MARGERIT by DIEGO TORRES

MAGERIT Versión 1.0

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

Guía de procedimientos

GUIA DE PROCEDIMIENTOS

1 1.0 1.1 1.2 1.3 1.4 1.5 1.6 1.7 2 2.1 2.2 2.3 2.4 3 3.1 3.2 3.3 3.4 3.5 3.6 4. 4.1 4.2 4.3 4.4 5 5.1 5.2 5.3 5.4 6 6.0 6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 6.9

INTRODUCCIÓN Modo de empleo de esta Guía Introducción a MAGERIT Objetivos de MAGERIT Elementos de MAGERIT Organización de esta Guía Situación y descripción de esta Guía dentro de MAGERIT Objetivos de esta Guía de Procedimientos Destinatarios de esta Guía EL MODELO MAGERIT Encuadre de MAGERIT en la Gestión de la Seguridad de los SI MAGERIT en proyectos de complejidad media y alta Estructura de la Fase de Análisis y Gestión de Riesgos Ejemplo didáctico SUBMODELO DE ELEMENTOS Activos Amenazas Vulnerabilidades Impactos Riesgo Funciones, Servicios y Mecanismos de salvaguarda SUBMODELO DE EVENTOS Introducción al submodelo Vista estática relacional del Submodelo de eventos Vista dinámica organizativa del Submodelo de Eventos Vista dinámica ‘física’ del Submodelo de Eventos SUBMODELO DE PROCESOS Introducción al submodelo Estructura del Submodelo Etapas de MAGERIT Visión global de las Etapas del proceso MAGERIT ETAPA 1: PLANIFICACIÓN DEL ANÁLISIS Y GESTIÓN DE RIESGOS Ubicación de la Etapa 1 en el modelo de MAGERIT Estructura de la Etapa 1 Visión global de la Etapa 1 Actividad 1: Oportunidad de realización Actividad 2: Definición de dominio y objetivos Actividad 3: Organización y Planificación del proyecto Actividad 4: Lanzamiento del proyecto Síntesis de la etapa Papel de los participantes Aplicación de la Etapa 1 al Caso puesto como ejemplo

MAP - Metodología MAGERIT Versión 1.0

1 1 1 2 2 3 4 4 5 6 6 7 9 10 12 13 21 25 30 38 39 45 45 47 50 55 59 59 60 61 62 67 67 68 68 71 74 79 83 87 88 89

GUIA DE PROCEDIMIENTOS

7 7.0 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 7.9 7.10 7.11 8. 8.0 8.1 8.2 8.3 8.4 8.5. 8.6 8.7 8.8 8.9 9. 9.0 9.1 9.2 9.3 9.4 9.5 9.6 9.7 9.8 9.9 9.10

ETAPA 2: ANÁLISIS DE RIESGOS Ubicación de la Etapa 2 en el modelo de MAGERIT Estructura de la Etapa 2 Visión global de la Etapa 2 Actividad 1: Recogida de información Actividad 2: Identificación y agrupación de ACTIVOS Actividad 3: Identificación y evaluación de AMENAZAS Actividad 4: Identificación y estimación de Vulnerabilidades Actividad 5: Identificación y valoración de IMPACTOS Actividad 6: Evaluación del riesgo Síntesis de la etapa Papel de los participantes Aplicación de la Etapa 2 al Caso tomado como ejemplo ETAPA 3: GESTIÓN DEL RIESGO Ubicación de la Etapa 3 en el modelo de MAGERIT Estructura de la Etapa 3 Visión global de la Etapa 3 Actividad 1: Interpretación del riesgo Actividad 2: Identificación y estimación de funciones y servicios de salvaguarda Actividad 3: Selección de Funciones y Servicios de Salvaguarda Actividad 4: Cumplimiento de objetivos Síntesis de la etapa Papel de los participantes Aplicación de la Etapa 3 al Caso puesto como ejemplo ETAPA 4: SELECCIÓN DE SALVAGUARDAS Ubicación de la Etapa 4 en el modelo de MAGERIT Estructura de la Etapa 4 Visión global de la Etapa 4 Actividad 1: Identificación de mecanismos de salvaguarda Actividad 2: Selección de mecanismos de salvaguarda Actividad 3: Especificación de los mecanismos a implantar Actividad 4: Planificación de la implantación Actividad 5: Integración de resultados Síntesis de la etapa Papel de los participantes Aplicación de la Etapa 4 al Caso puesto como ejemplo

ANEXO 1: CUADROS-RESUMEN DE ELEMENTOS ANEXO 2: GLOSARIO ANEXO 3: BIBLIOGRAFIA ANEXO 4: EQUIPO RESPONSABLE DEL PROYECTO

MAP - Metodología MAGERIT Versión 1.0

98 98 99 99 101 106 112 114 118 121 126 127 128 142 142 143 143 144 145 148 150 151 152 153 157 157 158 158 160 162 165 166 168 168 169 170

GUIA DE PROCEDIMIENTOS

INTRODUCCIÓN

1.0

Modo de empleo de esta Guía

Esta Guía se ha preparado para servir como un marco de referencia sencillo que ayude a identificar y valorar los Activos de un Dominio y las Amenazas, a evaluar las Vulnerabilidades de los Activos y los Impactos, así como a preparar decisiones sobre Salvaguardas a partir del cálculo de los Riesgos. Para aplicar correctamente las consideraciones de esta Guía, es preciso tener en cuenta las situaciones particulares y la existencia de posibles contraindicaciones tecnológicas. Así: •

Salvo situaciones muy complejas o inciertas que requieran la intervención de un consultor especialista, un técnico no especializado en seguridad puede aplicar directamente las medidas descritas en esta Guía.

•

No todas las medidas deducibles de esta Guía son relevantes para cada situación. Se necesita adaptar los procedimientos de esta Guía a cada situación para poder utilizarla como escalón superior de la política corporativa en materia de seguridad. Por su carácter estructurante, esta Guía puede servir como instrumento de homogeneización para el intercambio de información entre personas o entidades distintas; es decir, puede servir como documento de referencia común para implicados por la seguridad de sistemas de información que tengan que realizar intercambios de información entre entidades, pues ofrece formas unívocas para establecer acuerdos mutuos referentes a seguridad de la información y de sus sistemas entre entidades, proveedores y usuarios. Esta Guía, como todas las Guías de MAGERIT, cumple dos funciones no siempre fáciles de casar: en una primera lectura puede tener que ser explicativa y hasta pedagógica; en las siguientes lecturas ha de ser procedimental (es decir, debe ofrecer un hilo práctico para conducir un proyecto de seguridad). Los sucesivos recuadros como éste ayudan a clarificar las partes del texto que cumplimentan cada una de las funciones, con indicaciones como el ejemplo siguiente: quien haya leído otra Guía MAGERIT, puede pasar directamente al punto 1.4.

1.1

Introducción a MAGERIT El Consejo Superior de Informática ha elaborado la Metodología de Análisis y GEstión de Riesgos de los sistemas de Información de las AdminisTraciones Públicas, MAGERIT, cuya utilización promueve, como respuesta a la dependencia creciente de éstas (y en general de toda la sociedad) de las Tecnologías de la Información. La razón de ser de MAGERIT está pues directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los ciudadanos; pero que también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que garanticen la autenticación, confidencialidad, integridad y disponibilidad de los sistemas de información (conceptos estos que se definen con precisión en la Guía de Procedimientos) y generen

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

confianza cuando se utilicen tales medios.

1.2

Objetivos de MAGERIT El método MAGERIT tiene un objetivo inmediato doble: • estudiar los riesgos que soporta un determinado sistema de información (SI) y el entorno asociable con él, entendiendo por riesgo la posibilidad de que suceda un daño o perjuicio, en una primera aproximación que se atiene a la acepción habitual del término. • recomendar las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos investigados. Como objetivo a más largo plazo, MAGERIT prepara su lógica articulación con los mecanismos de evaluación, homologación y certificación de seguridad de sistemas de información. Para programarlo, MAGERIT toma como referencia sistemática: • los Criterios ITSEC (Information Technologies Security Evaluation Criteria, aprobados por el Grupo de Altos Funcionarios Responsables de la Seguridad de los Sistemas de Información (SOGIS) de la Comisión de la Unión Europea y objeto de una Recomendación del Consejo de la Unión Europea de 7/4/1995); así como su Manual de aplicación ITSEM. • los conceptos y los términos acuñados por los Criterios Comunes de Evaluación de la Seguridad de los Productos y Sistemas de Información, criterios elaborados por la Unión Europea, Estados Unidos y Canadá. Unos y otros Criterios estipulan que los peticionarios de una evaluación, homologación o certificación de seguridad, deben definir, previamente a su petición, cuál es el ‘Dominio’ (Target of Evaluation, TOE), así como su entorno de Amenazas, junto al ‘Objetivo de seguridad’ (Target of Security, TOS) pretendido. Y concretan que esa definición previa ha de realizarse con ayuda de un Método de Análisis y Gestión de Riesgos, como MAGERIT.

1.3

Elementos de MAGERIT Para conseguir estos objetivos, MAGERIT tiene una estructura con dos tipos de elementos: •

Un conjunto de Guías, compuesto básicamente por: - Guía de Aproximación - Guía de Procedimientos - Guía de Técnicas - Guía para Desarrolladores de Aplicaciones

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

- Guía para Responsables del Dominio protegible - Referencia de Normas legales y Técnicas. •A

Un panel de herramientas de apoyo, con sus correspondientes Guías de Uso y con la Arquitectura de información y especificaciones de la Interfaz para el intercambio de datos.

Esta estructura de MAGERIT permite realizar:

1.4

•

el análisis de los riesgos para identificar las amenazas que acechan a los distintos componentes pertenecientes o relacionados con el Sistema de información (conocidos como ‘activos’); para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organización, obteniendo cierto conocimiento del riesgo que se corre.

•

la gestión de los riesgos, basada en los resultados obtenidos en el análisis anterior, que permite seleccionar e implantar las medidas o ‘salvaguardas’ de seguridad adecuadas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles perjuicios.

Organización de esta Guía El contenido propiamente dicho de esta Guía presenta, además de esta introducción, otros cuatro capítulos, que se refieren a: 1.

Introducción

El Modelo MAGERIT

Submodelo de Elementos

Submodelo de Eventos

Submodelo de Procesos

Planificación del Análisis y Gestión de Riesgos

Análisis de Riesgos

Gestión del Riesgo

Selección de Salvaguardas

Estos capítulos describen los conceptos principales y el funcionamiento del Modelo MAGERIT, organizado en tres Submodelos que van edificando la arquitectura del método, a partir de sus componentes (Elementos), de las relaciones entre éstos (Eventos) y con ayuda de los planos (Procesos) de la construcción. Los capítulos 2, 3 y 4 explican los fundamentos de la metodología, que se desarrolla a partir del capítulo

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

5 de una forma procedimental habitual (como la empleada por la metodología Métrica v.2.1, por

1.5

ejem plo).

Situación y descripción de esta Guía dentro de MAGERIT La Guía de Procedimientos de MAGERIT representa el núcleo del método, que completa la Guía de Técnicas. La Guía de Procedimientos junto a la Guía de Técnicas forman un conjunto autosuficiente, puesto que basta su contenido para comprender la terminología y para realizar el Análisis y Gestión de Riesgos de cualquier sistema de información (aunque no sea imprescindible, será conveniente el empleo de uno u otro nivel de herramientas construidas en torno a MAGERIT en cuanto el sistema a estudiar sea algo complejo). El contenido de la Guía de Procedimientos, orientado a cómo tratar los riesgos detectados, tiene en cuenta el avance científico, normativo y normalizador en materia de seguridad de los sistemas de información. La dinámica de este avance se va reflejando en la Referencia de Normas, renovada y completada periódicamente con la aparición de normas importantes. La Guía de Procedimientos presupone que se conocen y comprenden los conceptos contenidos en la Guía de Aproximación a MAGERIT, orientada a qué hacer para identificar la existencia de riesgos. Se recuerda que la Guía de Aproximación presenta de forma somera la Gestión completa de la Seguridad de los Sistemas de Información, donde la Fase de Análisis y Gestión de Riesgos cubierta por MAGERIT constituye el punto de arranque de una auténtica racionalización de las medidas sobre Seguridad a disponer y ejecutar. La Guía de Procedimientos permite integrar los resultados de las tareas indicadas por la Guía para Responsables del Dominio protegible; y por otra parte enlaza con la Guía para Desarrolladores de Aplicaciones, que facilita la inserción de las medidas de seguridad adecuadas en los proyectos realizados con ayuda de Métrica v.2.1.

1.6

Objetivos de esta Guía de Procedimientos Los objetivos de esta Guía de Procedimientos son:

Proporcionar una comprensión adecuada del Modelo de MAGERIT y de los Procedimientos que utiliza para mejorar la seguridad de los sistemas de información de las organizaciones, sus departamentos o unidades.

Ofrecer una base suficiente para adoptar, desarrollar e implantar un escalón avanzado de medidas efectivas y prácticas que permitan la obtención de mayor seguridad en los sistemas de información de la Organización.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

1.7

Ayudar a establecer las condiciones óptimas de adquisición de productos, sistemas y servicios de seguridad para sus sistemas de información.

Establecer una referencia común al Sector de la seguridad de los sistemas de información que favorezca el intercambio de productos, sistemas y servicios entre los proveedores, receptores, subcontratistas y otros actores del sector.

Destinatarios de esta Guía Aun cuando esta Guía se orienta a conocedores de los procesos de seguridad de los sistemas de información, sean o no administradores de seguridad y pertenezcan o no al sector público (aunque ciertos conceptos de MAGERIT se ajusten mejor a este sector), se ha elaborado de forma que facilite la comprensión del proceso de análisis y gestión de riesgos por directivos y técnicos no especializados en seguridad de los sistemas de información. Esta Guía debería lógicamente motivar a sus destinatarios para que, al usarla, se impliquen en la comprensión, implantación o mantenimiento de las condiciones de seguridad de los sistemas de información dentro de sus organizaciones.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

EL MODELO MAGERIT

2.1

Encuadre de MAGERIT en la Gestión de la Seguridad de los SI MAGERIT, como método de Análisis y Gestión de Riesgos, cubre sólo una Fase de la GESTIÓN global de la Seguridad de un Sistema de Información determinado. La Gestión global de Seguridad (representada en la figura siguiente) es una acción permanente, cíclica y recurrente (es decir, se ha de reemprender continuamente debido a los cambios del sistema y de su entorno). Las otras Fases aquí sólo se enuncian y no son objeto de estudio por MAGERIT, salvo en su interfaz con la Fase de Análisis y Gestión de Riesgos.

ANALISIS y GESTION de RIESGOS

MAGERIT

POLÍTICA de SEGURIDAD de los Sistemas de Información

ESTABLECIMIENTO de la PLANIFICACION de la SEGURIDAD

DETERMINACIÖN de la ORGANIZACION de la SEGURIDAD

de los Sistemas de Información

IMPLANTACION de SALVAGUARDAS y otras MEDIDAS de SEGURIDAD

CONCIENCIACION de TODOS en la SEGURIDAD

de los Sistemas de Información

MONITORIZACION, GESTIÓN de CONFIGURACION y de CAMBIOS en la SEGURIDAD de los Sistemas de Información

•

DETERMINACIÖN de OBJETIVOS, ESTRATEGIA y

de los Sistemas de Información

REACCION a cada evento, REGISTRO de incidencias y RECUPERACION de estados de SEGURIDAD

El ANÁLISIS Y GESTIÓN DE RIESGOS, Fase nuclear de ‘medición’ y cálculo en el ciclo de gestión de la seguridad, es punto de arranque del ciclo de Gestión de Seguridad y además requiere técnicas de proceso especiales (propias del ámbito de la seguridad). Por estas causas, la Fase es objeto de un método especial, MAGERIT, mientras que las demás Fases del ciclo se apoyan en técnicas más genéricas y conocidas.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

2.2

•

La Fase de Determinación de OBJETIVOS, ESTRATEGIA y POLÍTICA de Seguridad de los Sistemas de Información se nutre de y nutre a su vez la Fase de Análisis y Gestión de Riesgos. En el ciclo inicial de la Gestión de Seguridad, un Análisis y Gestión de Riesgos de carácter global ayuda a determinar los objetivos, estrategia y política, que influirán durante los ciclos sucesivos en el Análisis y Gestión de Riesgos más detallado (que a su vez puede modificarlos para ciclos sucesivos).

•

La Fase de Establecimiento de la PLANIFICACION de la Seguridad de los Sistemas de Información deriva de la Fase de Análisis y Gestión de Riesgos como su consecuencia funcional más inmediata. Utiliza técnicas generales de planificación (resultados, secuenciación, hitos de decisión), pero adaptadas al ámbito de la seguridad.

•

La Fase de Determinación de la ORGANIZACION de la Seguridad de los Sistemas de Información deriva de la Fase de Análisis y Gestión de Riesgos como su consecuencia orgánica más inmediata. Utiliza técnicas generales de organización (compromiso gerencial, roles, responsabilidades, documentación normativa), aunque adaptadas al ámbito de la seguridad.

•

La Fase de IMPLANTACION de SALVAGUARDAS y otras medidas de Seguridad para los Sistemas de Información deriva de las Fases de Planificación y Organización, utilizando técnicas generales de Gestión de Proyectos y Gestión de Configuración, aunque adaptadas al ámbito de la seguridad.

•

La Fase de CONCIENCIACIÓN de TODOS en la SEGURIDAD de los Sistemas de Información deriva de las Fases de Planificación y Organización. Tiene en cuenta el papel fundamental del recurso humano interno en todo proyecto de seguridad y utiliza técnicas generales de Gestión de Proyectos y Gestión de Formación, Comunicación y Recursos Humanos, aunque adaptadas al ámbito de la seguridad.

•

La Fase de REACCIÓN a cada evento, de MANEJO y REGISTRO de las incidencias y de RECUPERACIÓN de Estados aceptables de Seguridad tiene un carácter básicamente operacional y utiliza por tanto técnicas generales de Gestión cotidiana y de Atención a Emergencias adaptadas al ámbito de la seguridad.

•

La Fase de MONITORIZACIÓN, GESTIÓN de CONFIGURACIÓN y de CAMBIOS en la Seguridad de los Sistemas de Información tiene un carácter básicamente de mantenimiento, con técnicas generales de monitorización, gestión de configuración y gestión de cambios adaptadas al ámbito de la seguridad.

MAGERIT en proyectos de complejidad media y alta Los proyectos de complejidad media o alta en materia de seguridad requieren la realización de más de un ciclo de Gestión global de seguridad (figura siguiente). La primera aplicación del ciclo de Gestión abarca todo el sistema en estudio: arranca de la fase de Análisis y Gestión de Riesgos, enfocada a grandes rasgos para conseguir una primera dicotomía o clasificación en dos grandes bloques de los componentes del sistema: •

los componentes que implican riesgos menores, a los que bastará aplicar globalmente medidas

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

básicas de seguridad ‘práctica’ como las que ofrece la Guía de Aproximación; •

los componentes que implican riesgos mayores, a cada uno de los cuales será necesario aplicar un nuevo Análisis y Gestión de Riesgos más detallado.

Esta primera aplicación ofrece así una primera visión sintética de la seguridad con ayuda de las otras fases del ciclo de Gestión de Seguridad, es decir: - una Determinación global de Objetivos, Estrategia y Política de Seguridad; - una Planificación inicial de la Seguridad - una primera determinación de la Organización necesaria para la Seguridad; - la Implantación de las Salvaguardas generales en los componentes de riesgos bajos; - la concienciación; - el Entrenamiento a la participación en la Seguridad de componentes de riesgos bajos; - la preparación a la Reacción ante cada evento, el manejo y registro de las incidencias y la recuperación de Estados aceptables de Seguridad ligados a los componentes de riesgo bajo.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Análisis GLOBAL y Gestión de Riesgos MENORES con MAGERIT

PLANIFICACION ORGANIZACION, IMPLANTACION y CONCIENCIACION en la SEGURIDAD de los Sistemas de Información

Reacción al evento, registro recuperacion, monitorizacion, gestión de configuración/cambio en la Seguridad para los SI

Objetivos, Estrategia y Política de

Seguridad de S.I.

Análisis y Gestión de Riesgo MAYOR 1 con MAGERIT

Análisis y Gestión de Riesgo MAYOR 2 con MAGERIT

PLANIFICACION ORGANIZACION, IMPLANTACION y CONCIENCIACION en la SEGURIDAD de

los Sistemas de Información

Reacción al evento, registro

recuperacion, monitorizacion, gestión de configuración/cambio en la Seguridad para los SI

Las aplicaciones siguientes del ciclo de Gestión de seguridad a los componentes retenidos por sus riesgos mayores arrancan de la Fase de Análisis y Gestión de Riesgos, enfocada con un detalle proporcionado al riesgo detectado, relacionando el beneficio esperado con el coste de la aplicación de todas las fases del ciclo la gestión de seguridad.

2.3

Estructura de la Fase de Análisis y Gestión de Riesgos Esta Guía de Procedimientos describe metódicamente la Fase de Análisis y Gestión de Riesgos, tomada como referencia central del método MAGERIT, junto a la Guía de Técnicas, que las expone en detalle debido precisamente a su especificidad. El método MAGERIT se empieza por definir aquí en su nivel más genérico (para que pueda adaptarse a cada situación concreta como se verá en todas las ocasiones necesarias). MAGERIT maneja así una visión estratégica global sobre la Seguridad de los Sistemas de Información de las Administraciones Públicas; visión que arranca de un Modelo de Análisis y Gestión de Riesgos que comprende 3 Submodelos (figura siguiente):

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

Submodelo de Elementos

•

Submodelo de Eventos

•

Submodelo de Procesos

El Submodelo de Elementos proporciona los ‘componentes’ que el Submodelo de Eventos relacionará entre sí y con el tiempo, mientras que el Submodelo de Procesos es la descripción funcional (el ‘esquema explicativo’) del proyecto de seguridad a construir. Para construir un proyecto de seguridad específico, el ‘esquema’, es decir el Submodelo de Procesos, ayuda por una parte a seguir el procedimiento general y por otra a adaptarlo al problema concreto, teniendo siempre en cuenta la Política de seguridad que haya marcado la Dirección de la Entidad afectada. Si esta adaptación es compleja o tiene elementos de incertidumbre, debe hacerse con ayuda de un especialista de seguridad de los S.I. El Procedimiento particularizado para el proyecto concreto de seguridad determina las Funciones y Servicios de Salvaguarda adecuados a los problemas detectados al aplicar el método e indica tipos de Mecanismos de Salvaguarda para resolverlos. Aunque no forman parte de MAGERIT, éste prepara la Planificación, la Organización y las otras fases posteriores necesarias para implementar y explotar adecuadamente dichos Mecanismos.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas

Quien conozca los Modelos para métodos de Análisis y Gestión de Riesgos en curso de normalización de hecho o de derecho (proyectos europeos como INFOSEC S2014, Criterios Comunes de evaluación de seguridad de tecnologías de información, Guías para la Gestión de la Seguridad de las tecnologías de información de ISO/IEC, etc.), podría pasar al Capítulo 6 tras una rápida lectura de los capítulos 2 al 5 para comprobar su coincidencia con dichas pautas de normalización.

2.4

Ejemplo didáctico Como ejemplo que ayude a entender mejor estos conceptos abstractos de un Modelo y sus Submodelos, puede tomarse la realización por cada uno de la Declaración de la Renta o IRPF. Esta realización arranca de un ‘estudio’ inicial de la situación fiscal propia, que permita orientarse en cuanto al nivel de las obligaciones y al tipo de Declaración a realizar (normal, abreviada, conjunta, ...).

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

El Modelo global del IRPF sería el ‘sobre’ que incluye varias partes o Submodelos, todos ellos abstractos aunque estén materializados en papel. Así el esquema explicativo (llamado ‘Guía para la Declaración de Renta’) equivale en cierta forma a la Guía de Procedimientos. La ‘Guía para la Declaración’ comprende por una parte el Submodelo de Elementos (el capítulo final con el ‘Glosario de términos más frecuentes’ descritos exactamente en la legislación tributaria) y por otra el Submodelo de Procesos, que son las ‘normas’ generales a seguir para rellenar los formularios y plasmar cada problema fiscal concreto. El conjunto de ‘formularios’ vírgenes a rellenar (que justamente se llama ‘modelo’ de formulario) sería el Submodelo de Eventos que intenta reflejar el ‘ciclo de vida económica’ del declarante y relaciona los Elementos del correspondiente Submodelo (declarante, devengo, periodo, ingresos, gastos deducibles, rendimientos, retenciones, escala de gravamen, etc.). El problema fiscal que subyace a la Declaración puede ser más simple o complejo. El procedimiento para ésta puede así ser ‘abreviado’ y fácilmente ejecutable (con ayuda del PADRE); o bien, si es más complejo, suele realizarse con el apoyo de un especialista en materia fiscal. La Realización global de la Declaración se completa con otras ‘fases’ (planificando fechas, organizando, ejecutando, manteniendo justificantes, etc.).

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

SUBMODELO DE ELEMENTOS

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas

El Submodelo de Elementos de MAGERIT comprende las seis Entidades básicas siguientes, así como sus procesos de adquisición y actualización: • Activos • Amenazas • Vulnerabilidades • Impactos • Riesgos • Salvaguardas (Funciones, Servicios y Mecanismos) Las Relaciones entre estas Entidades forman parte del Submodelo de EVENTOS y por tanto se verán en el capítulo dedicado al ‘funcionamiento’ del Modelo de MAGERIT.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Cada Entidad se describe según el siguiente esquema: 1. Definición 2. Características 3. Tipos 4. Atributos 5. Métrica 6. Indicaciones complementarias, si las hay.

3.1

Activos

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

3.1.1 Definición Los Activos son los recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección. MAGERIT no se circunscribe por tanto a la seguridad de los sistemas de información, pues no puede dejar de tenerse en cuenta que dichos sistemas afectan a la operativa correcta de los sistemas de organización (organizacionales) soportados y que son afectados por las decisiones de la Organización. Por tanto no tiene sentido hablar del sistema de información ‘aislado’ desde el punto de vista del riesgo. Un proyecto de seguridad organizado con ayuda de MAGERIT tiene un ‘Objeto de seguridad’ que se ejerce sobre un conjunto de Activos que constituyen el ‘Objeto’ en estudio o Dominio del proyecto (un Activo puede considerarse como un ‘dominio unitario’). La delimitación de la frontera del conjunto de Activos del Dominio no impide considerar asimismo las relaciones en materia de seguridad de dichos Activos con el Entorno (todo lo situado fuera del dominio del proyecto que influye en él en términos de seguridad).

3.1.2 Características Cada Activo (o bien un conjunto homogéneo de Activos, o bien el Dominio en estudio) se caracteriza por su estado -en materia- de seguridad; estado que se concreta estimando los niveles de 4 subestados de Autenticación, Confidencialidad, Integridad, Disponibilidad (A-C-I-D), que MAGERIT define y valora con las sencillas escalas que se definen en el siguiente apartado 3.1.5 de Métricas: •

Subestado A de autenticación. Se define como la característica de dar y reconocer la autenticidad de los Activos del Dominio (de tipo Información) y/o la identidad de los actores y/o la autorización por parte de los autorizadores, así como la verificación de dichas tres cuestiones.

•

Subestado C de confidencialidad. Se define como la característica que previene contra la divulgación no autorizada de activos del Dominio. Concierne sobre todo a Activos de tipo Información, y a menudo se relaciona con la Intimidad o ‘privacidad’, cuando esa información se refiere a personas físicas, que trata la LORTAD, Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de carácter personal. El término divulgación debe tomarse en su sentido más estricto: el simple acceso físico o lógico al activo altera este subestado, aunque no haya modificaciones aparentes ni difusión posterior.

•

Subestado I de integridad. Se define como la característica que previene contra la modificación o destrucción no autorizadas de Activos del Dominio. La integridad está vinculada a la fiabilidad funcional del sistema de información (o sea su eficacia para cumplir las funciones del sistema de organización soportado por aquél) y suele referirse (no siempre) a Activos de tipo Información. Por ejemplo, son típicos los problemas causados por la amenaza de un virus (llegado con un disquete externo o por la red) a la integridad de los datos almacenados en el disco duro de un PC.

•

Subestado D de disponibilidad. Se define como la característica que previene contra la denegación no autorizada de acceso a Activos del Dominio. La disponibilidad se asocia a la fiabilidad técnica

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

(tasa de fallos) de los componentes del sistema de información. En vez de caracterizar los Activos por su estado y subestados de seguridad, MAGERIT podría haberlos caracterizado por su ‘estado y subestados de riesgo’ complementario a la seguridad (es decir, a mayores niveles de los subestados de seguridad, menores niveles de los subestados de riesgo y viceversa). Seguridad y Riesgo son conceptos antitéticos y Estado de Seguridad y Estado de Riesgo también lo son. Todo el modelo de Análisis y Gestión de Riesgos podrían haberse articulado en torno al concepto único de Riesgo, pero entonces ese concepto de Riesgo tendría que soportar dos acepciones profundamente distintas, una como ‘estado’ del activo y otra como ‘resultado’ de un proceso de cálculo que basa una decisión (incorporar acciones de salvaguarda para modificar dicho estado) como se deduce del apartado 4.4.3 (Interpretación ‘física’ de los elementos de seguridad). MAGERIT evita esta ambigüedad empleando Seguridad y Riesgo como términos de contenido distinto, siguiendo las tendencias internacionales en la materia.

3.1.3 Tipos MAGERIT considera 5 grandes tipos o categorías de Activos: 1.

El entorno del Sistema de Información comprende los activos que se precisan para garantizar los siguientes niveles

El sistema de información en sí

La propia información tratada por las aplicaciones del sistema de información.

Las funcionalidades de la organización, que justifican la existencia de los Sistemas de Información anteriores y les dan finalidad.

Otros activos, ya que el tratamiento de los activos en un método de evaluación de riesgos debe permitir la inclusión de cualquier activo, sea cual sea su naturaleza (esta amplia concepción de Activo está en línea con las Guías Prenormativas ISO/IEC, para las que “Activo es todo lo que posee o usa una organización”).

Las 5 categorías o niveles citados implican una tipificación según la naturaleza propia o intrínseca de los Activos. Los 3 primeros constituyen el Dominio estricto genérico de todo proyecto de Seguridad de Sistemas de Información, mientras que los dos últimos son exteriores al Sistema de Información propiamente dicho o extrínsecos, pero no exentos de consecuencias desde el punto de vista de la seguridad). Algunos ejemplos pueden precisar qué tipos de Activos considera cada unos de los 5 niveles del Dominio:

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Activos relacionados con el nivel del Entorno - Equipamientos y suministros (energía, climatización, comunicaciones) - Personal (de dirección, de operación, de desarrollo, otro) - Otros tangibles (edificaciones, mobiliario, instalación física)

Activos relacionados con el nivel de los Sistemas de Información - Hardware (de proceso, de almacenamiento, de interfaz, servidores, firmware, otros) - Software (de base, paquetes, producción de aplicaciones, modificación de firmware) - Comunicaciones (redes propias, servicios, componentes de conexión, etc.)

Activos relacionados con el nivel de la Información - Datos (informatizados, concurrentes al o resultantes del Sistema de Información) - Meta-información (estructuración, formatos, códigos, claves de cifrado) - Soportes (tratables informáticamente, no tratables)

Activos relacionados con el nivel de las Funcionalidades de la organización - Objetivos y misión de la organización - Bienes y servicios producidos - Personal usuario y/o destinatario de los bienes o servicios producidos

Otros Activos no relacionados con los niveles anteriores - Credibilidad (ética, jurídica, etc. ) o buena imagen de una persona jurídica o física, - Conocimiento acumulado, - Independencia de criterio o de actuación, - Intimidad de una persona física, - Integridad material de las personas, etc.

Un proyecto de seguridad articula los 5 tipos o niveles como ‘capas’ de Activos desde el punto de vista de las cadenas potenciales de fallos ‘verticales’ entre dichas capas. Así, fallos en Activos del Entorno (1) provocarían otros fallos en el Sistema de Información (2); éstos inciden en fallos de la Información (3), que soporta las funcionalidades de la organización (4) y ésas condicionan los otros activos (5).

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

La calidad de la aplicación de MAGERIT depende de que esta tipificación de Activos se realice con cuidado y se adapte adecuadamente al proyecto previsto. Los problemas de seguridad se pueden manifestar en una cualquiera de las capas, pero sus consecuencias la desbordan, con problemas en todas las capas que dependen de aquélla. La explicitación de las cadenas ‘verticales’ no es evidente ni inmediata, pero es imprescindible realizarla para no olvidar Activos afectables.

3.1.4 Atributos Cada Activo o Grupo de Activos incorpora como atributos esenciales dos indicadores sobre dos tipos de valoraciones, que ofrecen una orientación para calibrar el posible impacto que la materialización de una amenaza puede provocar en el activo: •

la valoración intrínseca al Activo considerado tiene dos aspectos − uno cualitativo como valor de uso del Activo; este atributo permite responder al para qué sirve el Activo y soporta la clasificación anterior en tipos por naturaleza;

•

− otro cuantitativo como valor de cambio, o sea cuánto vale; este atributo es válido para ciertos tipos de Activo y útil tanto a efectos indirectos de la valoración del Impacto causable por las amenazas, como para soportar la decisión entre la valoración del Riesgo y la de las salvaguardas para reducirlo. la valoración del estado de seguridad del Activo considerado, expuesta anteriormente como característica por su importancia, se concreta en sus 4 subestados A-C-I-D: autenticación, confidencialidad, integridad, disponibilidad.

3.1.5 Métricas Los Responsables del Dominio protegible -el promotor del proyecto y los usuarios del Dominio considerado, destinatarios de la Guía de MAGERIT con dicho nombre- deben identificar, definir y valorar sus Activos (es la aportación principal que MAGERIT les solicita). Las valoraciones anteriores reposan sobre sendas métricas. Las métricas de valoración intrínseca de los Activos se apoyan en estas situaciones: •

Ciertos Activos pueden estar inventariados: una parte importante de los Activos de los niveles 1 (Entorno) y 2 (Sistema de información) pueden tomarse de los Inventarios preestablecidos en la Entidad y por tanto seguirán las clasificaciones de dichos inventarios (relacionadas a menudo con su contabilización patrimonial).

•

Otros Activos pueden estar inventariados o no: así las Aplicaciones existentes que cubren la obtención de determinada Información (nivel 3) o ciertas Funcionalidades de la Organización (nivel

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

4) suelen estar inventariadas si se compran en el mercado o si se pueden valorar, por ejemplo por su coste de producción. •

Una parte de Activos del Sistema en estudio no son inventariables en el sentido contable del término, es decir como ‘valor de cambio’ (apto por ejemplo para reposición en caso de deterioro). No por ello dejan de tener un ‘valor de uso’ para la Organización, que a menudo se suele apreciar cualitativamente por su carencia.

MAGERIT no recomienda la mezcla de valoraciones de activos inventariables y no inventariables porque esta mezcla suele subestimar éstos últimos, sobre todo los inmateriales y especialmente los específicamente ligados a la Administración Pública. Como se verá en el apartado 7.4.3 (Tarea de ‘Valorar Activos’), el procedimiento recomendado por MAGERIT para valorar activos se puede resumir en un doble esfuerzo: •

Debe intentarse encontrar el ‘valor de cambio’ del activo como valor de reposición, directa (valor de inventario) o indirectamente (coste de su regeneración tras un Impacto)

•

Si esa valoración fuera imposible o inconveniente (valor de ‘reposición’ de una persona tras un accidente causado por falta de seguridad de algún activo), debe de tratarse este activo (con sus posibles impactos y riesgo consecuentes) como un elemento del entorno del Dominio abarcado por el proyecto de seguridad; elemento que influye sobre éste como una restricción parcialmente ajena al tratamiento estricto de MAGERIT pero condicionante de su resultado (por lo que el activo o sus derivados habrán de aparecer por ejemplo en los informes intermedios y en su caso en el informe final del proceso).

Las métricas de valoración del estado de seguridad del Activo considerado permiten estimar los niveles de sus 4 subestados A-C-I-D (autenticación, confidencialidad, integridad, disponibilidad). •

Subestado A de Autenticación. Su escala está ligada a la menor o mayor necesidad de formalización, de autorización y de responsabilización probatoria en el conocimiento o la comunicación de Activos del Dominio. MAGERIT establece una escala con 4 niveles (para cada uno se adjunta un ejemplo de tipo de ‘correo’ tradicional, cuya terminología se mantiene a menudo en el correo electrónico): − baja, si no se requiere conocer autor ni responsable de la información (en un impreso por correo no importa mucho la autorización del emisor-origen o el receptor-destino ni la responsabilidad sobre el contenido); − normal, si se requiere conocer autor para por ejemplo evitar el repudio de origen (un ‘sobre’ certificado importan los datos del emisor y el origen, por ejemplo para dar fe de la fecha para un concurso); − alta, si se requiere además evitar el repudio en destino (en un sobre con ‘acuse de recibo’ importan los datos del receptor y el destino, por ejemplo para dar fe de la fecha para una notificación);

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

− crítica. si se requiere además la certificación de ‘autor’ y a menudo de contenido (una notificación administrativa, para asegurar que el receptor recibe un contenido determinado). •

Subestado C de Confidencialidad de Información. MAGERIT usa una escala con 4 niveles (para cada uno se adjunta un tipo de dato tomado de las categorías implícitas en la LORTAD ) −

libre, sin restricciones en su difusión (datos de carácter NO personal)

− restringida, con restricciones normales (dato de carácter personal) − protegida, con restricciones altas (dato especialmente protegido o ‘sensible’, por ejemplo sobre ideología, religión, salud o etnia) − confidencial, no difundible por su carácter crítico •

Subestado I de Integridad. Su escala usa 4 niveles, referibles a una característica práctica, la facilidad mayor o menor de reobtener el Activo con calidad suficiente, o sea completo y no ‘corrompido’ para el uso que se desea darle: −

bajo, si se puede reemplazar fácilmente con un Activo de igual calidad (por ejemplo, información redundante o imprecisa).

− normal, si se puede reemplazar con un Activo de calidad semejante con una molestia razonable. − alto, si la calidad necesaria es reconstruible difícil y costosamente. − crítico, si no puede volver a obtenerse una calidad semejante. • Subestado D de Disponibilidad. Su escala emplea niveles definidos por el período de tiempo máximo de carencia del Activo sin que las consecuencias o Impactos sean graves para la Organización. MAGERIT usa una escala de 4 niveles para los sistemas de gestión habituales en los sectores público y privado: −

− menos de una hora, considerado como fácilmente recuperable − hasta un día laborable, coincidente con un plazo habitual de recuperación con ayuda telefónica de especialistas externos o de reposición con existencia local. − hasta una semana, coincidente con un plazo normal de recuperación grave con ayuda presencial de especialistas externos, de reposición sin existencia local o con el arranque del

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

centro alternativo. − más de una semana, considerado como interrupción catastrófica Otros sistemas tienen tiempos máximos de carencia distintos, que por ejemplo son inferiores a una centésima de segundo para un ordenador embarcado en un satélite; o a una décima para el controlador de una unidad de vigilancia intensiva hospitalaria; o a un segundo en una sala de contratación bursátil electrónica; o a diez segundos en cualquier transacción; etc. En ciertos sistemas, la carencia es menos aceptable en unos períodos que en otros (nóminas a fin de mes, balances en torno al fin de año, etc. Las escalas y niveles de estos subestados de seguridad son adaptables por un especialista en seguridad al dominio concreto estudiado, si fuese conveniente:

3.1.6 Indicaciones complementarias MAGERIT puede requerir, para responder a finalidades precisas, otras enumeraciones de Activos distintas a las citadas o bien descomposiciones más detalladas dentro de los tipos, niveles o capas citados. Las siguientes se suelen emplear en las herramientas de apoyo al Método, aunque también pueden ser útiles sin aquéllas para estructurar mejor el uso ‘manual’ de MAGERIT. • Grupos Jerárquicos de Activos, distintos según cada caso estudiado y hasta el nivel de detalle que sea adecuado a la ‘granularidad’ prevista en la Etapa de aplicación de MAGERIT. Esta descomposición puede permitir la identificación y definición directas de los Activos y/o componentes específicos del objeto estudiado, lo que facilita la colaboración entre expertos en seguridad y los expertos del usuario. • Grupos de Activos según Amenaza, susceptibles de ataque por una Amenaza común; así como Grupos de Activos según Salvaguarda, que permitan aplicarles una Salvaguarda común. • Activos no tipificados. MAGERIT facilita la inclusión de cualquier activo, sea cual sea su naturaleza. Esto permite un tratamiento muy flexible pero bien estructurado de las Funcionalidades de la Organización y de otros recursos no tangibles.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

3.2

Amenazas

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos • Amenazas Amenazas

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Vulnerabilidades • Impactos • Riesgo • Salvaguardas

3.2.1 Definición Las amenazas son los eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

3.2.2 Características La definición anterior recoge la esencia dinámica de la Amenaza: es decir, es un Evento de tipo potencial (o sea una Acción, interrupción o falta de acción situada fuera del control de los actores de la seguridad; en contraposición de las Acciones de tipo decisión humana): la consecuencia de la amenaza, si se

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

materializa, es un incidente que modifica el estado de seguridad de los Activos amenazados, es decir, lo hace pasar de un estado anterior al evento a otro posterior (potencial o realmente, según se trate de Amenaza o de agresión materializada). La definición de amenaza también sobreentiende que hay diversidad de consecuencias, lo que habrá de tenerse en cuenta al examinar la entidad Impacto. La distancia entre la Amenaza potencial y su materialización como agresión real se mide por la frecuencia histórica o bien por la potencialidad de dicha materialización. Ésta sólo tiene interés en el Modelo de MAGERIT como parte de la relación entre la agresión y el Activo agredido (como se verá al tratar la Vulnerabilidad). Simétricamente y como se verá en el Submodelo de Eventos, lo que realmente contará es la agresión materializada y las Amenazas se verán así sólo como agresiones no materializadas o potenciales.

