8 pasos para hacer una evaluación de riesgos con OCTAVE Allegro

Publicado en Artículos, Seguridad,


Tweet about this on TwitterShare on Google+1Share on Facebook0Share on LinkedIn0

Un enfoque utilizado en seguridad de la información consiste en la aplicación de controles de seguridad como resultado de la evaluación y tratamiento de riesgos. En esta publicación vamos a revisar los 8 pasos de OCTAVE Allegro (Operationally Critical Threat, Asset, and Vulnerability Evaluation), una opción para evaluar riesgos de seguridad en 8 pasos, desarrollada por SEI (Software Engineering Institute) y con documentación disponible de forma gratuita.

El uso de este y otros modelos similares es una forma preventiva de hacer frente a los riesgos que continuamente se presentan, ya que tienen como objetivo anticiparse a la materialización de amenazas identificadas. Para este enfoque, el reto consiste en considerar todas aquellas amenazas que podrían afectar de manera negativa los objetivos de una organización, haciendo un análisis de riesgos para reducirlos hasta un nivel aceptable, utilizando para ello (por ejemplo) una metodología como MAGERIT.

A continuación se describen los 8 pasos de OCTAVE Allegro:

1. Establecer criterios de medición del riesgo

El primer paso consiste en definir criterios que permitan conocer la postura de la organización en cuanto a su propensión a los riesgos. Se trata de la base para la evaluación, ya que sin esta actividad no se puede medir el grado en el que la organización se ve afectada cuando se materializa una amenaza.

El método establece la creación de un conjunto de criterios cualitativos con las cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la organización en 5 categorías:

  • Reputación/confianza del cliente
  • Financiera
  • Productividad
  • Seguridad/salud
  • Multas/penas legales
  • Además, hay una última que el usuario puede definir, utilizada para una preocupación específica de la empresa.

Para cada criterio se deben generar áreas de impacto, es decir, condiciones de cómo la organización se verá afectada por algún incidente de seguridad. El impacto puede ser alto, medio o bajo, y esto deberá ser definido por el personal encargado de generar los criterios de medición del riesgo. En la siguiente imagen se muestra un ejemplo de un área de impacto para los criterios de “Reputación y confianza del cliente”:

Una característica de OCTAVE Allegro es que emplea hojas de trabajo para registrar toda la información que se genera durante su aplicación. Esto se traduce en una ventaja, ya que algunos estándares de seguridad requieren que el proceso de evaluación de riesgos sea documentado.

Posteriormente, se deben priorizar estas áreas de acuerdo con los intereses de la organización, por lo que el orden puede variar de una empresa a otra. La categoría más importante recibe el puntaje más alto y la menos importante recibe la calificación más baja, con una escala de 1 a 5 si el usuario no define un área de impacto y solo utiliza las descritas en OCTAVE Allegro:

 
Hoja de trabajo Allegro 7 Prioridad de las áreas de impacto
Prioridad Área de impacto
5 Reputación y confianza del cliente
4 Financiera
3 Productividad
2 Seguridad y salud
1 Multas y penas legales
N/A Definido por el usuario

2. Desarrollar un perfil de activos de información

La evaluación de riesgos que se desarrolla se enfoca en los activos de información, es decir, los conocimientos o datos que tienen valor para la organización. Se documentan las razones por la cuales se eligen y además se debe realizar una descripción de los mismos.

También, se debe asignar un custodio a cada uno de estos activos de información, el responsable de definir los requisitos de seguridad para los mismos: confidencialidad, integridad y disponibilidad, de acuerdo a su criterio y experiencia.

Se crea un perfil para cada activo de información que los encargados de la evaluación consideren como crítico, ya que forma la base para identificar amenazas y riesgos en pasos subsecuentes. Esta actividad es necesaria para asegurar que los activos se describen de forma clara y consistente, así como sus requisitos de seguridad, para definir las opciones de protección a aplicar.

3. Identificar contenedores de activos de información

En el tercer paso se identifican los contenedores, es decir, los repositorios donde se almacena esta información, ya que son los sitios en donde suelen llevarse a cabo los ataques contra los datos, por tales características, también son los lugares donde se aplican los controles de seguridad.

De acuerdo con este método, pueden ser del tipo técnico, físico o humano, ya que la información puede encontrarse de diferentes maneras, por ejemplo en formato digital (archivos en medios electrónicos u ópticos), en forma física (escrita o impresa en papel), así como información no representada, como las ideas o el conocimiento de los miembros de la organización.

En el mismo sentido, la información puede ser almacenada, procesada o transmitida de diferentes maneras, en formato electrónico, verbal o a través de mensajes escritos o impresos, por lo que también es posible encontrarla en diferentes estados.

4. Identificar áreas de preocupación

En este paso se inicia el proceso del desarrollo de perfiles de riesgo para los activos de información, resultado de la combinación de la posibilidad de materialización de una amenaza (probabilidad) y sus consecuencias (impacto).

De acuerdo con el método, un área de preocupación es un enunciado descriptivo que detalla una condición o situación del mundo real que puede afectar un activo de información en la organización. Se deben generar tantas áreas como sean necesarias para cada uno de los activos perfilados en el paso 2.

Se busca documentar las condiciones que preocupan a la organización en cuanto a su información crítica, por lo que se identifican riesgos evidentes sin necesidad de una revisión exhaustiva, para ello se registra información sobre quién podría llevar a cabo esta amenaza (actores), los medios por los cuales se podría ejecutar, motivos y sus resultados. Finalmente, se documenta la manera en la que las amenazas afectarían los requisitos de seguridad descritos en el segundo paso.

