Contenido
INTRODUCCIN .................................................................................................................... 3 ANLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30 .................................. 4 ROLES DE UN ANALISIS DE RIESGO ............................................................................ 4 SENIOR MANAGEMENT. ....................................................................................... 4 CHIEF INFORMATION OFFICER (CIO). ............................................................... 4 SYSTEM AND INFORMATION OWNERS. ............................................................ 4 BUSINESS AND FUNCTIONAL MANAGERS. ..................................................... 4 ISSO. ........................................................................................................................ 5 IT SECURITY PRACTITIONERS. ........................................................................... 5
SECURITY AWARENESS TRAINERS (SECURITY/SUBJECT MATTER PROFESSIONALS). ....................................................................................................... 6 EVALUACION DE RIESGO .............................................................................................. 7 EJEMPLO ........................................................................................................................... 8 CONCLUSION. ................................................................................................................... 9 REFERENCIAS .................................................................................................................... 10
INTRODUCCIN
STANDARDS AND TECHNOLOGY (NIST). GUIDE RISK FOR MANAGEMENT INFORMATION SYSTEMS OF THE OF
TECHNOLOGY
RECOMMENDATIONS NATIONAL
INSTITUTE
STANDARDS AND TECHNOLOGY. ESTE DOCUMENTO FUE CREADO EN EL AO 2002 Y OFRECE PAUTAS PARA LA GESTIN DEL RIESGO BUSCANDO SU EVALUACIN,
GESTIN, CONTROL Y MITIGACIN. A TRAVS DE ESTE DOCUMENTO, EN CONJUNTO CON ISO 27005, ES POSIBLE IDENTIFICAR Y ESTABLECER MTODOS A TRAVS DE LOS CUALES GESTIONAR LOS RIESGOS IDENTIFICADOS EN UNA ORGANIZACIN, DISEAR Y APLICAR CONTROLES PARA LA CORRECTA MITIGACIN DE ESTOS.
SENIOR MANAGEMENT. DEBE ASEGURARSE DE QUE LOS RECURSOS NECESARIOS SE APLIQUEN EFECTIVAMENTE PARA DESARROLLAR LAS CAPACIDADES NECESARIAS PARA LLEVAR A CABO LA MISIN. TAMBIN DEBEN EVALUAR E INCORPORAR LOS RESULTADOS DE LA ACTIVIDAD DE EVALUACIN DE RIESGOS EN EL PROCESO DE TOMA DE DECISIONES. CHIEF INFORMATION OFFICER (CIO). RESPONSABLE DE LA PLANIFICACIN
ES
DE
LA
AGENCIA
IT,
PRESUPUESTO Y RENDIMIENTO, INCLUYENDO SUS COMPONENTES DE SEGURIDAD DE LA INFORMACIN. LAS DECISIONES TOMADAS EN ESTAS REAS DEBEN ESTAR BASADAS EN UN PROGRAMA EFICAZ DE GESTIN DE RIESGOS. SYSTEM AND INFORMATION OWNERS. SON RESPONSABLES DE ASEGURAR QUE LOS CONTROLES ADECUADOS ESTN EN SU LUGAR PARA HACER FRENTE A LA INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD DE LOS SISTEMAS INFORMTICOS Y LOS DATOS QUE POSEEN. POR LO GENERAL LOS PROPIETARIOS DE LOS SISTEMAS Y DE LA INFORMACIN SON RESPONSABLES DE LOS CAMBIOS EN SUS SISTEMAS DE TI. POR LO TANTO, POR LO GENERAL TIENEN QUE APROBAR Y FIRMAR LOS CAMBIOS EN SUS SISTEMAS DE TI (POR EJEMPLO, LA MEJORA DEL SISTEMA, LOS PRINCIPALES CAMBIOS EN EL SOFTWARE Y HARDWARE). BUSINESS AND FUNCTIONAL MANAGERS. ESTOS ADMINISTRADORES SON LAS PERSONAS CON LA AUTORIDAD Y LA RESPONSABILIDAD DE TOMAR LAS DECISIONES TRADE-OFF ESENCIALES DE CUMPLIMIENTO DE LA MISIN. SU PARTICIPACIN EN EL PROCESO DE
GESTIN DE RIESGOS PERMITE A LA CONSECUCIN DE LA SEGURIDAD ADECUADA PARA LOS SISTEMAS DE TI, QUE, SI SE GESTIONA
ADECUADAMENTE, PROPORCIONAR EFICACIA DE LA MISIN CON UN GASTO MNIMO DE RECURSOS. ISSO. DIRECTORES DE LOS PROGRAMAS DE SEGURIDAD DE TI Y LOS OFICIALES DE SEGURIDAD INFORMTICA SON LOS RESPONSABLES DE LOS PROGRAMAS DE SEGURIDAD DE SUS ORGANIZACIONES, INCLUYENDO LA GESTIN DE RIESGOS. POR LO TANTO, JUEGAN UN PAPEL DE LIDERAZGO EN LA INTRODUCCIN DE UNA METODOLOGA ADECUADA Y
ESTRUCTURADA PARA AYUDAR A IDENTIFICAR, EVALUAR Y MINIMIZAR LOS RIESGOS DE ' LOS SISTEMAS DE TI QUE SOPORTAN ACTAN SUS
ORGANIZACIONES
MISIONES.