3.2.3 Tipos La diversidad de causas de las Amenazas permite clasificarlas según su naturaleza (lo que a su vez podrá orientar sobre las medidas a tomar para neutralizarlas con cierta autonomía sobre sus consecuencias). MAGERIT considera cuatro tipos de causas amenazadoras: no humanas (accidentes); humanas pero involuntarias (errores); humanas intencionales que necesitan presencia física; y humanas intencionales que proceden de Origen Remoto. Se tienen en definitiva estos 4 Grupos: Grupo A de Accidentes A1: Accidente físico de origen industrial: incendio, explosión, inundación por roturas, contaminación por industrias cercanas o emisiones radioeléctricas A2: Avería: de origen físico o lógico, debida a un defecto de origen o sobrevenida durante el funcionamiento del sistema A3: Accidente físico de origen natural: riada, fenómeno sísmico o volcánico, meteoro, rayo, corrimiento de tierras, avalancha, derrumbe, ... A4: Interrupción de servicios o de suministros esenciales: energía, agua, telecomunicación, fluidos y suministros diversos A5: Accidentes mecánicos o electromagnéticos: choque, caída, cuerpo extraño, radiación, electrostática ... Grupo E de Errores E1: Errores de utilización ocurridos durante la recogida y transmisión de datos o en su explotación por el sistema E2: Errores de diseño existentes desde los procesos de desarrollo del software (incluidos los de dimensionamiento, por la posible saturación de los flujos en los sistemas).

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

E3: Errores de ruta, secuencia o entrega de la información en tránsito E4: Inadecuación de monitorización, trazabilidad, registro del tráfico de información Grupo P de Amenazas Intencionales Presenciales P1: Acceso físico no autorizado con inutilización por destrucción o sustracción (de equipos, accesorios o infraestructura) P2: Acceso lógico no autorizado con intercepción pasiva simple de la información (requiere sólo su lectura) P3: Acceso lógico no autorizado con alteración o sustracción de la información en tránsito o de configuración (requiere lectura y escritura); es decir, reducción de la confidencialidad del sistema para obtener bienes o servicios aprovechables (programas, datos ...) P4: Acceso lógico no autorizado con corrupción o destrucción de información en tránsito o de configuración P5: Indisponibilidad de recursos, sean humanos (huelga, abandono, rotación) o técnicos (desvío del uso del sistema, bloqueo). Grupo T de Amenazas Intencionales de Origen Remoto T1: Acceso lógico no autorizado con intercepción pasiva (para análisis de tráfico...) T2: Acceso lógico no autorizado con corrupción o destrucción de información en tránsito o de configuración (requiere lectura y escritura) y usando o no un reemisor o ‘man in the middle’: es decir, reducción de la integridad y/o disponibilidad del sistema sin provecho directo (sabotaje inmaterial, infección vírica..) T3: Acceso lógico no autorizado con modificación (Inserción, Repetición) de información en tránsito T4: Suplantación de Origen (del emisor o reemisor, ‘man in the middle’) o de Identidad T5: Repudio del Origen o de la Recepción de información en tránsito El criterio de clasificación empleado (por naturaleza y según las causas) ha permitido recoger las categorías de amenazas de la CASRI, 'Commission Assurance et Securité des Risques Informatiques', armonizada y puesta a punto por los delegados de los principales países de la Unidad Europea y de la Asociación Europea de Libre Comercio. La evolución de los tipos de amenazas y la explosión de las amenazas intencionales ha exigido desdoblar el primitivo bloque de la CASRI para éstas en dos bloques, a tenor de las formas empleadas de acceso a los Activos: un bloque de amenazas intencionales presenciales (requieren presencia física) y otro de Origen Remoto (requieren comunicación).

3.2.4 Atributos

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

El elemento Amenaza no tiene atributos destacables que sean útiles para el Análisis y Gestión de Riesgos.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

3.2.5 Métricas La ocurrencia intrínseca de la amenaza tiene sólo un interés genérico si no está asociada como agresión materializada. Al Activo agredido pese a todo, puede ayudar a valorar la Vulnerabilidad que concreta dicha asociación por excepción (o sea si no hubiera valoración específica de dicha Vulnerabilidad); en este caso se expresa según la siguiente escala: Periodo medio entre ocurrencias

Valor en la escala subjetiva

- menor que una vez por semana

Frecuencia muy alta

- menor que cada 2 meses

Frecuencia alta

- menor que un año

Frecuencia media

- menor que 6 años

Frecuencia baja

- mayor que 6 años

Frecuencia muy baja

La escala escogida no se basa en consideraciones objetivas, sino que intenta contrarrestar los efectos de la incertidumbre en la determinación de los períodos en base a intervalos que aproximadamente se aumentan de forma exponencial.

3.2.6 Indicaciones complementarias MAGERIT puede requerir, para responder a finalidades precisas, otras enumeraciones de Amenazas distintas a las citadas o bien descomposiciones más detalladas dentro de los tipos, niveles o capas citados. Las siguientes se suelen emplear en las herramientas de apoyo al Método, aunque también pueden ser útiles sin aquéllas para estructurar mejor el uso ‘manual’ de MAGERIT. • Agrupación de los posibles eventos o amenazas en escenarios. Cada escenario conlleva un conjunto de amenazas que pueden atacar a un conjunto de activos y producir ciertos tipos de impacto. • Grupos Jerárquicos de Amenazas/agresiones, distintos según el caso estudiado y hasta el nivel de detalle que sea adecuado a la ‘granularidad’ retenida para el agrupamiento de Activos y a la fase de estudio de MAGERIT. La descomposición debe permitir la identificación y definición de las agresiones al mismo nivel de detalle de los Activos y/o componentes específicos del Objeto estudiado, lo que facilita la colaboración entre los expertos de seguridad y los del usuario. • Grupos de Amenazas/agresiones según los Subestados de Seguridad citados en los Activos. Ciertas Amenazas atentan exclusiva o predominantemente contra el Subestado de Autenticación (por ejemplo la suplantación del Origen de un mensaje); otras contra el Subestado de

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Confidencialidad (por ejemplo consulta no autorizada), el de Disponibilidad (indisponibilidad de personal imprescindible) o el de Integridad (pérdida de datos en una transmisión). • Las Agrupaciones por tipos cohesionados de Amenazas/agresiones y Salvaguardas, que forman la base de las representaciones gráficas (por ejemplo de tipo Kiviat) de los estados de seguridad de un Activo o Grupo de Activos.

3.3

Vulnerabilidades

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades Vulnerabilidades • Impactos • Riesgo • Salvaguardas

3.3.1 Definición Vulnerabilidad de un Activo es la potencialidad o posibilidad de ocurrencia de la materialización de una Amenaza sobre dicho Activo.

3.3.2 Características

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

La Vulnerabilidad es una propiedad de la relación entre un Activo y una Amenaza. La Vulnerabilidad se ha venido vinculando más al Activo como una ‘no-calidad’ de éste, pero se puede utilizar con una mayor vinculación a la Amenaza cuando el problema lo considere conveniente (en todo caso, Vulnerabilidad no es sólo una ‘debilidad’ o sea una ‘propiedad negativa’ del elemento ‘Activo’). La Vulnerabilidad es un concepto con dos aspectos: •

•

La Vulnerabilidad como propiedad ejerce una función de mediación (o de predicación en sentido lingüístico) entre la Amenaza como acción y el Activo como objeto de cambio del estado de seguridad. Por este aspecto estático la Vulnerabilidad forma parte del estado de seguridad del Activo. La Vulnerabilidad es asimismo en su aspecto dinámico el mecanismo obligado de paso o conversión de la Amenaza a una agresión materializada sobre un Activo.

Por poner ejemplos, la Amenaza ‘Inundación por desbordamiento de torrente’ combinada con el Activo ‘centro de cálculo’ situado en zona inundable, se plasma en una Vulnerabilidad de dicho Activo respecto a esa Amenaza. Esta Vulnerabilidad depende del propio ‘ciclo de recurrencia’ (frecuencia) de las avenidas en la zona y de la ubicación del propio centro de cálculo (cercanía al lecho, situación en un sótano, etc.). Es una confusión muy frecuente a combatir la asimilación de la Vulnerabilidad como una probabilidad, si se desea después usar este término en su sentido científico y técnico de Teoría o Cálculo de probabilidades. No se está aquí ante un cociente de número de casos de un tipo (reales) frente a número de casos total (los posibles), ya que el denominador no tendría sentido. MAGERIT evita cuidadosamente los términos probable y probabilidad, empleando el concepto de potencial y potencialidad en general como más cercano al tránsito de amenaza materializable en agresión. La potencialidad se convierte en frecuencia para los casos de calculabilidad definida y en posibilidad para los casos de calculabilidad difusa (el concepto de ‘posibilidad’ tiene un contenido preciso en lógica difusa, como se recordará en la Guía de Técnicas).

Amenaza

vulnerabilidad agresión

Activo 3.3.3 Tipos MAGERIT considera dos acepciones principales: •

La Vulnerabilidad intrínseca del Activo respecto al tipo de Amenaza sólo depende de estas dos entidades, Activo y Amenaza.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

La Vulnerabilidad efectiva del Activo tiene en cuenta las Salvaguardas aplicadas en cada momento a dicho Activo y se tiene en cuenta en forma de un factor que estima la eficacia global de dichas Salvaguardas.

3.3.4 Atributos La Vulnerabilidad intrínseca puede descomponerse, si conviene y para análisis muy detallados (sobre todo de amenaza intencional), según dos bloques de atributos: •

Potencialidad autónoma respecto al Activo amenazado de ocurrencia de la Amenaza (por ejemplo la frecuencia de inundaciones en un lugar determinado).

•

Potencialidad derivada de la relación entre Activo y Amenaza (intencional

•

Factores subjetivos generadores de más o menos ‘fuerza’ (motivación, disuasión)

•

Oportunidad de acceso al Dominio con capacidad y recursos, según 4 aspectos:

sobre todo)

∗ Accesibilidad física presencial: número de personas o entidades autorizadas por su función a acceder normalmente al entorno del Activo, con una escala de 4 niveles -

una sola persona o entidad

pocas personas de una entidad

bastantes personas de pocas entidades distintas

bastantes personas de varias entidades distintas

∗ Accesibilidad física calificada: calificación (formación general y experiencia) de los usuarios autorizados a acceder físicamente al entorno del Activo, con esta escala: -

no se requiere calificación

se requiere poca formación para manejar la documentación técnica

se requiere cierta experiencia para manejar la documentación técnica

se requiere alta formación y experiencia para manejar la documentación técnica

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

∗ Accesibilidad lógica competencial. Conocimiento técnico específico sobre el Activo atacable, con una escala de 4 niveles -

no requiere competencia especial

es fácil de realizar por un usuario

requiere la competencia de un desarrollador

necesita un experto muy calificado

∗ Accesibilidad lógica instrumental. Disponibilidad del instrumental que corresponde a la tecnología del Activo amenazable, con una escala de 4 niveles -

no requiere instrumental o éste es muy accesible

no requiere instrumental especial pero su acceso es restringido (coste ...)

requiere instrumental especial aunque accesible de la tecnología considerada

requiere instrumental especial y de acceso muy difícil

3.3.5 Métrica La Métrica de la Vulnerabilidad consiste en considerar la ‘distancia’ entre la Amenaza (potencial) y su materialización como agresión (real) sobre el Activo. MAGERIT mide la Vulnerabilidad cuando es factible por la frecuencia histórica o bien por la posibilidad de la materialización de la Amenaza sobre el Activo. Para ciertos Activos existen datos cuantitativos precisos (fiabilidad de un componente hardware, número de fallos de software...) y se usa la métrica [0,1], donde la cota 0 implica que la Amenaza no afecta al Activo y la cota 1 no es alcanzable pues indicaría una agresión permanente. Pero como en general estas medidas no están disponibles, una primera aproximación cualitativa a la frecuencia o posibilidad de materialización de la Amenaza lleva a emplear la escala vista en las Amenazas potenciales (consideradas ahora reales, o sea agresiones). Se puede ‘objetivar’ -o sea hacer más objetiva- esa escala de niveles comparando el periodo medio entre ocurrencias con una unidad. En unos casos conviene que sea mayor (el año, a efectos contables) y en otros menor (por ejemplo el día, pues una ocurrencia ‘diaria’ de fallo de un Activo es un límite superior

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

psicológica y materialmente inaceptable en condiciones de productividad normales, no de investigación de incidentes). Así se pueden adjuntar escalas ‘objetivas’ fácilmente manejables por las herramientas de apoyo a MAGERIT. Periodo medio entre ocurrencias

Escala subjetiva

Escalas objetivas por día por año

menos que 1 semana

Frecuencia muy alta

≅ 0.2

≅ 50

menos que 2 meses

Frecuencia alta

≅ 0.02

≅ 5

menos que 1 año

Frecuencia media

≅ 0.002

≅ 1

menos que 6 años

Frecuencia baja

≅ 0.0002

≅ 0.2

superior a 6 años

Frecuencia muy baja

≅ 0

≅ 0.02

Esta métrica de Vulnerabilidad no sólo es inviable en muchas ocasiones, sino que puede ser inconveniente para ciertos tipos de sectores, Activos o Amenazas. Sectores como por ejemplo defensa, energía nuclear, transporte de personas, etc. ejercen su función como ‘misión’ y trabajan con Activos que requieren seguridad crítica por su propia naturaleza. En estos casos la Vulnerabilidad para una amenaza es un mecanismo de nada (no le afecta) o todo (el riesgo es el propio impacto pleno). La descomposición de la Vulnerabilidad intrínseca en Potencialidad genérica de ocurrencia de la Amenaza y Accesibilidad de la Amenaza al Dominio conlleva una métrica de Vulnerabilidad que combina la Métrica anterior (para la posibilidad genérica) con una corrección por factores incrementadores que tienen en cuenta la Accesibilidad (factores que se pueden ver en las herramientas de ayuda a la aplicación de MAGERIT a problemas de seguridad complejos).

3.3.6 Indicaciones complementarias La Vulnerabilidad no tiene otra clasificación distinta a la que le otorgan sus factores propios; en todo caso se clasifica de acuerdo con el Activo y la Amenaza a los que está estrechamente asociada. Sólo para evitar la inmanejable explosión de las posibles combinaciones de todas las posibles amenazas sobre todos los activos retenibles, conviene organizar ambas entidades en Grupos o bien centrarse en las amenazas más fácilmente materializables y/o más impactantes sobre los Activos amenazados.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

3.4

Impactos

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos •Impactos • Riesgo • Salvaguardas

3.4.1 Definición El Impacto en un Activo es la consecuencia sobre éste de la materialización de una Amenaza.

3.4.2 Características El Impacto es, visto de una manera dinámica, la diferencia en las estimaciones del estado de seguridad del Activo obtenidas antes y después de la agresión o materialización de la Amenaza sobre éste. Dicho de otra forma, el evento Amenaza (materializada en agresión) produce en el estado de seguridad del Activo

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

anterior (a la amenaza) un cambio a un nuevo estado posterior (a la amenaza), midiendo el impacto la diferencia entre ambos estados.

estado 1 del Activo

amenaza agresión

impacto estado 2 del Activo 3.4.3 Tipos MAGERIT emplea una tipología de Impactos orientada a la naturaleza de las Consecuencias de las combinaciones Activo-Amenaza (estas combinaciones son tan numerosas que no sería útil tomarlas como causas o ‘naturaleza’ de los Impactos para clasificarlos, como se hizo con las Amenazas). Por tanto, una simple disfunción de un Activo no constituye normalmente un Impacto si no entraña una consecuencia de deterioro y perjuicio apreciable como cambio de estado. Por ejemplo no se considera Impacto la interrupción del tratamiento de una aplicación en un sistema por microcorte de energía o el reenvío automático de un mensaje por un servicio que tenga mecanismos de auto-recuperación (aunque implique incluso formas más o menos degradadas de funcionamiento, pero normalmente ya se cuenta con ellas). MAGERIT considera tres grandes grupos de Impactos, según que sus Consecuencias sean reductoras directamente de los subestados de seguridad A-C-I-D del Activo agredido; o bien indirectamente (y en este caso, de forma cuantitativa o cualitativa). El Impacto será cualitativo con pérdidas funcionales (de los subestados de seguridad); cualitativo con pérdidas orgánicas (de fondo de comercio, daño de personas, etc.); y cuantitativo si las pérdidas se pueden traducir en dinero directa o indirectamente. MAGERIT ha tomado una parte de los tipos de Impacto por un lado de la CASRI (citada en el apartado 3.2.3 de las Amenazas) debido a que edita estadísticas de pérdidas cuantitativas clasificadas por Impactos (a la espera de que se concreten los acuerdos internacionales sobre estadísticas en la materia). MAGERIT ha completado dichos tipos con los Impactos que tienen consecuencias sobre los subestados del Activo considerado. Impactos con consecuencias cualitativas funcionales •

El deterioro del Subestado de Autenticación (SA) no suele ser evolutivo (multiplicación en cadena) pero produce directamente anulación de documentos y procedimientos e indirectamente inseguridad jurídica (muy importante en la Administración pública)

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

El deterioro del Subestado de Confidencialidad (SC) no suele ser evolutivo y tiene consecuencias de distintos órdenes, unas directas (divulgación de información no revelable o revelada anticipadamente, sustracción puntual o masiva) y otras indirectas (desconfianza, incomodidades, chantaje ...).

•

El deterioro del Subestado de Integridad (SI) puede ser evolutivo y tiene consecuencias directas como la alteración de información sensible o vital en mayor o menor escala, e indirectas como la posible contaminación de programas (pérdida, tratamiento erróneo, etc).

•

El deterioro del Subestado de Disponibilidad (SD) puede ser evolutivo y causar de inmediato desde la degradación de la productividad del activo como recurso o la interrupción de su funcionamiento de forma más o menos duradera y profunda (de unos datos, de una aplicación, de un servicio o de todo un sistema). Indirectamente esto se traduce en caída de margen por falta de resultados; así como en gastos suplementarios para recuperar o mantener la funcionalidad precedente a la amenaza.

Una parte de los deterioros anteriores tienen Impactos con consecuencias cuantitativas de diversos tipos •

N1: Pérdidas de valor económico, ligadas a activos inmobiliarios o inventariables, que comprenden todos los costes de reposición de la funcionalidad, incluyendo los gastos de tasar, sustituir, reparar o limpiar lo dañado: edificios y obras, instalaciones, computadores, redes, accesorios, etc..

•

N2: Pérdidas indirectas, valorables económicamente y ligadas a intangibles en general no inventariados: gastos de tasación y restauración o reposición de elementos no materiales del sistema: datos, programas, documentación, procedimientos, etc.

•

N3: Pérdidas indirectas, valorables económicamente y unidas a disfuncionalidades tangibles: se aprecian por el coste del retraso o interrupción de funciones operacionales de la organización; la perturbación o ruptura de los flujos y ciclos productivos (de productos, servicios o expedientes, por ejemplo), incluido el deterioro de la calidad de éstos; y la incapacidad de cumplimentar las obligaciones contractuales o estatutarias.

•

N4: Pérdidas económicas relativas a responsabilidad legal (civil, penal o administrativa) del ‘propietario’ del sistema de información por los perjuicios causados a terceros ((incluidas, por ejemplo, sanciones de la Agencia de Protección de Datos).

Otros deterioros de los subestados de seguridad tienen Impactos con consecuencias cualitativas orgánicas de varios tipos •

L1: Pérdida de fondos patrimoniales intangibles: conocimientos (documentos, datos o programas) no recuperables, información confidencial, 'know-how' ...

•

L2: Responsabilidad penal por Incumplimiento de obligaciones legales (Ley Orgánica 5/1992 LORTAD, Ley 30/1992 LRJPAC)

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

L3: Perturbación o situación embarazosa político-administrativa (deontología, credibilidad, prestigio, competencia política ...)

•

L4: Daño a las personas

3.4.4 Atributos Desde el punto de vista de las Consecuencias directas sobre el estado de seguridad del Activo, el Impacto conjunta dos atributos o factores, la Gravedad intrínseca del resultado y el Agravante (o Atenuante) circunstancial. Ambos atributos hacen cambiar al menos uno de los niveles de los 4 subestados de seguridad del Activo: Autenticación, Confidencialidad, Integridad, Disponibilidad. Desde el punto de vista de las Consecuencias indirectas y como se ha visto, un Impacto tiene como atributo importante: •

el aspecto cuantitativo de la consecuencia provocada, sea material (por ejemplo una pérdida monetaria para la reposición) o inmaterial (pérdidas como datos, programas, documentación o procedimientos);

•

o bien su aspecto cualitativo (por ejemplo, pérdidas de fondo de comercio, pérdidas o daño de vidas, situación embarazosa político-administrativa, atentados a la intimidad personal).

3.4.5 Métricas Las diferencias en los atributos implican variaciones de medición y tratamiento del Impacto, aunque todas son generalmente cualitativas (por carencia de datos estadísticos cuantitativos). MAGERIT indica dos formas básicas de valorar los impactos, apoyadas ambas en escalas cualitativas: •

valoración en tiempo de la falta de disponibilidad de algún activo importante;

•

valoración en unidades monetarias de una escala con niveles meramente orientativos, que representa las cantidades a emplear para paliar los daños producidos por una amenaza materializada en la organización.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

Rango de valores (en pesetas)

Impacto

menor que 100.000

Muy bajo

menor que 1.000.000

Bajo

menor que 10.000.000

Medio

menor que 100.000.000

Alto

mayor que 100.000.000

Muy alto

3.4.6 Indicaciones complementarias La cuantificación de los Impactos es no sólo uno de los procesos más difíciles del Análisis de Riesgos, sino que es el más influyente en el cálculo del propio Riesgo. Como se verá en el Modelo de Eventos, el nivel del Riesgo depende directamente de la Vulnerabilidad y del Impacto, pero se da a éste un peso mayor por todos los especialistas en el proceso de decisión que subyace al cálculo del riesgo. Es un ejemplo clásico de ordenación de preferencias como cualquiera prefiere, como riesgo menor, un impacto bajo con una vulnerabilidad o potencialidad aunque sea muy alta (perder dinero a la lotería por ejemplo) a un impacto alto por baja que sea su potencialidad o vulnerabilidad (arriesgar la vida por ejemplo). Así, aunque la finalidad de MAGERIT es medir los impactos en pesetas u otros índices objetivos semejantes, esto no siempre es posible, salvo si se usan métodos indirectos y a menudo subjetivos. Por tanto, en un primer intento se escogerá como medida del impacto el coste de reposición del activo dañado. Cuando esta medida no es factible o no tiene sentido, se intentará apreciar el coste de reposición de la función realizada por el Activo dañado, a partir del deterioro de alguno de sus subestados de seguridad. Así por ejemplo: − La pérdida alta del subestado de disponibilidad de un Activo de tipo información (reponible con gran dificultad) afecta total o parcialmente a una funcionalidad de la Organización durante un tiempo determinado (por ejemplo, si se pierde la información sobre los pedidos, se pierde un mes de facturación). − La misma pérdida alta del subestado de confidencialidad no hace perder facturación actual, pero puede haber dado la lista de pedidos a un competidor que la usará para hacer perder clientes y su facturación futura, pérdida posiblemente mucho más alta, si no se toman las medidas adecuadas en el intervalo.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

3.5

Riesgo

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas

3.5.1 Definición El riesgo es la posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización.

3.5.2 Características El Riesgo es el resultado del Análisis de Riesgos, un proceso complejo que parte de la determinación de los elementos autónomos (los Activos del Dominio y las Amenazas actuantes en él) y prosigue con la estimación de los elementos derivados de aquellos dos (las Vulnerabilidades y los Impactos).

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

MAGERIT permite realizar ese Análisis complejo con el objetivo de obtener un resultado concreto: un valor calculado de riesgo que permita tomar decisiones para proseguir la siguiente etapa del proceso. Esta decisión puede tomarse por comparación explícita del Riesgo calculado con un nivel prefijado de Riesgo (Umbral de Riesgo). El Riesgo calculado es simplemente un indicador ligado al par de valores calculados de la Vulnerabilidad y el Impacto, ambos derivados a su vez de la relación entre el Activo y la Amenaza/agresión a las que el Riesgo calculado se refiere en última instancia.

activo

amenaza frecuencia de materialización

impacto

vulnerabilidad

Riesgo 3.5.3 Tipos MAGERIT diferencia entre varios tipos de Riesgo: •

El riesgo calculado intrínseco se define o calcula antes de aplicar salvaguardas (elemento del Submodelo estudiado en el apartado siguiente

•

El riesgo calculado residual se considera como el que se da tras la aplicación de salvaguardas dispuestas en un escenario de simulación o en el mundo real.

•

El umbral de riesgo es un valor establecido como base para decidir por comparación si el Riesgo calculado es asumible o aceptable.

3.5.4 Atributos MAGERIT considera dos atributos, uno de cada Riesgo y otro de relación entre riesgos: •

Restricción a cada tipo de impacto factible dada la vulnerabilidad de un activo (o grupo de activos)

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

a una amenaza (o conjunto de amenazas). •

Propagación del riesgo para activos dependientes entre sí.

3.5.5 Métricas En el caso más sencillo, la Vulnerabilidad se ha podido estimar como una frecuencia (por ejemplo de fallos de un componente) y el impacto también se ha podido apreciar como un valor monetario de reposición (de ese componente). Entonces el Riesgo calculado se puede apreciar por el impacto acumulado durante un período, por ejemplo un año. El Riesgo será así el coste de las reposiciones del componente durante el año y se podrá comparar, bien con un umbral determinado, bien con el coste también anual de las salvaguardas para reducirlo. Así, si el componente falla cada mes como media y su reposición cuesta 100.000 pesetas, el Riesgo anual será simplemente la composición de ambas cantidades, o sea 1.200.000 pesetas. La métrica de Riesgos en este caso sencillo (Vulnerabilidad como frecuencia e Impacto monetarizado) será: Rango de costes anuales (en pesetas)

Riesgo

−

menor que 50.000

Muy bajo

−

en torno a 500.000

Bajo

−

en torno a 5.000.000

Medio

−

en torno a 50.000.000

Alto

−

mayor que 100.000.000

Muy alto

En los casos más complejos, cuando la Vulnerabilidad no se puede recoger como frecuencia o el Impacto no se puede monetarizar, MAGERIT estima la métrica de Riesgos con ayuda de una tabla cualitativa o su matriz equivalente con los siguientes niveles:

Rango de riesgos

Impacto

Vulnerabilidades (frecuencias)

−

Muy bajo

Muy baja, Baja, Media, Alta

−

Bajo

Muy bajo Bajo Medio

Muy Alta Muy baja, Baja, Media Muy baja, Baja

−

Medio

Bajo Medio Alto

Alta, Muy alta Media, Alta, Muy alta Muy baja

−

Alto

Alto Muy alto

Baja, Media, Alta, Muy alta Muy baja

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

−

Muy alto

Baja, Media, Alta, Muy alta

RIESGO

Impacto Muy alto Alto

Muy alto Muy alto Muy alto Muy alto

Alto

Medio Alto

Medio

Bajo Bajo

Alto

Bajo

Medio

Bajo

Medio

Muy bajo

Muy BajoMuy

Vulnerabilidad

Baja

BajoMuy bajoMuy bajoBajo Media

Alta

Muy alta

Si el proyecto tiene como objetivo la realización de un Análisis y Gestión de Riesgos inicial y genérico, la técnica de cálculo del riesgo se orienta a una discriminación dicotómica (en dos bloques) de los riesgos. En esta aplicación genérica también se tienen pocos elementos para discriminar las Vulnerabilidades y los Impactos en gran número de niveles, por lo que puede ser no sólo suficiente, sino además lógico, reducir la matriz anterior por ejemplo a los 3 niveles Bajo, Medio y Alto (como indican los recuadros anteriores).

3.5.6 Indicaciones complementarias Las diferencias de tipificación entre riesgos calculados intrínsecos o residuales, umbrales de riesgo y riesgos asumibles son irrelevantes a efectos de sus métricas.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

3.6

Funciones, Servicios y Mecanismos de salvaguarda

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas Salvaguardas

3.6.1 Definición MAGERIT define la Función o Servicio de salvaguarda como la acción que reduce el Riesgo MAGERIT define el Mecanismo de salvaguarda como el procedimiento o dispositivo, físico o lógico que reduce el riesgo.

3.6.2 Características Para reducir el riesgo, se necesita la mejora de Salvaguardas existentes o la incorporación de otras nuevas.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

MAGERIT distingue entre la entidad más abstracta llamada Función o Servicio de Salvaguarda y la entidad concreta llamada Mecanismo de Salvaguarda. La distinción terminológica entre ‘función de salvaguarda’ y ‘servicio de salvaguarda’ refleja sólo que ambos términos se han acuñado en documentos normativos de orígenes diferentes, aunque encubren un concepto semejante. MAGERIT mantiene ambos términos para facilitar su enlace con los documentos normativos originales: servicio se usa en la Norma Internacional ISO 7498-2 sobre Arquitectura de Seguridad en el Modelo básico de Referencia para OSI, Interconexión de Sistemas Abiertos Informáticos; función se usa en los Criterios ITSEC de Evaluación de la Seguridad de las Tecnologías de Información. La Función o Servicio de Salvaguarda es una acción de tipo actuación (o de tipo no-actuación, es decir omisión), puesto que es fruto de una decisión para reducir un Riesgo (no es una acción de tipo evento). Dicha actuación se materializa en el correspondiente mecanismo de salvaguarda que opera de dos formas posibles, en general alternativas: • ‘neutralizando’ o ‘bloqueando’ otra acción, que es el evento de materialización de la Amenaza en forma de agresión, con reducción previa al evento de la Vulnerabilidad mediadora de dicha materialización. • modificando el estado de seguridad del Activo agredido de nuevo (lo había modificado anteriormente por el Impacto consecuente a la Amenaza materializada), con reducción posterior al evento productor de dicho Impacto.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

impacto

vulnerabilidad

Riesgo reduce

‘curativo’

decisión

Función/Servicio de salvaguarda

reduce

‘preventivo’

Mecanismos de salvaguarda 3.6.3 Tipos de Funciones, Servicios y Mecanismos de salvaguarda Las funciones, servicios y mecanismos de salvaguarda se tipifican, según su forma de actuación, en dos grandes tipos: • La funciónes o servicios preventivos actúan sobre la Vulnerabilidad (antes de la agresión) y reduce la potencialidad de materialización de la Amenaza (no la posibilidad genérica de ésta, que es independiente del Activo amenazado). Este tipo de función o servicio actúa en general contra amenazas humanas. • Las funciones o servicios curativos o restablecedores actúan sobre el Impacto (tras la agresión) y reduce su gravedad. Este tipo de función o servicio actúa en general con amenazas de todos los tipos. Las funciones o servicios de salvaguarda, así tipificados según sus formas de actuación, lógicamente pueden clasificarse según: • los tipos de Amenazas generadoras de las Vulnerabilidades para las funciones o servicios preventivos; • los tipos de Impactos para las funciones o servicios curativos. Estas dos clasificaciones complementarias según Vulnerabilidades-Amenazas e Impactos tienen la ventaja de facilitar sustancialmente el funcionamiento del Submodelo de Procedimientos, como se verá en el

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

capítulo 9 de esta Guía. Las funciones y servicios de salvaguarda pueden especificarse aún con más detalle dentro de cada gran tipo de salvaguardas preventivas o curativas: •

Salvaguardas Preventivas −

La Concienciación, información y formación del personal propio y del relacionado establemente con la Organización son un tipo de salvaguarda ‘estructural’ (ligada a la estructura global de la Organización y no sólo a sus Sistemas de Información). Su importancia está justificada por el papel esencial que juega en la seguridad el factor humano.

−

La Disuasión es un tipo de salvaguarda que empuja a que el potencial agresor humano intencional reconsidere el inicio de la agresión, a partir de las consecuencias que puedan sobrevenirle contra su propio interés. Este tipo de salvaguarda exige normalmente una difusión lo más amplia y a su vez selectiva posibles. Por poner ejemplos, el establecimiento de condenas es una de las salvaguardas de disuasión más conocidas.

−

La Prevención propiamente dicha es un tipo de salvaguarda de protección que no impide el inicio de la materialización de la amenaza, sino su realización completa y por lo tanto la consecución plena del impacto. Como ejemplo de salvaguarda preventiva puede tomarse el control de accesos.

−

La Detección preventiva puede llegar a ser hasta disuasoria (si su instalación es conocida por el potencial agresor, consciente de que podría ser descubierto).

•

Salvaguarda Curativas o Restablecedoras −

La Corrección es un tipo de salvaguarda que impide la propagación del Impacto. Por ejemplo, un impacto en la integridad de una información detectado por su descuadre lleva a tomar medidas para paralizar la circulación de dicha información y de verificar sus fuentes.

−

La Recuperación es un tipo de salvaguarda restauradora que repara los daños o reconstruye los elementos dañados para acercarse al estado de seguridad del Activo agredido previo a la agresión. Cuando no basta la recuperación funcional, pueden adoptarse también otras salvaguardas como la transferencia del riesgo a terceros (por ejemplo con los seguros) o la acción ante los tribunales.

−

La Detección curativa, ‘monitorización’ o seguimiento curativo del impacto, en caso de amenaza ya materializada, es previa a toda eficacia en la actuación de las salvaguardas curativas (muchas agresiones son detectadas tarde o nunca). El cuadre de la información sería un buen ejemplo de esta salvaguarda detectora.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Los mecanismos de salvaguarda, tipificados según sus formas de actuación también como preventivos o curativos, se especifican con más detalle dentro de cada tipo según el ‘recurso’ empleado de la Organización (mecanismos organizativos, físicos, de software específico de seguridad, de contratación de seguros ...). Estos recursos a su vez se pueden relacionar estrechamente con los Activos o Grupos de Activos tipificados en este mismo Submodelo (entorno, sistema de información, información, funcionalidad, otros activos), dando tipos de mecanismos concernientes a la arquitectura básica, los soportes, las comunicaciones, la explotación, la compra de paquetes y el desarrollo de aplicaciones, etc.

La clasificación de mecanismos según los recursos empleados tiene la ventaja de facilitar sustancialmente el funcionamiento del Submodelo de Procedimientos, como se verá en el capítulo 9 de esta Guía.

3.6.4 Atributos La Eficacia genérica es un atributo de una Función o Servicio de Salvaguarda que hace pasar de la Vulnerabilidad intrínseca del Activo y el Impacto pleno sobre éste a una Vulnerabilidad y un Impacto efectivos (que son los que tienen en cuenta dicha Función o Servicio). La Eficacia concreta es un atributo de un Mecanismo de Salvaguarda. Esta Eficacia suele ser inespecífica (reduce el riesgo de distintos Activos) por lo que suele estar asociada a la eficacia de otros Mecanismos de Salvaguarda. También transforma la Vulnerabilidad intrínseca y el Impacto pleno del Activo respecto al tipo de Amenaza respectivamente en Vulnerabilidad e Impacto efectivos (que son los que tienen en cuenta dicho Mecanismo de Salvaguarda).

3.6.5 Métricas Una función o servicio de salvaguarda no tiene una métrica propia, sino derivada de su poder reductor del Riesgo. El valor de la Eficacia genérica de una función o servicio de salvaguarda viene marcado por la experiencia de los analistas de seguridad y depende del tipo de dicha función o servicio de salvaguarda (o sea de su forma de actuación) y del tipo de Amenaza. Los mecanismos de salvaguarda tienen una Métrica directamente ligada a su coste técnico u organizativo, traducido a pesetas.

3.6.6 Indicaciones complementarias Los nuevos tipos de amenaza (sobre todo las Intencionales sean presenciales o sean de Origen Remoto, es decir con necesidad de presencia física o sistema de telecomunicación) requieren nuevos tipos de salvaguarda. MAGERIT empieza a superar el modelo estático de protección, representado a menudo como en una 'fortaleza' cuyas 'brechas' o vulnerabilidades concretas de sus Activos deben impermeabilizarse

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

con salvaguardas específicas. Las salvaguardas para los actuales Sistemas de Información, que son más bien ‘ciudades abiertas’ casi 'sin fronteras', pertenecen a un modelo dinámico y flexible de seguridad. Este 'incrusta' los mecanismos de salvaguarda como ‘agentes’ dinámicos (pues crecen, ‘patrullan’ y se modifican para burlar la inteligencia del agresor) en cada Grupo de Activos (es decir en la arquitectura básica, los soportes, las comunicaciones, la explotación y en el desarrollo de aplicaciones). El nuevo modelo lleva a un mayor acercamiento entre los tipos de mecanismos de salvaguarda y los tipos de activos.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

SUBMODELO DE EVENTOS

4.1

Introducción al submodelo Recordando de nuevo que el método MAGERIT se construye en torno a un Modelo de Análisis y Gestión de Riesgos que comprende 3 Submodelos: •

Submodelo de Elementos

•

Submodelo de Eventos

•

Submodelo de Procesos

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

El Submodelo de Elementos ya estudiado ha proporcionado los ‘componentes’ que el Submodelo de Eventos va a relacionar entre sí y con el tiempo, mientras que el Submodelo de Procesos será la descripción funcional (el ‘esquema explicativo’) del proyecto de seguridad a construir. Como se acaba de citar en el capítulo anterior, la estructura y el funcionamiento de los Modelos de Análisis y Gestión de Riesgos se ha venido presentando intuitivamente hasta ahora en forma de ‘ciudad amurallada’: los Activos están dentro, las Amenazas son el enemigo exterior, las salvaguardas existentes son las murallas y las vulnerabilidades son sus ‘brechas’. El ataque de las amenazas aprovecha las brechas y causa impactos en los Activos. El reforzamiento de las murallas de salvaguarda reduce las brechasvulnerabilidades y permite reparar los Impactos. Esta visión estática de la seguridad cada vez está más superada, tanto por la naturaleza de los nuevos tipos de amenazas (más intencionales), de Activos (Sistemas de Información como ‘ciudades abiertas’) y por tanto de salvaguardas: en cada ‘urbanización’ de Activos habrá que ‘incrustar’ como mecanismos de salvaguarda agentes dinámicos que crezcan con la urbanización, la ‘patrullen’ y hasta se ‘camuflen’ para burlar a unos agresores cada vez más inteligentes. En una situación de cambio de modelo como la descrita, conviene precisar con especial rigor la intuición anterior. MAGERIT ofrece un Submodelo de Eventos del método con tres ‘vistas’ relacionadas con las herramientas que ayuden a automatizar la metodología: • La vista estática relacional del Submodelo de Eventos refleja las relaciones generales entre las Entidades reseñadas en el Submodelo de Elementos (con Salvaguardas desdoblables en Función/Servicio y Mecanismo) y se necesita para establecer el Modelo lógico de Datos que requerirá toda herramienta de apoyo a la aplicación de MAGERIT. • La vista dinámica de tipo organizativo del Submodelo recoge el funcionamiento detallado de la interactuación de los Elementos de MAGERIT y se necesita para: −

dar soporte al Submodelo lógico de Procesos de MAGERIT,

−

estructurar sus Manuales de Procedimientos para los usuarios,

−

articular las técnicas de cálculo de riesgos y de selección de salvaguardas,

−

construir las herramientas de apoyo a la aplicación de MAGERIT.