5. Identificar escenarios de amenaza

En el quinto paso las áreas de preocupación son extendidas a escenarios de amenaza, lo que significa la identificación de otras preocupaciones para la organización que están relacionadas con sus activos de información críticos y que no son visibles a primera vista, como en el paso anterior.

Para lograrlo, se puede utilizar un cuestionario por cada tipo de contenedor del paso 3 (técnico, físico o humano), que contiene un conjunto de condiciones y preguntas diseñadas para detallar la identificación de amenazas.

Otra manera de identificar condiciones de riesgo es a través de árboles de amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y que consideran amenazas a través de medios técnicos y físicos, con actores internos o externos, por motivos accidentales o intencionales, que pueden provocar alguna consecuencia como la divulgación, modificación, interrupción o destrucción de un activo de información, como se muestra en la siguiente imagen:

Otros árboles de amenaza consideran problemas técnicos como defectos de software y hardware, fallas en sistemas o incidentes por códigos maliciosos. También, fallas de suministro eléctrico, en telecomunicaciones, relacionados con terceros, incluso por desastres naturales que pueden afectar los activos.

Es importante mencionar que no todas las combinaciones representan una amenaza real en la organización, por lo que algunas pueden ser descartadas.

6. Identificar riesgos

Aquí se calcula el riesgo a través de la siguiente ecuación:

Riesgo = Amenaza (condición) + Impacto (consecuencia)

Se determina el impacto a la organización si se realiza un escenario de amenaza descrito en los pasos 4 y 5, a través de los enunciados de impacto, la descripción detallada de la manera en que se ve afectada la organización. Para ello se debe tomar como referencia cada uno de los criterios definidos en el paso 1, es decir, las áreas de impacto que preocupan a la empresa.

De manera opcional se puede definir la probabilidad realista de la ocurrencia de la amenaza (altamente recomendable). Se trata de una actividad que permitirá priorizar los riesgos a tratar y requiere de un conocimiento amplio sobre los problemas de seguridad que ha padecido la organización, por lo que se pueden utilizar información estadística como los registros de incidentes. A una probabilidad de ocurrencia alta se asigna un valor de 3, si es media un valor de 2 y una valor de 1 para una probabilidad baja.

7. Analizar riesgos

En este paso se mide de forma cualitativa el grado en el que la organización es afectada por una amenaza y se calcula una puntuación para cada riesgo de cada activo de información. Para ello, se comparan las áreas de impacto de cada categoría de los criterios del paso 1, con el escenario de amenaza.

Se debe calcular un puntaje para cada escenario de amenaza generado, en este caso, se considera un incidente de seguridad que se conoce públicamente, por lo que el valor de impacto es alto (correspondiente a un 3). Para cada criterio puede existir más de un área de impacto, por lo que en el cálculo se considera el impacto de mayor valor. Luego se multiplica el valor de impacto del área con la prioridad definida en el paso 1:

 
Criterio de evaluación Prioridad Valor de área de impacto Puntuación
Puntaje total 31
Reputación y confianza del cliente 5 Alto (3) 15
Financiera 4 Medio (2) 8
Productividad 3 Bajo (1) 3
Seguridad y salud 2 Bajo (1) 2
Multas y penas legales 1 Alto (3) 3

El resultado final o puntaje total, es la suma de los productos de la puntuación. El resultado es un valor cuantitativo que puede ir de 0 a 45, a un valor más grande, el impacto será mayor sobre los activos de la empresa.

8. Seleccionar un enfoque de mitigación

En el último paso, se deben determinar las opciones de tratamiento de riesgos con base en los resultados del análisis, es decir, utilizando los valores de impacto y probabilidad calculados en los pasos anteriores. Este criterio puede variar de una organización a otra, pero en general, se busca mitigar aquellos riesgos que resulten con un valor alto (cercano a 45) y con una probabilidad de ocurrencia alta.

En OCTAVE Allegro se puede hacer uso de la matriz de riesgo relativo, un elemento que permite visualizar los riesgos a tratar con base en la probabilidad y el puntaje de riesgo. Se categorizan grupos de escenarios de amenazas para su tratamiento con base en estos resultados, como se muestra en la siguiente imagen. Los riesgos que pertenecen al grupo 1 deberían ser tratados con mayor prioridad:

Los enfoques de tratamiento para este método son mitigar, postergar, transferir o aceptar. Estas opciones pueden variar de una metodología a otra, aunque generalmente coinciden. Finalmente, es conveniente priorizar los riesgos para identificar aquellos que deban tratarse primero.

Con este método, es posible que a partir de criterios cualitativos, se pueda obtener un resultado numérico, es decir un valor cuantitativo, que permite priorizar los riesgos, con base en un puntaje y su probabilidad de ocurrencia.

OCTAVE Allegro puede ser de mucha utilidad, ya que se enfoca en los activos de información y ofrece opciones para crear los escenarios de amenaza, que permiten tener un mayor alcance para la identificación a la hora de hacer un análisis de riesgos y prevenirlos, con base en la propensión de la organización y los criterios que definan los tomadores de decisiones.


Por Miguel Ángel Mendoza vía ESET

Califica esta entrada

Etiquetas:


Deja un comentario

Cuanto es 20 + 5 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos