes en el sistema • Si se dispone de un modelo de valor como el desarrollado en las actividades de la metodología Magerit.3. de forma que podemos elaborar el árbol de ataques en base al conocimiento de los activos inferiores que constituyen la vía de ataque para alcanzar los activos superiores en los que suele residir el valor para la Organización. es posible utilizar éste para determinar la naturaleza de los activos y las dependencias entre ellos. El enriquecimiento en forma de ramas debería ser exhaustivo.0 • • Árboles de ataque atacantes que quedarían impunes etc. Para alcanzar estos escenarios especializados basta eliminar del árbol las ramas que no satisfagan una condición cualitativa o cuantitativa 10 . Marcar el objetivo final requiere un conocimiento de dónde está el valor en la Organización y cual puede ser el objetivo del atacante respecto del mismo. mientras que los nodos AND requieren el conocimiento del hijo más sofisticado. Capturan de alguna forma el razonamiento del atacante y permiten anticiparse a lo que pudiera ocurrir. Los nodos AND suman los costes. También es posible determinar cuál será la línea de acción de un posible perfil de atacante (que se determina en base al tipo de servicio o información que estamos protegiendo): aquel que con menos coste satisfaga los conocimientos mínimos para realizar el ataque. Resumen Los árboles de ataque son una herramienta gráfica para analizar y presentar qué puede pasar y cómo lo prevenimos. los nodos OR requieren en conocimiento más bajo. Construcción del árbol La construcción del árbol es laboriosa. hay varias técnicas cercanas que analizan secuencias de ataque: B. Technical Note CMU/SEI-2001-TN-001. Su principal inconveniente se encuentra en que es explosivo por la cantidad de árboles y detalle que pueden ser necesarios para recopilar todas las amenazas posibles sobre un sistema medianamente complejo. Esta norma introduce. • • ISO 31010 ISO/IEC 31010:2009. August 2002. Moore et al.19 Análisis de árbol de decisiones B. Técnicas de apreciación del riesgo. Aunque los árboles de ataque no aparecen como tales.14 Análisis de árbol de fallos (FTA) B. “Risk Analysis: Attack Trees and Other Tricks”. sí son un buen soporte para ir incorporando la experiencia acumulada y recopilar en cada momento el mejor conocimiento de que se dispone. Schneier. especialmente cuando incorporan el estado actual de salvaguardas. Por ello cabe esperar su uso como complemento a un análisis de riesgos. Software Development Magazine.P. Risk management — Risk assessment techniques. B.26 Estadísticas y redes Bayesianas © Ministerio de Hacienda y Administraciones Públicas página 24 (de 42) . Schneier. December 1999.21 Análisis de pajarita B. John Wiley & Sons.5 Análisis preliminar de peligros (PHA) B.Magerit 3. Dobb's Journal. De esta forma es posible realizar simulaciones: • • • ¿qué pasaría si introducimos nuevos activos? ¿qué pasaría si cambiamos las salvaguardas? ¿cómo lo enfocaría un atacante de perfil X? Nótese que los árboles de ataque constituyen una documentación extremadamente valiosa para un atacante.3.4..16 Análisis de causa-consecuencia B. Carnegie Mellon University.15 Análisis del árbol de sucesos (ETA) B. Gestión del riesgo. permitiendo profundizar en algunas líneas de ataque y dramatizar sus consecuencias. Dr. “Attack Trees: Modeling Security Threats”. a título informativo.18 Análisis de capas de protección (LOPA) B. pues facilitan en extremo su trabajo. 2. Referencias • • J.17 Análisis de causa-y-efecto B. UNE-ISO/IEC 31010:2010.7 Análisis de riesgos y puntos de control críticos (HACCP) B.. Software Engineering Institute. “Attack Modeling for Information Security and Survivability”. 2001. Por ello deberán extremarse las medidas de protección de su confidencialidad.0 Árboles de ataque Aunque es difícil construir árboles exhaustivos en el primer intento. Viega et al. B. 2000. A. “Secrets and Lies: Digital Security in a Networked World”. multitud de técnicas para valorar diferentes magnitudes para analizar riesgos. Se han considerado de especial interés: 1. son de utilizad en el desarrollo de un proyecto de análisis y gestión de riesgos.Magerit 3. valoraciones Delphi que se desarrollan en las siguientes secciones. entre otros casos. cuando procede se ha indicado cómo se aplican en el contexto del análisis y gestión de riesgos. reuniones y presentaciones 3. Las indicaciones dadas en este libro complementan a las presentadas a lo largo de la metodología. diagramas de Pareto y de tarta 2.0 Técnicas generales 3. Técnicas generales En este capítulo nos referiremos a técnicas generales que. técnicas gráficas: histogramas. © Ministerio de Hacienda y Administraciones Públicas página 25 (de 42) . sesiones de trabajo: entrevistas. No obstante su generalidad. A veces se pintan las líneas que unen los puntos correspondientes a cada valor en el eje Y para cada dato en el eje X. Los datos en ordenadas se pueden representar en escala lineal o en escala logarítmica. Por puntos y líneas Es la forma más clásica de presentación de resultados. Otras veces sólo se pintan los puntos. una escala logarítmica es adecuada cuando importa transmitir la diferencia relativa entre valores: xi x j xi En proyectos de análisis y gestión de riesgos se trabaja con múltiples magnitudes que son percepciones de valor que se ajustan naturalmente a escalas logarítmicas. La escala lineal es razonable cuando el rango de valores es reducido.0 Técnicas gráficas 3.4. A veces se introducen líneas horizontales de nivel para marcan