• La vista dinámica de tipo físico del Submodelo recoge otra forma de articular el funcionamiento de los Elementos de MAGERIT con un nivel de detalle o ‘granularidad’ intermedio entre las dos vistas anteriores. Esta vista se necesita para −

dar soporte a ciertas técnicas de cálculo de riesgos y selección de salvaguardas, como las de

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

simulación (y en este sentido a las herramientas de apoyo a la aplicación de MAGERIT); −

ofrecer elementos de coherencia a partir de los modelos estado-acción ampliamente comprobados en el mundo físico.

En resumen, la sencilla vista estática relacional es esencial para el entendimiento básico de MAGERIT y refleja la técnica de ‘Modelado de Datos’, recomendada por ejemplo en Métrica v.2.1. La vista dinámica organizativa es conveniente para una comprensión profunda del funcionamiento de las etapas de MAGERIT. La vista dinámica física es una aproximación complementaria y más compleja a la realidad descrita por las vistas anteriores, aunque no es imprescindibles para la comprensión de MAGERIT y sólo será necesaria en ciertas situaciones (por ejemplo como ‘esqueleto’ para productos o herramientas avanzadas de apoyo a MAGERIT).

4.2

Vista estática relacional del Submodelo de eventos

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático Estático

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas

MAP - Metodología MAGERIT Versión 1.0

• Dinámico organizativo • Dinámico físico

GUIA DE PROCEDIMIENTOS

La vista estática relacional del Submodelo de Eventos recoge el esquema de las relaciones generales entre las entidades reseñadas en el Submodelo de Elementos preanalizado. MAGERIT retiene como esquema de relaciones básico el reflejado en la siguiente figura:

Activo

Amenaza frecuencia de materialización

impacto

vulnerabilidad

Riesgo reduce

reduce decisión

‘curativo’

Función/Servicio de salvaguarda

‘preventivo’

Mecanismos de salvaguarda El Submodelo estático de Eventos recoge simplemente las siguientes relaciones directas entre las entidades (representadas por los vectores de la figura anterior) : •A

Relaciones directas del Activo; éste: − puede ser componente o dependiente de otro Activo − puede tener vulnerabilidades respecto a diversas amenazas − puede estar afectado por Impactos acumulables procedentes de diversas amenazas − puede estar protegido por un mecanismo de salvaguarda

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•A

Relaciones directas de la Amenaza (si se materializa); ésta: − puede ser componente o dependiente de otra Amenaza − ha de explotar una vulnerabilidad para afectar a un activo − puede causar un impacto sobre el activo

•A

Relaciones directas de la Vulnerabilidad; ésta: − se relaciona con un activo − puede ser explotada por una amenaza para materializarse en agresión − puede ser afectada por una Función o un Servicio de salvaguarda − contribuye al riesgo

A•

Relaciones directas del Impacto; éste: − se relaciona con un activo − puede causarlo la materialización de una amenaza − puede ser afectado por una Función o un Servicio de salvaguarda − contribuye al riesgo

•A

Relaciones directas del Riesgo; éste: − se refiere a la vulnerabilidad de un activo respecto a una amenaza − se refiere al impacto propiciado por la vulnerabilidad de un activo − puede relacionarse con una Función o un Servicio de salvaguarda

•

Relaciones directas de la Función o Servicio de Salvaguarda; éstos: − están relacionados con un riesgo − pueden complementar otra función o servicio de salvaguarda − pueden afectar al impacto de una amenaza − pueden afectar a la vulnerabilidad de una amenaza − permiten elegir entre Mecanismos de Salvaguarda

•

Relaciones directas del Mecanismo de Salvaguarda; éste: − materializa una Función o un Servicio de Salvaguarda − protege un activo − puede afectar al impacto de una amenaza − puede afectar a la vulnerabilidad de una amenaza

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

4.3

Vista dinámica organizativa del Submodelo de Eventos

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas

4.3.1 Organización, Dominio y Entorno Esta vista del Submodelo, más detallada y compleja que la anterior, se muestra en la figura siguiente. Parte de una primera delimitación del Dominio de Información que MAGERIT ayuda a analizar desde el punto de vista de la seguridad; así como de la distinción, en el Entorno del Dominio delimitado, de una parte ‘interna’ a la Organización y de otra ‘externa’ (a efectos de posibles Restricciones o Condiciones, que la vista del Submodelo tendrá en cuenta). El Dominio está formado por Activos, ordenados de la mejor forma posible para facilitar el análisis de su seguridad y la gestión de su aseguramiento. Dicho Dominio, definido en cada momento por su ‘estado’ de seguridad, puede estar sometido a amenazas materializables, que son acciones de tipo ‘evento’ modificadoras de ese estado de seguridad. Las salvaguardas existentes permiten realizar otras acciones de tipo ‘actuación’, también modificadoras del estado de seguridad, que responden de forma anticipada o diferida pero en tiempo ‘real' (o sea con

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

intención de influir en el evento). El Dominio tiene como Actor principal el Responsable del Dominio o de los Activos protegibles, que es quien determina su valor y necesidad de seguridad en forma de objetivos, de criterios de decisión o de decisiones. ORGANIZACIÓN

(ENTORNO) DOMINIO COMUNICACIONES

CONDICIONES

ACTIVOS afecta

RESPONSABLE DE ACTIVOS

posee

VULNERABILIDAD INT. EXT.

SUBESCENARIO DE ANALISIS DE AMENAZAS

aprovechan

AMENAZA AGRESIÓN

AGRESORES ejecutan

IMPACTO decide

UMBRAL DE RIESGO ADMISIBLE

propone

ADMINISTRADOR DE SEGURIDAD

propone

RIESGO CALCULADO

comparación estudia

FUNCIÓN DE SALVAGUARDA

RIESGO RESIDUAL ADMISIBLE

SUBESCENARIO DE ANALISIS Y GESTIÓN DE SALVAGUARDAS

decide

MECANISMO DE SALVAGUARDA

4.3.2 La materialización de la amenaza como evento desencadenante El evento Amenaza desencadena una o más posibles disfunciones en el Dominio estudiado, según una distribución intrínseca de frecuencias, poco precisas y en general pequeñas (sean históricas o previsibles) ligadas a las Vulnerabilidades de los Activos del Dominio. Cada disfunción puede quedar latente hasta que se activa como nuevo evento o bien genera uno o más siniestros, que a su vez pueden actuar como nuevos eventos desencadenantes de otros siniestros, según un símil de 'infección'. Este proceso recursivo suele representarse con técnicas de 'árbol de fallos’ (fault-tree) o de 'eventos-siniestros'. El árbol puede recorrerse también en sentido contrario (para determinar, desde un siniestro temido, sus desencadenantes y probables frecuencias de ocurrencia). A partir de esa ‘materialización’ desencadenante, el Submodelo funciona dinámicamente como un escenario de ‘aseguramiento’ (acción para obtener seguridad) con 2 subescenarios •

el subescenario de análisis de las amenazas o de 'ataque' coincide con el análisis de los riesgos.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Parte de una ‘secuencia’, o sea una cadena 'evento-disfunción-siniestro' o rama del árbol; y analiza las consecuencias reales o simuladas de ese 'ataque' a uno o varios tipos de Activos del dominio, sean componentes de su Sistema de Información o bien otros Activos (infraestructuras, personal, ingresos, credibilidad, imagen, etc.). •

el subescenario de análisis y gestión de salvaguardas o de 'defensa' coincide con la gestión de los riesgos y describe, frente a cada secuencia de 'ataque', la articulación y gestión de las funciones o servicios de salvaguarda apropiados (que funcionan de una forma más o menos específica).

4.3.3 Subescenario de análisis de las amenazas El Actor principal de este Subescenario de ataque es el Agresor, que puede personalizarse o no, según convenga al análisis y a la propia idiosincrasia de la Amenaza (accidental o deliberada, producto de error activo o de negligencia pasiva). Para cada Activo, el análisis del subescenario de ataque considera si la Amenaza, entidad virtual o potencial, se ha materializado en una agresión; materialización propiciada por la Vulnerabilidad asociada a ese Activo y específica para dicha Amenaza. La agresión desencadena distintos tipos de profundidad de Impacto (es decir de deterioro del Activo) valorables económicamente o no según sea el Activo. La Vulnerabilidad, característica conjunta de la Amenaza y el Activo (o propiedad de su relación, según se prefiera y convenga al análisis), puede considerarse como la potencialidad o 'cercanía' previsible de la materialización de la Amenaza en agresión. Tal como se ha visto en el Submodelo de Elementos, la Vulnerabilidad como potencialidad intrínseca al Activo depende en buena parte del ‘aislamiento’ de éste, o sea de su accesibilidad, sea física (presencial y calificada) o lógica (competencial e instrumental). El Impacto, visto como característica del Activo que recoge el cambio de estado de su seguridad o sea la consecuente reducción de ésta, permite apreciar la 'gravedad' de la consecuencia generada por la agresión, en forma de niveles de 'criticidad' respecto a los subestados de seguridad del Activo afectado (ACID, Autenticación, Confidencialidad, Integridad, Disponibilidad). La Vulnerabilidad y su Impacto sobre el Activo determinan conjuntamente el Riesgo calculado, resultante del Subescenario del 'ataque' sobre el Activo. Ambos factores se combinan en una Métrica de Riesgo 'asimétrica': es decir, si se representa el riesgo en este escenario con la sencilla técnica matricial para relacionar los niveles de Impacto y Vulnerabilidad, se considera que el Impacto influencia más el nivel de Riesgo que la Vulnerabilidad. Esta métrica del Riesgo subyace a toda posible clasificación y o 'priorización' entre las distintas consecuencias de los subescenarios de ataque; priorización que es conveniente para argumentar las alternativas de decisiones posibles que permitan conseguir la neutralización sistemática del ataque de la forma más eficaz y económica posible.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

4.3.4 Subescenario de análisis y gestión de salvaguardas La determinación del Riesgo de los Activos frente a las Amenazas concluye el Subescenario anterior con la determinación del Riesgo calculado y abre un nuevo Subescenario de ‘defensa’ o de análisis y gestión de salvaguardas, caracterizado por la toma de decisiones. En este subescenario de defensa se empieza por comparar el Riesgo calculado por el anterior subescenario de ataque con un nivel determinado o Umbral de riesgo asumible que caracteriza el estado de seguridad del Dominio como objetivo mínimo a alcanzar. El Riesgo Residual se obtiene reevaluando tras la implantación de las Salvaguardas el Riesgo calculado por medio de todo el proceso del subescenario de ataque (por tanto el Riesgo Residual las tiene en cuenta). El desarrollo posterior depende del escenario en que se emplee el modelo, real o simulado. •

Si el Riesgo Residual es inferior al Umbral de riesgo asumible, se considera que el Subescenario de defensa ha cumplido su objetivo y el proceso prosigue así: − si el escenario del proceso es real, se ha vuelto a la situación previa al desencadenamiento del evento y el dominio está preparado para enfrentarse a nuevos eventos amenazadores; − si el escenario del proceso ha sido simulado (por ejemplo tras realizar el Análisis y Gestión de Riesgos con MAGERIT), se puede pasar a otras fases de Gestión de Seguridad de los Sistemas de Información.

•

Si el Riesgo Residual es superior al Umbral de riesgo asumible, se considera que el Subescenario de defensa NO ha cumplido su objetivo y el proceso prosigue así: − si el escenario del proceso es real, el Dominio ha sufrido un deterioro y el proceso debe de interrumpirse para introducir las salvaguardas pertinentes antes de que vuelva a presentarse un subescenario de ataque con nuevos eventos amenazadores; − si el escenario del proceso ha sido simulado (por ejemplo en una fase de aplicación del Análisis y Gestión de Riesgos con MAGERIT), MAGERIT propone incorporar nuevas Salvaguardas con las que se simula todo el Análisis de Amenazas del Subescenario anterior, hasta que el Riesgo Residual sea inferior al umbral de riesgo asumible (o hasta que se cambie éste).

4.3.5 Gestión de salvaguardas La incorporación de Salvaguardas depende del Riesgo, es decir de forma inmediata del Impacto sobre el Activo y de su Vulnerabilidad a la Amenaza y, de forma mediata, de los propios Tipos de Activos y Amenazas. Las salvaguardas actúan en distintos momentos y formas: unas son previas a la materialización de la Amenaza (Salvaguardas Concienciadoras, Disuasorias, Preventivas); y otras son consecuentes o

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

consecutivas a esa materialización (Salvaguardas Correctivas y Recuperadoras), mientras que algunas salvaguardas actúan antes o después según las circunstancias (como las Salvaguardas Detectoras).

El Subescenario de defensa incorpora las Salvaguardas en dos niveles:

•

la incorporación funcional de Funciones o Servicios de Salvaguarda ayuda a la toma de decisiones explicitada anteriormente;

•

la incorporación material de Mecanismos de Salvaguarda se caracteriza por su Eficacia: un mismo Mecanismo de Salvaguarda tendrá más o menos Eficacia según sea el alcance de la agresión (o sea la materializabilidad de la Amenaza) y además: − para fases del ‘ataque’ y con Amenaza YA materializada, la Eficacia de las Salvaguardas ‘Curativas’ o ‘Restablecedoras’ mide el grado de reducción del Impacto sobre el Activo. − para fases del ‘ataque’ con Amenaza NO materializada, la eficacia de las Salvaguardas ‘preventivas’ mide el grado de reducción de la Vulnerabilidad como potencialidad de materialización de la Amenaza sobre el Activo.

El Actor principal de este Subescenario de Análisis y Gestión de Salvaguardas o de ‘defensa’ es quien detente las funciones de Administración de la Seguridad, opuestas a las del Agresor. Su actuación depende en cierta forma de los criterios y decisiones del Responsable de los Activos protegibles del Dominio (tomados durante el desarrollo del subescenario de ataque anterior) y en última instancia del Responsable del funcionamiento del propio Dominio. El Administrador de seguridad es asimismo personalizable o no, según convenga a la gestión de la seguridad y a la propia idiosincrasia del Dominio a salvaguardar.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

4.4

Vista dinámica ‘física’ del Submodelo de Eventos

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas

El estudio de la ‘vista dinámica’ de tipo ‘físico’ del Submodelo de Eventos no es imprescindible para la comprensión de MAGERIT y por tanto puede pasarse directamente a la lectura del capítulo 5 ‘Submodelo de Procesos’.

La vista dinámica física recoge otra forma de articular los escenarios de funcionamiento de los Elementos de MAGERIT, asimilando el Submodelo de sus Elementos de Seguridad concretos a las Entidades y Relaciones más abstractas que se emplean en otros modelos físicos, cuyo funcionamiento está ampliamente experimentado y que ya están dotados de numerosas técnicas de análisis y de simulación así como de

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

herramientas para su gestión. Esta vista se puede necesitar para dar soporte tanto a ciertas técnicas y herramientas sofisticadas de cálculo de riesgos y de selección de salvaguardas, como a algunos especialistas que usen MAGERIT para enfrentarse a sistemas o problemas críticos que requieran modelos específicos de simulación de su proceso, con objeto de observar su funcionamiento y determinar los parámetros estratégicos óptimos de gobierno de su seguridad.

4.4.1 Una vista basada en los cambios de estado MAGERIT permite caracterizar el ‘estado de seguridad’ del Dominio de Activos seleccionado, para cada Tipo de Amenazas y en varias situaciones posibles: •A

En cualquier momento de la vida de la Organización (se llama Auditoría del riesgo)

•

En la Especificación del Estado Inicial de Seguridad del Dominio, para arrancar de ella el Submodelo de Procesos (estado inicial ‘conocido’).

•

En la caracterización del Estado Final de Seguridad del Dominio, que debe hacerse al menos en dos momentos del ciclo de estudio y gestión de la seguridad: - al arrancar el proceso de aseguramiento (estado final ‘deseado’ del Dominio); - al terminar dicho proceso (estado final ‘alcanzado’ del Dominio);

•

la comparación entre ambos estados finales (el deseado y el alcanzado) permite tomar decisiones de ‘evaluación’ sobre la ‘calidad’ (en materia de seguridad) tanto del ‘producto’ conseguido como del ‘proceso’ para conseguirlo.

En esta ‘vista’ del Submodelo, las Entidades de Seguridad se identifican a variables y parámetros, sean de estado o de acción.

4.4.2 Una ‘vista’ soporte de los modelos de simulación Pero también las Entidades de Seguridad pueden identificarse a las variables y parámetros de nivel (equivalentes a los de estado) y de flujo (equivalentes a los de acción) que caracterizan los modelos de sistemas dinámicos y que gobiernan su simulación sencilla (basada en relaciones cualitativas de causaefecto más que en funciones matemáticas). Esta vista del Submodelo es por tanto fundamental para que MAGERIT pueda describir el funcionamiento de los escenarios anteriores en un nivel de detalle asequible y suficiente para su tratamiento práctico con las herramientas y lenguajes de simulación conocidos. La figura siguiente presenta las variables y parámetros de nivel (de estado) y de flujo (de acción) con ayuda de los principales símbolos clásicos de la técnica de dinámica de sistemas empleados por Forrester. En estos modelos se requiere representar:

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

−

‘flujos’ (como variación de un nivel) ,

−

niveles (como acumulación de un flujo),

−

canales de transmisión de información o de materiales (las flechas),

−

ciertas variables auxiliares (cantidades que ayudan al cálculo de flujos),

−

otras variables exógenas (que evolucionan independientemente),

−

relaciones entre variables,

−

constantes o parámetros.

La figura prescinde por afán de simplicidad de dos símbolos: las ‘Nubes’ o sea fuentes y sumideros de inicio y fin del proceso, interpretables como niveles prácticamente inagotables y que carecen de interés; y los retardos en los canales de transmisión, que necesitan sólo otros modelos de simulación mucho más complejos.

(Relación)

(Variable exógena)

ESTADO (o nivel) ESTADO (nivel) 1 inicial de seguridad DE SEGURIDAD delACTIVO ACTIVO DEL

AMENAZA / AGRESIÓN VULNERABILIDAD

Acción (flujo) reductora IMPACTO

(Parámetro) (Variable auxiliar)

UMBRAL DE RIESGO ASUMIBLE

ESTADO ESTADO (nivel) (o nivel) 2 reducido de seguridad DEL ACTIVO del ACTIVO RIESGO CALCULADO Acción (flujo) ampliadora SALVAGUARDA

ESTADO ESTADO (nivel) (o nivel) 3 ACEPTABLE recuperado de seguridad DE del SEGURIDAD ACTIVO

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

4.4.3 Interpretación ‘física’ de los elementos de seguridad En un Dominio de seguridad previamente delimitado y formado por el conjunto de sus Activos, lo que realmente cuenta en esta vista del Submodelo de Eventos es la agresión materializada (las Amenazas son sólo agresiones no materializadas o potenciales). Teniendo en cuenta esta puntualización, la vista dinámica de carácter físico del Submodelo interpreta así cada uno de los elementos de seguridad:

•

Cada agresión se muestra bajo este enfoque dinámico (instantáneo) como una acción (o falta de acción) de tipo evento (situado fuera de la decisión del Responsable de los Activos y del Administrador de su seguridad). Esta agresión modifica el ‘Estado real de seguridad’ (su ‘nivel’), es decir lo hace pasar de un estado 1 tomado como anterior al evento, a otro estado 2 posterior (real si se trata de agresión o potencial si es aún sólo Amenaza).

•

La Vulnerabilidad es una propiedad o atributo de la relación entre un Activo y una Amenaza que ejerce una función de ‘mediación’ o de ‘predicación’ (en sentido lingüístico) entre esa Amenaza y el Activo sujeto a la acción de cambio de su estado de seguridad.

•

El Impacto es la medida del resultado de la agresión sobre el Activo, o sea la medida del flujo de la acción de cambio de nivel-estado de seguridad del Activo.

•

El Riesgo es un Indicador del Nivel del estado de seguridad del Dominio que permite tomar una decisión por comparación explícita con otro nivel predeterminado de estado (Umbral de Riesgo asumible). La decisión es una bifurcación que lleva, − bien a incorporar un nuevo valor de la variable de acción/flujo llamada Función o Servicio de Salvaguarda y a repetir el ciclo anterior; − bien a consolidar los resultados del submodelo, pues el ciclo de análisis y gestión se da por terminado y arranca una nueva fase de seguridad centrada en la elección e incorporación de mecanismos de seguridad concretos.

•

La Función o Servicio de Salvaguarda es una acción o flujo de tipo actuación (u omisión, no de tipo evento) que es fruto de una decisión para reducir un Riesgo. Dicha actuación se materializa (por medio de una ‘selección de salvaguardas’) en el correspondiente Mecanismo de Salvaguarda que opera de dos formas posibles, en general alternativas: −

‘neutralizando’ o ‘bloqueando’ otra acción/flujo, la materialización de la Amenaza en forma de agresión.

−

modificando el nuevo estado/nivel de seguridad del Activo agredido, con reducción del Impacto producido por la Agresión (desde el nivel de estado 2 al nuevo nivel de estado 3).

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

SUBMODELO DE PROCESOS

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas

5.1

Introducción al submodelo El método MAGERIT se construye en torno a un Modelo de Análisis y Gestión de Riesgos que comprende 3 Submodelos: • Submodelo de Elementos • Submodelo de Eventos • Submodelo de Procesos

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

De los dos Submodelos ya estudiados, el Submodelo de Elementos proporciona los ‘componentes’ que el Submodelo de Eventos relaciona entre sí y con el tiempo. El Submodelo de Procesos realiza ahora la descripción funcional (el ‘esquema explicativo’) del proyecto de seguridad a construir. Para construir un proyecto de seguridad específico, el ‘esquema explicativo’, es decir el Submodelo de Procesos, ayuda por una parte a seguir el procedimiento general y por otra a adaptarlo al problema concreto, teniendo siempre en cuenta la Política de seguridad que haya marcado la Dirección de la Entidad afectada. Si esta adaptación es compleja o tiene elementos de incertidumbre, el proyecto debe hacerse con ayuda de un especialista de seguridad de los Sistemas de Información.

5.2

Estructura del Submodelo El Submodelo de Procesos del Modelo MAGERIT agrupa y ordena las acciones a realizar a lo largo de un proyecto de análisis y gestión de riesgos. Este marco de trabajo define: •

Una estructuración del proyecto que sirve de guía al equipo de trabajo y que permite involucrar en aquél a los responsables del Dominio protegible y a los usuarios.

•A

Un conjunto de productos a obtener

•A

Un conjunto de técnicas para obtener los productos

•A

Las funciones y responsabilidades de los distintos ‘actores’ en el proyecto.

El Submodelo de Procesos de MAGERIT formaliza y describe detalladamente la sucesión de acciones y se estructura en tres niveles: etapas, compuestas por actividades y éstas desglosadas en tareas. •

Las ETAPAS agrupan un conjunto de Actividades y corresponden al término de Fase empleado por el método Métrica v.2.1. El empleo de las Etapas presenta las mismas características de interés que las Fases de Métrica v.2.1, es decir, establece los hitos de decisión y entrega de productos, exige al final de cada Etapa una aceptación formal de sus resultados y usa el producto final de cada Etapa como inicio de la siguiente.

•

Las ACTIVIDADES tienen la misma acepción que en Métrica v.2.1 y agrupan un conjunto de tareas con criterios generalmente de carácter funcional.

•

Las TAREAS tienen la misma acepción que en Métrica v.2.1. La descripción de cada Tarea especifica los siguientes conceptos: −

acciones a realizar

−

actores ( que intervienen o están afectados por la cumplimentación de las acciones)

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

−

productos y documentos a obtener como producto de las acciones

−

validaciones y aprobaciones a realizar de los resultados obtenidos

−

enunciado de las técnicas a emplear (tomadas de la Guía MAGERIT de Técnicas).

Al igual que en Métrica v.2.1, el término ‘Unidades’ se utiliza en un sentido general para recoger diferentes ámbitos de la organización dentro de una Administración o Entidad (Direcciones generales, Organismos Autónomos, Subdirecciones, etc.).

La Guía de Procedimientos marca de forma sistemática con este Submodelo de Procesos el camino práctico para realizar un proyecto de Análisis y Gestión de Riesgos. En cada Etapa y en algunas de las Actividades, estos comentarios indican los hitos principales de lo que hay que hacer y las posibles dificultades para conseguirlo.

5.3

Etapas de MAGERIT MAGERIT propone las cuatro Etapas siguientes:

Etapa 1. Planificación del Análisis y Gestión de Riesgos La Etapa establece las consideraciones necesarias para arrancar el proyecto de análisis y gestión de riesgos; permite investigar la oportunidad de realizarlo; definir los objetivos que ha de cumplir y el dominio (ámbito) que abarcará; planificar los medios materiales y humanos para su realización; e iniciar el lanzamiento del proyecto

Etapa 2. Análisis de riesgos La Etapa permite identificar y valorar los elementos que intervienen en el riesgo; obtener una evaluación de éste en las distintas áreas del dominio; y estimar los umbrales de riesgo deseables.

Etapa 3. Gestión de riesgos La Etapa permite identificar las posibles funciones o servicios de salvaguarda reductores del riesgo detectado; seleccionar las salvaguardas aceptables en función de las ya existentes y de las restricciones; simular diversas combinaciones; y especificar las finalmente elegidas.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Etapa 4. Selección de salvaguardas La Etapa permite seleccionar los mecanismos de salvaguarda a implantar; elaborar una orientación del plan de implantación de los mecanismos de salvaguarda elegidos; establecer los mecanismos de seguimiento para la implantación; recopilar los documentos de trabajo del proceso de Análisis y Gestión de Riesgos; obtener los documentos finales del proyecto; y realizar las presentaciones de los resultados a los diversos niveles.

5.4

Visión global de las Etapas del proceso MAGERIT

ETAPA 1: PLANIFICACIÓN Actividades: 1.1: Oportunidad de realización 1.2: Definición de dominio y objetivos 1.3: Planificación del proyecto 1.4: Lanzamiento del proyecto

objetivos, estrategia, política de seguridad

Planificación y otras fases de Gestión de la seguridad S.I.

ETAPA 2:

ETAPA 3:

ETAPA 4:

ANÁLISIS DE RIESGOS

GESTIÓN DE RIESGOS

SELECCIÓN DE SALVAGUARDAS

Actividades: 2.1: Recogida de información 2.2: Identificación y agrupación de ACTIVOS 2.3: Identificación y evaluación de AMENAZAS 2.4: Identificación y estimación de VULNERABILIDADES 2.5: Identificación y valoración de IMPACTOS 2.6: Evaluación del RIESGO

Actividades: 3.1: Interpretación del RIESGO 3.2: Identificación y estimación de Funciones de salvaguarda 3.3: Selección de Funciones de Salvaguarda 3.4: Cumplimiento de objetivos

Actividades: 4.1: Identificación de mecanismos de seguridad 4.2: Selección de mecanismos de salvaguarda 4.3: Especificación de los mecanismos a implantar 4.4: Planificación de la implantación 4.5: Integración de resultados

La figura anterior representa el Ciclo de Etapas (iterativo) del Proceso cubierto por MAGERIT que constituye la Fase de Análisis y Gestión de Riesgos dentro de la Gestión de la Seguridad de los Sistemas de Información. Asimismo se anotan los enlaces de este ciclo MAGERIT con la Fase de ‘Objetivos, Estrategia y Política de Seguridad’ (que es anterior y concomitante con MAGERIT) y con la Fase de ‘Planificación de los Mecanismos de Salvaguarda’ (que inicia el resto de la Gestión de la Seguridad).

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Cada Etapa comprende un número variable de Actividades y cada una de éstas un número variable de Tareas. Cada Tarea tiene un contenido específico y comparte con otras tareas una panoplia de técnicas. Las tareas en general se han de ejecutar todas y en orden: al describirlas, se anotarán si cabe las situaciones especiales que pueden comportar alguna modificación en su actuación (sea de reforzamiento o de aligeramiento).

El esquema completo de Etapas, Actividades y Tareas del Submodelo de Procesos de MAGERIT es el siguiente:

ETAPA 1. PLANIFICACIÓN DEL ANÁLISIS Y GESTIÓN DE RIESGOS A•

Actividad 1.1: Oportunidad de realización − Tarea 1.1.1:(única) Clarificar la oportunidad de realización

A•

Actividad 1.2: Definición de dominio y objetivos − Tarea 1.2.1: Especificar los objetivos del proyecto − Tarea 1.2.2: Definir el dominio y los límites del proyecto − Tarea 1.2.3: Identificar el entorno y restricciones generales − Tarea 1.2.4: Estimar dimensión, coste y retornos del proyecto

A•

Actividad 1.3: Planificación del proyecto − Tarea 1.3.1: Evaluar cargas y planificar entrevistas − Tarea 1.3.2: Organizar a los participantes − Tarea 1.3.3: Planificar el trabajo

A•

Actividad 1.4: Lanzamiento del proyecto − Tarea 1.4.1: Adaptar los cuestionarios − Tarea 1.4.2: Seleccionar criterios de evaluación y técnicas para el proyecto − Tarea 1.4.3: Asignar los recursos necesarios

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

−

Tarea 1.4.4: Sensibilizar (campaña informativa)

ETAPA 2. ANÁLISIS DE RIESGOS A•

•

Actividad 2.1: Recogida de información −

Tarea 2.1.1: Preparar la información

−

Tarea 2.1.2: Realización de las entrevistas

−

Tarea 2.1.3: Analizar la información recogida

Actividad 2.2: Identificación y agrupación de ACTIVOS − Tarea 2.2.1: Identificar activos y grupos de activos − Tarea 2.2.2: Identificar mecanismos de salvaguarda existentes − Tarea 2.2.3: Valorar activos

A•

Actividad 2.3: Identificación y evaluación de AMENAZAS − Tarea 2.3.1: Identificar y agrupar amenazas − Tarea 2.3.2: Establecer los árboles de fallos generados por amenazas

A•

Actividad 2.4: Identificación y estimación de VULNERABILIDADES − Tarea 2.4.1: Identificar vulnerabilidades − Tarea 2.4.2: Estimar vulnerabilidades

A•

Actividad 2.5: Identificación y valoración de IMPACTOS − Tarea 2.5.1: Identificar impactos

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

− Tarea 2.5.2: Tipificar impactos − Tarea 2.5.3: Valorar impactos A•

Actividad 2.6: Evaluación del RIESGO − Tarea 2.6.1: Evaluar el riesgo intrínseco − Tarea 2.6.2: Analizar las funciones de salvaguarda existentes − Tarea 2.6.3: Evaluar el riesgo efectivo

ETAPA 3. GESTIÓN DE RIESGOS A•

Actividad 3.1: Interpretación del Riesgo −

A•

Tarea 3.1.1:(única) Interpretar los riesgos

Actividad 3.2: Identificación y estimación de Funciones de salvaguarda − Tarea 3.2.1: Identificar funciones de salvaguarda − Tarea 3.2.2: Estimar la efectividad de las funciones de salvaguarda

A•

Actividad 3.3: Selección de Funciones de Salvaguarda − Tarea 3.3.1: Aplicar los parámetros de selección − Tarea 3.3.2: Evaluar el riesgo

A•

Actividad 3.4: Cumplimiento de objetivos − Tarea 3.4.1 (única): Determinar el cumplimiento de los objetivos

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

ETAPA 4. SELECCIÓN DE SALVAGUARDAS A•

•

Actividad 4.1: Identificación de mecanismos de salvaguarda −

Tarea 4.1.1: Identificar mecanismos posibles

−

Tarea 4.1.2: Estudiar mecanismos implantados

−

Tarea 4.1.3: Incorporar restricciones

Actividad 4.2: Selección de mecanismos de salvaguarda − Tarea 4.2.1: Identificar mecanismos a implantar − Tarea 4.2.2: Evaluar el riesgo (mecanismos elegidos) − Tarea 4.2.3: Seleccionar mecanismos a implantar

A•

Actividad 4.3 Especificación de los mecanismos a implantar − Tarea 4.3.1 (única): Especificar los mecanismos a implantar

A•

Actividad 4.4: Planificación de la implantación − Tarea 4.4.1 Priorizar mecanismos − Tarea 4.4.2: Evaluar los recursos necesarios − Tarea 4.4.3: Elaborar cronogramas tentativos

•

Actividad 4.5: Integración de resultados − Tarea 4.5.1 (única): Integrar los resultados

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

ETAPA 1: PLANIFICACIÓN DEL ANÁLISIS Y GESTIÓN DE RIESGOS

6.0

Ubicación de la Etapa 1 en el modelo de MAGERIT

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

•• Planificación Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

6.1

Estructura de la Etapa 1

ETAPA 1: PLANIFICACIÓN

objetivos, estrategia, política de seguridad

Actividades: 1.1: Oportunidad de realización 1.2: Definición de dominio y objetivos 1.3: Planificación del proyecto 1.4: Lanzamiento del proyecto

6.2

Planificación y otras fases de Gestión de la seguridad S.I.

ETAPA 2:

ETAPA 3:

ETAPA 4:

ANÁLISIS DE RIESGOS

GESTIÓN DE RIESGOS

SELECCIÓN DE SALVAGUARDAS

Actividades: 3.1: Interpretación del RIESGO 3.2: Identificación y estimación de Funciones de salvaguarda 3.3: Selección de Funciones de Salvaguarda 3.4: Cumplimiento de objetivos

Visión global de la Etapa 1

6.2.1 Objetivos de la Etapa El Objetivo principal de esta Etapa de Planificación es establecer y definir el marco general de referencia para todo proyecto de realización de análisis y gestión de riesgos.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Otros objetivos complementarios son: −

Motivar a la Dirección de la Unidad implicada.

−

Demostrar la oportunidad de realizar un Análisis y Gestión de Riesgos.

−

Afirmar y dar a conocer la voluntad política de la realización por parte de la Dirección.

−

Crear las condiciones para el buen desarrollo del proyecto.

6.2.2 Contenido de la Etapa Esta Etapa de Planificación de Análisis y Gestión de Riesgos se enmarca, como ocurre con cualquier otra Planificación concreta, en la Planificación Estratégica de la Organización, como una concreción a corto y medio plazo de ésta. No sólo será lógico, sino conveniente, que muchos de los conceptos de esta Etapa de MAGERIT retomen y readapten elementos de la Fase 0 de Planificación de Sistemas de Información de Métrica v.2.1. Así, la Planificación Estratégica de la Organización tiene como finalidad principal definir las metas de ésta a largo plazo (en cuanto a funcionalidades y servicios futuros a prestar, perspectivas de crecimiento y/o previsiones de evolución), así como estimar las necesidades de información en función de dichas metas (considerando tanto la situación de la Organización frente a su entorno, como la visión de los responsables de la misma). Para facilitar la lectura de este capítulo, se aclara el contenido diferenciado de tres términos usados: finalidad, meta y objetivo. La Organización tiene metas, así como sus subdivisiones (Unidades, departamentos, dominios, etc.); las funciones tienen finalidades (motivaciones intrínsecas); los proyectos y sus componentes (etapas, actividades, tareas, etc.) tienen objetivos (que no pueden ser contradictorios con las metas más amplias de la Organización o sus subdivisiones ni con las finalidades lógicas de sus funciones, pero que no se confunden con ambas).

Esta Etapa de Planificación concreta la realización ‘táctica’ de las metas estratégicas definidas en la Planificación Estratégica, con dos grandes resultados: •

La definición precisa del proyecto de Análisis y Gestión de Riesgos y de su dominio

•

La programación ajustada para desarrollar el proyecto, teniendo en cuenta las prioridades y los recursos necesarios, es decir: − la definición de la serie de hitos a considerar en el desarrollo del proyecto

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

− la obtención de unos resultados que sirvan de punto de partida al desarrollo del proyecto. Como consecuencia lógica, esta Etapa de Planificación requiere: •

Un ámbito organizativo más restringido y un horizonte temporal más limitado

•

Un trabajo sucesivo de refinamiento y revisión a lo largo del desarrollo del proyecto, de manera que se pueda valorar el cumplimiento de su programación en el marco de metas establecidas por la Planificación Estratégica (y teniendo en cuenta que la Planificación de la Implantación de medidas de seguridad forma parte de otra Etapa de este Submodelo de Procesos).

•

La participación imprescindible de los responsables de las Unidades implicadas, puesto que les corresponde definir los objetivos y las estrategias de evolución de dichas Unidades, así como patrocinar todos los trabajos encaminados a obtener la seguridad de sus sistemas como uno de los retos básicos de un entorno en constante evolución.

En resumen, el contenido de esta Etapa como marco general de referencia incluye: •

La justificación y oportunidad de abordar el proyecto.

•

La definición del dominio a considerar y de los objetivos del proyecto.

•

La planificación del proyecto, considerando los participantes, los recursos necesarios y el cronograma de realización.

•

La particularización de las técnicas a emplear en las actividades del proyecto.

Esta Etapa corresponde a una acción de lanzamiento que es similar en todo proyecto y que es importante, pero suele subvalorarse. En general se encarga de ella la Dirección de hecho del proyecto, puesto que sus resultados entrañan compromisos contractuales, con repercusiones económicas e incluso jurídicas. En la Administración pública, el contenido de la Etapa refleja el crucial desarrollo del Pliego de prescripciones técnicas del Contrato para realizar el proyecto, así como el lanzamiento de éste.

6.2.3 Resumen del contenido de las Actividades MAGERIT define en esta Etapa de Planificación del proyecto de Análisis y Gestión de Riesgos las 4 actividades siguientes:

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

1. Oportunidad de realización Se estudian los aspectos básicos para la realización de un proyecto de Análisis y Gestión de Riesgos, fundamentando la oportunidad de ésta. Se inicia una primera aproximación a los objetivos asignados al proyecto, al dominio -o ámbito- a incluir y a los medios necesarios para su elaboración.

2. Definición de dominio y objetivos Se definen los objetivos finales del proyecto, su dominio y sus límites. Se realiza una primera identificación del entorno y de las restricciones generales a considerar. Se establecen los colectivos (responsables, técnicos, usuarios, etc.) a considerar para la recogida de información.

3. Organización y Planificación del proyecto Se determina la carga de trabajo que supone la realización del proyecto y las características del grupo de trabajo a constituir. Se planifican las entrevistas a realizar para la recogida de información. Se establece quiénes son el resto de participantes, así como su modo de actuación. Se elabora el plan de trabajo para la realización del proyecto.

4. Lanzamiento del proyecto Se adaptan los cuestionarios para la recogida de información en función al entorno retenido. Se eligen las técnicas principales de evaluación de riesgo a utilizar y se asignan los recursos necesarios para el comienzo del proyecto. También se realiza una campaña informativa de sensibilización a los afectados sobre las finalidades y requerimientos en su participación.

Como resultado final de la Etapa, se obtendrá por una parte el conjunto de cuestiones a desarrollar por el proyecto concreto de Análisis y Gestión de Riesgos con la especificación de sus prioridades, así como una programación inicial de las mismas. Esta programación se irá refinando a medida que se desarrolle el proyecto y se vayan superando los hitos de control que coinciden con la finalización de las distintas Etapas y Actividades de que consta la Metodología MAGERIT.

6.3

Actividad 1: Oportunidad de realización Esta actividad tiene por objetivo suscitar el interés de la Dirección de la Organización en la realización de un proyecto de Análisis y Gestión de Riesgos.