ISSOS
TAMBIN
COMO
CONSULTORES PRINCIPALES EN APOYO DE LA ALTA DIRECCIN PARA ASEGURAR QUE ESTA ACTIVIDAD SE LLEVA A CABO DE MANERA CONTINUA. IT SECURITY PRACTITIONERS. PROFESIONALES DE LA SEGURIDAD (POR EJEMPLO, REDES, SISTEMAS, APLICACIONES ESPECIALISTAS Y ADMINISTRADORES INFORMTICOS; DE BASES DE DE DATOS , ,
ANALISTAS
SEGURIDAD
CONSULTORES DE SEGURIDAD ) SON RESPONSABLES DE LA CORRECTA APLICACIN DE LOS REQUISITOS DE SEGURIDAD EN SUS SISTEMAS DE TI. MEDIDA QUE SE PRODUCEN CAMBIOS EN EL ENTORNO DEL SISTEMA DE TI EXISTENTE (POR EJEMPLO, LA EXPANSIN DE LA CONECTIVIDAD DE RED, CAMBIOS EN LA INFRAESTRUCTURA EXISTENTE Y LAS POLTICAS DE ORGANIZACIN, LA INTRODUCCIN DE NUEVAS TECNOLOGAS) , LOS PROFESIONALES DE SEGURIDAD DE TI DEBEN APOYAR O UTILIZAR EL PROCESO DE GESTIN DE RIESGOS PARA IDENTIFICAR Y EVALUAR NUEVAS POSIBILIDADES RIESGOS E IMPLEMENTAR NUEVOS CONTROLES
SECURITY AWARENESS TRAINERS (SECURITY/SUBJECT MATTER PROFESSIONALS). SON LOS USUARIOS DE LOS SISTEMAS DE TI. EL USO DE LOS SISTEMAS Y DATOS INFORMTICOS DE ACUERDO CON LAS POLTICAS DE LA ORGANIZACIN, PAUTAS Y NORMAS DE COMPORTAMIENTO ES
ORGANIZACIN. PARA MINIMIZAR EL RIESGO DE LOS SISTEMAS DE TI, ES ESENCIAL QUE LOS USUARIOS DEL SISTEMA IMPARTA Y LA APLICACIN SE EN LA LA
SEGURIDAD DE LOS FORMADORES O DE SEGURIDAD IT / PROFESIONALES EN LA MATERIA DEBEN ENTENDER EL PROCESO DE GESTIN DE RIESGOS PARA QUE PUEDAN DESARROLLAR MATERIALES DE
FORMACIN ADECUADOS E INCORPORAR LA EVALUACIN DE RIESGOS EN LOS PROGRAMAS DE FORMACIN PARA EDUCAR A LOS USUARIOS FINALES.