umbrales: valores mínimos o máximos para alguna toma de decisiones. tanto como soporte a presentaciones. el principal criterio para elegir el tipo de escala debería ser la naturaleza del valor que se quiere representar. como en la toma de decisiones.4. imponiéndose la escala logarítmica cuando el rango es grande (órdenes de magnitud). Una escala lineal es adecuada cuando importa transmitir la diferencia absoluta entre valores xi x j Por el contrario. No obstante. © Ministerio de Hacienda y Administraciones Públicas página 26 (de 42) .Magerit 3.2. Se limita a usar los ejes cartesianos usando las abscisas para recoger los datos y las ordenadas para mostrar su valor. Técnicas gráficas Esta sección se centra en cómo algunas representaciones gráficas de los elementos de un proyecto AGR pueden apoyar a dicho proyecto. Se presentan: • Gráficas para presentar resultados • • • puntos barras radar • • Diagramas de Pareto. para priorización de acciones Diagramas de tarta 3. 4. Son muy similares a las presentaciones por puntos y líneas. se puede decir que son más apreciadas por personas con perfil técnico.3. se presenta el resultado de cálculo de riesgo en un sistema de información.Magerit 3. Ver consideraciones expuestas en la sección anterior. Informalmente. El eje Y puede disfrutar de una escala lineal o logarítmica.0 Técnicas gráficas Como ejemplo. a lo largo de varias fases del proyecto: Estas gráficas permiten acumular gran cantidad de información. Por barras Los diagramas de barras disponen los elementos en unas coordenadas cartesianas convencionales: los elementos a considerar en un eje y los valores en el otro eje. aunque permiten menos resultados (dado que las barras ocupan más espacio que los puntos). 3. © Ministerio de Hacienda y Administraciones Públicas página 27 (de 42) . 4. Esta visión sintética es especialmente importante en el análisis y gestión de riesgos. facilitando la observación de sus características y tendencias así como el balance entre sus distintos factores o elementos. según convenga. © Ministerio de Hacienda y Administraciones Públicas página 28 (de 42) . 3. Hay que cuidar siempre que exista la misma distancia angular entre los semiejes (es decir que éstos dividan el círculo máximo en arcos iguales).0 Técnicas gráficas Como ejemplo. Informalmente. se gradúan para representar sus niveles y posibles umbrales en escala normal o logarítmica. obteniendo un polígono irregular ‘estrellado’ denominado gráfico de ‘radar’ o ‘rosa de los vientos’. los factores serán los diferentes servicios. La seguridad procede más de una cobertura homogénea sin fisuras que de una cobertura muy alta en ciertos aspectos frente a claras deficiencias en otros buscando una cierta compensación. Estos radios. Se unen por segmentos los puntos consecutivos así marcados. calcular. se presenta el resultado de cálculo de riesgo en un sistema de información. si se busca representar el estado global de seguridad de una Organización. El valor alcanzado por cada factor o variable se marca en su radio respectivo (el centro representa el valor cero). donde se busca cierto equilibrio entre factores complementarios. El gráfico de ‘radar’ básico exige empezar por decidir qué factores o variables se van a incluir. Todos ellos ofrecen una visión sintética del fenómeno que permite estudiarlo globalmente. correspondientes a los valores de las variables definidas en los semiejes. clasificar y tabular los valores de cada factor. Gráficos de ‘radar’ Estos gráficos representan las distintas variables o factores del fenómeno en estudio sobre semiejes o radios que parten de un centro. se dibujan las escalas como radios (dentro de un círculo máximo cuyo radio sea el valor más alto normalizado en cada semieje). A veces se introducen líneas horizontales de nivel para marcan umbrales: valores mínimos o máximos para alguna toma de decisiones.Magerit 3. Tras obtener.4. se puede decir que son presentaciones apreciadas por personas con perfil técnico. a lo largo de varias fases del proyecto: En este tipo de diagramas es fácil recopilar todos los valores. tantos como factores. Así. El análisis de Pareto es una técnica que separa los “pocos vitales” de los “muchos normales”. Este tipo de diagramas permiten: • • • sintetizar gráficamente el equilibrio o desequilibrio en varios ejes acumular perfiles de máximos o de mínimos mostrar la evolución temporal Informalmente. aunque otras veces se pintan sólo las líneas del perímetro. Las líneas siempre son utilizables. si se tiene un problema con muchas causas. Con frecuencia. obteniéndose lo que hoy se conoce como la regla 80/20. Con esto estableció la llamada "Ley de Pareto" según la cual la desigualdad económica es inevitable en cualquier sociedad. Una gráfica de Pareto es utilizada para separar gráficamente los aspectos más significativos de un problema que el equipo sepa dónde dirigir sus esfuerzos para mejorar. 