La Dirección de la Organización suele ser consciente de las ventajas que aportan las técnicas electrónicas,

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

informáticas y telemáticas a su funcionamiento, pero no de los nuevos problemas de seguridad que estas técnicas implican. Desde el punto de vista normativo la Administración General del Estado debe atenerse al Real Decreto 263/1996, de 16 de febrero, que regula la utilización de técnicas electrónicas. informáticas y telemáticas por la Administración General del Estado (BOE número 52, jueves 29 de febrero de 1996) y establece la necesidad de garantías y requisitos con suficiente seguridad para la utilización de soportes, medios y aplicaciones electrónicas, informáticas y telemáticas, en sus comunicaciones, su almacenamiento y su acceso. Este Real Decreto ha transformado la preocupación por la seguridad en ‘Acción administrativa’ concreta Resumiendo su artículo 9 sobre ‘Aprobación y publicación de aplicaciones’: “1. Las aplicaciones ... que vayan a ser utilizadas en el ejercicio de las competencias de un Departamento ministerial o entidad de derecho público vinculada o dependiente de la Administración General del Estado deberán ser aprobadas mediante resolución del órgano administrativo que tenga atribuida la competencia para resolver el procedimiento, debiéndose solicitar previamente la emisión de los informes técnicos que se estimen convenientes. “En el supuesto de que las aplicaciones vayan a ser utilizadas en el ejercicio de competencias compartidas por varias entidades de derecho público de la Administración General del Estado vinculadas o dependientes del mismo departamento ministerial, deberán ser aprobadas mediante Orden del Ministerio correspondiente, debiéndose solicitar previamente la emisión de los informes técnicos que se estimen convenientes. “2. Las aplicaciones a que se refiere el articulo 5 de este Real Decreto que vayan a ser utilizadas en el ejercicio de competencias compartidas por varios Departamentos o entidades de derecho público de la Administración General del Estado vinculadas o dependientes de Departamentos diferentes deberán ser aprobadas mediante Orden del Ministerio de la Presidencia, a propuesta de los titulares de los Departamentos afectados, debiéndose solicitar previamente la emisión de los informes técnicos que se estimen convenientes. “3. Los informes técnicos a los que se hace referencia en los apartados anteriores se pronunciarán sobre los siguientes aspectos: (...) “b) Seguridad de aplicación: preservación de la disponibilidad, confidencialidad e integridad de los datos tratados por la aplicación”. No sólo en la Administración General del Estado, sino en toda Organización pública o privada es importante transformar en medidas concretas la creciente preocupación por la falta de seguridad de los sistemas de información, por su soporte y entorno, puesto que sus efectos no sólo afectan a dichos sistemas, sino al propio funcionamiento de la Organización y, en las situaciones críticas, a la misión e incluso a la pervivencia de ésta.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

6.3.1 Tarea única: Clarificar la oportunidad de realización Descripción y objetivo: La iniciativa para la realización de un proyecto de Análisis y Gestión de Riesgos parte de un promotor interno o externo a la Organización, consciente de los problemas relacionados con la seguridad de los Sistemas de Información, como por ejemplo: −

Incidentes continuados relacionados con la seguridad.

−

Inexistencia de previsiones en cuestiones relacionadas con la evaluación de necesidades y medios para alcanzar un nivel aceptable de seguridad de los Sistemas de Información que sea compatible con el cumplimiento correcto de la misión y funciones de la Organización.

−

Reestructuraciones en los productos o servicios proporcionados.

−

Cambios en la tecnología utilizada.

−

Desarrollo de nuevos Sistemas de Información.

El promotor puede elaborar a partir de lo anterior un cuestionario-marco (documento poco sistematizable, luego externo al núcleo de productos de MAGERIT) para provocar la reflexión sobre aspectos de la seguridad de los Sistemas de Información por parte de : •

Los responsables de las Unidades. El cuestionario permite proceder a un examen superficial de la situación en cuanto a la seguridad de sus sistemas de información; deben poder expresar su opinión por los proyectos de seguridad ya realizados (con su grado de satisfacción o con las limitaciones de éstos), así como sus expectativas ante la elaboración de un proyecto de Análisis y Gestión de Riesgos. Esta aproximación de alto nivel permite obtener una primera visión de los objetivos concretos y las opciones políticas que tendrían que subyacer a la elaboración del proyecto de Análisis y Gestión de Riesgos.

•

Los responsables de informática. El cuestionario permite obtener una panorámica técnica para la elaboración del proyecto de Análisis y Gestión de Riesgos y posibilita abordar el estudio de oportunidad de realización del proyecto, tras integrar las opciones políticas anteriores.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

De las respuestas al cuestionario-marco y de las entrevistas mantenidas con los responsables y colectivos anteriores, el promotor obtiene una primera aproximación sobre las funciones, los servicios y los productos implicados en cuestiones de seguridad de los sistemas de información, la ubicación geográfica de aquéllos, los medios técnicos, los medios humanos, etc. Un Informe Preliminar debe sintetizar la Tarea.

Con estos elementos el promotor realiza el Informe preliminar recomendando la elaboración del proyecto de Análisis y Gestión de Riesgos e incluyendo estos elementos: •

Exposición de los argumentos básicos.

•

Especificación de los antecedentes sobre seguridad de sistemas de información (por ejemplo un Plan Estratégico de la propia Organización, un Plan de Actuación del Ministerio, Departamento, Unidad, etc.).

•

Primera aproximación del Dominio a incluir en el proyecto en función de A A A A

•

las finalidades de las Unidades las orientaciones políticas y técnicas retenidas la estructura organizativa el entorno técnico.

Primera aproximación de los medios, tanto humanos como materiales, para la realización del proyecto de Análisis y Gestión de Riesgos (AGR).

El promotor presenta este Informe preliminar a la Dirección que puede decidir: A A A

Aprobar el proyecto, o bien Modificar su dominio y/o sus objetivos, o bien Retrasar el proyecto.

Productos: • •

Informe preliminar recomendando la elaboración del proyecto AGR. Sensibilización y apoyo de la Alta Dirección a la realización del proyecto AGR.

Técnicas (expuestas en la Guía de Técnicas): • • •

Técnica de elaboración de cuestionarios Técnica de entrevistas Técnica Delphi

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

6.4

Actividad 2: Definición de dominio y objetivos Descripción y objetivo: Una vez que se ha constatado la oportunidad de realizar el proyecto de Análisis y Gestión de Riesgos y el apoyo por la Dirección, esta Actividad procede a identificar los objetivos que debe cumplir el proyecto y a definir su dominio y límites.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

OPORTUNIDAD DE REALIZACIÓN

DEFINICIÓN DOMINIO Y OBJETIVOS Especificar objetivos

Definir el dominio y los límites

Identificar entorno y restricciones

Estimar el proyecto

PLANIFICACIÓN DEL PROYECTO

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

6.4.1 Tarea 1: Especificar los objetivos del proyecto Descripción y objetivo Esta tarea permite determinar el alcance del proyecto y de sus objetivos, diferenciados según horizontes temporales a corto y medio plazo. Los objetivos del proyecto se especifican en función de la finalidad de la Planificación Estratégica, del estado de partida de la Organización y de las consideraciones de la Dirección recogidas en la actividad anterior. Esta especificación de objetivos especificaría por ejemplo que el proyecto busca determinar las áreas de riesgo más elevado en la Organización (objetivo reducido); o bien que busca usar la gestión de los riesgos para realizar una gestión integral de la seguridad de los sistemas de información (objetivo amplio). Productos: •

Recopilación de la documentación pertinente de la Organización.

•

Especificación detallada de los objetivos del proyecto.

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de entrevistas.

•

Técnica de Factores críticos de éxito.

6.4.2 Tarea 2: Definir el dominio y los límites del proyecto Descripción y objetivo: Esta tarea identifica las Unidades objeto del Análisis y Gestión de Riesgos y especifica las características generales de dichas Unidades en cuanto a Responsables, Servicios proporcionados o Ubicaciones geográficas. También identifica las principales relaciones de las Unidades objeto del proyecto con otras entidades, por ejemplo el intercambio de información en diversos soportes, el acceso a medios informáticos comunes, etc. La tarea parte de un principio básico: el análisis y la gestión de riesgos (AGR) debe centrarse en un Dominio limitado, que puede incluir varias Unidades o mantenerse dentro de una sola Unidad orgánica (según la complejidad y el tipo de problema a tratar), ya que un proyecto de ámbito demasiado amplio o indeterminado podría ser inabarcable, por excesivamente generalista o por demasiado extendido en el tiempo, con perjuicio en las estimaciones de los elementos del Análisis y Gestión de Riesgos.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

El procedimiento recomendado va de lo general a lo particular (‘top-down’). Como plantea el capítulo 1 de esta Guía, una primera aplicación de MAGERIT de carácter GLOBAL para un Dominio amplio puede y en general debe continuarse por sucesivas aplicaciones a ámbitos más reducidos, porque se han delimitado los de riesgos mayores (a considerar con mayor detalle) o porque se profundiza en subdivisiones orgánicas.

Productos: •

Perfil general de las Unidades incluidas en el Dominio del proyecto

•

Esquema de las relaciones del Dominio con el entorno

•

Lista de responsables a considerar para la identificación del entorno.

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de entrevistas.

6.4.3 Tarea 3: Identificar el entorno y las restricciones generales Descripción y objetivo: Esta tarea realiza un estudio global de los sistemas de información de las Unidades incluidas en el Dominio del proyecto, con objeto de identificar sus funciones y finalidades principales y sus relaciones con el entorno, así como sus tendencias de evolución. El perfil general de las Unidades, producto obtenido en la tarea anterior, se amplia en ésta con la información proporcionada por los responsables de las diversas áreas de dichas Unidades. La tarea también identifica las personas a entrevistar para obtener la obtención detallada de información que posibilite la Etapa 2 de Análisis de riesgos y las posibles restricciones generales que deberá tener en cuenta el proyecto.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Para incorporar las restricciones al Análisis y Gestión de Riesgos, se agrupan por distintos conceptos. En esta tarea se adopta la siguiente clasificación de restricciones en 6 grupos: temporales, financieras, técnicas, sociológicas, del entorno, legales.

MAGERIT tiene en cuenta las restricciones en distintas tareas del proyecto (como se verá por ejemplo en la Valoración de Activos de la Etapa 2 de Análisis de Riesgos y en la Interpretación de Riesgos de la Etapa 3 de Gestión de Riesgos) y las reconsidera globalmente en la Tarea 4.1.3, formalizar restricciones (Actividad 4.1 de Identificación de mecanismos de salvaguarda) de la última Etapa 4 de Selección de Salvaguardas.

Productos: •

Ampliación del perfil de las Unidades implicadas en el Dominio del proyecto.

•

Identificación de las personas que compondrán el equipo de usuarios.

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de cuestionarios

•

Técnica de Entrevistas (con responsables funcionales y técnicos de las Unidades)

•

Técnica de Factores críticos de éxito

•

Diagramas de flujo de datos

•

Modelos entidad-relación

6.4.4 Tarea 4: Estimar dimensión, coste y retornos del proyecto Descripción y objetivo: La tarea posibilita el dimensionamiento (tamaño, complejidad, zonas de incertidumbre) del proyecto a partir del conocimiento de los objetivos del proyecto, del Dominio y del perfil de las Unidades incluidas en el estudio. En función de la dimensión estimada y de los objetivos del proyecto se escogen algunas de las técnicas a utilizar en el análisis y gestión de riesgos. Por ejemplo, si el proyecto tiene como objetivo la realización de un Análisis y Gestión de Riesgos inicial y genérico, la técnica de cálculo del riesgo se orienta a una discriminación dicotómica (en dos bloques) de los riesgos, según que exijan o no otras aplicaciones más detalladas de Análisis y Gestión de Riesgos. Por otra parte la tarea también dimensiona el proyecto en cuanto a su coste y los retornos o beneficios que

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

puede aportar, para que la Dirección pueda tomar con fundamento la decisión de emprenderlo y asignar los recursos necesarios para su desarrollo. •

El estudio del coste del proyecto puede realizarse sin dificultad estimando los tiempos y perfiles de personal asignado a las Etapas del proyecto dimensionado anteriormente.

•

El estudio de los retornos sólo puede ser muy impreciso en esta Etapa inicial, pues no puede tener en cuenta aún el verdadero retorno de un proyecto de seguridad, que es precisamente el coste de no tener dicha seguridad en el Dominio estudiado o sea el resultado del propio proyecto de Análisis y Gestión de Riesgos.

Productos: •

Definición de la dimensión del proyecto.

•

Definición de los costes y beneficios del proyecto.

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de factores situacionales adaptada de Eurométodo versión 1.

•

Técnica de Análisis Coste-Beneficio

Se insiste de nuevo en la importancia de esta Actividad nada rutinaria que condicionará toda la labor de seguimiento del proyecto y a menudo de su calidad. Deberá retomarse esta Actividad de forma recursiva durante el desarrollo del proyecto para comprobar si las decisiones que subyacen al lanzamiento de éste deben mantenerse o modificarse (lo que implicará la revisión de la Actividad 1.3 de Planificación del proyecto).

6.5

Actividad 3: Planificación del proyecto Descripción y objetivo: Esta actividad estima los elementos de Planificación del proyecto, es decir sus cargas de trabajo, el grupo de usuarios, los participantes y su modo de actuación y el plan de trabajo para la realización del proyecto. En dicha estimación se ha de tener en cuenta la posible existencia de otros planes (por ejemplo un Plan Estratégico de Sistemas de Información o de Seguridad general en las Unidades que pueden ser afectadas o en la Organización) y el plazo de tiempo considerado para la puesta en práctica del proyecto de Análisis y Gestión de Riesgos. En particular, la existencia de un Plan Estratégico de Sistemas de Información para las Unidades que pueden ser afectadas dentro de la Organización puede determinar en gran medida el alcance y la extensión de las actividades que se realicen en esta actividad.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

DEFINICIÓN DOMINIO Y OBJETIVOS

PLANIFICACIÓN DEL PROYECTO Evaluar cargas y planificar entrevistas

Organizar a los participantes

Planificar el trabajo

LANZAMIENTO DEL PROYECTO

6.5.1 Tarea 1: Evaluar cargas y planificar entrevistas Descripción y objetivo: Para evaluar el tiempo y los efectivos necesarios en la realización del Análisis y Gestión de Riesgos, la tarea establece los parámetros a estudiar en función de las finalidades de las Unidades y de los ámbitos de su actividad, fijando en función de la ‘malla’ de estudio elegida el grado de detalle al que conviene llegar en la cuantificación de dichos parámetros. La tarea por tanto permite: •

Identificar, por ámbitos y temas, a los usuarios afectados.

•

Planificar la composición, papel y contribuciones respectivas de los grupos de usuarios.

•

Εvaluar la carga de trabajo y deducir la composición del equipo de proyecto a constituir, en términos

de competencia técnica y de efectivos.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

Planificar las entrevistas a realizar con los usuarios para la recogida de información.

Productos: •

Plan detallado de entrevistas a realizar.

•

Informe de evaluación de cargas.

Técnicas (expuestas en la Guía de Técnicas): •

Diagramas Gantt.

•

Técnicas matriciales

6.5.2 Tarea 2: Organizar a los participantes Descripción y objetivos: Los objetivos de esta tarea son: •

Determinar los Órganos participantes en la gestión, realización, seguimiento y actualización del proyecto de Análisis y Gestión de Riesgos .

•

Definir las funciones y responsabilidades de los órganos participantes.

•

Establecer las reglas y los modos operativos.

Los participantes en un proyecto de Análisis y Gestión de Riesgos se articulan en estos Órganos (concordantes en lo posible con la orientación operacional de Métrica v.2.1): •

Comité de Dirección Está constituido por los responsables de las Unidades afectables por el proyecto de Análisis y Gestión de Riesgos, así como por los responsables de la informática y de la gestión dentro de dichas Unidades. También será importante la participación de los servicios comunes de la Organización (Programación y Presupuestación, Recursos Humanos, Administración, etc.). En cualquier caso la composición del Comité depende de las características de las Unidades afectadas.

•

Director del Proyecto Debe ser un directivo de alto nivel, responsable dentro de la Organización de Seguridad, de Sistemas de Información o, en su defecto, de Planificación, de Coordinación o de materias, servicios o áreas semejantes.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

Equipo de proyecto Formado por personal experto en Tecnologías y Sistemas de Información y personal técnico cualificado del Dominio afectado, con conocimientos de Gestión de seguridad en general y de la aplicación de la metodología de Análisis y Gestión de Riesgos en particular. Si el proyecto se hace con asistencia técnica mediante contratación externa, el subsiguiente personal especialista en seguridad de sistemas de información se integrará en este equipo de proyecto.

•

Enlace operacional Será una persona de la Organización con buen conocimiento de las personas y de las Unidades implicadas en el proyecto de Análisis y Gestión de Riesgos, que tenga capacidad para conectar al equipo de proyecto con el grupo de usuarios.

•

Grupo de usuarios Está formado por usuarios representativos dentro de las Unidades afectadas por el proyecto de Análisis y Gestión de Riesgos. Lo constituyen varios posibles subgrupos: •

Informáticos (analistas, diseñadores, programadores, gestores,..).

•

Usuarios (gestores, finales,...).

•

Otros (seguridad física, calidad, mantenimiento, compras,..).

Conviene recordar siempre que un proyecto de Análisis y Gestión de Riesgos es ‘mixto’ por esencia; es decir, requiere la colaboración permanente de especialistas y usuarios tanto en las fases definitorias como en su desarrollo, implantación y operación efectiva. La figura del ‘Enlace operacional’ adquiere una dimensión permanente que no se requiere en otro tipo de proyectos más ‘técnicos’ y menos ‘organizacionales’ que los relativos a la seguridad de los sistemas de información.

La constitución de un Grupo de Calidad diferenciado del Grupo de Usuarios y la amplitud relativa de los diversos grupos de participantes dependerán de los objetivos y envergadura del proyecto, así como del dominio considerado. Productos: •

Informe de composición y reglas de actuación de los equipos de participantes.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de dirección y gestión de proyectos.

6.5.3 Tarea 3: Planificar el trabajo Descripción y objetivos: Esta tarea realiza las funciones siguientes: •

Elaborar el calendario concreto de realización de las distintas etapas, actividades y tareas del proyecto especificado de Análisis y Gestión de Riesgos, en función de sus objetivos y características definidos previamente.

•

Especificar los recursos humanos y materiales estimados para la cumplimentación de cada etapa.

•

Establecer un calendario de seguimiento que define las fechas tentativas de reuniones del Comité de Dirección, el plan de entregas de los productos del proyecto, las posibles modificaciones en los objetivos marcados, etc.

Productos: •

Cronograma del proyecto.

•

Dedicaciones de los participantes.

•

Especificación de los recursos materiales necesarios y sus características.

•

Descripción de hitos.

Técnicas (expuestas en la Guía de Técnicas):

6.6

•

Diagramas Gantt.

•

Técnicas matriciales.

•

Técnicas de planificación de proyectos adaptadas de Eurométodo versión 1.

Actividad 4: Lanzamiento del proyecto Descripción y objetivo: Esta actividad completa las tareas preparatorias del lanzamiento del proyecto de Análisis y Gestión de

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Riesgos: empezando por seleccionar y adaptar los cuestionarios que se utilizarán en la recogida de datos, así como especificar los criterios y las técnicas concretas a emplear en el análisis y gestión de riesgos; y terminando por asignar los recursos necesarios para la realización del proyecto y por realizar la campaña informativa de sensibilización a los implicados en el proyecto.

PLANIFICACIÓN DEL PROYECTO

LANZAMIENTO DEL PROYECTO Adaptar los cuestionarios

Seleccionar criterios de evaluación

Asignar recursos

Sensibilizar

ANALISIS DE RIESGOS

6.6.1 Tarea 1: Adaptar los cuestionarios Descripción y objetivo: La tarea adapta los cuestionarios a utilizar en la recogida de información de la siguiente etapa, en función de los objetivos del proyecto, del dominio y de los temas a profundizar con los usuarios.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Los cuestionarios se adaptan con el objetivo de identificar correctamente los Elementos y otros condicionantes principales del Análisis y Gestión de Riesgos (activos, amenazas, vulnerabilidades, impactos, salvaguardas existentes, restricciones, ...). La necesidad de una adaptación siempre existe (debido al amplísimo espectro de los problemas de seguridad que puede y debe tratar MAGERIT). Pero el grado mayor o menor de adaptación depende además de las condiciones en que se realice la explotación de dichos cuestionarios. No habrá la misma profundidad de adaptación para entrevistas guiadas por el especialista en seguridad (que corresponden al cuestionario básico ofrecido por MAGERIT en su Guía de Técnicas) que para cuestionarios autoadministrados por el responsable del dominio o por los usuarios de sus sistemas de información.

En análisis de riesgos, como en el diagnóstico médico, la encuesta (o anamnesis) no se puede obviar, pero no hay (ni parece que habrá a corto plazo) una pauta única de cuestionario que vaya más allá de un recordatorio para no olvidar aspectos básicos.

Productos: •

Cuestionarios adaptados (a partir de los cuestionarios básicos ofrecidos en la Guía de Técnicas).

Técnicas (expuestas en la Guía de Técnicas): •

Elaboración de cuestionarios.

6.6.2 Tarea 2: Seleccionar criterios de evaluación y técnicas para el proyecto Descripción y objetivo: Esta tarea, preparatoria de la Etapa 2 de Análisis de Riesgos, establece la selección cuando cabe de los criterios y técnicas que se mantendrán a lo largo de todo el proceso de Análisis y Gestión de Riesgos. En efecto, la Gestión de los riesgos de la Etapa 3 de MAGERIT estará condicionada por el tipo de Análisis de riesgos realizado en la Etapa 2: si se han elegido un tipo de criterios y técnicas para evaluar los riesgos, es recomendable aplicar las mismas técnicas para evaluar la reducción de riesgos al implantar las salvaguardas propuestas. La elección de estos criterios y técnicas en función de: • • •

los objetivos del proyecto el dominio del proyecto el tipo de proyecto

Productos: •

Informe de los criterios y técnicas seleccionados.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Técnicas (expuestas en la Guía de Técnicas): •

Experiencia del Grupo de Trabajo en la aplicación de MAGERIT.

6.6.3 Tarea 3: Asignar los recursos necesarios Descripción y objetivo: Esta tarea asigna los recursos necesarios (humanos, organizacionales, técnicos, etc.) para la realización del proyecto de Análisis y Gestión de Riesgos. Productos: •

Comunicaciones al personal participante de su asignación al proyecto.

•

Disponibilidad de los medios materiales necesarios

Técnicas (expuestas en la Guía de Técnicas): •

Técnicas de asignación presupuestaria y de selección de personal.

6.6.4 Tarea 4: Sensibilizar (campaña informativa) Descripción y objetivo: Esta tarea informa a las Unidades afectadas del lanzamiento del proyecto de Análisis y Gestión de Riesgos, por diversos medios, y como mínimo: •

Una nota informativa de la dirección, dirigida a las unidades implicadas y declarando su apoyo a la realización del proyecto.

•

La presentación del proyecto, sus objetivos y la metodología a emplear, realizada en las unidades implicadas por parte del equipo de trabajo.

Productos: •

Nota informativa de la dirección.

•

Material e informe de presentación del proyecto.

Técnicas (expuestas en la Guía de Técnicas): •

Técnicas de presentación.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

6.7

Síntesis de la etapa

6.7.1 Hitos de control •

Hito de control 1-A: La Dirección procederá a la aprobación o no de la realización del proyecto de Análisis y Gestión de Riesgos, basándose en el estudio de oportunidad realizado por el Promotor.

•

Hito de control 1-B: El Comité Director del proyecto validará el informe de "Planificación del Análisis y Gestión de riesgos" que contendrá una síntesis de los productos obtenidos en las actividades realizadas en la Etapa.

6.7.2 Resultados Documentación intermedia •

Resultados de las entrevistas.

•

Documentación de otras fuentes: estadísticas, observaciones de expertos y observaciones de los analistas.

•

Documentación auxiliar: planos, organigramas, requisitos, especificaciones, análisis funcionales, cuadernos de carga, manuales de usuario, manuales de explotación, diagramas de flujo de información y de procesos, modelos de datos, etc.

•

Análisis de los resultados, con la detección de las áreas críticas claves.

•

Información existente utilizable por el proyecto (por ejemplo inventario de Activos)

•

Resultados de posibles aplicaciones de métodos de Análisis y Gestión de Riesgos realizadas anteriormente (por ejemplo catalogación, agrupación y valoración de activos, amenazas, vulnerabilidades, impactos, riesgo, mecanismos de salvaguarda, etc.).

Documentación final •

Informe de "Planificación del Análisis y Gestión de riesgos" que contendrá una síntesis de los productos obtenidos en las actividades realizadas en la etapa.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

6.8

Papel de los participantes

6.8.1 Papel del equipo de proyecto del Análisis y Gestión de Riesgos •

Ejecución de las tareas de la Etapa.

6.8.2 Papel de los grupos de interlocutores •

Aportación de la documentación requerida.

•

Disponibilidad para las entrevistas.

6.8.3 Papel del comité director •

Respaldo al proyecto.

•

Aprobación de medios propuestos para su realización.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

6.9

Aplicación de la Etapa 1 al Caso puesto como ejemplo

Para facilitar la comprensión plena del procedimiento seguido por MAGERIT, se presenta un caso real que se irá desarrollando al final de la exposición de cada Etapa de esta Guía. Se han realizado sólo las adaptaciones terminológicas imprescindibles con objeto, no sólo de mantener la frescura y coherencia del caso, sino como muestra de la necesidad de adaptación de MAGERIT a cada caso (no al revés), intrínseca a la generalidad del método.

6.9.1 Actividad 1.1: Clarificar la Oportunidad de realización Una Corporación Pública Local (en adelante CPL), grande y bien organizada informáticamente, encarga una auditoria de cumplimiento de su tercer Plan Informático al finalizar la ejecución de éste y el análisisdiagnóstico de la situación informática alcanzada. El diagnóstico destaca, entre sus conclusiones, dos puntos referentes a Seguridad: - el escaso control de los sistemas ambientales en la sala de ordenadores, y - la inexistencia de planes de emergencia. El primer punto es fácilmente subsanable, pero el segundo requiere un estudio de cierta profundidad. CPL saca este estudio a concurso tras establecer los criterios del nuevo Plan informático pero antes de abordar dicho Plan. Estos criterios de planificación estratégica son importantes para ofrecer las finalidades del estudio de seguridad. Así, el ámbito del nuevo Plan abarca tanto el aspecto de estrategia tecnológica como el del Plan de Ejecución y se extiende a todas las Unidades administrativas del CPL en relación al desarrollo y soporte de sus sistemas de información. Los 44 profesionales informáticos del CPL manejan como recursos físicos un gran ordenador que alberga los sistemas corporativos de gestión y que centraliza unos 250 terminales; tres ordenadores departamentales de marca distinta con unos 75 terminales conectados; 6 redes locales y unos 200 ordenadores personales, aproximadamente. Estas redes soportan unos Recursos Lógicos sofisticados que abarcan varios grandes tipos de aplicaciones: un Sistema Integrado de Información Económica y Suministros; la Gestión de personal y nómina; el Padrón de habitantes geocodificado para gestión de distintos servicios e información al Ciudadano; la planificación y gestión cartográfica informatizadas; y un Sistema integrado de Registros y expedientes Como una parte de los objetivos básicos del nuevo Plan (entre los que cabe destacar su propósito de garantizar la correcta cohesión entre los objetivos de gestión y política del CPL, los sistemas de información, la estructura organizativa y las tendencias tecnológicas), se pretende “Generar el sistema de información integrado del CPL, haciendo esfuerzos especiales para garantizar la seguridad de la información, actuando desde la coherencia del diseño” y definiendo una red de comunicaciones que atienda en sus “características de diseño a tres condicionantes fundamentales: seguridad lógica en el interior

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

(red local); seguridad lógica hacia el exterior; y criticidad (seguridad física)”.

6.9.2 Actividad 1.2: Definición de dominio y objetivos Tarea 1.2.1: Especificar los objetivos del proyecto El CPL convoca un concurso para la realización de un Estudio Previo a la Elaboración de un Plan de Contingencia. El objetivo básico de este Estudio busca determinar el conjunto de acciones que el CPL debería realizar en caso de desastre (incendio, inundación, ...) para asegurar el servicio informático a sus usuarios hasta la vuelta a las circunstancias normales. Este Estudio, además de su pliego de condiciones técnicas, tiene como antecedentes el 'Análisis-Diagnóstico de la Situación Informática en el CPL’ y el Plan Informático recientemente aprobado por la Corporación. El adjudicatario plantea en su Oferta la reconducción del proyecto como un Análisis y Gestión de Riesgos particularizado para obtener como Mecanismo de Salvaguarda particularmente importante dicho Plan de Contingencia (además de otros mecanismos cooperantes a la consecución de éste y en general a la seguridad de los sistemas de información). El proyecto tiene por tanto tres grandes objetivos, sistematizables en tres grandes fases: - Planificación global de la seguridad - Análisis de la situación actual y especificación de necesidades funcionales de seguridad - Diseño detallado del Plan de Contingencia como mecanismo global de salvaguarda.

Tarea 1.2.2: Definir el dominio y los limites del proyecto El dominio del proyecto es el conjunto del CPL, visto como es lógico desde el punto de vista de la Seguridad de sus Sistemas de Información tomados en el sentido más amplio posibles, es decir con todas las repercusiones sobre las funcionalidades de la Organización y sobre Activos abstractos que atañen a su misión. El alcance del Estudio previo, limitado por el Pliego de Condiciones técnicas, no da pie para generar un Plan completo de Seguridad Informática aunque permite establecer las bases técnicas coherentes y bien cohesionadas para poder realizarlo cuando el CPL lo estime oportuno. Tarea 1.2.3: Identificar el entorno y restricciones generales El Pliego de prescripciones técnicas y las primeras entrevistas con el responsable informático ofrecen una primera descripción de los sistemas de información de las Unidades incluidas en el Dominio del proyecto, que permiten identificar sus funciones y finalidades principales y sus relaciones con el entorno, así como sus tendencias de evolución. Esta tarea identifica las personas a entrevistar para obtener la obtención detallada de información que posibilite la Etapa 2 de Análisis de riesgos y las posibles restricciones generales que deberá tener en cuenta el proyecto. El proyecto lleva a entrevistar dos grupos: los directivos de las principales áreas funcionales del CPL (tras conocer las aplicaciones de sus sistemas de información con ayuda de los analistas que las desarrollan) y los directivos de los departamentos informáticos: sistemas, explotación y estudios.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Del Pliego de prescripciones técnicas y de las conversaciones generales anteriores se obtienen las restricciones al Análisis y Gestión de Riesgos que se deben tener en cuenta. Así, el proyecto tiene un plazo y un coste perfectamente delimitados. Asimismo ciertas otras restricciones sociológicas, técnicas o legales deben tenerse en cuenta desde el principio: por ejemplo no se tienen centros de respaldo comerciales a menos de centenares de kilómetros de distancia; pero no conviene explorar soluciones de respaldo mutuo con otras corporaciones dotadas de sistemas semejantes, ni es posible ofrecer soluciones situadas fuera del territorio español, sea cual sea su conveniencia, coste o garantías. Tarea 1.2.4: Estimar dimensión, coste y retornos del proyecto El Pliego de prescripciones técnicas sobrentiende una apreciación anterior sobre la dimensión, coste y retornos del proyecto, aunque no los explícita. La dimensión y el coste de un proyecto MAGERIT depende básicamente del trabajo intelectual que subyace a la adquisición de la información sobre el dominio y por tanto, frecuentemente, del número y profundidad de las entrevistas a realizar. Los retornos del proyecto en este caso vienen predeterminados por la doble recomendación del Análisisdiagnóstico y por la previsión del cumplimiento del artículo 9 de la Ley Orgánica 5/1992 LORTAD, manifestado en el cuestionario sobre declaración de ficheros de datos de carácter personal difundido por la Agencia de Protección de Datos.

6.9.3 Actividad 1.3: Planificación del proyecto Tarea 1.3.1: Evaluar cargas y planificar entrevistas En este proyecto derivado de un concurso público, esta tarea suele realizarse por los proponentes de ofertas, que precisan en éstas el tiempo y los efectivos necesarios para la realización del Análisis y Gestión de Riesgos, a partir de los datos ofrecidos por el Pliego de prescripciones técnicas y de las entrevistas solicitadas a sus redactores si es necesario. La cuestión más delicada estriba en acoplar la estructura de trabajo pedida explícita o implícitamente por el Pliego de prescripciones técnicas, con el procedimiento de trabajo de los ofertantes y el de MAGERIT en concreto. En materia de seguridad, la poca madurez del sector conlleva la necesidad de interpretar formulaciones de problemas no homogéneas con la terminología normalizada de MAGERIT. Este acoplamiento ha dado en el caso de CPL y del adjudicatario un proyecto en 5 fases: Fase 1. Preparación del Estudio. Esta Fase 1 de carácter preparatorio comienza con la especificación detallada del plan de trabajo, la adaptación mutua del equipo consultor con el equipo del cliente y la constitución de los órganos que intervienen en el proyecto, especialmente el Comité de Seguimiento del Estudio. Los resultados de esta Fase 1 son la especificación clara y concisa de los criterios de impacto y la medida de la 'aversión al riesgo' del CPL, por medio de métricas de impactos y potencialidades de agresión.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Fase 2. Análisis de los grandes tipos de riesgo. Esta Fase 2 consiste en el establecimiento de varios tipos de escenarios que van desde los mecanismos de disparo de los acontecimientos amenazadores hasta sus impactos, pasando por la descripción de los escenarios primario (amenaza, agresión, vulnerabilidad, deterioro) y por la estimación de la medida del impacto y de la potencialidad del riesgo. Los resultados son por un lado el conjunto de dossiers-tipo sobre grandes tipos de riesgos; y por otro un informe de auditoría para riesgos corrientes, realizado sectorialmente (organización general, gestión de recursos físicos, gestión de desarrollo, gestión de explotación, administración de telecomunicaciones, gestión de derechos de acceso, etc.). Por otra parte la Fase 2 cubre dos Partes de las peticiones detalladas por el Pliego de Condiciones: Procedimientos de Prevención (posibles cambios a efectuar en las instalaciones y procedimientos de trabajo para prevenir posibles desastres) y un estudio de los centros de respaldo (‘backup’) existentes actualmente y compatibles con las instalaciones informáticas del CPL, con sus diferentes modos de funcionamiento y tipos de tarifas, al objeto de facilitar la elección óptima del citado centro. Fase 3. Análisis de los riesgos y mecanismos de salvaguarda actuales. En esta Fase, el Análisis detallado de la situación actual busca conocer a fondo la existencia y la eficacia de las salvaguardas instaladas, especialmente las relacionadas con las copias, sobre todo desde el punto de vista de la recuperación real de los procesos de ejecución tras un siniestro grave o catastrófico. Por su parte, el Análisis detallado de los riesgos busca evaluar la potencialidad de la agresión y el impacto de ésta en cada escenario tipo de riesgo, en el nivel de las aplicaciones y los recursos informáticos básicos empleados, físicos o lógicos. Los resultados de esta Fase 3 son: por una parte el Análisis de las salvaguardas actuales, sobre todo las medidas de copia y almacenaje de datos, así como los procedimientos para su mejora; y por otra parte, el Análisis de las potencialidades de agresión y su impacto, detallados hasta el nivel de los grupos de aplicaciones principales, lo que permitirá la identificación de los grupos de aplicaciones críticos y los recursos que emplean. Por otro lado, la Fase cubre otras dos partes de las peticiones detalladas en el Pliego de Condiciones: detallar todos los elementos necesarios para el funcionamiento del CPL en circunstancias de emergencia (en particular la identificación de aplicaciones críticas, el software de base necesario para su funcionamiento y los servicios de comunicaciones necesarios durante el tiempo de la emergencia como terminales, líneas y otros elementos); y revisar el procedimiento actual de copia y almacenaje y su almacenamiento físico. Fase 4. Elaboración de propuestas. La Elaboración de propuestas empieza por establecer las soluciones genéricas contra los grandes riesgos para limitar su impacto y sigue con las soluciones contra los riesgos corrientes, detalladas en relación con su peso relativo. La incorporación de las restricciones generales (organizativas, presupuestarias, técnicas) permite un análisis final de cohesión previo a la elaboración del Esquema Director, que incorpora además los elementos de decisión necesarios para la operatividad del Plan de Contingencia (estructuras, organización, contexto, presupuestos, planificación). La Elaboración de especificaciones funcionales, en el contexto previamente planteado de cohesión del conjunto, permite la optimización de las soluciones más características con un análisis final de riesgos residuales y el establecimiento de sus cuadernos de especificaciones, incluida su procedimentalización. Esta Fase 4 cubre dos Partes del Estudio detalladas por el Pliego de Condiciones: estudiar los cambios que deberá realizar el CPL en sus instalaciones para que el Plan de Contingencias sea viable, cuantificando económicamente estos cambios; y detallar el procedimiento a seguir para que el Plan de Contingencias esté totalmente operativo. Fase 5. Formalización del Plan de Contingencia. Se trata de una Fase de consolidación final de resultados.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Tarea 1.3.2: Organizar a los participantes Un proyecto de esta envergadura debe contar para su desarrollo con una estructura bien definida, constituida por los siguientes órganos: Comité de Seguimiento. Este Comité deberá estar integrado por representantes de los más altos cargos del Organismo (ya existe una Comisión regular de Informática) y tener autoridad para tomar las decisiones que se vayan planteando a lo largo del desarrollo de los trabajos. Es imprescindible que la toma de decisiones sea rápida si se quiere garantizar el funcionamiento eficiente de los grupos de trabajo. Enlace Operacional. La figura de enlace operacional coincide en este proyecto con el Director de Proyecto por parte del CPL y Responsable de Informática del CPL. Equipo de Estudio del CPL. Está formado por los Responsables de Sistemas, de Explotación, de Desarrollo y de microinformática, con la misión principal de proporcionar al equipo del adjudicatario la información y la documentación técnica necesaria para realizar el Estudio. Equipo de Estudio del adjudicatario. Está constituido en este caso por un Director del Proyecto (con dedicación del 50 % de su tiempo en el plazo total del proyecto); un Consultor Senior a tiempo completo; un Consultor experto en comunicaciones, con dedicación parcial en función de las necesidades; y un alto Directivo en funciones de asesoramiento, control de calidad y supervisión. Grupo de usuarios. Está formado por los utilizadores, actuales y futuros, del Sistema de Información. En principio está formado por 16 responsables de las Áreas y Servicios del CPL, descendiendo al nivel adecuado según las necesidades de información que se detecten durante el desarrollo del Estudio. Tarea 1.3.3: Planificar el trabajo

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

SEMANAS

FASES 1. PREPARACIÓN DEL

²²²²²

ESTUDIO 2. ANÁLISIS DE

²²²²² ²²²²² ²²²²²

GRANDES RIESGOS 3.- ANÁLISIS DE

²²²²² ²²²²² ²²²²² ²²²²² ²²²²²

SITUACIÓN ACTUAL 4.- ELABORACIÓN

²²²²² ²²²²² ²²²²² ²²²²² ²²²²² ²²²²²

DE PROPUESTAS 5.- FORMALIZACIÓN

²²²²²

DEL PLAN

6.9.4 Actividad 1.4: Lanzamiento del proyecto Tarea 1.4.1: Adaptar los cuestionarios Se ha realizado una adaptación drástica de cuestionarios, debido a la especificidad de este proyecto y a la amplia participación de especialistas de seguridad del adjudicatario en la recogida directa de información de los directivos y en los lugares potencialmente vulnerables. Los cuestionarios de la encuesta realizada deben verse por tanto más un recordatorio para el análisis que un documento a autorellenar directamente por los responsables del Dominio protegible. La encuesta realizada a los servicios utilizadores de sistemas informatizados se divide en dos grandes bloques, uno específico sobre las vulnerabilidades inherentes a las funciones propias del sistema en el servicio (y por tanto de respuestas poco estructuradas); y el otro genérico, a partir de una batería de preguntas que permite situar a cada servicio dentro de un cuadro homogéneo. Este bloque genérico, único sintetizable a partir de las propias respuestas, se resume a continuación. VULNERABILIDADES ORGANIZATIVAS • •

EXACTITUD Y COHERENCIA DE LA INFORMACIÓN MANEJADA ACCESO AL SISTEMA POR PERSONAS EXTERNAS

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

• • • •

TRASCENDENCIA DE INFORMACIÓN DEL SISTEMA AL EXTERIOR DISPONIBILIDAD DE ACCESO AL SISTEMA (CAÍDAS, LENTITUD,...) OBTENCIÓN DE PRODUCTOS DEL SISTEMA ACCESO DE PERSONAS EXTERNAS AL RECINTO DE TERMINALES

VULNERABILIDADES TÉCNICAS • • • • •

AVERÍAS EN TERMINALES/IMPRESORAS: FRECUENCIA/SOLUCIÓN CORTES DE FLUIDO ELÉCTRICO UBICACIÓN DE TERMINALES E IMPRESORAS APROBACIÓN DEL DISEÑO Y PRUEBAS POR EL USUARIO CONTROL DEL SOPORTE PAPEL. ALMACENAMIENTO DE ÉSTE

VULNERABILIDADES ‘HUMANAS’ • • • • • • • • • •

POSIBILIDAD FÍSICA DE ROBO/INUTILIZACIÓN DE RECURSOS ERRORES EN LA INTRODUCCIÓN DE DATOS INASISTENCIAS DE PERSONAL SIGNIFICATIVAS DEPENDENCIA DE CIERTAS PERSONAS/ROTACIÓN DEL PERSONAL OBTENCIÓN DE INFORMACIÓN POR PERSONAS AJENAS CONOCIMIENTO DE LAS APLICACIONES USO INDEBIDO DE CLAVES DE USUARIO. BORRE DE ANTIGUAS CAMBIO PERIÓDICO DE CLAVES USO DE MEDIOS DE SEGURIDAD EN TERMINALES (LLAVES,...) INTERVENCIÓN DE INFORMÁTICOS EN CAMBIAR DATOS REALES

Tarea 1.4.2: Seleccionar criterios de evaluación y técnicas La situación de la seguridad de los sistemas de información del CPL es producto de la incorporación de las salvaguardas tomadas para prevenir o reducir unos riesgos hasta ahora no analizados de forma sistemática. Hasta ahora, el CPL no ha tenido fallos operacionales informáticos de envergadura que hayan forzado a tomar precauciones drásticas (también hubieran sido difíciles por su cuantía económica). Una sana y creciente sensibilización preventiva hacia la seguridad ha ido implantando diversas técnicas defensivas de distinta índole: • aprovechamiento por los equipos de desarrollo de aplicaciones de las rutinas de seguridad de las bases de datos empleadas; • medidas de prevención en el recinto informático (anti-incendio, continuidad de energía, evacuación, acceso físico); • adquisición de paquetes de software para autorización y control del acceso lógico a las aplicaciones por los utilizadores;

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

• • •

adquisición de paquetes y organización de técnicas de planificación y gestión operacional; organización de técnicas de recuperación de aplicaciones y tareas (copias de seguridad de respaldo); adquisición de paquetes de seguridad para sistemas microinformáticos (antivirus, copias de seguridad).