EVALUACION DE RIESGO
EL PROCESO DE ANLISIS DE RIESGOS DEFINIDO EN LA METODOLOGA NIST SP 800-30 PUEDE RESUMIRSE EN EL SIGUIENTE GRFICO [NIST80030.02]:
EJEMPLO ANLISIS DE RIESGOS Y GESTIN DE RIESGOS SON PROCESOS CONTINUOS. AGENCIAS DEL GOBIERNO FEDERAL ESTN OBLIGADOS POR LEY A EVALUAR EL RIESGO DE LOS SISTEMAS DE INFORMACIN CADA TRES AOS. ESTA NUEVA EVALUACIN ES UN BUEN PUNTO DE REFERENCIA DESDE EL QUE DETERMINAR UN MARCO DE TIEMPO APROPIADO. NIST SP 800-37, "GUA PARA LA APLICACIN DEL MARCO DE GESTIN DEL RIESGO DE LOS SISTEMAS DE INFORMACIN FEDERALES: UN ENFOQUE DE CICLO DE VIDA DE SEGURIDAD", TIENE UN DIAGRAMA QUE ILUSTRA ESTE PROCESO DE GESTIN DE RIESGOS EN CURSO, COMO SE ILUSTRA EN LA FIGURA 1.
CONCLUSION.
ES IMPORTANTE QUE LAS EMPRESAS TOMEN EN CUENTA NORMAS COMO NIST SP 800-37 PARA SALVAGUARDAR SU INFORMACIN, YA QUE HOY EN DA ES PRECISAMENTE ESTA LA QUE MAS IMPORTANCIA TIENE, INCLUSO PODEMOS MENCIONAR QUE LA EMPRESA NO SOLO DEBE CUIDAR SUS FINANZAS, SU INFORMACION DEBE SER INTEGRA, CON DISPONIBILIDAD PARA LAS PERSONAS ADECUADAS Y LO MAS IMPORTANTE
CONFIDENCIAL. EL SEGUIMIENTO DE NIST SP 800-37 PERMITE UNA CREACIN DE POLTICAS Y PROCEDIMIENTOS QUE ESTABLECEN CONTROLES DE SEGURIDAD PARA LA INFORMACIN Y LOS ACTIVOS ASOCIADOS, BRINDANDO PROTECCIN DESDE LO PROCEDIMENTAL HASTA LO TCNICO DENTRO DE LA ORGANIZACIN, OFRECINDOLE CONFIANZA A NIVEL INTERNO Y EXTERNO GRACIAS AL NIVEL DE SEGURIDAD PROVISTO.
REFERENCIAS
COMPUTER SYSTEMS LABORATORY BULLETIN. THREATS TO COMPUTER SYSTEMS: AN OVERVIEW. MARCH 1994. NIST INTERAGENCY REPORTS 4749. SAMPLE STATEMENTS OF WORK FOR FEDERAL COMPUTER SECURITY SERVICES: FOR USE IN-HOUSE OR CONTRACTING OUT. DECEMBER 1991. NIST SPECIAL PUBLICATION 800-12. AN INTRODUCTION TO COMPUTER SECURITY: THE NIST HANDBOOK. OCTOBER 1995. NIST SPECIAL PUBLICATION 800-14. GENERALLY ACCEPTED PRINCIPLES AND PRACTICES FOR SECURING INFORMATION TECHNOLOGY SYSTEMS. SEPTEMBER 1996. CO-AUTHORED WITH BARBARA GUTTMAN. NIST SPECIAL PUBLICATION 800-18. GUIDE FOR DEVELOPING SECURITY PLANS FOR INFORMATION TECHNOLOGY SYSTEMS. DECEMBER 1998. COAUTHORED WITH FEDERAL COMPUTER SECURITY MANAGERS' FORUM WORKING GROUP. NIST SPECIAL PUBLICATION 800-26, SECURITY SELF-ASSESSMENT GUIDE FOR INFORMATION TECHNOLOGY SYSTEMS. AUGUST 2001. NIST SPECIAL PUBLICATION 800-27. ENGINEERING PRINCIPLES FOR IT SECURITY. JUNE 2001. OMB CIRCULAR A-130. MANAGEMENT OF FEDERAL INFORMATION RESOURCES. APPENDIX III. NOVEMBER 2000.
10