3. la cual siempre deberá ser colocada en el extremo derecho. En el resto de los casos. La escala vertical es para el costo en unidades monetarias. Las superficies son útiles cuando no se da el caso de que un área “tape” a otra. se puede decir que son presentaciones apreciadas por personas con perfil gerencial o de dirección. frecuencia o porcentaje. Hay veces que es necesario combinar elementos de la mayoría normal en una sola clasificación denominada otros. se aplicó este concepto a la calidad.5. Posteriormente. A veces se rellena la superficie abarcada. Reducir los problemas más significativos (las barras más largas en una gráfica Pareto) servirá más para una mejora general que reducir los más pequeños.0 Técnicas gráficas El siguiente ejemplo muestra la evolución del riesgo sobre los activos de tipo servicio y datos: A veces se marcan algunos niveles (circunferencias) con valores especiales tales como umbrales mínimos o cotas máximas. La minoría vital aparece a la izquierda de la gráfica y la mayoría normal a la derecha. entre 2 y 3 aspectos serán responsables por el 80% de los problemas. Según este concepto.4. © Ministerio de Hacienda y Administraciones Públicas página 29 (de 42) . Diagramas de Pareto Vilfredo Pareto (1848-1923) fue economista italiano estudioso de la distribución de la riqueza. se puede decir que el 20% de las causas resuelven el 80% del problema y el 80% de las causas solo resuelven el 20% del problema. un aspecto tendrá el 80% de los problemas. Descubrió que la minoría de la población poseía la mayor parte de la riqueza y la mayoría de la población poseía la menor parte de la riqueza.Magerit 3. Reunir datos: valor para cada categoría 3.0 Técnicas gráficas La gráfica es muy útil al permitir identificar visualmente en una sola revisión tales minorías de características vitales a las que es importante prestar atención y de esta manera utilizar todos los recursos necesarios para llevar acabo una acción correctiva sin malgastar esfuerzos. permitiendo detectar qué amenazas contribuyen fundamentalmente al riesgo del sistema Aplicado a proyectos análisis y gestión de riesgos. para el porcentaje del total: lineal 4. Calcular el valor agregado para cada categoría • 5. La minoría de productos que representan la mayoría de las ganancias obtenidas. Trazar el gráfico para el porcentaje agregado 8. debe ser colocada al final. Ordenar los datos de mayor a menor a menor valor • a menudo conviene introducir una nueva categoría “otros” para agrupar los datos de menor valor para los que no se requiere detalle. Trazar los ejes: • • • 6. sin importar su valor. Construcción 1.5.2. a título de ilustración.Magerit 3.4. La minoría de rechazos que representa la mayoría de quejas de la clientela. Analizar la gráfica para determinar los “pocos vitales” 3. Es decir. La minoría de elementos que representan al grueso del costo de un inventarios. permitiendo detectar qué activos contribuyen fundamentalmente al riesgo del sistema riesgo del sistema en función de las amenazas. según convenga eje vertical (Y) secundario. Seleccionar las categorías lógicas 2. La minoría de problemas causantes del grueso del retraso de un proceso. De izquierda a derecha trazar las barras para cada categoría. riesgo del sistema en función de los activos. Algunos ejemplos de tales minorías vitales podrían ser: • • • • • • • La minoría de clientes que representen la mayoría de las ventas. para la magnitud propia del valor a representar. La minoría de vendedores que esta vinculada a la mayoría de partes rechazadas. Si existe una categoría “otros”.5. esta categoría siempre es la última y calcular el porcentaje del total que cada categoría representa eje horizontal (x) para las categorías eje vertical (Y) primario. © Ministerio de Hacienda y Administraciones Públicas página 30 (de 42) . que no debe tenerse en cuenta al momento de ordenar de mayor a menor la frecuencia de las categorías. puede ser lineal o logarítmica. La minoría de productos.1. quizás para cierta dimensión de seguridad. o características de la calidad causantes del grueso de desperdicio o de los costos de reelaboración. 7. Un equipo puede utilizar la Gráfica de Pareto para varios propósitos durante un proyecto para lograr mejoras: • • • • Para analizar las causas Para estudiar los resultados Para planear una mejora continua Para comparar fotos de “antes y después” y estudiar qué progreso se ha logrado. Ejemplo práctico Se aplican los pasos anteriores a un caso práctico.4. cabe citar los siguientes usos • • 3. procesos. quizás para cierta dimensión de seguridad. 100 12.100 490.800 601.400 55.000 55.000 24.300 riesgo 132.300 83.400 120.600 45.300 120.200 132.100 45.800 7.400 120.400 5.0 Pasos 1 y 2: seleccionar categorías y recopilar valores Técnicas gráficas Como resultado del análisis de riesgos.200 601.700 55.400 435.400 576.400 99.400 132.000 100% © Ministerio de Hacienda y Administraciones Públicas página 31 (de 42) . se dispone de la siguiente tabla que resume el riesgo en los diferentes servicios y datos del sistema de información activos [S] Servicios [S_T_remota] tramitación vía www [S_T_presencial] tramitación presencial [S_notificación] notificación telemática [S_info] información de normativa [S_news] noticias y modificaciones [D] Datos / información [D_ciudadanos] identificación de usuarios [D_económicos] datos económicos [D_expedientes] estado de la tramitación [D_normativa] normativa legal [D_histórico] de cambios Paso 3: ordenar los datos e introducir “otros” activos [S_T_remota] tramitación vía www [D_económicos] datos económicos [S_T_presencial] tramitación presencial [S_notificación] notificación telemática [D_normativa] normativa legal [D_expedientes] estado de la tramitación [S_info] información de normativa OTROS Paso 4: agregar datos y calcular porcentajes activos [S_T_remota] tramitación vía www [D_económicos] datos económicos [S_T_presencial] tramitación presencial [S_notificación] notificación telemática [D_normativa] normativa legal [D_expedientes] estado de la tramitación [S_info] información de normativa OTROS riesgo agregado 22% 42% 59% 72% 82% 89% 96% riesgo 132.800 45.800 40.Magerit 3.300 352.600 253.400 24.400 40.000 40.600 99.300 83.000 535.300 83.000 99. 