Sin embargo, la falta de análisis sobre riesgos no ha permitido priorizar hasta ahora estas numerosas medidas adquiridas, que en no pocos casos se están subempleando por falta de criterios de coste-beneficio sobre su uso. Dicho análisis permitirá racionalizar las medidas actuales y completarlas con algunas otras. El Estudio Previo encargado se basa parcialmente en esta situación paradójica de abundancia y a la vez carencia de medidas de seguridad. Propone racionalizar las medidas actuales y estudiar otras nuevas (principalmente y por su peso, la contratación de un centro de respaldo). Dicha racionalización exige un Análisis global de riesgos para el que faltan actualmente ciertos elementos importantes (por ejemplo, un registro histórico de las contingencias anteriores). La adaptación del método general contempla dinámicamente esta situación y arranca de inmediato con un Modelo M1 inicial, básicamente cualitativo y muy estilizado. Aunque el Modelo M1 ofrece todo el rastro de las hipótesis simplificatorias para poder contemplar a corto plazo un enriquecimiento de ese modelo M1, capaz como modelo M2 de integrar los primeros elementos cuantitativos que ofrezca el funcionamiento del sistema básico de seguridad informática establecido por el modelo M1 inicial. Para cumplir con estos objetivos evolutivos, el Modelo M1 debe tener cuatro características: • usar métricas y técnicas compatibles con los parámetros de que se dispone actualmente; • recoger las Fases y Etapas del procedimiento que permiten evaluaciones consecutivas al desarrollo de una aplicaciones ya realizadas; • preparar la realización de evaluaciones concurrentes con las aplicaciones aún no desarrolladas; • generar mecanismos de control (como registros históricos de contingencias). El Modelo M1 inicial de Aseguramiento parte de una primera delimitación de los posibles ESCENARIOS de SINIESTRO. En cada Escenario se describen cuatro grandes elementos: un tipo de AMENAZA (y su POTENCIALIDAD) un tipo de AGRESOR (real o virtual) y su MOTIVACIÓN, por medio de dos parámetros (exposición y fuerza) un tipo de DETERIORO el ACTIVO alcanzable por la AMENAZA. Tarea 1.4.3 Asignar los recursos necesarios El adjudicatario dispone y emplea los recursos propuestos en su oferta y negociados con el CPL,

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

lo que implica desplazamientos, disponibilidad de equipos y herramientas, traslado de documentos y manuales, etc. Tarea 1.4.4: Sensibilizar (campaña informativa) Como estaba previsto, la primera sesión del Comité consiste en la sensibilización general a los riesgos y en la adopción de un lenguaje común de intercomunicación. Por otra parte, el Comité incorpora los objetivos generales del cliente (perspectivas cifradas, restricciones, estructura, organización, presupuestos) y los específicos en materia de seguridad. Como primera aproximación a los utilizadores de los Sistemas de Información, se celebra en la segunda fase del proyecto una reunión plenaria, a la que asisten el grupo de usuarios, el enlace gerencial y el equipo de estudio del CPL. La reunión celebrada con el grupo de usuarios (utilizadores) y técnicos se estructura en los siguientes epígrafes: -

Definiciones y Problema Global de la Seguridad Tratamiento y Flujo de la Información. Zonas de Ataque. Ejemplo en el Sistema de Gastos Tipos de Amenaza sobre los Activos Ejemplos de Tipos de Amenazas y Salvaguardas para evitarlas. Valoración del Impacto sobre los Activos Vulnerabilidad o potencialidad de las Amenazas Valoración del Riesgo Clasificación de los Riesgos Aportación esperada de los Usuarios al Estudio Cierre de la Presentación

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

ETAPA 2: ANÁLISIS DE RIESGOS

7.0

Ubicación de la Etapa 2 en el modelo de MAGERIT

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

7.1

Estructura de la Etapa 2

ETAPA 1: PLANIFICACIÓN

objetivos, estrategia, política de seguridad

Actividades: 1.1: Oportunidad de realización 1.2: Definición de dominio y objetivos 1.3: Planificación del proyecto 1.4: Lanzamiento del proyecto

7.2

Planificación y otras fases de Gestión de la seguridad S.I.

ETAPA 2:

ETAPA 3:

ETAPA 4:

ANÁLISIS DE RIESGOS

GESTIÓN DE RIESGOS

SELECCIÓN DE SALVAGUARDAS

Actividades: 3.1: Interpretación del RIESGO 3.2: Identificación y estimación de Funciones de salvaguarda 3.3: Selección de Funciones de Salvaguarda 3.4: Cumplimiento de objetivos

Visión global de la etapa

7.2.1 Objetivos de la Etapa Esta etapa tiene los siguientes objetivos: •

Evaluar el riesgo del sistema en estudio, tanto el riesgo intrínseco (sin salvaguardas), como el riesgo efectivo (incluyendo el efecto de las salvaguardas implementadas si se trata de un sistema actual, no de un sistema previsto).

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

Mostrar al Comité director las áreas del sistema con mayor riesgo.

•

Presentar y obtener la aprobación de los umbrales de riesgo aceptables o asumibles.

100

7.2.2 Contenido de la Etapa El punto de partida de esta Etapa en el ciclo del proceso de MAGERIT es la documentación de la anterior Etapa 1 referente a los objetivos del proyecto, los planes de entrevistas, la evaluación de cargas, la composición y reglas de actuación del equipo de participantes, el plan de trabajo y el informe de presentación del proyecto. El Análisis del Riesgo identifica, evalúa y combina los Elementos definidos en el correspondiente Submodelo, con el resultado de una evaluación del Riesgo en el Dominio del proyecto que sea utilizable para la Identificación y Gestión de las Salvaguardas que puedan contrarrestar el Riesgo no asumible. Esta Etapa es el núcleo central de MAGERIT y su correcta aplicación condiciona la validez y utilidad de todo el procedimiento. La identificación y estimación de los Activos y de las posibles Amenazas que les acechan representa una tarea compleja, aunque relativamente rutinaria. La estimación de los Impactos y Vulnerabilidades no sólo es compleja, sino que es mucho más incierta y por tanto requiere cierta decisión creativa, que debe ser dirigida por expertos debido a la influencia determinante de ambos elementos, Impacto y Vulnerabilidad, en la determinación del Riesgo.

La Etapa de Análisis del Riesgo sigue en cierta forma el subescenario de ataque de la vista dinámica ‘organizativa’ del Submodelo de Eventos, combinando en cada uno de los ‘pasos’ del subescenario operaciones relacionadas con los Elementos de seguridad. Así y tras definir más detalladamente el contenido del Dominio (es decir el conjunto de los Activos), la Etapa considera los posibles ‘eventos’ (o sea las Amenazas), la potencialidad de la materialización de éstas y las consecuencias de dicha materialización (los Impactos). Con ayuda de todos estos materiales, suficientemente Identificados y evaluados, el cálculo o la estimación de los distintos tipos de riesgo es una labor bastante rutinaria, cuyos resultados (tipos de Riesgo) deberán interpretarse adecuadamente en la Etapa 3 siguiente.

7.2.3. Resumen del contenido de las Actividades 1. Recogida de información Obtención de la información sobre el sistema, de sus componentes, y de los factores que pueden influir en la seguridad.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

101

2. Identificación y agrupación de ACTIVOS Estudio detallado de la identificación, caracterización, interrelaciones, dependencias y valoraciones de los Activos en cuanto a su contribución a la evaluación del riesgo.

3. Identificación y evaluación de AMENAZAS Estudio detallado de la identificación, caracterización, interrelaciones, dependencias y valoraciones de las Amenazas en cuanto a su contribución a la evaluación del riesgo.

4. Identificación y estimación de VULNERABILIDADES Estudio detallado de la identificación, caracterización, interrelaciones, dependencias y valoraciones de las Vulnerabilidades en cuanto a su contribución a la evaluación del riesgo.

5. Identificación y valoración de IMPACTOS Estudio detallado de la identificación, caracterización, interrelaciones, dependencias y valoraciones de los Impactos en cuanto a su contribución a la evaluación del riesgo.

6. Evaluación del RIESGO Valoración del riesgo intrínseco y del riesgo efectivo, a partir de los resultados de las Actividades anteriores.

7.3

Actividad 1: Recogida de información Esta actividad tiene por objeto recoger la información sobre el sistema y de los factores que pueden influir en la seguridad.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

102

PLANIFICACIÓN

RECOGIDA DE INFORMACIÓN

Preparar la recogida

Realizar las entrevistas

Analizar la información

IDENTIFICACIÓN Y AGRUPACIÓN DE ACTIVOS

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

103

Esta actividad tiene una importancia crucial por dos motivos: la información a recoger condiciona el conocimiento del equipo del proyecto (ajeno en parte al funcionamiento del Dominio o sea dependiente de los conocedores de su comportamiento cotidiano); y la recogida en sí es una operación delicada que exige una confianza mutua profunda (la transmisión de información es siempre delicada y más si concierne a la seguridad).

7.3.1 Tarea 1: Preparar la información Descripción y objetivo: Esta tarea comprende las siguientes Acciones encaminadas a preparar la recogida de la información: •

Recopilar los cuestionarios personalizados distribuidos en la etapa anterior.

•

Ubicar y localizar a los entrevistados, para optimizar la realización de las entrevistas, tanto espacial como temporalmente.

•

Confirmar cada entrevista, informando de los documentos que se van a requerir durante la entrevista, para facilitar su disponibilidad

•

Recordar los objetivos de cada entrevista al entrevistado.

•

Disponer del documento acreditativo de la Dirección.

Productos: •

Documentación de trabajo.

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de entrevistas.

7.3.2 Tarea 2: Realizar las entrevistas Descripción y objetivo: Esta tarea profundiza con los entrevistados los siguientes aspectos:

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

104

•

Definición de las funciones y objetivos del entrevistado.

•

Descripción del modo de actuación.

•

Identificación de los medios de que dispone para realizar las funciones y del personal a su cargo.

•

Identificación de los procesos realizados y de la información manejada.

•

Descripción del entorno.

•

Identificación de posibles situaciones conflictivas (internas o externas, accidentales o provocadas).

Durante la entrevista, suele ser necesario informar al entrevistado de los principales conceptos relacionados con la seguridad y la de los sistemas de información, en un grado que depende de su información y experiencia en la materia. Con estos preparativos, la entrevista permite realizar una primera adquisición de conceptos y datos sobre elementos de la seguridad como los siguientes: •

Delimitación de los activos.

•

Valor de reposición de los activos, si tiene sentido o es factible.

•

Importancia de los activos para el sistema organizacional del entrevistado.

•

Salvaguardas existentes.

•

Amenazas potenciales.

•

Incidentes, y en el caso de que hayan ocurrido, las consecuencias derivadas de éstos (pérdidas materiales, inmateriales, etc.).

•

Planos y distribución geográfica pertinentes en materia de riesgos.

Asimismo, la entrevista permite apreciar otros extremos: •

Umbral de riesgo y aspectos de la seguridad en los que será necesario concentrarse.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

Restricciones a tener en cuenta (económicas, temporales, etc.).

•

Aspectos organizativos.

•

Utilización de metodologías de desarrollo (como Métrica v.2.1).

•

Especificación de normas y estándares.

•

Procedimientos de explotación.

105

Productos: •

Entrevistas realizadas.

Técnicas (expuestas en la Guía de Técnicas): •

Técnicas de entrevista.

7.3.3. Tarea 3: Analizar la información recogida Descripción y objetivo: Esta tarea permite realizar una síntesis de la información obtenida en las entrevistas realizadas, que se refleja en las correspondientes actas de reunión. Éstas permiten, una vez redistribuidas a los entrevistados, confirmar y depurar los datos recogidos. Las actas de reunión se actualizan con las modificaciones propuestas para obtener las actas definitivas. La información obtenida en las entrevistas se completa en los casos necesarios con: •

Si se han realizado inspecciones operacionales, las observaciones del auditor o del analista experto en seguridad.

•

Las observaciones de expertos en temas relacionados con la Seguridad de los Sistemas de Información, de forma que se detecten los puntos no evidentes, los activos encubiertos, las frecuencias de las amenazas generadas por nuevas tecnologías.

•

La recopilación de información de otras fuentes, como por ejemplo, estudios estadísticos sobre ocurrencia de desastres naturales (que puedan afectar al sistema), estadísticas de fallos en los componentes (MTBF o de Tiempo Medio entre Fallos, que posiblemente se encuentran en los manuales de características técnicas del componente), número de errores por millón de instrucciones en los programas, etc.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

106

Será necesario reprogramar entrevistas adicionales, procediendo de forma similar a la descrita anteriormente, en caso de requerirlo el entrevistado o para cubrir alguna laguna o necesidad de aclaración en la información obtenida. Se elabora un informe recopilador con todos los aspectos de la información recogida de las distintas Unidades y con las consideraciones que el analista de seguridad puede incorporar. Se incluirán como anexo las actas de reunión de las entrevistas realizadas. Productos: •

Informe recopilador de la información de las entrevistas (incluyendo su análisis).

Técnicas (expuestas en la Guía de Técnicas):

7.4

•

Técnica de elaboración de informes.

•

Diagramas de flujos.

•

Modelado de datos.

Actividad 2: Identificación y agrupación de ACTIVOS Descripción y objetivo: En la etapa de definición del dominio se han descrito las funciones que se realizan, ponderadas además según su importancia para la misión de la organización. El objetivo de esta actividad es reconocer los activos que componen los procesos, y definir las dependencias entre ambos. Así y a partir de la información recopilada en la actividad anterior, esta actividad profundiza el estudio de las activos con vistas a obtener la información necesaria para realizar las estimaciones del riesgo.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

107

RECOGIDA DE INFORMACIÓN

IDENTIFICACIÓN Y AGRUPACIÓN DE ACTIVOS Identificar mecanismos existentes

Identificar activos y grupos

Valorar activos

IDENTIFICACIÓN Y EVALUACIÓN DE AMENAZAS

7.4.1 Tarea 1: Identificar activos y grupos de activos Descripción y objetivo:

El objetivo de esta tarea es identificar los activos que componen el Dominio, determinando sus características, atributos y clasificación en los tipos determinados en el Submodelo de Elementos de MAGERIT. Una buena identificación es importante, pues de ella depende que sea más o menos fácil realizar todo el proceso posterior.

Para gran parte de Activos materiales y algunos inmateriales (los llamados inventariables), la tarea puede arrancar de los correspondientes Inventarios valorados que se desarrollan para otros fines (por de pronto para la valoración anual del Patrimonio de la Organización que forma parte obligatoria de toda

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

108

Contabilidad General por partida doble). Esta valoración ‘oficial’ de muchos Activos ayuda también fundamentalmente a arrancar la Tarea siguiente, que se centrará en valorar los Activos identificados por la tarea actualmente descrita. La tarea clasifica los Activos identificados en las tipologías ofrecidas por MAGERIT y los agrupa según una consideración principal de jerarquía organizativa y según otras posibles consideraciones: •

subestados de seguridad (Autenticación, Confidencialidad, Integridad, Disponibilidad, referenciados brevemente como A-C-I-D).

•

amenazas que los pueden atacar,

•

salvaguardas que los pueden proteger.

La tarea se completa añadiendo en el registro de cada Activo otros campos pertinentes para su tratamiento posterior: descripción, ubicación, responsable encargado, número o cantidad, etc. La tarea agrupa Activos articulándolos en conjuntos definidos por el objetivo común de realizar un tipo de función determinada (que a su vez es un componente de la misión del sistema). La agrupación de Activos más práctica desde el punto de vista del Análisis de Riesgos los articula en los 5 niveles de capas considerados en el Submodelo de Elementos de MAGERIT: 1. 2. 3. 4. 5.

entorno sistema de información información funcionalidades de la Organización otros activos

Una cadena ‘vertical’ concreta o ‘árbol de Activos’ tomados de estas capas agrupa los Activos afectables por el desencadenamiento potencial de una Amenaza determinada. Por ejemplo, la amenaza de un ladrón aprovecha la vulnerabilidad de una puerta abierta en el despacho del director financiero por el personal de limpieza fuera del horario de trabajo para robar un PC (entorno, capa 1) con sus programas (sistema de información, capa 2), lo que desencadena una carencia (de información, capa 3) crítica para el mantenimiento de la Organización (funcionalidades, capa 4). Aunque la información se pueda recomponer (preguntando a los bancos con los que la Organización opera) es inevitable la mala imagen causada y es posible el falseamiento de datos, sin mencionar el mal uso por revelación que puede resultar del robo del contenido, si ha sido intencionado (otros activos, capa 5). Adicionalmente y por otro lado, la Tarea puede preparar potestativamente otro tipo de agrupación basada en la naturaleza de los Activos, para facilitar el estudio de los mecanismos de salvaguarda ya implantados o a implantar en aquéllos. Por ejemplo, un computador personal PC, formado por varios activos como monitor, teclado, CPU, periféricos, sistema operativo, aplicaciones, datos, etc. puede ser atacado en su conjunto por determinadas amenazas y requiere mecanismos de salvaguarda adaptados individualmente a cada activo y colectivamente al PC conjunto. Este tipo de agrupación de Activos recoge grandes áreas tradicionales como éstas:

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

Información y datos.

•

Hardware.

•

Software operativo.

•

Software de aplicación.

•

Comunicaciones.

•

Documentos.

•

Equipamiento ambiental.

•

Personal interno y externo.

•

Infraestructura.

•

Activos organizacionales.

109

Productos: •

Informe de los activos componentes del Dominio y de sus agrupaciones jerárquicas

•

Definición de las dependencias entre activos, procesos y funciones en el dominio.

Técnicas (expuestas en la Guía de Técnicas): •

Diagramas de flujo.

•

Técnicas matriciales.

7.4.2 Tarea 2: Identificar los mecanismos de salvaguarda existentes Descripción y objetivo: Paralelamente a la Tarea anterior de identificación de los activos, esta Tarea permite identificar los mecanismos de salvaguarda asociados o implantados en aquéllos, describiéndolos y descubriendo la contribución de los mismos a los distintos subestados de seguridad de los Activos (Autenticación, Confidencialidad, Integridad, Disponibilidad, A-C-I-D). Además, la Tarea obtiene información de los costes de la implantación y de mantenimiento anual de dichos mecanismos.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

110

Productos: •

Informe de los mecanismos de salvaguarda existentes.

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de elaboración de informes.

7.4.3 Tarea 3: Valorar activos

La calidad de la aplicación de MAGERIT depende de una cuidadosa ejecución no sólo de la tarea 1 para identificar Activos y sus grupos, como de esta tarea 3 para valorar estos Activos, sobre todo los no inventariables. Esta tarea reposa sobre métricas de aplicación delicada que deben manejarse con atención no mecánica y criterio creativo.

Descripción y objetivo: La tarea arranca de los Inventarios valorados ya utilizados en la tarea anterior y permite dos valoraciones de los Activos, una intrínseca y otra asociada a sus subestados de seguridad (autenticación, confidencialidad, integridad, disponibilidad). •

Valoración intrínseca. Los activos inventariables permiten la asociación de un valor monetario derivable, a efectos de cuantificar posibles Impactos, del valor patrimonial ‘oficial’ reseñado en el inventario (valor de reposición, valor de cambio, coste de producción en horas/hombre por precio/ hora, etc.). Los activos no inventariables no permiten dicha asociación directa de un valor monetario, pero esto no impide que en la mayor parte de los casos se pueda ponderar su valor de uso, por ejemplo considerando las consecuencias económicas que supondría su carencia, a partir del correspondiente ‘árbol de activos’ encadenado. Este tipo de ‘valoración intrínseca’ se mantendrá cuando se realice la valoración del impacto correspondiente. MAGERIT no recomienda la mezcla de valoraciones de activos inventariables y no inventariables porque esta mezcla suele subestimar éstos últimos, sobre todo los inmateriales y especialmente los específicamente ligados a la Administración Pública. El procedimiento recomendado por MAGERIT para valorar activos se puede resumir en un doble esfuerzo: − Debe intentarse encontrar el ‘valor de cambio’ del activo como valor de reposición, directa (valor de inventario) o indirectamente (coste de su regeneración tras un Impacto) − Si esa valoración fuera imposible o inconveniente (valor de ‘reposición’ de una persona tras un accidente causado por falta de seguridad de algún activo), debe de tratarse este activo (con sus posibles impactos y riesgo consecuentes) como un elemento del entorno del Dominio abarcado por el proyecto de seguridad; elemento que influye sobre éste como una restricción parcialmente ajena

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

111

al tratamiento estricto de MAGERIT pero condicionante de su resultado (por lo que el activo o sus derivados habrán de aparecer por ejemplo en los informes intermedios y en su caso en el informe final del proceso). •

Valoración asociada a los subestados de seguridad. Proporciona un valor cualitativo de los subestados de seguridad del Activo (autenticación, confidencialidad, integridad, disponibilidad, A-CI-D), tomando como referencia el grado de cumplimiento de la función y la importancia del activo para la misión del sistema. Este tipo de ‘valoración asociada a los subestados de seguridad’ también permitirá en el estudio de valoración del impacto una primera aproximación alternativa a la ‘valoración intrínseca’.

La Tarea también genera los niveles globales para todo el Dominio de los subestados A-C-I-D de seguridad a partir de los niveles de los subestados A-C-I-D de cada elemento y con ayuda de las agrupaciones indicadas en la Tarea anterior. Productos: •

Informe de valoraciones de los activos.

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de elaboración de informes.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

7.5

112

Actividad 3: Identificación y evaluación de AMENAZAS

IDENTIFICACIÓN Y AGRUPACIÓN DE ACTIVOS

IDENTIFICACIÓN Y EVALUACIÓN DE AMENAZAS Identificar y agrupar amenazas

Establecer árbol de fallos

IDENTIFICACIÓN Y ESTIMACIÓN DE VULNERABILIDADES

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

113

La Actividad permite identificar y evaluar las amenazas que sufren los activos del sistema. Cada Amenaza es un evento que potencialmente puede desencadenar otras amenazas. Todas juntas constituyen un ‘escenario de amenazas’, que desencadena un ‘árbol de fallos’ como subescenario de ataque real a un ‘árbol de activos’ (determinado en la Actividad anterior). La Vulnerabilidad asociada al ‘árbol de Activos’ y específica para el ‘escenario de amenazas’, propicia el desencadenamiento de éstas que producen Impactos (es decir deterioros) en los Activos afectados, con distintos grados posibles de profundidad.

La determinación adecuada de las amenazas a las que está expuesto cada Activo del Dominio analizado exige la supervisión de especialistas en seguridad, con la asociación caso por caso de las Amenazas pertinentes a los Activos correspondientes.

La Actividad simplifica el subescenario de ataque complejo y recursivo de los ‘árboles de fallos’ afectando a ‘árboles de activos’ y lo divide en dos análisis semiautónomos realizados en las dos tareas sucesivas siguientes.

7.5.1 Tarea 1: Identificar y agrupar amenazas Descripción y objetivo: La tarea realiza la identificación de las amenazas y establece su tipología así como sus orígenes y sus objetivos principales o secundarios. •

La tipología atiende a la ‘naturaleza’ de las amenazas (clasificables como accidentes, errores, intencionales presenciales e intencionales teleactuadas).

•

Entre los orígenes puede que interese identificar los agentes de las amenazas y ciertas características como su capacidad de y oportunidad de acción, así como su motivación en el caso de amenazas intencionadas.

•

Los objetivos de las amenazas son los ‘árboles de activos’ que aquéllas pueden afectar.

Productos: •

Informe de amenazas y de agrupación de amenazas.

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de elaboración de informes.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

114

7.5.2 Tarea 2: Establecer los árboles de fallos generados por amenazas Descripción y objetivo: Esta tarea establece las dependencias entre amenazas identificadas en la tarea anterior, sin tener en consideración por el momento los ‘árboles de activos’ afectados, de forma que se articulen agrupaciones de amenazas cuyo denominador común es su desencadenamiento y actuación conjunta, en el caso de materialización de alguna de ellas. Productos: •

Informe de ‘árboles de fallos’ generados por amenazas.

Técnicas (expuestas en la Guía de Técnicas): •

7.6

Técnica de elaboración de informes.

Actividad 4: Identificación y estimación de Vulnerabilidades Esta Actividad se centra en la Vulnerabilidad, característica conjunta de la Amenaza y el Activo (o propiedad de su relación, según se prefiera y convenga al análisis) que puede considerarse como la potencialidad o 'cercanía' previsible de la materialización de la Amenaza en Agresión. MAGERIT evalúa la vulnerabilidad como la frecuencia de ocurrencia de la amenaza sobre el activo correspondiente.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

115

IDENTIFICACIÓN Y EVALUACIÓN DE AMENAZAS

IDENTIFICACIÓN Y ESTIMACIÓN DE VULNERABILIDADES Identificar vulnerabilidades

Estimar vulnerabilidades

IDENTIFICACIÓN Y VALORACIÓN DE IMPACTOS

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

116

7.6.1 Tarea 1: Identificar vulnerabilidades Descripción y objetivo: La tarea identifica y establece las vulnerabilidades como relaciones entre los activos y sus amenazas, de forma individual o agrupada, a partir de las clasificaciones realizadas en las tareas anteriores. Considera tres tipos de vulnerabilidad: •

vulnerabilidad intrínseca, si no incluye ninguna salvaguarda (fuera de las naturales o implícitamente incorporadas en el activo considerado).

•

vulnerabilidad efectiva, resultante de la aplicación de las salvaguardas existentes.

•

vulnerabilidad residual, resultante de aplicar las salvaguardas complementarias, aconsejadas como resultado del Análisis y Gestión de Riesgos.

Productos: •

Informe de relaciones entre activos y amenazas.

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de elaboración de informes.

•

Técnicas matriciales.

7.6.2 Tarea 2: Estimar vulnerabilidades Descripción y objetivo: La estimación se puede hacer de varias formas: •

siempre que sea posible, calculando la frecuencia de ocurrencia a partir de estadísticas de incidentes o de series empíricas. En este caso, MAGERIT establece como unidad métrica de la frecuencia estimable de esta forma el número de ocurrencias potenciales de amenaza por día. Por ejemplo una ocurrencia por semana laboral lleva a una frecuencia de 1:5 = 0,2; una ocurrencia por mes laboral da una frecuencia de 1:20 = 0,05; etc. La tarea usa por tanto la siguiente tabla de intervalos:

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

117

Rango de frecuencias

Vulnerabilidad

Escalas ‘objetivadas’ (por día) por año

superior a 6 años

Muy baja

(≅ 0)

≅

0,01

menor que 6 años

Baja

(≅ 0,0002)

≅

0,1

en torno a 1 año

Media

(≅ 0,002)

≅

menor que 2 meses

Alta

(≅ 0,02)

≅ 10

menor que 1 semana

Muy alta

(≅ 0,2)

≅ 100

•

Para amenazas intencionales, estimando la frecuencia por composición de apreciaciones cualitativas de factores como la capacidad, motivación y oportunidad del agente.

•

Cuando no se puede hacer más que recoger la estimación subjetiva de los usuarios, MAGERIT prevé un proceso de interrogación en dos etapas apoyado en técnicas refinadas de análisis de posibilidad con lógica difusa y de probabilidad bayesiana (técnicas que se exponen someramente en la Guía de Técnicas y más detalladamente en la Guía de la Herramienta correspondiente).

Para estimar la vulnerabilidad o frecuencia potencial de las amenazas que afectan a cada activo o grupo, en la encuesta de estimación debe participar el responsable y por tanto buen conocedor de cada Activo, suficientemente informado por el especialista para que comprenda o imagine con objetividad la acción potencial de las Amenazas.

Productos: •

Informe de vulnerabilidades.

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de elaboración de informes.

•

Técnicas avanzadas (lógica difusa, probabilidad bayesiana)

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

7.7

118

Actividad 5: Identificación y valoración de IMPACTOS Descripción y objetivo: El objetivo de esta actividad es conocer el alcance del daño producido en el Dominio como consecuencia de la materialización de amenazas sobre los activos. El Impacto, visto como característica del Activo que recoge el cambio de estado de su seguridad, permite apreciar la 'gravedad' de la consecuencia generada por la Agresión, en forma de reducción de niveles de los subestados de seguridad (ACID) del Activo afectado.

IDENTIFICACIÓN Y ESTIMACIÓN DE VULNERABILIDADES

IDENTIFICACIÓN Y VALORACIÓN DE IMPACTOS Identificar impactos

Tipificar impactos

Valorar impactos

EVALUACIÓN DEL RIESGO

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

7.7.1

119

Tarea 1: Identificar impactos Descripción y objetivo: Esta tarea identifica el Impacto como resultado de la agresión de una amenaza a un activo, en forma de degradación de valor, de necesidad de reposición (con su coste) o de reducción de los niveles de uno o varios subestados de seguridad ACID. Atendiendo a las dependencias entre activos, la tarea considera si el Impacto o degradación provocados en un activo pueden producir otros Impactos o degradaciones indirectas en otros activos dependientes y/o aumentar la vulnerabilidad de dichos activos dependientes frente a nuevas amenazas. Productos: •

Informe de identificación de impactos.

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de elaboración de informes.

7.7.2 Tarea 2: Tipificar impactos Descripción y objetivo: La tarea permite clasificar los impactos por el tipo de consecuencias que las amenazas pueden producir en los activos impactados (recogidas en el Submodelo de Elementos): •

•

Impactos con consecuencias cuaNtitativas −

N1: Pérdidas económicas

−

N2: Pérdidas inmateriales

−

N3: Responsabilidad legal, civil o penal

Impactos con consecuencias cuaLitativas orgánicas −

L1: Pérdida de fondos patrimoniales

−

L2. Incumplimiento de obligaciones legales

−

L3. Perturbación o situación embarazosa político-administrativa

−

L4. Daño a las personas

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

120

Impactos con consecuencias cualitativas funcionales (reducción de Subestados) −

SA. Autenticación

− SC. Confidencialidad − SI. Integridad − SD. Disponibilidad Productos: •

Informe de agrupación de impactos.

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de elaboración de informes.

7.7.3 Tarea 3: Valorar impactos Descripción y objetivo: A partir de la información proporcionada por las tareas anteriores, ésta procede a valorar el Impacto que puede producir la materialización de una amenaza sobre el activo.

Valorar el Impacto de la amenaza y cómo afecta al activo es una tarea crucial. En la encuesta de valoración debe participar el responsable y por tanto buen conocedor de cada Activo, suficientemente informado por el especialista para que comprenda o imagine con objetividad la acción potencial de las Amenazas.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

121

Esta valoración será cuantitativa, si el activo se ha podido valorar de esta forma, con la escala siguiente: Rango de valores

Impacto

hasta

100.000 pesetas

Muy bajo

entre

100.000 y

Bajo

1.000.000 ptas

entre 1.000.000 y 10.000.000 ptas

Medio

entre 10.000.000 y 100.000.000 ptas.

Alto

más de 100.000.000 ptas.

Muy alto

En muchos casos el Impacto sólo se podrá recoger como estimación subjetiva de los usuarios. Para captarla con la mayor garantía posible, MAGERIT prevé un proceso de interrogación en dos etapas apoyado en técnicas refinadas de lógica difusa y de probabilidad bayesiana que se exponen someramente en la Guía de Técnicas y más detalladamente en la Guía de la Herramienta correspondiente. Productos: •

Informe de valoración de impactos.

Técnicas (expuestas en la Guía de Técnicas):

7.8

•

Técnicas de elaboración de informes.

•

Técnicas avanzadas (lógica difusa, probabilidad bayesiana)

Actividad 6: Evaluación del riesgo Las informaciones sobre vulnerabilidad e impacto obtenidas en las Actividades anteriores permiten que esta Actividad establezca y estime los distintos tipos de riesgo, empleando el criterio de evaluación elegido en la Tarea 1.4.2 “Seleccionar criterios de evaluación y técnicas para el proyecto” de la Etapa 1 de Planificación del Análisis y Gestión de Riesgos. La Vulnerabilidad y su Impacto sobre el Activo determinan conjuntamente el Riesgo calculado. Ambos factores se combinan en una Métrica de Riesgo que es 'asimétrica'. Esto se puede ver con facilidad cuando se representa el riesgo con la sencilla técnica matricial, como se verá de inmediato. En esta técnica se relacionan los niveles de Vulnerabilidad (puestos en filas) y los de Impacto (puestos en columnas). En las casillas correspondientes, los valores del nivel de Riesgo, como es

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

122

lógico, son crecientes con los niveles de ambos factores, pero serán sistemáticamente mayores por encima de la diagonal, pues se considera que el Impacto influye más en el nivel de Riesgo que la Vulnerabilidad.

IDENTIFICACIÓN Y VALORACIÓN DE IMPACTOS

EVALUACIÓN DEL RIESGO Evaluar riesgo intrínseco

Analizar funciones salv. existentes

Evaluar riesgo efectivo

GESTIÓN DEL RIESGO

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

123

7.8.1. Tarea 1: Evaluar el riesgo intrínseco Descripción y objetivo: La tarea realiza el cálculo del riesgo de activos sometidos a amenazas como riesgo intrínseco, al no tener en consideración los mecanismos de salvaguarda que puedan actuar. Este tipo de riesgo intrínseco se toma como referencia para evaluar la efectividad de las salvaguardas a aplicar. El caso más sencillo de cálculo se da para un Impacto monetarizable y una Vulnerabilidad estimable como frecuencia; es decir, el riesgo para un activo inventariable sobre el que la materialización de la amenaza se da según una frecuencia o potencialidad de incidencias conocida o calculable. Entonces el Riesgo calculado será así la suma de costes de reposición del Activo en condiciones a lo largo del año y se podrá comparar, bien con un umbral determinado, bien con el coste también anual de las salvaguardas para reducirlo. Así, si una impresora falla cada dos meses (o tiene un MTBF o tiempo medio entre fallos de dos meses) y su reparación cuesta 100.000 pesetas, el Riesgo anual será simplemente la composición de ambas cantidades, o sea unas 600.000 pesetas. Los valores extremos de los niveles de la métrica de Riesgos en este caso sencillo (o sea con Vulnerabilidad ‘frecuencializable’ e Impacto monetarizable) se ‘estrechan para compensar tanto la distorsión del efecto multiplicador como la escasa posibilidad real de la combinaciones extremas (Impacto y Vulnerabilidad ambos muy bajos o muy altos), con lo que el rango de valores del Riesgo como coste anual queda así:

Rango de valores del coste anual

Riesgo

hasta 50.000 ptas/año

Muy bajo

en torno a

500.000 ptas/año

Bajo

en torno a

5.000.000 ptas/año

Medio

en torno a 50.000.000 ptas/año

Alto

más de 100.000.000 ptas/año

Muy alto

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Rango de riesgos

124

para

Impacto

Vulnerabilidades (frecuencias)

−

Muy bajo

Muy baja, Baja, Media, Alta

−

Bajo

Muy bajo Bajo Medio

Muy Alta Muy baja, Baja, Media Muy baja, Baja

−

Medio

Bajo Medio Alto

Alta, Muy alta Media, Alta, Muy alta Muy baja

−

Alto

Alto Muy alto

Baja, Media, Alta, Muy alta Muy baja

−

Muy alto

Baja, Media, Alta, Muy alta

RIESGO

Impacto Muy alto Alto

Muy alto Muy alto Muy alto Muy alto

Alto

Medio Alto

Medio

Bajo

Muy bajo

Muy BajoMuy

Vulnerabilidad

Baja

Alto

Bajo

Medio

Bajo

Medio

BajoMuy bajoMuy bajoBajo Media

Alta

Muy alta

Aplicando esta tabla o matriz al ejemplo anterior, para una Vulnerabilidad del activo Alta (pero sin frecuencia precisa) y un Impacto Bajo (aunque sin valor monetario) se obtiene un Riesgo anual Bajo (en torno a las 500.000 pesetas), valor cercano a las 600.000 pesetas del Riesgo anual calculado anteriormente a partir de la frecuencia y el valor del Impacto. Si el proyecto tiene como objetivo la realización de un Análisis y Gestión de Riesgos inicial y genérico, como ya se ha visto la técnica de cálculo del riesgo orientada a una discriminación dicotómica (en dos bloques) de los riesgos, según que exijan o no otras aplicaciones más detalladas de Análisis y Gestión de Riesgos. En esta aplicación genérica también se tienen pocos elementos para discriminar las Vulnerabilidades y los Impactos en gran número de niveles, por lo que puede ser no sólo suficiente sino lógico reducir la matriz anterior por ejemplo a los 3 niveles Bajo, Medio y Alto.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

125

Productos: •

Informe de riesgos intrínsecos en el sistema.

Técnicas (expuestas en la Guía de Técnicas): •

Técnicas Matriciales.

•

Técnicas Algorítmicas.

7.8.2 Tarea 2: Analizar las funciones de salvaguarda existentes Descripción y objetivo: La tarea identifica las Funciones de salvaguarda actualmente implantadas en el Activo, a partir de los mecanismos de salvaguarda existentes detectados en tareas anteriores y evaluando el grado de implantación de las funciones para estimar su efectividad, con ayuda de los procedimientos de las Tareas 8.3.1 ‘Identificar funciones de salvaguarda’ y 8.3.2 ‘Estimar la efectividad de las funciones de salvaguarda’ de la Etapa 3 siguiente de Gestión de Riesgos. Productos: •

Informe de funciones de salvaguarda existentes, con indicador de su efectividad.

Técnicas (expuestas en la Guía de Técnicas): •

Técnica de elaboración de informes.

7.8.3 Tarea 3: Evaluar el riesgo efectivo Descripción y objetivo: La tarea calcula el riesgo efectivo, teniendo ahora en consideración las funciones de salvaguarda existentes detectadas con ayuda de la tarea previa. De estas funciones de salvaguarda, unas reducen la frecuencia de ocurrencia de la amenaza (disminución de la vulnerabilidad) y otras reducen el impacto. Los nuevos niveles actuales de vulnerabilidad y de impacto se identifican y estiman rehaciendo el procedimiento establecido por las Actividades de ‘Identificación y estimación de VULNERABILIDADES’ e ‘Identificación y valoración de IMPACTOS’ de esta misma Etapa. Los nuevos niveles de vulnerabilidad y de impacto permiten calcular el riesgo efectivo aplicando la misma forma anterior de evaluación del riesgo presentada en la tarea 1 de esta misma Actividad.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

126

Productos: •

Informe de riesgos efectivos en el sistema.

Técnicas (expuestas en la Guía de Técnicas):

7.9

•

Técnicas Matriciales.

•

Técnicas Algorítmicas.

Síntesis de la etapa

7.9.1 Hito de control •

Hito de control 2-A: El Comité director debe establecer los umbrales de riesgo, definiendo el riesgo residual aceptable que se va a utilizar en la siguiente etapa, como medio para seleccionar las salvaguardas reductoras del riesgo al nivel elegido.

•

Hito de control 2-B: La Dirección procederá a la aprobación o no de los resultados de la Etapa presentados por el Director del Proyecto.

7.9.2. Resultados Documentación intermedia •

Resultados de las entrevistas.

•

Documentación de otras fuentes: estadísticas, observaciones de expertos y observaciones de los analistas.

•

Resultados de la catalogación, clasificación y valoración de activos, de salvaguardas existentes, de amenazas, de vulnerabilidades, de impactos y del riesgo obtenido.

•

Análisis de los resultados, con la detección de las áreas críticas claves.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Documentación final •

Riesgo global, riesgo distribuido por áreas, áreas críticas y umbrales de riesgo.