000 60. 6 y 7: dibujar la gráfica activos © Ministerio de Hacienda y Administraciones Públicas [D_expedientes] estado de la tramitación [S_info] información de normativa OTROS 0% 20% 40% riesgo agregado 60% 80% 100% página 32 (de 42) Técnicas gráficas .000 120.000 Magerit 3.000 20.0 0 [S_T_remota] tramitación vía www [D_económicos] datos económicos [S_T_presencial] tramitación presencial [S_notificación] notificación telemática [D_normativa] normativa legal Pasos 5.100.000 140.000 80.000 40. Diagramas de tarta Estos diagramas presentan los datos como fracciones de un círculo.0 Técnicas gráficas 3. distribuidos los 360º de éste en proporción al valor que es representado en cada sección. Aunque los datos pueden ordenarse de la forma que más interese en cada momento. Los diagramas de tarta no permiten presentar muchos datos simultáneamente. es frecuente usar una ordenación de valor decreciente (siguiendo el procedimiento indicado para los diagramas de Pareto).6. rara vez logarítmica. pero si son una indicación muy gráfica de cómo las diferentes partes contribuyen al total. La proporción suele ser lineal.4. © Ministerio de Hacienda y Administraciones Públicas página 33 (de 42) .Magerit 3. 1.3. permiten conocer los elementos objeto del análisis de riesgos. el margen de maniobra está fuertemente pautado. conclusiones y resultados por parte del equipo de trabajo al auditorio que corresponda. usándose entrevistas estructuradas. Sesiones de trabajo Las sesiones de trabajo tienen diversos objetivos. para optimizar la realización de las entrevistas.3 (caracterización de las salvaguardas) del proceso P2 (análisis de riesgos). 3. Por todo ello es necesario: Durante la preparación de la entrevista: 1.6.1. Las reuniones pueden tener el mismo objetivo.2 (organizar a los participantes) y de acuerdo al plan del proyecto (T1. Las actividades A2. el entrevistado tiene margen para extenderse en puntos no previstos o. Entrevistas Las entrevistas son reuniones con una persona o un grupo de personas con el objetivo de recabar cierta información. por ejemplo.1. En las tareas de detalle (como. en el que hay que centrarse especialmente. Identificación de activos) las entrevistas son semi-estructuradas. Disponer del documento acreditativo de la Dirección. activar la participación de usuarios y directivos o aumentar la calidad de los resultados. Se llevan a cabo con el fin de informar sobre el estado de un proyecto en su totalidad o de alguno de los procesos. o exponer uno o varios productos finales de un proceso para su aprobación.2 (caracterización de las amenazas) y A2.3. tanto espacial como temporalmente.3. © Ministerio de Hacienda y Administraciones Públicas página 34 (de 42) . por ejemplo. 2. Ubicar y localizar a los entrevistados. no caer en un excesivo nivel de detalle que impida separar lo esencial de lo accesorio. valorándolos y relacionándolos. se conseguirá extraer y depurar toda la información de forma global. Valoración de activos). existiendo un guión preestablecido de preguntas. T2. Análisis de riesgos. Para capturar este conocimiento se procede por medio de una serie de entrevistas con los participantes.1.4. y el entrevistado debe disfrutar de una elevada flexibilidad.6. en las primeras tareas (T1. Las sesiones de trabajo pueden ser de varios tipos en función de las personas que participen en ellas. La recogida de información es una operación delicada que exige una buena sintonía entre los participantes para no que no quede oculta (ni voluntaria ni involuntariamente) alguna información que posteriormente pudiera revelarse importante y. no existe un formulario rígido. reducir el tiempo de desarrollo. al tiempo.1. usando el cuestionario como guía que hay que adaptar. Determinar la oportunidad) es casi imposible disponer de un cuestionario rígido. 3. más frecuentemente. Las entrevistas se dicen estructuradas cuando se atiene a una serie de preguntas planificadas sin margen para la improvisación. Por ser más precisos. comunicar resultados. Las entrevistas se dicen libres cuando. los objetivos pueden ser: obtener información. El mayor volumen de entrevistas en un proyecto AGR se encuentra en las tareas del proceso P2. T2. identificándolos. Estas entrevistas tienen una importancia crucial porque la información a recoger condiciona el conocimiento del equipo del proyecto (ajeno en parte al funcionamiento del dominio o sea dependiente de los conocedores de su comportamiento cotidiano).0 Sesiones de trabajo 3. El objetivo de las presentaciones es la comunicación de avances.3).1 (caracterización de los activos). pero la información está dispersa entre varias personas y únicamente trabajando en grupo.Magerit 3. En proyectos de análisis y gestión de riesgos suelen practicarse entrevistas semi-estructuradas en las que. En cualquier caso el guión se emplea para no olvidar nada. según se determinó en la tarea T1. responderlas en un orden diferente al previsto. En las tareas de descubrimiento (como.1. Recopilar los cuestionarios personalizados distribuidos en la tarea T1. A2. existiendo un objetivo claro.1. el objetivo que se persiga y el modo de llevarlas a cabo. Dependiendo del tipo de sesión que se realice. Las entrevistas son un tipo de sesiones de trabajo dirigidas a obtener la información de una forma individual dónde aparecen los perfiles de entrevistado y entrevistador. 7. Recabar las funciones y objetivos del entrevistado. así como comunicar los resultados obtenidos como consecuencia de un estudio. 