7.10 El papel de los participantes

7.10.1 Papel del equipo de proyecto de Análisis y Gestión de Riesgos •

Ejecución de la etapa.

7.10.2 Papel de los grupos de interlocutores •

Aportación de la documentación requerida.

•

Disponibilidad para las entrevistas.

7.10.3 Papel del Comité director •

Respaldo al proyecto.

•

Control de los resultados.

•

Elección de los umbrales de riesgo.

MAP - Metodología MAGERIT Versión 1.0

127

GUIA DE PROCEDIMIENTOS

128

7.11 Aplicación de la Etapa 2 al Caso tomado como ejemplo

7.11.1 Actividad 2.1: Recogida de información La Tarea 2.1.1 de Preparación de información recoge los datos recientes y bien formalizados del Plan Informático último y del Análisis-Diagnóstico mencionados. Por su parte la Tarea 2.1.2 de Realización de Entrevistas abarca a todos los Jefes de Servicio o de Área del CPL relacionados con sistemas de información (los nombres son ficticios): Dª. Mª DOLORES LÓPEZ D. FERNANDO PÉREZ D. VICENTE GARCÍA D. CONCHA GÓMEZ D. JOSÉ FERNÁNDEZ Dª. SOLEDAD CUENCA D. MANUEL MADRID Dª. M.PILAR SEVILLA Dª. CRISTINA TORTOSA D. FERNANDO PALMA Dª. INÉS ALMERÍA D. CARLOS ROMA D. FRANCISCO PARÍS Dª. PILAR LONDRES D. EMILIO LEÓN

GASTOS TESORERÍA CONTABILIDAD. INGRESOS TRIBUTOS INMOBILIARIOS OTROS TRIBUTOS SUMINISTROS PERSONAL REGISTRO EXPEDIENTES PADRÓN CEMENTERIOS ESTADÍSTICA VACUNACIONES CARTOGRAFÍA

La Tarea 2.1.3 de Análisis de la información recogida toma no sólo los resultados de las entrevistas anteriores, sino visitas de inspección a los puestos de trabajo en horas críticas (sin los ocupantes, por ejemplo) así como manejo de los documentos de procedimientos, explotación y desarrollo de sistemas empleados por el CPL.

7.11.2 Actividad 2.2: Identificación y agrupación de ACTIVOS Tras el análisis de la información recogida directa e indirectamente, realizado a la luz de los fundamentos de MAGERIT, particularizado para el CPL como entidad específica del sector de Gobierno y de las Administraciones Públicas, se aborda la Tarea 2.2.1 para Identificar activos y grupos de activos. Ésta se centra, por la particularidad de los objetivos en este caso, en dos grandes grupos, referidos a los Servicios utilizadores y a los Servicios procesadores de los sistemas de información del CPL. Ambos grupos se reparten los 5 niveles de capas considerados en el Submodelo de Elementos de MAGERIT:

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

129

1. entorno 2. sistema de información 3. información 4. funcionalidades de la Organización 5. otros activos •

Los Servicios utilizadores son responsables de los Activos de los tres tipos ‘dependientes’ (del funcionamiento de los Activos que les dan soporte, se entiende), es decir los niveles 3 de Información, 4 de Funcionalidades de la Organización y 5 de Otros Activos.

•

Los Servicios procesadores son responsables de los Activos de los dos tipos de soporte (del funcionamiento de los Activos ‘dependientes’, se entiende), es decir los niveles 2 de Sistemas de Información y 1 de Entorno.

Durante las entrevistas y las inspecciones se recoge también la información que se necesita para cumplimentar la Tarea 2.2.2 de Identificar mecanismos de salvaguarda existentes La Tarea 2.2.3 de Valorar activos no es realmente imprescindible, como se verá, para el objetivo de este proyecto (realizar el Análisis y Gestión de Riesgos necesario para organizar un Plan de Contingencia racional, sin necesidad de justificar su coste por los retornos obtenidos). No se ha emprendido por tanto el alto esfuerzo que representa valorar los Activos.

Actividad 2.3: Identificación y evaluación de AMENAZAS La Tarea 2.3.1 de Identificar y agrupar amenazas se limita a reagrupar los tipos de amenazas identificados por MAGERIT para establecer un número reducido de escenarios de siniestro manejables fácilmente, que comprenden un conjunto interrelacionado Amenaza-Vulnerabilidad-Impacto (A-V-I). Como se verá con detalle en la Actividad 2.6, los Escenarios cubren los siguientes grupos de Amenazas: 1.

ACCIDENTE NATURAL O INDUSTRIAL

ATAQUE FÍSICO SIN PROVECHO DIRECTO

INTERRUPCIÓN DE SERVICIO

ERRORES O INSUFICIENCIAS DE DISEÑO

SUSTRACCIÓN LÓGICA

ATAQUE LÓGICO

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

130

La Tarea 2.3.2 que permite establecer los árboles de fallos generados por amenazas se incluye en la agrupación anterior de Amenazas en escenarios. Actividad 2.4: Identificación y estimación de VULNERABILIDADES La Tarea 2.4.1 de Identificar vulnerabilidades para cada Activo amenazable de los Servicios utilizadores o de los Servicios procesadores se realiza por el especialista a la vez que la Tarea 2.4.2 de Estimar vulnerabilidades, y dentro de la aplicación de un Escenario de Amenaza-Vulnerabilidad-Impacto a cada Activo. Actividad 2.5: Identificación y valoración de IMPACTOS La Tarea 2.5.1 de Identificar impactos para cada Activo vulnerable de los Servicios utilizadores o de los Servicios procesadores se realiza por el especialista a la vez que la Tarea 2.5.2 de Tipificar impactos y la Tarea 2.5.3 de Valorar impactos, dentro de la aplicación de un Escenario de AmenazaVulnerabilidad-Impacto a cada Activo.

7.10.6 Actividad 2.6: Evaluación del RIESGO Las tres Tareas de esta Actividad en MAGERIT se realizan reducida y simultáneamente. Así, la Tarea 2.6.1 de Evaluar el riesgo intrínseco se soslaya para pasar directamente a la Tarea 2.6.3 de Evaluar el riesgo efectivo, tras ejecutar la Tarea 2.6.2 de Analizar las funciones de salvaguarda existentes. El objetivo del proyecto no requiere la separación de las salvaguardas existentes y el aislamiento del riesgo intrínseco. Basta que el especialista vaya aplicando a lo largo de la descripción de cada Activo considerado, el Escenario adecuado entre los que siguen, descritos en forma de fichas explicativas:

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

FICHA DE ESCENARIO de SINIESTRO ES1 • TIPO DE AMENAZA: ACCIDENTE NATURAL O INDUSTRIAL Cubre los tipos de Accidentes A1 y A3 de MAGERIT: −

A1: Accidente físico de origen industrial: incendio, explosión, inundación por rotura de conductos, contaminación, ...

−

A3: Accidente físico de origen natural: riada, rayo, corrimiento, derrumbe, ...

• ACTIVO alcanzable: sistema físico y entorno de la UC del Centro de Proceso. • VULNERABILIDAD: mientras que A3 puede considerarse excepcional, A1 presenta una posibilidad de ocurrencia mucho más alta: aún contando con la reducción actual de vulnerabilidad lograda por las medidas de protección contra incendios tomadas por ejemplo en el Centro de Proceso del Sistema Corporativo, éste sigue situado en una zona considerada como de alto riesgo (sótano rodeado por las calderas y archivos altamente inflamables), sin posibilidades de cambio de ubicación global a corto plazo. El ‘AGRESOR’ es aquí el entorno industrial o la naturaleza que actúan evidentemente sin MOTIVACIÓN, de forma aleatoria (lo que no excluye la posibilidad de cierta predictibilidad y por tanto de reducción de Exposición a sus efectos) y con gran Fuerza. • TIPO DE IMPACTO: Grandes pérdidas: −

N1. económicas: gasto de tasar, sustituir, reparar o limpiar lo dañado.

−

N2. inmateriales: gastos de tasación y restauración de elementos no materiales del sistema: datos, programas, documentación, procedimientos

MAP - Metodología MAGERIT Versión 1.0

131

GUIA DE PROCEDIMIENTOS

ESCENARIO de SINIESTRO ES2 A

TIPO DE AMENAZA: ATAQUE FÍSICO SIN PROVECHO DIRECTO

Cubre el tipo de Amenaza Malintencionada de MAGERIT: • ACTIVO alcanzable: sistema físico y entorno de la UC del Centro de Proceso. • VULNERABILIDAD: está en relación directa con la facilidad de acceso físico al Activo (los controles son claramente disuasorios). Este tipo de ataque puede ser devastador si alcanza un centro neurálgico del sistema (como la UC, por ejemplo). El AGRESOR será una persona con conocimientos técnicos someros que actúa con MOTIVACIÓN ideológica o psicológica, pero no económica. La exposición está directamente unida a la falta de controles de acceso físicos, puesto que el riesgo para el agresor es bajo (su motivación no económica no se frenará por un riesgo de localización bajo, pese a unas consecuencias penales altas). Al agresor le basta una Fuerza baja, pues no requiere capacidad técnica ni medios sofisticados. •

TIPO DE IMPACTO: Grandes pérdidas: −

N1. económicas: gasto de tasar, sustituir, reparar o limpiar lo dañado.

−

N2. inmateriales: gastos de tasación y restauración de elementos no materiales del sistema: datos, programas, documentación, procedimientos

MAP - Metodología MAGERIT Versión 1.0

132

GUIA DE PROCEDIMIENTOS

ESCENARIO de SINIESTRO ES3 • TIPO DE AMENAZA: INTERRUPCIÓN DE SERVICIO, debido a −

A2: Avería de origen físico o lógico

−

A4: Interrupción de servicios o de suministros esenciales: energía, agua, telecomunicación, fluidos y suministros diversos

−

A5: Accidentes mecánicos o electromagnéticos: choque, caída, cuerpo extraño.

−

P5: Indisponibilidad de recursos humanos o técnicos (desvío de uso, bloqueo).

• VULNERABILIDAD: Aunque con frecuencia decreciente, estos 3 tipos de accidente siguen siendo posibles, sobre todo en los puestos periféricos, tanto por fallos de energía debidos a la falta de sistemas de alimentación ininterrumpida o por problemas de líneas de comunicación, como por falta de mantenimiento preventivo o de terminales de repuesto, como por una instalación deficiente. Los ‘AGRESORES’ son las insuficiencias de servicios e instalaciones internos o las deficiencias del mantenimiento preventivo y evidentemente carecen de MOTIVACIÓN. La exposición natural es media y depende de situaciones concretas (sobrecargas a la red eléctrica) o aleatorias; y la Fuerza para que se produzca la agresión es baja (no se requiere capacidad técnica ni medios especiales). • ACTIVO alcanzable: en general sólo la ejecución de aplicaciones determinadas. En PCs no protegidos pueden perderse datos introducidos desde la última salvaguarda. • TIPO DE IMPACTO: Perdidas ligeras por −

SD. Indisponibilidad: reducción de margen por falta de resultados; o bien gastos suplementarios para mantener la funcionalidad precedente a la amenaza

MAP - Metodología MAGERIT Versión 1.0

133

GUIA DE PROCEDIMIENTOS

ESCENARIO de SINIESTRO ES4

• TIPO DE AMENAZA: ERRORES O INSUFICIENCIAS DE DISEÑO Cubre todo el Grupo E de Errores de MAGERIT: −

E1: Errores de utilización en la recogida y transmisión de datos o en su explotación

−

E2: Errores de diseño existentes desde los procedimientos de desarrollo del software

−

E3: Mala ruta/mala secuencia de entregas de un Mensaje

−

E4: Monitorización/Trazabilidad/Registro inadecuados del Tráfico

• VULNERABILIDAD: Pese a su origen aparentemente distinto, se trata de errores debidos al diseño en sentido amplio. Así el tipo de error E1 es más fácilmente detectable que el E2 (puede darse por falta de rutinas de verificación interna y de cuadre con otra información externa), mientras que los errores E3 y E4 dependen del software de comunicación. En todos los casos y para equipos de desarrollo y explotación competentes y bien equipados, la posibilidad de todos ellos será baja (mayor para E1 que para los demás). En cuanto a AGRESOR, los técnicos de desarrollo no tienen motivación en este tipo de errores. En aplicaciones complejas la Exposición natural es media, pero el 'agresor' sólo necesita una Fuerza baja pues carece de responsabilidad aunque su trabajo es rastreable y además la oportunidad de error crece con la baja competencia técnica). • ACTIVO alcanzable: la aplicación con errores y el servicio que dependa de ella. • TIPO DE IMPACTO: pérdidas ligeras por −

SD. Indisponibilidad: menor margen o gastos para mantener la funcionalidad

−

L2. Incumplimiento de obligaciones legales

−

L3. Perturbación o situación embarazosa político-administrativa (por ejemplo credibilidad, prestigio...)

MAP - Metodología MAGERIT Versión 1.0

134

GUIA DE PROCEDIMIENTOS

ESCENARIO de SINIESTRO ES5

• TIPO DE AMENAZA: SUSTRACCIÓN LÓGICA, que cubre −

P3 y T1: Acceso lógico con sustracción (presencial o teleactuado): uso del sistema, reduciendo su confidencialidad para obtener bienes o servicios aprovechables (programas, datos ...)

• VULNERABILIDAD: En general este tipo de amenaza depende del valor intrínseco de lo sustraible, por lo que la posibilidad depende de la aplicación. Para el AGRESOR el valor de la información sustraíble constituye la motivación principal. El agresor debe contar con una accesibilidad alta; y necesita una fuerza alta si se tiene en cuenta la competencia técnica necesaria y cuenta con la rastreabilidad de la agresión. La combinación de lo anterior da como resultado del perfil probable un agresor interno. • ACTIVO alcanzable: Información sustraida. • TIPO DE IMPACTO: Pérdidas medias de −

SC. Confidencialidad:

−

L2. Incumplimiento de obligaciones legales

−

L3. Perturbación o situación embarazosa político-administrativa

MAP - Metodología MAGERIT Versión 1.0

135

GUIA DE PROCEDIMIENTOS

ESCENARIO de SINIESTRO ES6

• TIPO DE AMENAZA: ATAQUE LÓGICO, que cubre −

P4 y T2: Acceso lógico con destrucción (presencial o teleactuado): uso del sistema para reducir su integridad y/o disponibilidad sin provecho directo (sabotaje inmaterial, infección vírica..)

• VULNERABILIDAD: directamente y a los programas del sistema central es baja, pues requiere una gran capacidad técnica para transgredir las defensas de acceso; pero puede ser alta respecto a los datos del sistema central o a los programas de los PCs (bien por incompetencia o por falta de precauciones en la desinfección de entradas). La falta de motivación económica, unida a una accesibilidad natural alta fuera de los programas del sistema central y a la baja fuerza necesaria (dada la impunidad relativa por ser de rastreabilidad difícil, combinada con una tecnicidad requerida baja) componen un perfil agresor de usuario desmotivado o desinformado. • ACTIVO alcanzable. Más amplio que el activo agredido, abarca los programas que alcanza la infección o los datos descohesionados por la agresión o el descuido. • TIPO DE IMPACTO: pérdidas altas ligeras por −

N1. económicas: gasto de tasar, sustituir, reparar o limpiar lo dañado.

−

N2. inmateriales: gastos de tasación y restauración de elementos no materiales del sistema: datos, programas, documentación, procedimientos

−

L2. Incumplimiento de obligaciones legales

−

L3. Perturbación o situación embarazosa político-administrativa (por ejemplo credibilidad, prestigio, competencia política ...)

−

SD. Indisponibilidad: reducción de margen por falta de resultados; o bien gastos suplementarios para mantener la funcionalidad precedente a la amenaza.

MAP - Metodología MAGERIT Versión 1.0

136

GUIA DE PROCEDIMIENTOS

137

EJEMPLO DE ACTIVO DE UN SERVICIO UTILIZADOR La aplicación de los Escenarios anteriores para el Análisis de Riesgos de un Activo de tipo Sistemas de Información en un Servicio de utilizadores típico, como el Registro y el Seguimiento de Expedientes. El Analista de Riesgos (en este caso, un Consultor externo) ya había recogido en un primer informe descriptivo las respuestas al correspondiente cuestionario realizado con el usuario para obtener la información básica sobre el Servicio. La Tarea consiste en ir ‘incrustando’ uno de los Escenarios, tomado de los 6 anteriores, en cada lugar que se considere adecuado del informe. Simultánea o sucesivamente, el Analista deduce los niveles de Criticidad del Riesgo en cada ‘incrustación’, con lo que el informe inicial se ha convertido en un ‘Informe de los Riesgos efectivos’ evaluados. Tomando el Activo reseñado, hay que empezar por recoger en el Informe que la Misión del Servicio de EXPEDIENTES es el Seguimiento y control de la situación de éstos en la Organización, tanto por la obligación legal (Ley 30/1992 LRJPAC) de informar al ciudadano afectado del estado del trámite que le afecta como por el interés de la propia Administración en conocer el estado de su producción. •

En caso de incumplimiento de esta misión, la repercusión es la paralización de los trámites reseñados en los expedientes si éstos no son consultables y actualizables, lo que tiene perjuicios para el ciudadano, con un Impacto L2 de incumplimiento de obligaciones legales y causa sobre todo una inseguridad jurídica general, con un Impacto L3 de perturbación o situación embarazosa político-administrativa.

Entrando en un nivel mayor de detalle que permita evaluar riesgos y aunque no se tienen aún estadísticas, la Organización mueve mucho más de 30.000 expedientes por año. La aplicación tiene un centenar de utilizadores (incluidos unos 40 Jefes de Servicio) con su correspondiente dotación de terminales o PCs con placa de conexión. •

Al estar unidos al ordenador central donde reside la aplicación, si se da en éste un posible ESCENARIO DE SINIESTRO ES1 de Accidente Natural o Industrial o bien un ESCENARIO ES2 de Ataque Físico pueden generar un incumplimiento de la misión del Servicio de impacto muy alto, con las vulnerabilidades de cada caso y por tanto con un RIESGO respectivamente BAJO y ALTO.

Los Expedientes se inician por impulso de la propia Organización o por peticiones que llegan al Registro de Entrada (por el que entran también otros documentos que se incorporan a un expediente ya iniciado). Los impulsos internos o los documentos registrados se introducen en el sistema para 'enviarlos' a la Unidad tramitadora correspondiente. Ésta los tramita con ayuda informatizada y cuando considera realizado su trámite, cierra el expediente en el sistema central y lo 'envía' a la Unidad receptora, según su criterio, a la que pide acuse de recibo: si pasan 10 días sin recibirlo, se dispara una 'alarma' de recuerdo en el sistema. Este encadenamiento 'abierto' de los trámites a su paso por las Unidades adecuadas es más simple que un encadenamiento ‘predeterminado’, pero como contrapartida, todo el proceso se para con que una Unidad lo interrumpa (el sistema permite al menos saber quien es la Unidad

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

138

paralizadora). •

Un posible ESCENARIO DE SINIESTRO ES1 de Accidente Natural o Industrial o bien otro ES2 de Ataque Físico, pueden generar un incumplimiento de impacto muy grave de la misión del Servicio, con las vulnerabilidades de cada caso y por tanto con RIESGOS respectivamente MEDIO y ALTO.

Ciertos expedientes considerados críticos implican problemas por silencio administrativo (que puede ser ‘positivo’, a partir de la Ley 30/1992 LRJPAC). •

Un posible ESCENARIO DE SINIESTRO ES1 de Accidente Natural o Industrial o bien otro ES2 de Ataque Físico, pueden generar un incumplimiento de impacto gravísimo de la misión del Servicio, con las vulnerabilidades de cada caso y por tanto con RIESGOS respectivamente ALTO y MUY ALTO.

Por su parte, la Misión principal de la Unidad de REGISTRO GENERAL, utilizadora de una parte del Sistema de Información de Expedientes (módulos de Registro de entrada y salida) consiste en Registrar todos los documentos que entran y salen de la Organización. •

La repercusión, en caso de incumplimiento de esta misión, es un grave perjuicio ocasionado tanto a la Corporación como al ciudadano, debido al posible incumplimiento de plazos que marca la Ley, con un Impacto L2 de incumplimiento de obligaciones legales, así como la paralización de la actividad del resto de las unidades administrativas (con Impactos SD de disponibilidad y posiblemente SI de Integridad) y pérdida de imagen de la Organización (con Impacto L3 de perturbación o situación embarazosa político-administrativa).

Entrando en un nivel mayor de detalle que permita evaluar riesgos, actualmente el Registro de Entrada como media recibe más de 1.000 instancias diarias (con puntas de 2.000) de las que el 10% se considera urgente. Aunque no hay plazos para registrar, los documentos deben de tramitarse y enviarse al Circuito de Expedientes lo antes posible, porque hasta que no se tramiten por el Registro, los expedientes no se puede abrir; con lo que toda materialización de Amenazas en el Registro y por tanto la CRITICIDAD de los RIESGOS evaluada por la aplicación de los Escenarios de Siniestro en el Registro se transmite al Circuito de Expedientes (no iniciados) y a la Criticidad de los Riesgos citados en los párrafos anteriores. En cada una de las 8 sedes de Registro de entrada (la Sede Central y las de las otras sedes) se graba la información que consta en la instancia que presentan los ciudadanos, sea cual sea su destino, y se introducen en el sistema (se manejan más datos que con el tratamiento manual, que ha quedado en desuso y sin vuelta atrás). Los documentos se agrupan por gran tipo de destino (las Unidades tramitadoras internas o los Registros de las otras sedes) en paquetes encabezados con carátulas o relaciones de envío generadas por el ordenador central para las diferentes Unidades tramitadoras (unas 70) de los Servicios, a los que se remiten junto a los documentos (relaciones por duplicado para que el receptor firme en una el recibí y lo devuelva al Registro). Los 17 Terminales actuales de Registro están unidos al ordenador central donde reside el paquete informático.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

139

Si sucede en este sistema central un posible ESCENARIO DE SINIESTRO ES1 de Accidente Natural o Industrial o bien un ESCENARIO ES2 de Ataque Físico, se pueden generar un incumplimiento de impacto muy grave de la misión del Servicio, con las vulnerabilidades de cada caso y por tanto con RIESGOS respectivamente MEDIO y ALTO.

El proceso de Registro de Salida se genera de forma automática con la informatización global del circuito de Expedientes (aunque la Unidad tramitadora no da el número de salida en el expediente) y no implica tanto problema de plazos ni por tanto de RIESGO sensible. •

Por otra parte, la falta de aprovechamiento de información ya existente en el sistema (la aplicación permitiría introducir textos repetidos precodificados) puede reflejar un ESCENARIO DE SINIESTRO ES4 de Errores o Insuficiencias de Diseño, con un impacto bajo y una vulnerabilidad alta, es decir con un RIESGO BAJO.

•

La falta de experiencia en el USO DE CLAVES DE USUARIO (aún se usa sólo el número de funcionario) no deja de implicar un conjunto de ESCENARIOS DE SINIESTRO ES5 de Sustracción lógica y ES6 de Ataque Lógico que en conjunto suponen una amenaza de probabilidad baja y nivel leve con Impactos de tipo SC de Pérdida de confidencialidad y L3 de perturbación o situación embarazosa político-administrativa: en los dos casos se tiene un RIESGO BAJO.

•

Asimismo la posibilidad o el deseo de cambiar fechas de entrada en registro implican un ESCENARIO DE SINIESTRO ES5 de Sustracción lógica con un nivel de impacto medio y un nivel de vulnerabilidad bajo, con un RIESGO BAJO.

•

El ACCESO DE PERSONAS EXTERNAS al recinto de los terminales tanto por la mañana (al cerrar, las personas externas que están dentro salen por el interior de la Unidad), como por la tarde, con las dependencias abiertas sin vigilancia, implica un posible ESCENARIO DE SINIESTRO ES2 de Ataque Físico de impacto medio y vulnerabilidad alta, es decir con un RIESGO BAJO.

EJEMPLO DE ACTIVO DE UN SERVICIO UTILIZADOR El análisis de Riesgos de Activos de los Servicios Procesadores se efectúa en las áreas tradicionales: Entorno organizativo Entorno físico Hardware y software de base Comunicaciones Explotación Desarrollo de aplicaciones Aquí se transcriben sólo los ‘Activos’ cuya seguridad tiene relevancia para el Plan de Contingencia como objetivo del proyecto.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

140

Por ejemplo, la ubicación del hardware principal (CPU, discos, impresoras, concentradores, ...) en la planta sótano implica un posible escenario de siniestro ES1, de accidente natural/industrial, con un impacto crítico y con potencialidad insignificante, de lo que resulta en un RIESGO ALTO; y un posible escenario de siniestro ES2, de Ataque físico, con un impacto muy grave y con potencialidad baja, de lo que resulta un RIESGO ALTO. En cuanto a la Redundancia de materiales informáticos, en la unidad central de proceso no existe redundancia, aunque el presente Estudio tiene como uno de sus objetivos prever dicha redundancia a través de un centro externo. Existen varios concentradores de comunicaciones, como ya se destacó, aunque en la actualidad todos están ubicados en el sótano, junto al ordenador. Las impresoras centrales también son redundantes aunque igualmente se encuentran las dos en el sótano. La concentración de los anteriores elementos en la sala de ordenadores (en el sótano) anula la seguridad de estas redundancias e implica que un posible escenario de siniestro ES1, accidente natural/industrial, o ES2 pueden tener un impacto muy grave, ya que implicaría la disrrupción de las actividades, y con potencialidad insignificante o baja respectivamente, de lo que resulta un RIESGO BAJO o ALTO, respectivamente. En cuanto a la ubicación de los elementos de comunicaciones de cabecera, es decir, los concentradores conectados a canal del ordenador, el procesador de comunicaciones, los multiplexores, etc... están ubicados, como se reflejó anteriormente, en la sala de ordenador. Esto implica un posible escenario de siniestro ES1, de accidente natural/industrial, con un impacto crítico y con potencialidad insignificante, lo que resulta un RIESGO ALTO; y un posible escenario de siniestro ES2, de ataque físico, con un impacto crítico y con potencialidad baja, de lo que resulta un RIESGO MUY ALTO. Archivo de soportes. El área de archivo está ubicada en la sala del ordenador, lo cual implica un posible escenario de siniestro ES1, accidente natural/industrial, con un impacto muy grave con potencialidad insignificante, de lo que resulta un RIESGO BAJO; y un posible escenario de siniestro ES2, Ataque físico, con un impacto muy grave con potencialidad baja, de lo que resulta en un RIESGO ALTO. Copias de seguridad. Se realizan copias de seguridad de los datos, software y todo el entorno de desarrollo con una periodicidad determinada, guardando un número de generaciones y en ciertos lugares de almacenamiento. Estos aspectos serán detallados en la 4ª parte del presente Estudio. No obstante resaltar, que las copias de seguridad almacenadas en el edificio del CIM (Area de Sistemas) comprenden información con periodicidad semanal, lo cual implica un posible escenario de siniestro ES1, accidente natural/industrial, con un impacto crítico pero con potencialidad insignificante, de lo que resulta en un RIESGO ALTO; y un posible escenario de siniestro ES2, Ataque físico, con un impacto crítico y con potencialidad baja, de lo que resulta en un RIESGO MUY ALTO. Documentación de explotación. La documentación de explotación, tanto el manual de operaciones de explotación como los manuales de explotación de las diversas aplicaciones, no están actualizados, lo cual implica un posible escenario de siniestro ES4, Errores de diseño, con un impacto medio con potencialidad alta, de lo que resulta en un RIESGO BAJO. En algunos casos la documentación de aplicaciones o de modificaciones a aplicaciones al pasar a explotación se considera escasa, lo cual

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

141

implicaría un posible escenario de siniestro ES4, Errores de diseño, con un impacto medio y con potencialidad alta, de lo que resulta un RIESGO BAJO. Seguimiento de la explotación. Existe un plan de explotación, de tal forma que los trabajos se ejecutan de acuerdo a dicho plan. Los operadores cumplimentan un informe de actividad diario con los trabajos ejecutados, sus resultados e incidencias. Esta implantado un procedimiento de control visual y archivo de los mencionados informes de actividad de los trabajos ejecutados, incidentes, etc. En el caso de las incidencias, se anotan en libreta (manual), reflejando su naturaleza y las acciones tomadas. La petición de trabajos batch, por parte de los usuarios, se realiza de forma automática, ya que incluye parámetros en procesos on line, que originan al lanzamiento del batch las extracciones necesarias y ejecutan la petición. No obstante, en aplicaciones antiguas o en casos especiales esta establecida la cumplimentación de un impreso normalizado para realizar las peticiones. Periódicamente se confeccionan resúmenes sobre el uso del ordenador (tiempos de CPU, número de transacciones por terminal, desviaciones respecto a la media,...). El paso de programas de Desarrollo a Producción (explotación) se realiza a través de un paso intermedio llamado de Integración, donde se recompilan los fuentes para cambiar los apuntadores a ficheros. Hay una o dos personas autorizadas por aplicación para el paso de Desarrollo a Integración. A Producción solo pasan ejecutables. Esto conlleva un posible escenario de siniestro ES6, Ataque lógico, con un impacto medio y con potencialidad insignificante, de lo que resulta un RIESGO MUY BAJO. Mantenimiento de material. El mantenimiento del material informático está contratado a empresas externas, que se encargan del mantenimiento preventivo y correctivo, no habiéndose detectado problemas en sus actuaciones. Pero no se recogen dichas actuaciones en un diario. Esto está ligado a un posible escenario de siniestro ES3, Servicio interrumpido, con un impacto medio y con potencialidad insignificante, de lo que resulta un RIESGO MUY BAJO. La instalación de material informático (terminales, impresoras, concentradores,...) habitualmente se realiza por personal del área de Sistemas del CPL. El software de base es mantenido por los proveedores, disponiendo en general de versiones bien actualizadas. Las averías, anomalías, etc... se registran, así como las medidas tomadas para su resolución, en una aplicación en PC; obteniendo diversos tipos de listados por servicios. Esto está ligado, en caso de no explotar la información obtenida, a un posible escenario de siniestro ES3, servicio interrumpido, con un impacto medio y con potencialidad insignificante, de lo que resulta un RIESGO MUY BAJO. Gestión de configuración. No se realiza en la actualidad un control detallado sobre cambios, es decir, una gestión de cambios que permita controlar las modificaciones en las aplicaciones. No se realiza en la actualidad un control detallado sobre configuraciones, que permita controlar la versión actual de cada aplicación y las anteriores. Lo anterior implica un posible escenario de siniestro ES4, errores de explotación, con un impacto muy grave y con potencialidad media, de lo que resulta un RIESGO ALTO. Documentación en Desarrollo. Se realizan manuales de usuario en las nuevas aplicaciones, aunque no se mantienen actualizados directamente con las posteriores modificaciones, lo cual implica un posible escenario de siniestro ES4, errores de diseño, con un impacto muy grave y con potencialidad media, de lo que resulta un RIESGO ALTO. La documentación de las aplicaciones no es completa (se utiliza en parte Design/1), no siendo siempre actualizada con las diversas modificaciones, lo cual

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

142

implica un posible escenario de siniestro ES4, errores de diseño, con un impacto muy grave y con potencialidad media, de lo que resulta un RIESGO ALTO. Metodologías de desarrollo. La falta de implantación de una metodología de desarrollo concreta y su herramienta de apoyo correspondiente, implica un posible escenario de siniestro ES4, errores de diseño, con un impacto muy grave y con potencialidad media, de lo que resulta un RIESGO ALTO.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

142

ETAPA 3: GESTIÓN DEL RIESGO

8.0

Ubicación de la Etapa 3 en el modelo de MAGERIT

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos Gestión de de Riesgos Riesgos •• Gestión • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

8.1

143

Estructura de la etapa 3

ETAPA 1: PLANIFICACIÓN

objetivos, estrategia, política de seguridad

Actividades: 1.1: Oportunidad de realización 1.2: Definición de dominio y objetivos 1.3: Planificación del proyecto 1.4: Lanzamiento del proyecto

8.2

Planificación y otras fases de Gestión de la seguridad S.I.

ETAPA 2:

ETAPA 3:

ETAPA 4:

ANÁLISIS DE RIESGOS

GESTIÓN DE RIESGOS

SELECCIÓN DE SALVAGUARDAS

Actividades: 3.1: Interpretación del RIESGO 3.2: Identificación y estimación de Funciones de salvaguarda 3.3: Selección de Funciones de Salvaguarda 3.4: Cumplimiento de objetivos

Visión global de la etapa

8.2.1 Objetivos de la Etapa Esta Etapa tiene por objeto identificar y seleccionar las funciones de salvaguarda apropiadas para reducir el riesgo a un nivel aceptable.

8.2.2 Contenido de la Etapa Los puntos de partida para esta etapa están constituidos por la documentación de la etapa anterior,

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

144

referida a la descripción de los componentes del riesgo (activos, funciones y mecanismos de salvaguarda existentes, amenazas, vulnerabilidades e impactos), a los niveles de riesgos calculados y a los umbrales de riesgo aceptados por el comité director.

La métrica del Riesgo subyace a toda posible estimación de las distintas funciones de salvaguarda con 'priorización' o no entre ellas para argumentar, entre las decisiones alternativas, las que consiguen la neutralización de los riesgos de la forma más eficaz y económica posible. El especialista en seguridad es así el protagonista de esta Etapa.

8.2.3 Resumen del contenido de las Actividades 1. Interpretación del riesgo Interpretación de los resultados generados en las actividades anteriores, orientada a descubrir las principales áreas críticas.

2. Identificación de funciones de salvaguarda y estimación de su efectividad Identificación y estimación de la efectividad de las funciones o servicios de salvaguarda necesarias para reducir el riesgo a los umbrales aceptados.

3. Selección de las funciones de salvaguarda Selección de las funciones o servicios de salvaguarda óptimos que cumplan los objetivos de reducción del riesgo. 4. Cumplimiento de objetivos Estudio de los riesgos residuales obtenidos por la aplicación de las funciones o servicios de salvaguarda seleccionados, para determinar si se encuentran dentro de los umbrales de riesgo elegidos.

8.3

Actividad 1: Interpretación del riesgo Los puntos de partida para esta Actividad están constituidos por la documentación de la Etapa anterior que describe los componentes del riesgo (activos, funciones y mecanismos de salvaguarda existentes, amenazas, vulnerabilidades e impactos) y los niveles de riesgos calculados.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

145

8.3.1 Tarea única: Interpretar y manejar los riesgos Descripción y objetivo: Los resultados del cálculo del riesgo intrínseco y efectivo deben interpretarse antes de poder utilizarlos, agrupándolos si cabe con objeto de identificar las áreas de mayor riesgo, del Dominio y por lo tanto las que necesitan mayor protección. Así, •

El umbral de riesgo es un valor establecido como base para decidir por comparación con él si el Riesgo efectivo calculado es asumible o aceptable. Los umbrales de riesgo utilizados pueden proceder de una estimación inicial, ratificada por la decisión del Comité director y propuesta por similitud respecto a otros casos. Estos umbrales de riesgo se pueden refinar por aplicación del Análisis y Gestión de Riesgos en un escenario de simulación del equilibrio entre los costes de los riesgos y los de las salvaguardas en un entorno de ciertas restricciones (de misión de la Organización o de su capacidad presupuestaria a corto plazo, por ejemplo).

•

Mientras que el Riesgo efectivo calculado se considere no asumible, MAGERIT propone desarrollar las Actividades siguientes de ‘Identificación, estimación de efectividad y Selección de las funciones de salvaguarda’ de esta Etapa.

•

Cuando el Riesgo efectivo calculado ya se considera asumible, quedará como riesgo residual.

La tarea también procede a la obtención de indicadores estadísticos sobre frecuencias de ocurrencia de amenazas (vulnerabilidad), amenazas con mayor impacto, áreas más afectadas por mayores riesgos, etc. Productos: •

Informe de interpretación del riesgo

•

Estimadores estadísticos.

Técnicas (expuestas en la Guía de Técnicas):

8.4

•

Diagramas (de Kiviat o de barras).

•

Técnicas estadísticas.

Actividad 2: Identificación y estimación de funciones y servicios de salvaguarda Esta Actividad permite identificar las funciones o servicios de salvaguarda que reducen el riesgo, así como estimar su eficacia para lograr dicha reducción.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

146

ANALISIS DE RIESGOS

IDENTIFICACIÓN Y ESTIMACIÓN DE FUNCIONES DE SALVAGUARDA Identificar funciones de salvaguarda

Estimar la efectividad

SELECCIÓN DE FUNCIONES DE SALVAGUARDA

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

147

8.4.1 Tarea 1: Identificar funciones y servicios de salvaguarda Descripción y objetivo: La tarea propone, sin tomar en consideración ninguna restricción, una lista de las funciones o servicios de salvaguarda que pueden reducir el riesgo superior al umbral en los subdominios identificados en la Etapa 2 previa de Análisis de los Riesgos. Las funciones o servicios propuestos se determinan con ayuda de las agrupaciones de activos/amenazas donde se detecta mayor riesgo. La organización o clasificación de las funciones y servicios de salvaguarda se apoya en las tipologías vistas en el Submodelo de Elementos: − de activos o grupos de activos (entorno, sistema de información, información, funcionalidad, otros), − de amenazas (accidentes, errores, intencionales presenciales, intencionales teleactuadas) − por la propia funcionalidad de las funciones y servicios (orientados a: detección, disuasión, prevención, corrección, recuperación, concienciación/información). La lista contiene la descripción de las características de la función o activo de salvaguarda, por ejemplo: tipo de amenaza, tipo de activo que protegen, a qué subestado de seguridad (A-C-I-D) se orientan, resultado (disminución de vulnerabilidad o bien de impacto), etc. Productos: •

Informe de funciones de salvaguarda propuestas.

Técnicas (expuestas en la Guía de Técnicas): •

Técnicas Matriciales.

8.4.2 Tarea 2: Estimar la efectividad de las funciones y servicios de salvaguarda Descripción y objetivo: A partir de la lista de funciones y servicios de salvaguarda especificados para los subdominios seleccionados del proyecto, esta tarea procede a estimar su efectividad en la reducción de los elementos integrantes del riesgo (vulnerabilidad e impacto).

Dicha efectividad, medible por un especialista, depende de condiciones objetivas (la complementariedad o contradicción con otras salvaguardas instaladas por ejemplo) o subjetivas (las restricciones que no se han tenido en cuenta en la tarea anterior).

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

148

Productos: •

Informe de funciones o servicios de salvaguarda propuestos, con estimación de su efectividad.

Técnicas (expuestas en la Guía de Técnicas): •

8.5.

Análisis de coste-beneficio

Actividad 3: Selección de Funciones y Servicios de Salvaguarda La Actividad permite seleccionar las funciones o servicios de salvaguarda convenientes y justificados como proporcionados a los riesgos que deben cubrir e incluso como óptimos.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

149

IDENTIFICACIÓN Y ESTIMACIÓN DE FUNCIONES SALV.

SELECCIÓN DE FUNCIONES DE SALVAGUARDA

Aplicar parámetros

Evaluar riesgo residual

SELECCIÓN DE SALVAGUARDAS 8.5.1 Tarea 1: Aplicar los parámetros de selección Descripción y objetivo:

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

150

Partiendo de la lista de funciones y servicios de salvaguarda propuestos, y teniendo en cuenta los umbrales de riesgo máximo asumible o aceptable obtenidos en tareas y decisiones anteriores, la tarea ordena la lista según su efectividad para reducir el riesgo. La tarea selecciona en el orden establecido las funciones o servicios que reducen el riesgo hasta los umbrales requeridos por el objetivo de seguridad establecido. Productos: •

Lista de funciones o servicios de salvaguarda, organizadas por activo/amenaza, ordenadas por su efectividad.

Técnicas (expuestas en la Guía de Técnicas): •

Técnicas Matriciales.

8.5.2 Tarea 2: Reevaluar el riesgo Descripción y objetivo: La tarea aplica las funciones y servicios de salvaguarda seleccionados a la reducción de la frecuencia de ocurrencia de la amenaza (disminución de la vulnerabilidad) y a la reducción del impacto. Los nuevos niveles de vulnerabilidad y de impacto se identifican y estiman rehaciendo el procedimiento establecido por las Actividades de la Etapa 2 ‘Identificación y estimación de VULNERABILIDADES’ e ‘Identificación y valoración de IMPACTOS’. Los nuevos niveles de vulnerabilidad y de impacto permiten calcular el riesgo efectivo aplicando la misma forma anterior de evaluación del riesgo presentada en la tarea única la Actividad 1 de esta Etapa. Este valor del riesgo efectivo calculado se ha de guardar, pues será el riesgo residual si en la Actividad 4 siguiente se alcanza el cumplimiento de objetivos del proyecto de Análisis y Gestión de Riesgos. Productos: •

Informe de riesgos residuales en el sistema.

Técnicas (expuestas en la Guía de Técnicas):

8.6

•

Técnicas Matriciales.

•

Técnicas Algorítmicas.

Actividad 4: Cumplimiento de objetivos

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

151

La actividad explora si los riesgos efectivos obtenidos por la aplicación sucesiva de las funciones y servicios de salvaguarda seleccionados se encuentran bajo los umbrales de riesgo elegidos.

8.6.1 Tarea única: Determinar el cumplimiento de los objetivos Descripción y objetivo: Si los riesgos efectivos calculados en la tarea anterior no cumplen los objetivos de su reducción por debajo de los umbrales de riesgo fijados, la tarea organiza −

la conservación provisional de los resultados parciales alcanzados (puede haber ‘retrocesos’ en este proceso de simulación);

la repetición de toda la Actividad 3 de Selección de las funciones y servicios de salvaguarda, o sea de las tareas de reconsiderar la selección y reevaluar el riesgo, antes de recomprobar el cumplimiento de los objetivos con esta tarea.

Productos: •

Aprobación de la lista de funciones de salvaguarda seleccionadas.

Técnicas (expuestas en la Guía de Técnicas): •

8.7

Simulación.

Síntesis de la etapa

8.7.1 Hitos de control •

Hito de control 2-A: El Comité director debe aprobar el conjunto de funciones y servicios de salvaguarda propuestos.

•

Hito de control 2-B: La Dirección procederá a la aprobación o no de los resultados de la Etapa presentados por el Director del Proyecto.

8.7.2 Resultados Documentación intermedia

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

Lista de funciones y servicios de salvaguarda ordenados según su efectividad, con una descripción de sus características.

•

Informe de funciones y servicios de salvaguarda existentes, estimando su efectividad.

•

Informe de funciones y servicios de salvaguarda seleccionados, con justificación de cada uno.

•

Nuevos valores del riesgo al aplicar las funciones y servicios de salvaguarda propuestos

•

Informe del estudio comparativo de resultados en las simulaciones.

Documentación final •

8.8

152

Lista final de funciones y servicios de salvaguarda propuestos.

Papel de los participantes

8.8.1 Papel del equipo de proyecto de Análisis y Gestión de Riesgos •

Ejecución de la etapa.

8.8.2 Papel del Comité director •

Control de los resultados.

•

Elección del conjunto de funciones de salvaguarda.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

8.9

Aplicación de la Etapa 3 al Caso puesto como ejemplo

8.9.1

Actividad 3.1: Interpretación del Riesgo

153

Los mismos ESCENARIOS de SINIESTRO que han servido de pauta para describir las combinaciones concretas de AMENAZA-VULNERABILIDAD-IMPACTOS constituyen el subescenario de ataque del Submodelo de Eventos dinámico organizativo que, combinado con el subescenario de defensa adecuado a cada SI, implementan un ESCENARIO DE VULNERABILIDAD, a reducir precisamente con la aplicación de dicho subescenario de defensa en sus dos vertientes de EFICACIA y ROBUSTEZ. El Estudio previo del ejemplo, orientado a preparar un Plan de Contingencia, básicamente desea una primera categorización de escenarios de vulnerabilidad (amenazas y defensas) y se concentra por tanto sólo los RIESGOS ALTOS o MUY ALTOS, determinando para cada uno de ellos la combinación Amenaza-Salvaguarda más adecuada. Como resultado del Análisis de riesgos, las distintas áreas y funciones de los servicios procesadores, la proporción de Riesgos altos o muy altos es muy superior a las que aparecen en el análisis de los servicios utilizadores. Este resultado es lógico, coherente y hasta conveniente. El CPL tiene un entorno informático bastante centralizado, lo que implica una acumulación de riesgos informáticos que lógicamente asume el Centro Procesador como servicio especializado. Por lo tanto es evidente la necesidad de mirar con mucho más cuidado el funcionamiento de cada uno de los elementos de éste concurrentes a la seguridad del resultado y de hacer esfuerzos más prospectivos que en otros casos para imaginar posibles escenarios de ataque y situaciones de vulnerabilidad, incluso en los casos donde el funcionamiento normal de los servicios plantea una situación habitualmente correcta. Así no sólo no debe de extrañar el alto porcentaje de riesgos altos, claro es que en general más potenciales que actualmente presentes, sino que son la base lógica de las medidas de seguridad intensas como la necesidad, desarrollada en la Etapa 4, de contratar un CENTRO de RESPALDO externo al CPL, así como asegurar las medidas concurrentes para su eficaz trabajo en las condiciones de emergencia que lo justifiquen.

8.9.2 Actividad 3.2: Identificación y estimación de Funciones de salvaguarda La Tarea 3.2.1 de Identificar funciones de salvaguarda y la Tarea 3.2.2 de Estimar la efectividad de las funciones de salvaguarda son objeto de desarrollo por un especialista. El diseño detallado de las salvaguardas necesarias para completar cada escenario de siniestro y convertirlo en el escenario de vulnerabilidad aplicado correspondiente parte de una panoplia inicial de medidas de salvaguarda específicas que, no sólo a efectos de chequeo para no olvidar ninguna de las posibilidades catalogadas, tiene en cuenta específicamente el desglose en los bloques tradicionalmente agrupados según los entornos de los servicios informáticos: - Medidas organizativas - Medidas físicas - Medidas de arquitectura básica - Medidas de software específico de seguridad

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

154

- Medidas en los soportes - Medidas en las comunicaciones - Medidas en el desarrollo de aplicaciones - Medidas en la explotación El Estudio previo realizado con MAGERIT no pretende sustituir un necesario Manual de Seguridad, que sería el objetivo del Plan de Seguridad global. Aquí se completarán sólo cada uno de los Escenarios de Siniestro con Riesgo alto o muy alto, particularizando para el contexto de cada área concreta la o las medidas de salvaguarda más adecuadas y comentándolas muy brevemente. En todos los Servicios Utilizadores los Escenarios de Siniestro ES1 y ES2 que generan una alta criticidad suelen 'transferir' ésta, como se detalló en el informe anterior, al Centro de Explotación del CPL, dentro del vigente esquema básicamente centralizado de su informática. En este capítulo se establecen las medidas de salvaguarda globalizadoras pertinentes que repercutirán en la reducción de Riesgo a unos niveles adecuados. El análisis de estas Funciones de Salvaguarda se describe como RECOMENDACIONES y se encuadra en las áreas ya utilizadas en capítulos anteriores (de las que se describen varias muestras no exhaustivas): - Entorno organizativo - Entorno físico - Hardware y software de base - Comunicaciones - Explotación - Desarrollo de aplicaciones RECOMENDACIONES EN EL ENTORNO ORGANIZATIVO La ubicación del hardware principal (CPU, discos, impresoras, concentradores,...) en la planta sótano y rodeado por focos y material combustible, implica un posible escenario de siniestro ES1, de accidente natural/industrial, con un impacto crítico y con potencialidad insignificante, lo que resulta en un RIESGO ALTO); y un posible escenario de siniestro ES2, de ataque físico, con un impacto muy grave y con potencialidad baja, lo que implica un RIESGO ALTO). Para reducir la potencialidad en estos escenarios ya se han esbozado diversas medidas ESTRUCTURALES, DISUASIVAS Y PREVENTIVAS. En el caso de que estas medidas no sean efectivas, es decir, se materialicen las amenazas y por tanto se consume la agresión, es necesario tener previstas medidas PALIATIVAS dirigidas a reducir el impacto de la mencionada agresión, principalmente permitiendo una continuidad del servicio informático, aunque sea de forma degradada. La medida principal será tener disponible un centro alternativo y los procedimientos necesarios para garantizar el servicio informático de las aplicaciones críticas. En cuanto a redundancia de materiales informáticos, existen varios concentradores de comunicaciones, aunque en la actualidad todos están ubicados en el sótano, junto al ordenador. Las impresoras centrales también son redundantes aunque igualmente se encuentran las dos en el sótano. La concentración de los anteriores elementos en la sala de ordenadores (en el sótano) anula la seguridad de estas redundancias e implica que un posible escenario de siniestro ES2, de Ataque Físico, que puede tener un impacto muy grave, ya que implicaría la disrupción de las actividades,

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

155

y con potencialidad baja, lo que resulta en un RIESGO ALTO. La reducción del impacto en este escenario implicaría la adopción de medidas tendentes a ubicar en otro lugar algunos de estos elementos. RECOMENDACIONES EN LAS COMUNICACIONES Ubicación de los elementos de comunicaciones. Los de cabecera, es decir, los concentradores conectados a canal del ordenador, el procesador de comunicaciones, los multiplexores, etc... están ubicados, como se reflejó anteriormente, en la sala de ordenador. Esto implica un posible escenario de siniestro ES1, de accidente natural/industrial, con un impacto crítico y con potencialidad insignificante, lo que supone un RIESGO ALTA); y un posible escenario de siniestro ES2, de ataque físico, con un impacto crítico y con potencialidad baja, lo que resulta en una CRITICIDAD 4 (MUY ALTA). En caso de materializarse alguno de los escenarios citados, la medida paliativa (citada anteriormente) que posibilite la disponibilidad de un centro alternativo, no sería efectiva, ya que los elementos de comunicaciones son la base del teleproceso, necesario para la explotación de las aplicaciones críticas. De lo anterior se deduce la necesidad de ubicar dichos elementos de comunicaciones en otro lugar, fuera del sótano. RECOMENDACIONES EN LA EXPLOTACIÓN Archivo de soportes. El área de archivo está ubicada en la sala del ordenador (como ya se mencionó), lo cual implica un posible escenario de siniestro ES2, Ataque físico, con un impacto muy grave con potencialidad baja, lo que resulta en un RIESGO ALTO. La reducción del impacto en este escenario conlleva implantar medidas tendentes a separar físicamente el área de archivo de la cintoteca, dotándola de control de accesos y otras medidas de seguridad. Copias de seguridad. Las copias de seguridad, almacenadas fuera del edificio del CPL, comprenden información con periodicidad semanal, lo cual implica un posible escenario de siniestro ES1, accidente natural/industrial, con un impacto crítico pero con potencialidad insignificante, lo que da como resultado un RIESGO ALTO; y un posible escenario de siniestro ES2, ataque físico, con un impacto crítico y con potencialidad baja, lo que resulta en un RIESGO MUY ALTO. Las medidas PALIATIVAS, mencionadas anteriormente, que posibilitan la disponibilidad de un centro alternativo, dejarían de ser eficaces si no se dispone de copias de seguridad de la información actualizadas. Aunque en la Etapa 4 se trata detalladamente el tema de copias de seguridad, es necesario recalcar los siguientes aspectos: •

Existirá un plan de copias de seguridad por escrito donde se detalle para cada fichero: el número de generaciones, la periodicidad, el lugar de almacenamiento y la duración del almacenamiento.

•

Dicho plan se actualizará sistemáticamente cada vez que se cree o se modifiquen aplicaciones teniendo en cuenta el esquema de integración de la circulación de informaciones y el cruce de ficheros-tratamientos.

•

Se deben cargar las copias de seguridad, en un entorno virtual separado, cada cierto período de tiempo, para comprobar su integridad.

8.9.3 Actividad 3.3: Selección de Funciones de Salvaguarda

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

156

Estas Tareas 3.3.1 de Aplicar los par谩metros de selecci贸n y 3.3.2 de Evaluar el riesgo de nuevo son poco pertinentes para el objetivo del proyecto del ejemplo.

8.9.4 Actividad 3.4: Cumplimiento de objetivos Esta Tarea 3.4.1 para determinar el cumplimiento de los objetivos no se ha realizado, por ser poco pertinente para el objetivo del proyecto del ejemplo.

MAP - Metodolog铆a MAGERIT Versi贸n 1.0

GUIA DE PROCEDIMIENTOS

157

ETAPA 4: SELECCIÓN DE SALVAGUARDAS

9.0

Ubicación de la Etapa 4 en el modelo de MAGERIT

Modelo de MAGERIT

Submodelo de ELEMENTOS

Submodelo de EVENTOS

Submodelo de PROCESOS

6 entidades básicas

3 tipos principales

4 etapas típificadas

• Activos

• Estático • Dinámico organizativo • Dinámico físico

• Planificación • Análisis de Riesgos • Gestión de Riesgos • Selección de Salvaguardas

• Amenazas • Vulnerabilidades • Impactos • Riesgo • Salvaguardas

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

9.1

158

Estructura de la etapa 4

ETAPA 1: PLANIFICACIÓN

objetivos, estrategia, política de seguridad

Actividades: 1.1: Oportunidad de realización 1.2: Definición de dominio y objetivos 1.3: Planificación del proyecto 1.4: Lanzamiento del proyecto

9.2

Planificación y otras fases de Gestión de la seguridad S.I.

ETAPA 2:

ETAPA 3:

ETAPA 4:

ANÁLISIS DE RIESGOS

GESTIÓN DE RIESGOS

SELECCIÓN DE SALVAGUARDAS

Actividades: 3.1: Interpretación del RIESGO 3.2: Identificación y estimación de Funciones de salvaguarda 3.3: Selección de Funciones de Salvaguarda 3.4: Cumplimiento de objetivos

Visión global de la etapa

9.2.1 Objetivos de la Etapa La Etapa tiene como Objetivo la Selección de los mecanismos de salvaguarda que materialicen las funciones y servicios de salvaguarda, respeten las restricciones y reduzcan los riesgos por debajo de los umbrales deseados.

9.2.2 Contenido de la Etapa Esta etapa parte de los resultados de las etapas anteriores: •

Identificación de los mecanismos de salvaguarda implantados actualmente y de las funciones y

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

159

servicios de salvaguarda que cubren, así como el grado de su implantación. •

funciones y servicios de salvaguarda seleccionados, capaces de reducir el riesgo hasta alcanzar los umbrales previamente elegidos (o bien actualizados, si se ha visto su necesidad).

En esta etapa, el especialista selecciona los mecanismos de salvaguarda que materialicen las funciones y servicios seleccionados, en función de la efectividad de éstos. Una vez elegidos estos mecanismos, se estudian sus relaciones, costes, tipos y otras características. Tras analizar posibles contradicciones o contraindicaciones en su aplicación, la Etapa establece un orden de prioridades para su implantación (excluida de MAGERIT), reflejado en cronogramas tentativos de puesta en práctica.

Por último la etapa posibilita la recopilación de todos los informes obtenidos, para generar el documento final del Análisis y Gestión de Riesgos, además de los documentos de presentación de resultados a los diversos niveles de la Organización.

9.2.3 Resumen del contenido de las Actividades Las actividades de esta Etapa son: 1. Identificación de los mecanismos Se identifican de los mecanismos que puedan materializar las funciones y servicios de salvaguarda. 2. Selección de mecanismos de salvaguarda Se seleccionan y estudian los mecanismos de salvaguarda anteriores que cumplan las restricciones y alcancen una efectividad suficiente en la reducción del nivel de riesgo. 3. Especificación de los mecanismos a implantar La tarea especifica para los mecanismos de salvaguarda seleccionados ciertas características importantes. 4. Orientación a la planificación de la Implantación La priorización de los mecanismos seleccionados junto a la estimación de los recursos necesarios permiten realizar una aproximación a los cronogramas de implantación. 5. Integración de resultados En esta actividad final se recopilan los informes de Etapa para generar el informe final y los documentos correspondientes para realizar presentaciones a diversos niveles.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

9.3

160

Actividad 1: Identificación de mecanismos de salvaguarda Tras seleccionar en la etapa anterior las Funciones y Servicios de salvaguarda capaces de mantener los riesgos bajo los umbrales elegidos, esta Actividad procede a identificar y analizar los posibles mecanismos de salvaguarda que materialicen las mencionadas funciones.

GESTION DE RIESGOS

IDENTIFICACIÓN DE MECANISMOS DE SEGURIDAD Identificar mecanismos posibles

Estudiar mecanismos implantados

Detectar restricciones

SELECCIÓN DE MECANISMOS DE SALVAGUARDA

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

161

9.3.1 Tarea 1: Identificar mecanismos posibles Descripción y objetivo: La tarea procede a confeccionar una lista inicial de posibles mecanismos de salvaguarda que materialicen las funciones y servicios de salvaguarda elegidos, parte de dichas funciones y servicios de salvaguarda. Éstos, habitualmente asociados a impactos y vulnerabilidades de los activos ante las amenazas, permiten identificar un conjunto de mecanismos de salvaguarda posibles. En esta tarea no se tiene en cuenta aún el análisis del coste, efectividad, necesidades de mantenimiento, etc. de los mecanismos posibles para materializar las funciones y servicios de salvaguarda. Productos: •

Informe con mecanismos de salvaguarda potenciales

Técnicas (expuestas en la Guía de Técnicas): •

Elaboración de informes

•

Técnicas Matriciales

9.3.2 Tarea 2: Estudiar mecanismos implantados Descripción y objetivo: Algunos de los mecanismos de salvaguarda identificados por la tarea anterior pueden estar ya implantados en el Dominio en estudio. Esta tarea recupera la información obtenida en la recogida de datos del Dominio que identificaba los mecanismos ya implantados y sus características. Estos mecanismos se agrupan en dos bloques: •

mecanismos coincidentes con alguno de los contenidos en la lista de mecanismos potenciales confeccionada en la tarea anterior

•

mecanismos no incluidos en dicha lista

Los mecanismos incluidos en ambos bloques se analizan según diversos criterios: •

su grado de implantación,

•

los costes tanto de su implantación inicial como de su mantenimiento

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

162

su efectividad.

Productos: •

Informe de mecanismos implantados

Técnicas (expuestas en la Guía de Técnicas): •

Elaboración de informes

•

Técnicas Matriciales

9.3.3 Tarea 3: Incorporar restricciones Descripción y objetivo: Esta tarea formaliza las restricciones identificadas en las actividades de recogida de información de la Etapa 1. Asimismo el Comité Director puede haber modificado el conjunto de restricciones como consecuencia de los resultados de la Etapa 2 de Análisis de Riesgos. Para incorporar las restricciones al Análisis y Gestión de Riesgos, se respeta su agrupación por distintos conceptos. En esta tarea se recoge la misma clasificación de restricciones en 6 grupos de la Etapa 1: temporales, financieras, técnicas, sociológicas, del entorno, legales. Productos: A

Informe de restricciones

Técnicas (expuestas en la Guía de Técnicas): A

9.4

Elaboración de informes

Actividad 2: Selección de mecanismos de salvaguarda Descripción y objetivo: Esta Actividad permite identificar y seleccionar los mecanismos a implantar, considerando las restricciones detectadas e incorporadas en la tarea anterior. Los mecanismos identificados y seleccionados provisionalmente se estudian en cuanto a su efectividad reductora del riesgo. Esta Actividad es iterativa, pues se repite tantas veces como sea necesario hasta obtener el conjunto de mecanismos a implantar definitivamente.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

163

IDENTIFICACIÓN DE MECANISMOS DE SEGURIDAD

SELECCIÓN DE MECANISMOS DE SALVAGUARDA Identificar mecanismos a implantar

Evaluar el riesgo

Seleccionar mecanismos

ESPECIFICACIÓN DE MECANISMOS A IMPLANTAR

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

164

9.4.1 Tarea 1: Identificar mecanismos a implantar Descripción y objetivo:

En esta tarea el especialista procede a ‘cribar’ la lista de los mecanismos posibles determinada en tareas anteriores, basándose en el conjunto de restricciones detectadas e incorporadas (se trata de una tarea delicada e iterativa).

Se obtiene así un nuevo conjunto de mecanismos que respeta el conjunto de restricciones sin dejar de conseguir la reducción de los niveles de riesgo al de los umbrales elegidos. Productos: •

Informe de mecanismos elegidos

Técnicas (expuestas en la Guía de Técnicas): •

Elaboración de informes

9.4.2 Tarea 2: Evaluar el riesgo con los mecanismos elegidos Descripción y objetivo: La tarea estudia el poder reductor del riesgo de los mecanismos elegidos, por medio de las funciones y servicios de salvaguarda que aquéllos materializan. Productos: •

Informe de evaluación de riesgos con los mecanismos elegidos

Técnicas (expuestas en la Guía de Técnicas): •

Elaboración de informes

•

Técnicas Matriciales

•

Técnicas Algorítmicas

9.4.3 Tarea 3: Seleccionar mecanismos a implantar Descripción y objetivo: Esta tarea marca y se selecciona para la continuación del proyecto el conjunto de mecanismos obtenido por la tarea anterior como reductor suficiente del riesgo sin dejar de someterse a las restricciones impuestas.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

165

Productos: •

Informe de mecanismos seleccionados

Técnicas (expuestas en la Guía de Técnicas): •

9.5

Elaboración de informes

Actividad 3: Especificación de los mecanismos a implantar

9.5.1 Tarea única: Especificar los mecanismos a implantar Descripción y objetivo: La tarea especifica para los mecanismos de salvaguarda seleccionados ciertas características importantes, como: •

tipo de mecanismo

•

coste aproximado

•

activos protegidos

•

dependencia de y a otros mecanismos

•

modalidad de implantación

•

otros.

Productos: •

Informe de mecanismos a implantar

Técnicas (expuestas en la Guía de Técnicas): •

Elaboración de informes

•

Técnicas Matriciales

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

9.6

166

Actividad 4: Planificación de la implantación El objetivo de esta Actividad es realizar un esbozo de planificación para la implantación de los mecanismos retenidos en las Actividades anteriores.

ESPECIFICACIÓN DE MECANISMOS A IMPLANTAR

PLANIFICACIÓN DE LA IMPLANTACIÓN Priorizar mecanismos

Evaluar los recursos necesarios

Elaborar cronogramas tentativos

INTEGRACIÓN DE RESULTADOS

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

167

9.6.1 Tarea 1: Priorizar mecanismos Descripción y objetivo: Esta tarea ordena de manera lógica y bien estructurada los mecanismos retenidos y los encuadra en proyectos potenciales de implantación, basándose en sus interdependencias y en función de las restricciones y los niveles de riesgo aceptados. La clasificación de los mecanismos dentro de las funciones y servicios de salvaguarda favorece esta ordenación y priorización. Productos: •

Informe de implantación de mecanismos.

Técnicas (expuestas en la Guía de Técnicas): •

Elaboración de informes

9.6.2 Tarea 2: Evaluar los recursos necesarios Descripción y objetivo: La tarea estima y evalúa la intervención de recursos, tanto humanos como materiales, que conlleva la implantación de mecanismos. La clasificación de los mecanismos por grandes tipos de recursos a movilizar (organizacionales, técnicos, materiales, financieros, etc.) favorece esta estimación y evaluación. Productos: •

Informe de evaluación de recursos

Técnicas (expuestas en la Guía de Técnicas): •

Elaboración de informes

9.6.3 Tarea 3: Elaborar cronogramas tentativos Descripción y objetivo: Una vez que se han definido las acciones a realizar para la implantación de mecanismos y su plazo de implantación, esta tarea las ordena en el tiempo, obteniendo los cronogramas tentativos de implantación de los mecanismos.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

168

Productos: •

Cronogramas

Técnicas (expuestas en la Guía de Técnicas): •

9.7

Técnicas de Gantt.

Actividad 5: Integración de resultados

9.7.1 Tarea única: Integrar los resultados Descripción y objetivo: Esta última Actividad recopila los informes producidos en las diversas Etapas y Actividades del proyecto, para confeccionar el "Informe final del Análisis y Gestión de Riesgos". La tarea también realiza los documentos de presentación de los resultados del proyecto, resultados dirigidos en unos casos a los niveles directivos y en otros a los usuarios afectados por el proyecto de Análisis y Gestión de Riesgos. Productos: •

Informe final del Análisis y Gestión de Riesgos

•

Documentos de presentación del proyecto

Técnicas (expuestas en la Guía de Técnicas):

9.8

•

Elaboración de informes

•

Técnicas de presentación

Síntesis de la etapa

9.8.1 Hitos de control •

Hito de control 2-A: El Comité Director deberá aprobar el conjunto de mecanismos de salvaguarda propuestos para su implantación, los recursos necesarios que conlleven, así como el modo de dicha implantación.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

169

Hito de control 2-B: La Dirección procederá a la aprobación o no de los resultados de la Etapa presentados por el Director del Proyecto.

9.8.2 Resultados Documentación intermedia •

Documentos relativos a los mecanismos seleccionados y sus características, su modo de implantación y los recursos necesarios para ésta.

Documentación final •

9.9

Documento principal del trabajo realizado: "Informe final del Análisis y Gestión de Riesgos"

Papel de los participantes

9.9.1 Papel del equipo de proyecto de Análisis y Gestión de Riesgos •

Ejecución de la etapa

9.9.2 Papel de los grupos de interlocutores •

Aportación de información sobre mecanismos ya existentes y sobre restricciones.

9.9.3 Papel del Comité Director •

Aprobación de los mecanismos de salvaguarda seleccionados, de los recursos necesarios y de su modo de implantación.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

170

9.10 Aplicación de la Etapa 4 al Caso puesto como ejemplo 9.10.1 Actividad 4.1: Identificación de mecanismos de salvaguarda En el ejemplo aportado, las 3 Tareas de esta Actividad se realizan simultáneamente con las de la Actividad siguiente, puesto que a priori se ha identificado el mecanismo central buscado (‘Plan de Contingencia’ con ‘Centro de respaldo’) y su desarrollo impone los mecanismos complementarios que irán apareciendo en el Estudio.

9.10.2 Actividad 4.2: Selección de mecanismos de salvaguarda El Estudio se centra en analizar las necesidades de respaldo y las características que ha de cumplir el posible centro de respaldo como mecanismo de salvaguarda, de cara a mantener el servicio informático para las aplicaciones consideradas como críticas en caso desastre en el CPL. Las aplicaciones críticas, detectadas en función del riesgo y aplicando los diversos escenarios de siniestro, son analizadas en cuanto a necesidades en caso de tener que ser explotadas en un centro de respaldo. Las mencionadas necesidades se estructuran en: • criticidad de las funciones que cumplen • hardware necesario (terminales, impresoras, cintas/cartuchos) • software • comunicaciones • documentación • dependencia de otras aplicaciones. La visión individual de las necesidades de cada una de las aplicaciones críticas permite integrar las necesidades globales de respaldo, en cuanto a software, hardware y comunicaciones. La disponibilidad de esto sólo puede obtenerse con los datos actualizados por lo que se detalla, como mecanismo de salvaguarda, el procedimiento a ejecutar para la obtención de copias de seguridad de los datos. No se recoge aquí, pero un Estudio de esta orientación no puede terminar sin esbozar al menos las líneas generales a cumplir por el procedimiento de prueba del centro de respaldo y el procedimiento de utilización en caso de contingencia. Por tanto se elegirán como sistemas o aplicaciones críticos los que estén afectados por un nivel de RIESGO ALTO o MUY ALTO en alguno de los escenarios. Basándose en los análisis de vulnerabilidad reflejados en informes anteriores se han retenido como críticos los sistemas y aplicaciones reflejados en el siguiente cuadro.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

171

SISTEMAS Y APLICACIONES CRÍTICAS •

• • •

INGRESOS - Impuesto Bienes Inmuebles (IBI) - Impuesto de Plusvalías - Impuesto de Vehículos de Tracción Mecánica - Impuesto sobre Actividades Económicas - Fiscalización de Ingresos GASTOS TESORERÍA CONTABILIDAD

- Registro de Expedición de Mandamientos de - Pago •

PADRÓN DE HABITANTES

- Población - Territorio (Geocodificación) • • •

REGISTRO DE ENTRADA Y SALIDA SEGUIMIENTO DE EXPEDIENTES GESTIÓN DE PERSONAL

- Transferencias del mes anterior •

OTROS

- Recaudación ejecutiva - Presupuestos - Mantenimiento de aplicaciones

NECESIDADES DE RESPALDO Se analizan las aplicaciones críticas según tres grandes criterios: • •

Funciones críticas principales Necesidades de respaldo - Hardware (terminales, impresoras, cintas/cartuchos) - Software - Comunicaciones - Documentación

•

Dependencias con otras aplicaciones

Por ejemplo en el Sistema de GASTOS, todos los procesos son en tiempo real, a excepción de la obtención de listados a final del día. las principales funciones mecanizadas son: •

Gestión de propuestas de gastos. Los diversos Servicios proponen la apertura de expedientes

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

172

de gasto, que se fiscalizan (comprobación de la partida, existencia de crédito, reserva de crédito,...) y se autoriza. Una vez adjudicado el gasto a un proveedor, se produce la disposición, actualizando los datos de proveedores. •

Gestión de facturas. Los servicios prestados o los productos entregados son facturados por el proveedor, produciéndose el reconocimiento de la obligación. Las facturas son introducidas por el Servicio originario, asignándose en Fiscal gastos a éstas con el gasto dispuesto (fiscalización de facturas).

•

Mandamiento de pago. Una vez reconocida la obligación se expiden los mandamientos de pago, relacionándolos y enviándolos al Servicio de Tesorería para que proceda a su pago.

•

Registro y devolución de fianzas

•

Endosos

Las necesidades de respaldo son: •

Hardware. En la actualidad para los procesos mecanizados anteriores se utilizan 12 terminales (sin incluir los centros gestores de gasto), con una tasa de actividad elevada, ya que tienen una media de 10.500 transacciones/mes por terminal (uno de los terminales tienen una actividad baja. En cuanto a las Impresoras, los procesos diferidos generan bastantes listados al final de día. Las Cintas/cartuchos no se utilizan.

•

Software. La aplicación Gastos está implantada en el ordenador central con el gestor de bases de datos central.

•

Comunicaciones. En horas punta es necesario prever la conexión simultánea de hasta 8 terminales.

•

Documentación. Debe existir, correctamente actualizada, la documentación de la aplicación, especialmente el manual de explotación.

Dependencias respecto a otras aplicaciones Para la explotación de las aplicaciones de Gastos no se considera necesaria ninguna otra aplicación, a excepción de las modificaciones de crédito gestionadas con la aplicación de Presupuestos. Descentralización de gastos. Actualmente las propuestas de gastos son introducidas en el sistema de GASTOS por los diversos Servicios. En caso de desastre habría que considerar los terminales que utilizan los 35 centros de gasto, que en general tienen una actividad baja (se utilizan para incluir las propuestas de gasto y las facturas). Se considera que existiría conexión simultánea de 10 de estos terminales. SÍNTESIS DE APLICACIONES CRÍTICAS

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

173

En la tabla se detallaría para cada aplicación crítica: -

Terminales actualmente utilizados

Actividad actual en transacciones/mes por terminal

Disponibilidad de terminales necesarios en caso de contingencia

Estimación de conexión simultánea de los terminales anteriores

Volumen de impresión diferida actualmente, tanto en situación habitual como excepcional

Utilización de cintas/cartuchos

La conexión simultánea de terminales es la considerada para períodos "pico" de las aplicaciones. Teniendo en cuenta que los referidos períodos no coinciden en el tiempo (por ej.: los tributos inmobiliarios se recaudan en el 2º trimestre y los económicos en el 4º), se puede considerar una simultaneidad de actividad de terminales sensiblemente menor a la obtenida. PROCEDIMIENTO ACTUAL DE LAS COPIAS DE SEGURIDAD La elaboración de copias de seguridad de los datos y programas utilizados en el CPL se realiza de forma automática (JCL incluido en el scheduler) y en cartuchos, a excepción de los residentes (software de base) que se salvan en cinta magnética. En función de la periodicidad de realización de las copias se pueden distinguir cuatro grupos de información: •

Bases de Datos de producción (BDP), que incluye los datos reales y programas ejecutables en el entorno Adabas de producción y la base de datos documental

•

Base de Datos de desarrollo (BDD), que incluye datos de prueba y programas fuente utilizados en el entorno Adabas de pruebas y desarrollo

•

Residentes (RES), que incluye los programas correspondientes al software de base

•

Resto (RESTO), que incluye datos y programas del entorno Cobol y ficheros de trabajo.

La base de datos de producción se copia íntegramente a diario, tardando en torno a una hora. La copia de seguridad ocupa 12 cartuchos, ya que se utilizan los dispositivos 3480 que son de 18 pistas. Con los modernos 3490E de 36 pistas y doble longitud la copia ocuparía 3 cartuchos; Esta copia se guarda en caja fuerte en las dependencias de Explotación (planta sótano), en una sala aledaña a la sala de ordenadores, con separación entre las dos por un muro de carga. La copia realizada el último día de la semana se traslada al Area de Sistemas (en otro edificio). La base de datos de desarrollo se copia una vez a la semana de forma integra, realizándose copias incrementales diarias al nivel programa. Se almacena en el mismo lugar que la anterior.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

174

Los residentes se copian una vez a la semana en cinta magnética, almacenándolo en el mismo lugar que en el caso anterior. El resto se copia una vez al mes, realizándose copias incrementales diarias y almacenándolas también en Explotación. Con periodicidad mensual, se realiza copia de todos los volúmenes, exceptuando los ‘spool’ y las bases de datos ya copiadas. Esta copia se traslada al área de Sistemas (fuera del edificio), y se guarda en caja fuerte (no ignífuga), existiendo una llave en el Area de Sistemas y otra en el Area de Explotación. En resumen, se mantienen las siguientes copias en las dos Areas: •

Area de Explotación (Planta sótano del Centro informático) -

•

BDP: copia diaria BDD: copia semanal + incremental diaria RES: copia semanal RESTO: copia mensual + incremental diaria

Area de Sistemas (fuera del edificio) -

BDP, BDD y RES : copia semanal RESTO: copia mensual

PROCEDIMIENTO PROPUESTO PARA LAS COPIAS DE SEGURIDAD Con el procedimiento detallado anteriormente, un posible ESCENARIO DE SINIESTRO ES1 de Accidente Natural o Industrial o un posible ESCENARIO DE SINIESTRO ES2 de Ataque Físico podrían implicar la no disponibilidad de los soportes magnéticos almacenados en el Area de Explotación. En este caso, habría que acudir a las copias almacenadas en el Area de Sistemas para iniciar el respaldo desde otro centro; ello implicaría la siguiente pérdida de información en cada uno de los grupos anteriores: •

BDP: Se perdería lo realizado en la semana, desde la última copia semanal, es decir un máximo de 5 días laborables

•

BDD: El mismo caso que BDP

•

RES: El mismo caso que BDP

•

RESTO: Como la copia mantenida es mensual se podría perder hasta el trabajo de un mes.

El procedimiento propuesto a continuación, para realizar las copias de respaldo, se basa fundamentalmente en garantizar la información de las Bases de Datos de forma diaria (perdida de información de 1 día en caso de desastre) y el resto de forma semanal. Igualmente se propone la

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

175

realización de tres generaciones de copias, dos periódicas y la otra a petición. La primera generación para cada grupo consistiría en: • BDP:Copia diaria integra •

BDD:Copia semanal, con incrementales diarios de programas

•

RES:Copia semanal

•

RESTO:Copia mensual, con incrementales una vez a la semana

Esta primera generación se almacenaría en el Area de Sistemas (fuera del edificio), lo que implica el traslado diario de las copias de la BDP y de las incrementales de la BDD, el traslado semanal de las copias de la BDD, RES y las incrementales del RESTO y el traslado mensual del RESTO. La segunda generación, a almacenar en el Area de Explotación, se basaría en: •

BDP: No se realizaría copia, sino que se trasladaría del Area de Sistemas la del día anterior

•

BDD: No se realizaría nueva copia; se copiaría de cinta a cinta la primera generación

•

RES: Copia integra una vez al mes, con copias incrementales diarias

• RESTO:Copia de cinta a cinta de la primera generación ( el mensual), con incrementales diarios. La tercera generación se efectuaría a petición, con copia de la BDP, coincidiendo con fechas claves, como son: el comienzo de recaudaciones voluntarias y el comienzo de recaudaciones ejecutivas, en los dos períodos del año. Esta copia podría almacenarse en la futura sala de comunicaciones. El traslado de copias entre edificios es aconsejable realizarlo con las máximas medidas de seguridad y en contenedores destinados a tal efecto. Debe existir un responsable en el Area de Explotación que prepare las copias para el traslado y un responsable de recepción de copias. Igualmente deben existir las personas sustitutas necesarias en caso de ausencia de los responsables. Aunque este sistema implique gran volumen de información a copiar, el hecho de la futura utilización de cartuchos modelo 3490 y la robotización de copias aligeraran en tiempo y en proceso la realización de copias.

9.10.3 Actividad 4.3 Especificación de los mecanismos a implantar La Tarea 4.3.1 de Especificar los mecanismos a implantar se centra para el ejemplo del proyecto en los aspectos que atañen a un Centro de RESPALDO y los mecanismos de salvaguarda complementarios que pueden garantizar su éxito. NECESIDADES GLOBALES EN EL CENTRO DE RESPALDO

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

176

Las necesidades de respaldo detectadas en el análisis de las aplicaciones críticas permite configurar las necesidades globales de respaldo en caso de contingencia, que permiten valorar la capacidad a contratar.

EL SOFTWARE necesario para respaldar las aplicaciones críticas es: •

El sistema operativo

•

El gestor de base de datos

•

Las herramientas y utilidades que actualmente se utilizan

•

Los aplicativos, es decir, las aplicaciones críticas.

Las ocupaciones de espacios y ficheros de trabajo también deben ser consideradas de cara a configurar las necesidades de memoria externa. En caso de surgir una contingencia, es necesaria la existencia de una copia de seguridad actualizada y disponible. Dicha copia será íntegra de toda la información, ya que la reducción de ocupación de memoria evitando las aplicaciones no críticas sería dificultosa de obtener y no resultaría significativa. Las necesidades de respaldo de HARDWARE para las aplicaciones críticas se resumen en:

•

Disponibilidad de un ordenador compatible con el sistema del CPL

•

Capacidad de proceso requerida: 16 MIPS

Capacidad de almacenamiento en disco: 25 GB •

Disponibilidad de unidades de cinta compatibles

•

Disponibilidad de unidades de cartucho compatibles

•

Posibilidad de conexión simultánea de hasta 115 terminales

•

Elementos necesarios de comunicaciones para conectar la red de terminales actual y futura del CPL al centro alternativo. Este tema se trata en posteriores epígrafes.

NECESIDADES DE IMPRESIÓN. Las aplicaciones críticas producen un elevado volumen de listados en tiempo diferido (15.000 páginas diarias actualmente no descentralizadas). En caso de contingencia, la solución óptima sería obtener estos listados por las impresoras del CPL, lo que conllevaría la conexión de al menos una impresora a la red del CPL, en vez de a canal del ordenador como están actualmente. Además sería necesario ubicar la impresora elegida en lugar "seguro". En el caso de que la solución anterior no se pueda llevar a la práctica, existen otras dos alternativas:

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

177

•

Que el suministrador del servicio de respaldo disponga de una impresora compatible con las implantadas actualmente en el CPL. En este caso se obtendría la impresión diferida en el centro de respaldo, debiendo ser trasladada diariamente a los usuarios de las aplicaciones

•

En caso contrario, se podrían grabar la información de los listados en cinta y llegar a un acuerdo con algún proveedor que permita la impresión de estos listados. El proveedor debería estar ubicado lo más cercano posible al CPL, aprovechando si es posible la posibilidad de transmitir la información de los listados por líneas de comunicación al centro de dicho proveedor.

COMUNICACIONES En caso de contingencia habría que asegurar las comunicaciones entre la red de terminales del CPL y el ordenador alternativo. La situación prevista a corto plazo para la red de comunicaciones en el CPL, se basa en la conexión de los diversos elementos a través de red Ethernet. Partiendo de que el Front-end de comunicaciones va a estar conectado a dicha red y en un lugar "seguro" (como se detalló en informes anteriores), se podría realizar a través de él la conexión de la red del CPL con el centro alternativo. Haciendo una hipótesis de servicio de emergencia equivalente a: •

115 terminales en servicio simultáneo

•

700 bps necesarios para cada terminal, en media y en períodos de servicio máximo resulta una capacidad de velocidad total de comunicación necesaria de 80.500 bps para que el centro de respaldo soporte los terminales en la situación de backup, velocidad que se puede fijar en torno a 64 Kbps considerando la no coincidencia de períodos "picos" en las aplicaciones críticas.