10. analizar nuevas necesidades de información.0 Sesiones de trabajo 4. transmitir ideas sobre un determinado tema. © Ministerio de Hacienda y Administraciones Públicas página 35 (de 42) . Informar al entrevistado de los principales conceptos relacionados con la seguridad y la de los sistemas de información.6. se planifica el método de trabajo que se va a seguir y el tiempo del que se dispone. su valor y las consecuencias de los incidentes que pudieran afectarles responsables de sistemas de información y responsables de operación. Después de la preparación.2. que conocen los datos que se manejan. 12. tácticas u operativas. Reuniones Las reuniones tienen como objetivo obtener información que se encuentra repartida entre varias personas. Identificar los procesos realizados y de la información manejada. Identificar los medios de que dispone para realizar las funciones y del personal a su cargo. 8. hora de inicio. se eligen los participantes y se prepara el material necesario. que: • • • • • conocen qué sistemas hay en operación tienen el conocimiento histórico de lo que ha pasado anteriormente conocen las consecuencias de un incidente conocen las salvaguardas técnicas implantadas conocen las actividades en curso relacionadas con la seguridad de los sistemas 3. para facilitar su disponibilidad. es imprescindible enviar al usuario la convocatoria con el orden del día de la reunión. tomar decisiones estratégicas. accidentales o provocadas). lugar. Perfilar el entorno de trabajo del entrevistado. 9. Durante la entrevista 5. Confirmar cada entrevista. Recordar los objetivos de cada entrevista al entrevistado. Las directrices básicas de una reunión son: • • • • Preparar y convocar la reunión (orden del día) Realizar la reunión Consolidar el resultado de la reunión Elaborar el acta de reunión Previamente a la convocatoria de la reunión. se definen los objetivos. Recabar el modo de actuación del entrevistado. que conocen los servicios que se manejan y las consecuencias de la no prestación del servicio o de su prestación degradada responsables de los datos. que conocen las consecuencias que para la misión de la Organización tendrían los incidentes responsables de los servicios.Magerit 3. 11. informando de los documentos que se van a requerir durante la entrevista. hora de finalización prevista. en un grado que depende de su información y experiencia en la materia. Identificar posibles situaciones conflictivas (internas o externas. 6. Para realizar una reunión es necesario designar a las personas que deben participar en ella y determinar el lugar en el que poder llevarla a cabo. Para la adquisición de este conocimiento puede ser necesario entrevistar a diferentes colectivos dentro de la Organización: • • • • dirección o gerencia. Este orden incluye la fecha. etc. Si se considera oportuno se puede utilizar la técnica de presentación. así como de la audiencia a quién va dirigido. Una vez analizados todos estos aspectos. es importante conocer las ventajas e inconvenientes de cada medio como son pizarras.. Antes de iniciar la exposición. Habrá que seleccionar los temas que requieren mayor soporte audiovisual. de cuánto tiempo se dispone. se estructura el mensaje que se quiere transmitir a la audiencia de forma que sea significativo y esté bien organizado. resaltar puntos significativos. También tiene especial relevancia escoger los apoyos audiovisuales oportunos que aclaren conceptos o datos difíciles de captar. etc. Para conseguir el objetivo de una presentación no es suficiente preparar de una forma estructurada el mensaje.6. una visión previa. qué se espera conseguir. dónde se va exponer y con qué medios. etc. sino que además. El responsable de tomar las notas en la reunión. análisis de resultados. Al inicio de la reunión. cuál va ser la duración estimada y a qué tipo de audiencia o auditorio va dirigida la presentación considerando. a su vez. se inicia la preparación de la presentación considerando quién es el ponente. La persona responsable de la reunión ejercita la dinámica de dirección de grupos. despertar interés. a quién se dirige. el nivel de decisión que tengan sus componentes. utilizando pruebas o materiales de apoyo que refuercen la credibilidad a la audiencia. estimulando la participación. habrá que asegurar la disponibilidad de todos los recursos materiales necesarios que se hayan considerado oportunos en la preparación de la presentación. se comprueba si hay acuerdo o si quedan puntos pendientes de reflexión y se propone fechas para próximas reuniones. cambiar el ritmo de la presentación.Magerit 3. entre otros.0 Sesiones de trabajo asistentes y los puntos a tratar. reforzar la comunicación verbal. el método de trabajo y la agenda de la reunión. se sintetizan las conclusiones. 