Las alternativas en las redes de comunicaciones a utilizar para conectar el Front-end (F.E.) al centro de respaldo, son variadas: a)

Líneas punto a punto, cuyo coste -mensual fijo- es independiente de la distancia y de la utilización; existiendo en este caso dos posibilidades: alquiler permanente o solicitud en caso de emergencia;

Red Telefónica Conmutada (RTC) simulando líneas punto a punto;

Acceso a una red pública de conmutación de paquetes con protocolo X.25;

Acceso a la Red Digital de Servicios Integrados (RDSI);

Existen otras alternativas que requieren movilizar más recursos y son algo más complejas de poner en marcha. Por ejemplo podría pensarse en alquilar parte de la capacidad de comunicación de una red privada de alguna organización que disponga de nodos en la ciudad del CPL y en el lugar donde esté el centro externo de respaldo (estas redes pueden ser terrestres, o quizás utilizar satélites-tipo VSAT o telepuertos).

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

178

Alternativas mixtas: evolución en la red de comunicaciones. Un enfoque alternativo es proceder por etapas según la tecnología o red en la que se base la red de telecomunicaciones de backup, por ejemplo comenzando por líneas RTC y pasando a RDSI cuando esté garantizada la oferta de accesos. Este enfoque tiene algunas ventajas: •

•

permite consolidar la implantación de los procedimientos organizativos de paso a situación de backup, así como la implantación del software y hardware necesario local al CPD y la realización de los cambios necesarios, sin tener que preocuparse demasiado por la red de telecomunicaciones ya que ésta es sencilla de implantar y utilizar; permite reducir costes al principio, ya que la RTC es una solución de bajo coste; si en la primera prueba de backup que se haga el comportamiento de la red no es satisfactorio, se podrá cambiar a otra red habiendo desembolsado relativamente poco dinero; permite ganar tiempo: las redes existentes, p.ej. la RDSI, pueden consolidar su oferta de servicio, o incluso pueden presentarse nuevas posibilidades.

RESUMEN DE COSTES DE COMUNICACIONES En función a las estimaciones de tráfico que conllevan las aplicaciones explotadas en el CPL y partiendo de una velocidad necesaria de 64 Kbps, los costes de utilización en las alternativas mas viables serían: ALTERNATIVA

RTC PUNTO A PUNTO X-25

RDSI

CUOTA MENSUAL DISPONIBILIDAD

CUOTA MENSUAL

UTILIZACIÓN

8.400.339.500.-

3.720.000.-----

104.600.8.000.-

4.156.250.3.720.000.-

SERVICIOS DE RESPALDO En el caso de ocurrencia de un desastre, el componente principal para la recuperación del sistema informático es la información, es decir, se basa en la reconstrucción de la información a partir de las copias de seguridad. Los sistemas informáticos se basan en los ficheros: •

datos/informaciones del negocio y del entorno

•

programas/procedimientos/aplicaciones

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

179

sistemas operativos/monitores/herramientas

El resto de componentes, con mayor o menor dificultad, se pueden recuperar: •

El hardware se encuentra, es problema de dinero principalmente

•

Los hilos (comunicaciones) se resuelven, es problema de dinero y organización.

En cambio, los ficheros si no se tienen frescos (actualizados) y protegidos de toda contingencia invalidan cualquier situación de respaldo. En caso de desastre, que implique la interrupción imprevista y continuada en el servicio informático, se tiende a respaldar dicho servicio con un suministrador externo, es decir, a garantizar la continuidad, a través de un "Hot Backup", o respaldo activo, lo cual implica: •

Asumir el centro de respaldo el proceso de datos, de forma completa, durante la contingencia

•

Acceso relativamente inmediato al Centro de respaldo en caso de contingencia

•

Arranque y customización del sistema en el centro de respaldo en tiempo breve

•

Disponibilidad efectiva de datos y aplicaciones en el centro de respaldo en caso de desastre

•

Recuperación y puesta operativa de los datos y procesos del cliente

•

Retorno operativo al centro de datos original una vez solventada la contingencia

ACTUACIÓN ANTE UN DESASTRE Dentro de lo que es la operación normal del CPD, en un momento dado se realizan copias de seguridad de la información para guardar las modificaciones realizadas a los datos y a los programas. En caso de la ocurrencia de un desastre, es decir, una contingencia que implique la interrupción imprevista y continuada en el servicio, los datos y cambios introducidos en el sistema, desde que se realizó la última copia de seguridad, se pierden y habría que recuperarlos a partir de sus fuentes originales, si es posible. Cuando el servicio de ordenador se interrumpe, debido a la ocurrencia del desastre, el primer paso a realizar es establecer un diagnostico de la causa que lo ha provocado y valorar los efectos para poder decidir el traslado o no al centro alternativo. Una vez tomada la decisión de traslado, se inicia la preparación y la recuperación del servicio en el centro de respaldo hasta que el centro original esté operativo de nuevo. La recuperación en el centro de respaldo implica: •

Realizar el volcado de datos de las copias de seguridad realizadas previamente

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

180

Iniciar la reentrada de datos introducidos posteriormente a la realización de las anteriores copias de seguridad

Los usuarios deben tener previsto las acciones a realizar para recuperar de la fuente original los datos perdidos desde que se realizó la última copia de seguridad. De esta manera se alcanzaría un estado en el que se volvería a tener unos servicios informáticos en operación recuperada mientras se solucionan los problemas existentes en el CPD primario para poder prestar de nuevo servicio desde el mismo. FASES DE ACTUACIÓN CON CENTROS DE RESPALDO Se pueden distinguir cuatro fases de actuación cuando se cuenta con la disponibilidad de un centro de respaldo: A)

PRE-CONTINGENCIA (situación normal) Durante la operación normal de la entidad, y en relación con el centro de respaldo pueden realizarse las siguientes actividades: •

Almacenamiento periódico de los datos y programas de la entidad, residentes en cartuchos, en el propio centro de respaldo o en otro lugar seguro designado por el cliente

•

Pruebas anuales, es recomendable realizar una de forma obligatoria y otra opcional. Cada prueba implicará la copia masiva y el traslado al centro de respaldo, arranque de prueba, verificación, aceptación y redimensionamiento del cliente en caso necesario.

CONTINGENCIA. Una vez surgida la contingencia, las actividades a realizar son: • •

Declaración de la emergencia al suministrador de los servicios de respaldo Petición de disponibilidad inmediata del centro de respaldo

•

Configuración del centro de respaldo a imagen del centro del cliente. El cliente debe aportar el software y las licencias necesarias para la recuperación

•

Descarga de cartuchos a disco de los datos del cliente

•

Activación de las comunicaciones con el centro del cliente

•

Servicio restaurado desde el centro alternativo

La duración del servicio alternativo dependerá del cliente y de la contingencia. Es conveniente considerar la estrategia del suministrador en cuanto a simultaneidad de contingencias en las entidades clientes, ya que puede provocar una indisponibilidad del servicio alternativo. C) PROCESO. En esta fase es necesario asegurar: •

Los recursos del centro de respaldo para prestar el servicio de proceso del cliente

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

•

Control y seguimiento de la contingencia producida

•

Planificación del retorno a la situación normal

181

D) RETORNO. Las actividades principales en esta fase son: •

Planificación anticipada en un fin de semana lo mas largo posible

•

Corte del servicio desde el centro alternativo y copia masiva a cartuchos

•

Traslado al centro del cliente

•

Rearranque en el centro del cliente y decisión de retorno

•

Elaboración del informe de análisis retrospectivo de causas y actuaciones

PROCEDIMIENTO DE CONTINGENCIA La utilización de los servicios del centro de respaldo en caso de contingencia conlleva, para asegurar su éxito y su eficacia, la creación de unas estructuras de trabajo perfectamente definidas, así como la definición clara y completa de las acciones a realizar. Lógicamente se diferenciarán en la participación de un mayor número de personas y en el mayor número y complejidad de las acciones a realizar. Las personas integrantes del equipo gestor de contingencia y en parte del Gabinete de Contingencia, a ser posible, deben ser las mismas personas que han participado en la realización de las pruebas. Las estructuras de trabajo propuestas que deben intervenir en caso de contingencia en el CPL son: •

Un Gabinete de Contingencia, órgano gestor responsable de la migración al centro de respaldo y el posterior retorno al centro original, y del mantenimiento de relaciones con los responsables del centro de respaldo. El Gabinete tendrá a su frente un Coordinador y un sustituto para casos de indisponibilidad de éste. Este puesto debe de recaer en una persona con amplio poder ejecutivo en la Corporación Municipal.

•

Equipo gestor de contingencia, formado por el Director Informático del CPL y sus directivos de las diversas áreas (Desarrollo, Explotación y Sistemas) y por los responsables de las aplicaciones críticas.

•

Equipo técnico de contingencia, que incluye los técnicos del CPL en las diversas áreas (Desarrollo, Explotación y Sistemas).

•

Equipo de usuarios de contingencia, formado por los usuarios de cada una de las aplicaciones críticas.

El procedimiento de actuación en caso de contingencia se articula en las siguientes tareas:

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

182

Detección de la contingencia

• Detectado el acontecimiento de un desastre por el personal del CIM, se pondrá en conocimiento del Equipo gestor de Contingencia, que diagnosticará la causa que ha provocado el desastre, valorará los efectos y los trasladará al Coordinador. • El Gabinete de Contingencia, informado por el coordinador, decidirá o no el traslado al centro de respaldo. 2) Declaración de estado de contingencia • El Director informático del CPL, una vez decidido el traslado al centro de respaldo, lo notificará a los responsables de éste, activará los procedimientos de contingencia e informará a los proveedores de software el acontecimiento.

Preparación y recuperación • El Director informático del CPL comunicará a el equipo técnico de contingencia el estado de contingencia. • El equipo técnico de contingencias trasladará las copias de información al centro de respaldo, volcará la información residente en cartuchos a los discos del ordenador de respaldo y activará las comunicaciones de la red de terminales del CPL con el centro de respaldo. Igualmente desactivará la posibilidad de explotación de las aplicaciones no críticas, informando por pantalla a los usuarios afectados. • El equipo de usuarios de contingencias, una vez que estén operativas las aplicaciones críticas en el centro de respaldo, reentrará los datos introducidos posteriormente a la realización de las copias de seguridad (normalmente serán los del día en que surge el desastre). El equipo técnico realizará el control y seguimiento de dicha introducción, asistiendo al equipo de usuarios.

Proceso en el centro alternativo • El equipo de usuarios de contingencias explotará las aplicaciones críticas. El equipo técnico realizará el control y seguimiento de dicha explotación, asistiendo al equipo de usuarios. • El equipo gestor de la contingencia informará permanentemente de los acontecimientos al Gabinete de Contingencia, lo que le permitirá tomar las decisiones adecuadas. Cuando se aproxime la recuperación del centro informático del CPL, este equipo será responsable de planificar las acciones para retornar las aplicaciones y los datos al centro original.

Retorno al centro del CPL

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

183

• El Director informático del CPL, una vez decidido por el Gabinete de Contingencia, informará al resto de equipos, sobre el retorno al centro de origen. • El equipo técnico realizará en el centro de respaldo las copias de información, trasladándolas y recuperándolas en el centro de origen. También eliminará la información de los discos del ordenador del centro de respaldo. • El equipo técnico rearrancará las aplicaciones en el centro informático del CPL, realizando las acciones necesarias para reconectar la red de terminales al ordenador central. • El Director informático del CPL notificará a los usuarios de todas las aplicaciones la disponibilidad del servicio informático. 6)

Resultados de la contingencia • El equipo gestor de pruebas, asesorado por el equipo técnico y el equipo de usuarios, elaborará un informe de análisis retrospectivo de causas y actuaciones durante la contingencia, que permitirá la mejora y adecuación de los procedimientos empleados.

9.10.4 Actividad 4.4: Planificación de la implantación El proyecto de ejemplo no comprendía estas tareas.

9.10.5 Actividad 4.5: Integración de resultados El proyecto de ejemplo no comprendía estas tareas.

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

ANEXOS

MAP - Metodolog铆a MAGERIT Versi贸n 1.0

184

GUIA DE PROCEDIMIENTOS

ANEXO 1: CUADROS-RESUMEN DE ELEMENTOS ELEMENTO: ACTIVOS Definición

Los Activos son los recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección

Características

Cada Activo (o bien un conjunto homogéneo de Activos, o bien el Dominio en estudio) se caracteriza por su estado -en materia- de seguridad; estado que se concreta estimando los niveles de 4 subestados de Autenticación, Confidencialidad, Integridad, Disponibilidad (A-C-I-D)

Tipos

MAGERIT considera 5 grandes tipos o categorías de Activos: 1.El entorno 2.El sistema de información 3.La información 4.Las funcionalidades de la organización 5.Otros activos

Atributos

Cada Activo o Grupo de Activos incorpora como atributos esenciales dos indicadores sobre dos tipos de valoraciones: la valoración intrínseca al Activo y la valoración del estado de seguridad del Activo

Métricas

Las métricas de valoración intrínseca de los Activos se apoyan en estas situaciones: Ciertos Activos pueden estar inventariados , otros Activos pueden estar inventariados o no, una parte de Activos del Sistema en estudio no son inventariables Las métricas de valoración del estado de seguridad del Activo considerado permiten estimar los niveles de sus 4 subestados A-C-I-D (autenticación, confidencialidad, integridad, disponibilidad)

Indicaciones complementarias

MAGERIT puede requerir, para responder a finalidades precisas, otras enumeraciones de Activos distintas a las citadas o descomposiciones más detalladas dentro de los tipos, niveles o capas citados, como por ej.: Grupos Jerárquicos de Activos, Grupos de Activos según Amenaza, Activos no tipificados

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

ELEMENTO: AMENAZAS Definición

Las amenazas son los eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos

Características

La definición anterior recoge la esencia dinámica de la Amenaza: es decir, es un Evento (o sea una Acción, interrupción o falta de acción situada fuera del control de los actores de la seguridad; en contraposición de las Acciones de tipo decisión humana) de tipo potencial. La consecuencia de la amenaza, si se materializa, es un incidente que modifica el estado de seguridad de los Activos amenazados, es decir de hacerlo pasar de un estado anterior al evento a otro posterior (potencial o realmente, según se trate de Amenaza o agresión materializada)

Tipos

La diversidad de causas de las Amenazas permite clasificarlas según su naturaleza (lo que a su vez podrá orientar sobre las medidas a tomar para neutralizarlas con cierta autonomía sobre sus consecuencias). MAGERIT considera cuatro tipos de causas amenazadoras: no humanas (accidentes); humanas pero involuntarias (errores); humanas intencionales que necesitan presencia física; y humanas intencionales que proceden de Origen Remoto

Atributos

El elemento Amenaza no tiene atributos destacables que sean útiles para el Análisis y Gestión de Riesgos

Métricas

La ocurrencia intrínseca de la amenaza tiene sólo un interés genérico si no está asociada al Activo agredido como agresión materializada. Pese a todo, puede ayudar a valorar la Vulnerabilidad que concreta dicha asociación por excepción (o sea si no hubiera valoración específica de dicha Vulnerabilidad); en este caso se expresa una escala dependiente del Periodo medio entre ocurrencias

Indicaciones complementarias

MAGERIT puede requerir, para responder a finalidades precisas, otras enumeraciones de Amenazas distintas a las citadas o bien descomposiciones más detalladas dentro de los tipos, niveles o capas citados; como por ej.: Agrupación de los posibles eventos o amenazas en escenarios, Grupos Jerárquicos de Amenazas/agresiones, Grupos de Amenazas/agresiones según los Subestados de Seguridad, agrupaciones por tipos cohesionados de Amenazas/agresiones y Salvaguardas

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

iii

ELEMENTO: VULNERABILIDADES Definición

Vulnerabilidad de un Activo es la potencialidad o posibilidad de ocurrencia de la materialización de una Amenaza sobre dicho Activo

Características

La Vulnerabilidad es una propiedad de la relación entre un Activo y una Amenaza. La Vulnerabilidad es un concepto con dos aspectos: La Vulnerabilidad como propiedad ejerce una función de mediación (o de predicación en sentido lingüístico) entre la Amenaza como acción y el Activo como objeto de cambio del estado de seguridad. Por este aspecto estático la Vulnerabilidad forma parte del estado de seguridad del Activo. La Vulnerabilidad es asimismo en su aspecto dinámico el mecanismo obligado de paso o conversión de la Amenaza a una agresión materializada sobre un Activo

Tipos

MAGERIT considera dos acepciones principales: La Vulnerabilidad intrínseca del Activo respecto al tipo de Amenaza sólo depende de estas dos entidades. La Vulnerabilidad efectiva del Activo tiene en cuenta las Salvaguardas aplicadas en cada momento a dicho Activo y se tiene en cuenta en forma de un factor que estima la eficacia global de dichas Salvaguardas.

Atributos

La Vulnerabilidad intrínseca puede descomponerse, si conviene y para análisis muy detallados (sobre todo de amenaza intencional), primero según dos bloques de atributos: - Potencialidad autónoma respecto al Activo amenazado de ocurrencia de la Amenaza (por ejemplo la frecuencia de inundaciones en un lugar determinado) - Potencialidad derivada de la relación entre Activo y Amenaza (intencional sobre todo): Factores subjetivos y Oportunidad de acceso al Dominio

Métricas

La Métrica de la Vulnerabilidad consiste en considerar la ‘distancia’ entre la Amenaza (potencial) y su materialización como agresión (real) sobre el Activo. MAGERIT mide la Vulnerabilidad cuando es factible por la frecuencia histórica o bien por la posibilidad de la materialización de la Amenaza sobre el Activo

Indicaciones complementarias

La Vulnerabilidad no tiene otra clasificación distinta a la que le otorgan sus factores propios; en todo caso se clasifica de acuerdo con el Activo y la Amenaza a los que está estrechamente asociada

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

ELEMENTO:

IMPACTOS

Definición

El Impacto en un Activo es la consecuencia sobre éste de la materialización de una Amenaza

Características

El Impacto es, visto de una manera dinámica, la diferencia en las estimaciones del estado de seguridad del Activo obtenidas antes y después de la agresión o materialización de la Amenaza sobre éste. Dicho de otra forma, el evento Amenaza (materializada en agresión) produce en el estado anterior (a la amenaza) de seguridad del Activo un cambio a un nuevo estado posterior (a la amenaza), midiendo el impacto la diferencia entre ambos estados

Tipos

MAGERIT emplea una tipología de impactos orientada a la naturaleza de las Consecuencias de las combinaciones Activo-Amenaza MAGERIT considera tres grandes grupos de Impactos, según que sus Consecuencias sean reductoras directamente de los subestados de seguridad A-CI-D del Activo agredido; o bien indirectamente (y en este caso, de forma cuantitativa o cualitativa)

Atributos

Desde el punto de vista de las Consecuencias directas sobre el estado de seguridad del Activo, el impacto conjunta dos atributos o factores, la Gravedad intrínseca del resultado y el Agravante (o Atenuante) circunstancial Desde el punto de vista de las Consecuencias indirectas un impacto tiene como atributo importante: el aspecto cuantitativo de la consecuencia provocada y el aspecto cualitativo

Métricas

MAGERIT indica dos formas básicas de valorar los impactos, apoyadas ambas en escalas cualitativas: valoración en tiempo de la falta de disponibilidad de algún activo importante y valoración en unidades monetarias de una escala con niveles meramente orientativos

Indicaciones complementarias

La cuantificación de los Impactos es no sólo uno de los procesos más difíciles del Análisis de Riesgos, sino que es el más influyente en el cálculo del propio Riesgo.Así, aunque la finalidad de MAGERIT es medir los impactos en pesetas u otros índices objetivos semejantes, esto no siempre es posible, salvo si se usan métodos indirectos y a menudo subjetivos. Por tanto, en un primer intento se escogerá como medida del impacto el coste de reposición del activo dañado. Cuando esta medida no es factible o no tiene sentido, se intentará apreciar el coste de reposición de la función realizada por el Activo dañado, a partir de el deterioro de alguno de sus subestados de seguridad

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

ELEMENTO: RIESGO Definición

El riesgo es la posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización

Características

El Riesgo es el resultado del Análisis de Riesgos, un proceso complejo que parte de la determinación de los elementos autónomos (los Activos del Dominio y las Amenazas actuantes en él) y prosigue con la estimación de los elementos derivados de aquellos dos (las Vulnerabilidades y los Impactos). MAGERIT permite realizar ese Análisis complejo con el objetivo de obtener un resultado concreto: un valor calculado de riesgo que permita tomar decisiones para proseguir la siguiente etapa del proceso. Esta decisión puede tomarse por comparación explícita del Riesgo calculado con un nivel prefijado de Riesgo (Umbral de Riesgo)

Tipos

MAGERIT diferencia entre varios tipos de Riesgo: El riesgo calculado intrínseco, El riesgo calculado residual y El umbral de riesgo

Atributos

MAGERIT considera dos atributos, uno de cada Riesgo y otro de relación entre riesgos: Restricción a cada tipo de impacto factible dada la vulnerabilidad de un activo (o grupo de activos) y una amenaza (o conjunto de amenazas) y la Propagación del riesgo para activos dependientes entre sí

Métricas

En el caso más sencillo, la Vulnerabilidad se ha podido estimar como una frecuencia (por ejemplo de fallos de un componente) y el impacto también se ha podido apreciar como un valor monetario de reposición (de ese componente). Entonces el Riesgo calculado se puede apreciar por el impacto acumulado durante un periodo, por ejemplo un año. El Riesgo será así el coste de las reposiciones del componente durante el año y se podrá comparar, bien con un umbral determinado, bien con el coste también anual de las salvaguardas para reducirlo.En los casos más complejos, cuando la Vulnerabilidad no se puede recoger como frecuencia o el Impacto no se puede monetarizar, MAGERIT estima la métrica de Riesgos con ayuda de una tabla cualitativa o su matriz equivalente

Indicaciones complementarias

Las diferencias de tipificación entre riesgos calculados intrínsecos o residuales, umbrales de riesgo y riesgos asumibles son irrelevantes a efectos de sus métricas

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

ELEMENTO:

FUNCIONES, SERVICIOS Y MECANISMOS DE SALVAGUARDA

Definición

MAGERIT define la Función o Servicio de salvaguarda como la acción que reduce el Riesgo y el Mecanismo de salvaguarda como el procedimiento o dispositivo, físico o lógico que reduce el riesgo

Características

Para reducir el riesgo, se necesita la mejora de Salvaguardas existentes o la incorporación de otras nuevas. MAGERIT distingue entre la entidad más abstracta llamada Función o Servicio de Salvaguarda y la entidad concreta llamada Mecanismo de Salvaguarda.La Función o Servicio de Salvaguarda es una acción de tipo actuación (o de tipo no-actuación, es decir omisión), puesto que es fruto de una decisión para reducir un Riesgo (no es una acción de tipo evento). Dicha actuación se materializa en el correspondiente mecanismo de salvaguarda

Tipos

Las funciones, servicios y mecanismos de salvaguarda se tipifican según su forma de actuación en dos grandes tipos: funciones o servicios preventivos y funciones o servicios curativos o restablecedores

Atributos

La Eficacia genérica es un atributo de una Función o Servicio de Salvaguarda que hace pasar de la Vulnerabilidad intrínseca del Activo y el Impacto pleno sobre éste a una Vulnerabilidad y un Impacto efectivos La Eficacia concreta es un atributo de un Mecanismo de Salvaguarda. Esta Eficacia suele ser inespecífica (reduce el riesgo de distintos Activos) por lo que suele estar asociada a la eficacia de otros Mecanismos de Salvaguarda. También transforma la Vulnerabilidad intrínseca y el Impacto pleno del Activo respecto al tipo de Amenaza respectivamente en Vulnerabilidad e Impacto efectivos

Métricas

Una función o servicio de salvaguarda no tiene una Métrica propia, sino derivada de su poder reductor del Riesgo. El valor de la Eficacia genérica de una función o servicio de salvaguarda viene marcado por la experiencia de los analistas de seguridad y depende del tipo de dicha función o servicio de salvaguarda (o sea de su forma de actuación) y del tipo de Amenaza. Los mecanismos de salvaguarda tienen una Métrica directamente ligada a su coste técnico u organizativo, traducido a pesetas

Indicaciones complementarias

MAGERIT empieza a superar el modelo estático de protección, basado en una 'fortaleza' concreta cuyas 'brechas' o vulnerabilidades concretas. de sus Activos deben impermeabilizarse con salvaguardas específicas Las salvaguardas para los actuales Sistemas de Información, que son más bien ‘ciudades abiertas’ casi 'sin fronteras', pertenecen a un modelo dinámico y flexible de seguridad

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

MAP - Metodolog铆a MAGERIT Versi贸n 1.0

vii

GUIA DE PROCEDIMIENTOS

viii

ANEXO2: GLOSARIO Actividad

Concepto utilizado en el submodelo de procesos MAGERIT, que agrupa un conjunto de tareas con criterios funcionales

Activos

Recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección

Agresión

Amenaza materializada sobre un activo del dominio

Amenazas

Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos

Análisis de los riesgos

Identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con el Sistema de información (conocidos como ‘activos’); para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organización, obteniendo cierto conocimiento del riesgo que se corre

Análisis de riesgos (Etapa MAGERIT)

Etapa MAGERIT que permite identificar y valorar los elementos que intervienen en el riesgo; obtener una evaluación de éste en las distintas áreas del dominio; y estimar de los umbrales de riesgo deseables

Aseguramiento

Acción para obtener seguridad

Autenticación

Característica de dar y reconocer la autenticidad de los Activos del Dominio (de tipo Información) y/o la identidad de los actores y/o la autorización por parte de los autorizadores, así como la verificación de dichas tres cuestiones

Certificación

Confirmación del resultado de una evaluación, y de que los criterios de evaluación utilizados fueron correctamente aplicados (Guía Seguridad para Directivos de las Administraciones Públicas)

COMMON CRITERIA Criterios Comunes de Evaluación de la Seguridad de los Productos y Sistemas de Información, Criterios elaborados por la Unión Europea, Estados Unidos y Canadá Concienciación, información y formación

Tipo de salvaguarda ‘estructural’ (ligada a la estructura global de la Organización y no sólo a sus Sistemas de Información). Su importancia está justificada por el papel esencial que juega en la seguridad el factor humano (personal propio y del relacionado establemente con la Organización)

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Confidencialidad

Característica que previene contra la divulgación no autorizada de activos del Dominio

Corrección

Tipo de salvaguarda que impide la propagación del Impacto debido a la amenaza materializada y limita así los efectos de ésta

Detección curativa o, ‘monitorización’

Tipo de salvaguarda previa a toda eficacia en la actuación de las salvaguardas curativas (muchas agresiones son detectadas tarde o nunca)

Detección preventiva

Tipo de salvaguarda preventiva que puede hasta llegar a ser disuasoria, si su instalación es conocida por el potencial agresor, consciente de que podría ser descubierto

Disponibilidad

Característica que previene contra la denegación no autorizada de acceso a Activos del Dominio

Disuasión

Tipo de salvaguarda que empuja a que el potencial agresor humano intencional reconsidere el inicio de la agresión, a partir de las consecuencias que puedan sobrevenirle contra su propio interés

Dominio

Conjunto de Activos que constituyen el ‘Objeto’ en estudio o del proyecto. Unidad o Unidades en las que se centra un Análisis y Gestión de Riesgos

Etapa

Concepto utilizado en el submodelo de procesos MAGERIT, que agrupa un conjunto de actividades, en función a hitos de decisión y productos a entregar y validar

Función de salvaguarda Acción que reduce el Riesgo Función de salvaguarda Actúa sobre el Impacto (tras la agresión) y reduce su gravedad curativa o restablecedora Función de salvaguarda Actúa sobre la Vulnerabilidad (antes de la agresión) y reduce la potencialidad de materialización de la Amenaza (no la posibilidad genérica de ésta, que preventiva es independiente del Activo amenazado) Gestión de los riesgos

Selección e implantación de las medidas o ‘salvaguardas’ de seguridad adecuadas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles perjuicios. La gestión de riesgos se basa en los resultados obtenidos en el análisis de los riesgos

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Gestión de riesgos (Etapa MAGERIT)

Etapa MAGERIT que permite identificar las posibles funciones o servicios de salvaguarda reductores del riesgo detectado; seleccionar las salvaguardas aceptables en función de las ya existentes y de las restricciones; simular diversas combinaciones; y especificar las finalmente elegidas

Impacto

Consecuencia que sobre un Activo tiene la materialización de una Amenaza

Integridad

Característica que previene contra la modificación o destrucción no autorizadas de Activos del Dominio

ITSEC

Information Technologies Security Evaluation Criteria. Criterios aprobados por el Grupo de Altos Funcionarios Responsables de Seguridad de la Información (SOGIS) de la Comisión de la Unión Europea

ITSEM

Manual de aplicación de los criterios ITSEC

LORTAD

Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de carácter personal

MAGERIT

Metodología de Análisis y GEstión de Riesgos de los sistemas de Información de las AdminisTraciones Públicas

Mecanismo de salvaguarda

Procedimiento o dispositivo, físico o lógico que reduce el riesgo

Planificación del Análisis y Gestión de Riesgos (Etapa MAGERIT)

Etapa MAGERIT que establece las consideraciones necesarias para arrancar el proyecto de análisis y gestión de riesgos; permite investigar la oportunidad de realizarlo; definir los objetivos que ha de cumplir y el dominio (ámbito) que abarcará; planificar los medios materiales y humanos para su realización; e inicializar el lanzamiento del proyecto

Política Corporativa de Seguridad

Conjunto de leyes, reglas y prácticas, que regulan el modo en que los bienes que contienen información sensible son gestionados, protegidos y distribuidos dentro de una organización (ITSEC) Conjunto de reglas para el establecimiento de servicios de seguridad (ISO 7498-2)

Prevención

Tipo de salvaguarda de protección que no impide el inicio de la materialización de la amenaza, sino su realización completa y por lo tanto la consecución plena del impacto

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

Recuperación

Tipo de salvaguarda restauradora que repara los daños o reconstruye los elementos dañados para acercarse al estado de seguridad del Activo agredido previo a la agresión

Riesgo

Posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización

Riesgo intrínseco

Riesgo definido o calculado antes de aplicar salvaguardas

Riesgo residual

Riesgo que se da tras la aplicación de salvaguardas dispuestas en un escenario de simulación o en el mundo real

Selección de salvaguardas (Etapa MAGERIT)

Etapa MAGERIT que permite seleccionar los mecanismos de salvaguarda a implantar; elaborar una orientación del plan de implantación de los mecanismos de salvaguarda elegidos, establecer los mecanismos de seguimiento para la implantación; recopilar los documentos de trabajo del proceso de Análisis y Gestión de Riesgos; obtener los documentos finales del proyecto; y realizar las presentaciones de los resultados a los diversos niveles

Servicio de salvaguarda Acción que reduce el Riesgo (equivalente a función de salvaguarda) Servicio de salvaguarda Actúa sobre el Impacto (tras la agresión) y reduce su gravedad curativo o restablecedor Servicio de salvaguarda Actúa sobre la Vulnerabilidad (antes de la agresión) y reduce la potencialidad de materialización de la Amenaza (no la posibilidad genérica de ésta, que preventivo es independiente del Activo amenazado) Sistema de Información

Conjunto de elementos físicos, lógicos, elementos de comunicación, datos y personal que permiten el almacenamiento, transmisión y proceso de la información. (Guía de la Seguridad de los Sistemas de Información para Directivos de las Administraciones Públicas)

Submodelo de Elementos MAGERIT

Descripción de las entidades o componentes básicos de MAGERIT, así como sus procesos de adquisición y actualización

Submodelo de Eventos Descripción de las relaciones de los elementos entre sí y con el tiempo MAGERIT Submodelo de Procesos Descripción funcional (el ‘esquema explicativo’) del proyecto de seguridad a construir MAGERIT Tarea

Concepto utilizado en el submodelo de procesos MAGERIT, que conlleva las acciones a realizar, los productos y documentos a obtener, las validacio nes/aprobaciones necesarias y las técnicas utilizables en su realización

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

xii

TOE

Target of Evaluation. Objetivo de seguridad en los criterios ITSEC

TOS

Target of Security. Dominio de aplicación de los criterios ITSEC

Umbral de riesgo

Valor establecido como base para decidir por comparación si el Riesgo calculado es asumible o aceptable

Unidades administrativas

Diferentes ámbitos de la organización dentro de una Administración o Entidad (Direcciones generales, Organismos Autónomos, Subdirecciones, etc.)

Valorar Activos

Encontrar el ‘valor de cambio’ del activo como valor de reposición, directa (valor de inventario) o indirectamente (coste de su regeneración tras un impacto). Si esa valoración fuera imposible o inconveniente (valor de ‘reposición’ de una persona tras un accidente causado por falta de seguridad de algún activo), debe de tratarse este activo (con sus posibles impactos y riesgo consecuentes) como un elemento del entorno del Dominio abarcado por el proyecto de seguridad. Lo anterior corresponde a la valoración intrínseca, pudiéndose además realizar una Valoración asociada a los subestados de seguridad, proporcionando un valor cualitativo de los subestados de seguridad del Activo (autenticación, confidencialidad, integridad, disponibilidad, AC-I-D), tomando como referencia el grado de cumplimiento de la función y la importancia del activo para la misión del sistema

Vulnerabilidad

Potencialidad o posibilidad de ocurrencia de la materialización de una Amenaza sobre un Activo

Vulnerabilidad efectiva

Vulnerabilidad del Activo respecto al tipo de Amenaza, teniendo en cuenta las Salvaguardas aplicadas en cada momento a dicho Activo

Vulnerabilidad intrínseca

Vulnerabilidad del Activo respecto al tipo de Amenaza, sin considerar las salvaguardas implantadas o existentes

Vulnerabilidad residual

Vulnerabilidad del Activo resultante de aplicar las salvaguardas complementarias, aconsejadas como resultado del Análisis y Gestión de Riesgos

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

xiii

ANEXO 3: BIBLIOGRAFIA Titulo del libro o documento

Autor y fecha

A CODE OF PRACTICE FOR INFORMATION SEC. MANAG

BSI 1993

A GUIDE TO SECURITY MANAGEMENT FOR IT SYSTEMS

GOBIERNO CANADA 1994

A KNOWLEDGE BASED METHOD OF MANAGING RISKS

BONYUN - JONES IFIP 1991

A STRATEGIC APPROACH TO INFORMATION T.SECURITY

GOVERNMENT OF CANADA-1995

APPROACH TO INFORMATION SYSTEMS RISKS ANALISIS AND MAN.

GUARRO (COMPUTER&SECURITY) 1987

COMMON CRITERIA ON IT SECURITY EVALUATION V 1.0

CEC-EUA-CANADA 1996

COMPUTER AND NETWORK SECURITY

IEEE 1987

COMPUTER CONTROL AND SECURITY

PERRY 1981

COMPUTER CRIME AND BUSSINESS INFORMATION

SCHWEITZER 1986

COMPUTER SECURITY AND INFORMATION INTEGRITY

IFIP 1991

COMPUTER SYSTEM EVALUATION CRITERIA

DoD 1985

CRAMM EVALUACIÓN

XP CONSEIL 1993

CRAMM HISTORIA Y CRAMM 3

CCTA-WATTS-1994

CRAMM- AN OVERVIEW

CCTA 1991

CRAMM- VISIÓN DETALLADA

CCTA- MOSES

DATA SECURITY AND CONTROL

BUCK 1991

DATABASE SECURITY

CASTANO 1994

FUNDAMENTALS OF COMPUTER SECURITY TECHNOLOGY

AMOROSO - 1994-

GLOSARY OF IT SEC. TERMINOLOGY ISO/IEC JTC1/SC 27 N566

ISO- 1992

GUIA DE LA SEGURIDAD DE LOS SI PARA DIRECTIVOS AAPP

COAXI 1994

GUIDE FOR SELECTING AUTOMATED R.A. TOOLS

NIST -1990

GUIDE TO OPEN SYSTEMS SECURITY ISO/IEC JTC1/SC 27 N519

ISO- 1992

GUIDELINES FOR MANAGEMENT OF IT SEC. PART 1 CONCEPTS AND MODELSN777 PART 2 MANAGING AND PLANINGS IT SEC. N720

ISO 1994 ISO 1993 ISO 1993

PART 3 TECHNIQUES FOR THE MANAGING N 689 PART 3 TECHNIQUES FOR THE MANAGING N 359 PART 3 TECHNIQUES FOR THE MANAGING N 780

ISO 1993 ISO 1993

GUIDELINES FOR DIRECTING INF. TECHNOLOGY SECURITY

CCTA 1991

INFORMATION SYSTEMS SECURITY DESIGN METHODS

BASKERVILLE - ACM- 1993

INFOSEC 1992 S2014 FINAL AND STRATEGIC REPORT

CEC 15-2-1993

INTEGRATING SECURITY ACTIVITIES INTO DE SOFT.DEVEL. CICLE

TOMPKINS COMPUTER&SECURITY 1986

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

xiv

Titulo del libro o documento

Autor y fecha

ITSEC

CEC - 1991

ITSEM V 0.2

CEC 1992

LA SEGURIDAD INFORMATICA

SANCHEZ- IGNOTO 1991

LA SEGURIDAD INFORMATICA METODOLOGIA

LAMERE 1985

LE RISQUE INFORMATIQUE

JOUAS HARRARI LAMERE 1992

LES PRINCIPES DE LA SECURITE INFORMATIQUE

IFACI 1990

LIBRO VERDE SOBRE LA SEGURIDAD DE LOS SI V.4.2.1 (ESPAÑOL)

CEC - 1994

MANAGEMENT INFORMATION SECURITY

SCHWEITZER 1990'

MANAGING CRAMM REVIEWS USING PRINCE

CCTA 1993

MANUAL DE FORMACION Y SENSIBILIZACIÓN DE USUARIOS V0.1

MAP -1994

NETWORK SECURITY SECRETS

STANG Y MOON 1993

PORTFOLIO TECHNIQUES TO SUPPORT RISK MANAG. AND SEC.

BAUKNECHT - STRAUSS IFIP -1991

PROTECCIÓN DE INFORMACION SENSIBLE

AFNOR 1992

PROTECCION DE LA INFORMACION

RODRIGUEZ PRIETO -1985

RAMEX: A PROTOTIPE EXPERT SYSTEM FOR COMPUTER SECURITY

COMPUTER&SECURITY 14 1995

RISK ANALYSIS AND MANAGEMENT RISK MANAGEMENT&AND CORPORATE SECURITY

COMPUTER&SECURITY 14 1995

SECURITE ET QUALITE DES SI

GUINIER 1992

SECURITE ET QUALITE DES SISTEMES D´ INFORMATION

HANOUZ

SEGURIDAD EN LOS SISTEMAS INFORMATICOS

FISHER 1984

SEGURIDAD Y PROTECCION DE LA INFORMACIÓN

MORANT, RIBAGORDA 1994

THE DATA CENTER DISASTER CONSULTANT

KENNISTON 1986

TOPM: A FORMAL APPROACH TO THE OPTIMIZATION OF INF. TEC. RISK MANAGEMENT

COMPUTER&SECURITY 13 1994

USER REQUIREMENTS FO IT SECURITY STANDARS

BSI- SEMA GROUP 1992

USING CRAMM WITH SSADM

CCTA 1994

MAP - Metodología MAGERIT Versión 1.0

GUIA DE PROCEDIMIENTOS

ANEXO 4: EQUIPO RESPONSABLE DEL PROYECTO Coordinador del Proyecto: D. Víctor M. Izquierdo Loyola Subdirector General de Coordinación Informática - MAP Director del Proyecto: D. Francisco López Crespo Jefe de Área de Asistencia Técnica- MAP Secretario del Proyecto: D. Miguel A. Amutio Gómez Técnico Superior de Tecnologías de la Información - MAP

Grupo de Expertos Dña.Mª Dolores Hernández Maroto MINISTERIO DE ADMINISTRACIONES PÚBLICAS D. Andrés Barreiro Pérez MINISTERIO DE ECONOMÍA Y HACIENDA D. Carlos López Martín MINISTERIO DE DEFENSA D. Emilio Lorenzo Gil ORGANISMO AUTÓNOMO CORREOS Y TELÉGRAFOS Dª Clara Cala Rivero MINISTERIO DE INDUSTRIA Y ENERGÍA

Empresa consultora externa SEMA

GROUP

Director de proyecto: Julián Marcelo Cocho Consultor Principal: Santiago Martín-Romo Romero

MAP - Metodología MAGERIT Versión 1.0

D. Carlos García Codina MINISTERIO DE SANIDAD Y CONSUMO D. Arturo Ribagorda Garnacho UNIVERSIDAD CARLOS III D. Cecilio Salmerón Giménez BANCO DE ESPAÑA Dª Rosa Mª García Ontoso INFORMÁTICA DE LA COMUNIDAD DE MADRID