3. Conviene señalar que no se debe utilizar un número excesivo de medios ya que no son un fin en sí mismos y podrían dispersar la atención de la audiencia convirtiéndose en fuente de posibles imprevistos por fallos técnicos y repercutiendo negativamente en el ritmo de la presentación. transparencias. Una vez que están claros estos puntos. © Ministerio de Hacienda y Administraciones Públicas página 36 (de 42) . el tiempo que se dedicará a cada tema y la persona responsable de exponerlo. el cuerpo del tema. Las cuestiones que guían esta preparación responden a las preguntas. Todos estos factores van a influir en el tono más o menos formal de la presentación. Presentaciones El objetivo de las presentaciones es la comunicación de avances. La eficacia de una presentación está directamente relacionada con el conocimiento que posea el ponente sobre el tema a exponer. Se llevan a cabo con el fin de informar sobre el estado de un proyecto en su totalidad o de alguno de los procesos. controlando el ritmo de la sesión y centrando o clarificando el tema cuando sea necesario.3. determinando cuál es el objetivo principal y qué contenido general se quiere comunicar. en el nivel de detalle que requiere la presentación y en los medios a utilizar. para seleccionar el más apropiado y garantizar el éxito de la presentación. o exponer uno o varios productos finales de un proceso para su aprobación. es importante hacer un resumen general de los temas a tratar. el contenido se debe exponer de una forma convincente. los objetivos que se persiguen. En primer lugar se establece el alcance de la presentación. una revisión y la conclusión final. ayudas informatizadas. diapositivas. el ponente debe decidir cuál es el enfoque más eficaz que le quiere dar al tema que va a exponer en función de la audiencia a quien va dirigido. Al finalizar. Previamente. Su estructura se apoya en los objetivos y en el concepto esencial que se está tratando y se divide en una apertura o introducción. Por este motivo. detallando. Por este motivo es importante seleccionar cuidadosamente el material de apoyo que se va a utilizar como pueden ser datos estadísticos. levanta el acta y la remite a los asistentes que deben confirmar su recepción. vídeos. qué tema se va a exponer. Desde su inicio se debe crear un clima de confianza entre los asistentes. conclusiones y resultados por parte del equipo de trabajo al auditorio que corresponda. Dicha convocatoria se envía con antelación suficiente para que los asistentes puedan organizar su agenda y prepararse para la reunión con tiempo. Magerit 3.0 Sesiones de trabajo Durante el desarrollo, es fundamental que el ponente hable con el ritmo adecuado y con un estilo verbal claro, correcto y conciso, y que cuide los aspectos formales. También debe mantener centrado el tema objeto de la presentación, resaltando los puntos más importantes y utilizando el material de soporte de forma adecuada y en el momento preciso, con el fin de captar la atención del auditorio. Conviene prestar atención a la corrección con que el ponente se relaciona con la audiencia. Debe intentar mantener una actitud positiva y abierta ante las posibles preguntas o comentarios. El estilo no verbal es la suma de todas las claves vocales (tono, voz, etc.) y visuales (expresión facial, gestos, movimiento, etc.) que el ponente transmite a la audiencia y es especialmente importante, ya que con él se puede ejercer un impacto significativo sobre la percepción y respuesta de la audiencia. Al finalizar la presentación, puede ser conveniente realizar una evaluación en la que se recojan las capacidades del ponente, el modo en que se llevó a cabo, las características del contenido, material utilizado, etc. y con esta información valorar el grado de satisfacción de la audiencia y tomar las medidas que se consideren oportunas. 3.6.4. Referencias • “Managing Information Security Risks: The OCTAVE Approach”, C.J. Alberts and A.J. Dorofee, Addison-Wesley Pub Co; 1st edition (July 9, 2002) http://www.cert.org/octave/ Magerit, “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información”, MAP, versión 1.0, 1997 http://www.csi.map.es/csi/pg5m20.htm ISO 31010 ISO/IEC 31010:2009, Risk management — Risk assessment techniques. UNE-ISO/IEC 31010:2010, Gestión del riesgo. Técnicas de apreciación del riesgo. B.2 Entrevistas estructuradas y semiestructuradas • • © Ministerio de Hacienda y Administraciones Públicas página 37 (de 42) Magerit 3.0 Delphi 3.7. Valoración Delphi La técnica o método Delphi 11 , original de la Rand Corporation (Research ANd Development), comenzó a aplicarse desde 1948 en un proyecto avanzado de las Fuerzas Aéreas de los Estados Unidos y la Compañía Douglas de Aviación, orientándose desde entonces a los estudios prospectivos de investigación espacial. De forma paulatina la técnica diseñada por la Rand Corporation ha ido ampliando sus campos de aplicación: así esta "reflexión intuitiva de expertos" (como algún autor denomina al método Delphi), puede ser utilizada con éxito en multitud de campos y sectores. Delphi es especialmente adecuada para Magerit por las razones siguientes: • • Es una técnica netamente cualitativa que relativamente permite tratar con alta precisión problemas técnicamente complejos. Está planteada como una reflexión organizada de expertos sobre un tema concreto, reflexión que permite recoger las ideas y opiniones más cualificadas en el ámbito de la seguridad (valoración de activos e identificación de amenazas e impactos). Se desarrolla a partir de un cierto ‘escenario inicial’ de modo que permita una adecuada recapitulación e identificación de los problemas que ya existen actualmente. Desarrolla una prospectiva mucho más rica que la mera identificación de la opinión mayoritaria, por medio de un proceso de convergencia de opiniones que se consigue mediante rondas sucesivas de entrevistas. Garantiza satisfactoriamente la ‘limpieza’ de la investigación, impidiendo el predominio de unos expertos sobre otros por razones ajenas a la calidad de sus opiniones. Identificar problemas. Desarrollar estrategias para la solución de problemas, fijando un rango de alternativas posibles. Identificar factores de resistencia en el proceso de cambio. Establecer previsiones de futuro sobre la evolución de las tendencias que se observan en un determinado campo o sector. Contrastar opiniones en un tema abarcando un amplio campo de disciplinas o sectores. • • • La técnica Delphi es un instrumento de uso múltiple que se utiliza con muy variados objetivos: • • • • • 3.7.1. Resumen ejecutivo 1. Se prepara un cuestionario con los temas cuya valoración se desea conocer. Este punto es crítico para el éxito de los siguientes pasos. Para la elaboración de un buen cuestionario se requiere experiencia y conocimiento del tema que se desea investigar. 2. Se distribuye entre los sujetos que tienen una opinión relevante en el tema a investigar: los expertos. 3. Con las respuestas recibidas, se prepara un histograma indicando cuántos entrevistados se decantan por cada nivel de valoración. 4. Si hay una clara concentración de respuestas en torno a un único valor, el proceso ha acabado: hay un claro consenso en el valor buscado. 5. Si hay diferencias importantes de opinión, se remite de nuevo el mismo cuestionario; pero esta vez acompañado del histograma. Si se han apreciado ambigüedades en el primer cuestionario, deben aclararse en esta segunda ronda. A los entrevistados se les inquiere sobre si consideran que deben mantener su primera opinión o prefieren modificarla. 11 “Delphi” es la forma inglesa de pronunciar Delfos, población griega famosa por su oráculo. Pese al origen fonético, el método usado por el Oráculo de Delphos (adivinación) no tenía nada que ver con el usado con el método Delphi (consenso de opinión entre expertos). Delphi basa la calidad de sus resultados en la hipótesis de que cuando no existe un conocimiento preciso de la realidad, lo mejor que se puede hacer es recoger la opinión, consensuada, de un grupo lo más amplio posible de expertos en la materia. © Ministerio de Hacienda y Administraciones Públicas página 38 (de 42) Magerit 3.0 Delphi 6. Si el histograma de esta segunda ronda sigue sin mostrar una respuesta clara, se pueden realizar nuevas rondas o convocar a los entrevistados en una reunión conjunta para llegar a un consenso. 7. Ante un histograma disperso, siempre hay que preguntarse si se ha hecho la pregunta correcta a las personas correctas, si la pregunta estaba claramente expresada o si, por el contrario se debe volver a empezar con nuevas preguntas y/o nuevos entrevistados. Se determina qué opiniones cuentan Se elabora un cuestionario ¿cuánto vale X? Se distribuye el cuestionario Se recogen las respuestas Se tabulan las respuestas Se distribuye 1. el cuestionario 2. las respuestas no ¿consenso? si ya está En sentido estricto, Delphi no es tanto un método como un conjunto de técnicas que se aplican según las circunstancias. Algunos aspectos hay que determinarlos en cada caso: Número de participantes. Se estima que el número ideal se encuentra entre 15 y 35 expertos. Aplicado al análisis de riesgos, se pueden establecer grupos amplios en temas generales (por ejemplo, frecuencia típica de una amenaza o idoneidad de una salvaguarda para un riesgo); pero en temas puntuales es difícil pasar de unos pocos participantes (por ejemplo, para valorar un activo). Número de rondas. La segunda ronda es necesaria salvo que haya un consenso suficiente en la primera. Sucesivas rondas pueden dar una opinión más refinada; pero no esto no siempre se consigue por diferentes motivos: • • los expertos muestran rápidamente síntomas de agotamiento, disminuyendo su disposición a colaborar probablemente lo que está mal es el diseño del cuestionario y más vale revisarlo que insistir en el error Como recomendación general para proyectos de análisis y gestión de riesgos, se puede centrar en número estándar en dos rondas. 3.7.2. Aspectos sociológicos Delphi permite que un grupo trabaje aisladamente y de forma anónima. Es un instrumento que agrupa sistemáticamente las opiniones de un grupo y evita el excesivo protagonismo que pueden ejercer algunas personas, además de cualidades como éstas: • La generación de ideas de forma aislada produce una mayor cantidad de éstas en el conjunto del grupo seleccionado. página 39 (de 42) © Ministerio de Hacienda y Administraciones Públicas Magerit 3.0 • • Delphi El proceso de respuestas escritas a las preguntas formuladas obliga a los que responden a pensar en toda la complejidad del problema y a proponer, por tanto, ideas de gran calidad. La conducta del grupo es proactiva, puesto que los que responden no pueden reaccionar ante las ideas expresadas por los otros, eliminando posibles excesos de protagonismo que se manifiestan cuando se expresan opiniones de forma directa y simultánea. El anonimato y el aislamiento entre los que responden proporciona una gran libertad frente a la presión hacia el conformismo en las opiniones. La técnica es válida para obtener opiniones de expertos que se encuentren físicamente alejados. Se puede comprobar que el error de predicción de un conjunto de expertos en un tema es siempre menor que la media de los errores de las opiniones individuales de las personas que lo integran. • • • 3.7.3. Análisis de las respuestas Delphi implica un análisis estadístico del producto de cada una de las rondas de cuestionarios. El análisis debe garantizar que la opinión de cada uno de los expertos se encuentre representada en la respuesta final. Para determinar si hay consenso se necesita una medida de la dispersión de las respuestas. Para determinar cual es el consenso se necesita un punto de convergencia. El análisis es diferente si se busca un valor en una escala continua de valoración (por ejemplo, intentando determinar el valor de un activo para la Organización) o si se intenta identificar elementos a considerar (por ejemplo, activos que deben incluirse en el análisis). En el caso de opiniones de valor, se recurre a estimaciones estadísticas. En el caso de opiniones, se recurre a esquemas de votación. 3.7.3.1. Análisis estadístico Las respuestas se ubican sobre una escala de valores, lineal o logarítmica según la naturaleza del problema que se esté analizando. En aspectos de percepción subjetiva de valor, las escalas logarítmicas suelen ser las más adecuadas. Dados n valores, x 1, x 2, ... , x n se definen los siguientes estadísticos: Media o valor medio n x Mediana 1 n xi i 1 Habiendo ordenado los valores x i en orden ascendente (de menor a mayor), se denomina mediana al primer valor que deja por debajo al 50% de los datos; es decir al valor en la posición n 2 Desviación estándar o típica 1 n 1 Desviación media n xi x i 1 2 desviación media 1 ni n xi x 1 Cuartiles. Habiendo ordenado los valores en orden ascendente, se definen 3 puntos de interés Q1: primer valor que deja por debajo al 25% de los datos Q2: primer valor que deja por debajo al 50% de los datos (la mediana) Q3: primer valor que deja por debajo al 75% de los datos © Ministerio de Hacienda y Administraciones Públicas página 40 (de 42) 2 a la cuarta y uno a la quinta 12 . © Ministerio de Hacienda y Administraciones Públicas página 41 (de 42) . Una opción es pedirle al experto que valore de 0 a 10 la conveniencia de cada una de las posibles respuestas. La desviación estándar da una importancia mayor a la existencia de respuestas muy alejadas de la media. En el análisis se suman los puntos recibidos por cada respuesta para determinar su posición relativa en la ordenación de consenso. Otra opción es pedirle al experto que seleccione las 5 mejores respuestas y les asigne 5 puntos a la mejor.Magerit 3. que reduce las distorsiones de personalidades dominantes que pudieran producirse en reuniones o comités de expertos. o seguir insistiendo en su opinión divergente.3. Sea una pregunta con N posibles respuestas. Para determinar la dispersión se puede utilizar la desviación estándar. conviene acompañar los estadísticos de un histograma o diagrama de frecuencia de las respuestas agrupadas en intervalos. Análisis estadístico de las respuestas del grupo. hay que adecuar estos números a cada caso concreto. Sobre este histograma conviene indicar algunos los valores importantes: • • • • • la mediana o cuartil Q3 la media el cuartil Q1 el cuartil Q3 los valores extremos: los más alejados por arriba y por abajo 3. el experto puede estar de acuerdo con la puntuación de consenso.0 Recorrido intercuartílico Se define como la distancia Q3 – Q1. Votaciones Cuando las respuestas no se pueden asociar a un valor numérico sobre una escala continua de valores. ‘Feedback’ o realimentación controlada por medio de interacciones sucesivas de modo que en cada una el experto posee la información que se refiere a la interacción previa. • 12 Obviamente. 4 a la segunda mejor. En la siguiente ronda. Es el rango que recoge las opiniones del 50% de los expertos más “centrados”. de las que hay que determinar cual es más adecuada.2. que permite ir consiguiendo el acuerdo razonado de los expertos evitando cualquier modo de presión para obtener modificaciones en sus puntos de vista.7. cuando se remiten los resultados de una ronda para la siguiente ronda. el experto puede estar de acuerdo en la ordenación de consenso. o seguir insistiendo en su opinión divergente. hay que recurrir a técnicas de votación. El recorrido intercuartílico es el más adecuado para desechar opiniones extremas. la media o el recorrido intercuartílico. En la siguiente ronda.7. Resumen Se pueden resumir los rasgos esenciales de un proceso Delphi en los siguientes puntos: • • • Anonimato de respuestas. Énfasis puesto en la opinión informada. En el análisis se puede determinar la valoración media recibida por cada respuesta.4. que en ocasiones puede ser contraria a la más común o generalizada en la sociedad. En cualquier caso. 3 a la tercera. 3. Delphi Para determinar el valor de consenso se pueden utilizar la media o la mediana. lo que suele considerarse mala idea. La valoración de consenso y la medida de dispersión se pueden estimar estadísticamente (ver sección anterior). si bien esta última es habitualmente más adecuada por ser inmune a las opiniones más extremas. Girshick. Risk management — Risk assessment techniques. Greenwood Press. Técnicas de apreciación del riesgo.A. Management Science. “The Prediction of Social and Technological Events”. Helmer. “An Experimental Application of the Delphi Method to the Use of Experts”.7. B. Reading. Helmer. O. Spring 1950. 3. N. April 1963. 1978. “Handbook of Futures Research. Dalkey.5. Kaplan and A. MA: Addison-Wesley Publishing Company. M. Turoff (eds). RM-5888-PR. Public Opinion Quarterly. Skogstad. 1975. 1969. Dalkey and O. A. “Analysis of the Future: The Delphi Method”. Linstone and M. Westport.3 Técnica Delphi • • • • • • J.0 Delphi 3. N. vol. P-3558. no. “The Delphi Method: Techniques and Applications”. Referencias • ISO 31010 ISO/IEC 31010:2009. © Ministerio de Hacienda y Administraciones Públicas página 42 (de 42) . RAND Corporation Technical Report. 9. Gestión del riesgo. H. Fowles.C. “The Delphi Method: An Experimental Study of Group Opinion”. UNE-ISO/IEC 31010:2010. March 1967.Magerit 3. RAND Corporation.
Copyright © 2024 DOKUMEN.SITE Inc.