CONTENIDO 1 OBJETIVO GLOSARIO DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

Transcripción

1 DE RIESGOS Página 1 de 21 CONTENIDO 1 OBJETIVO GLOSARIO DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES Metodología de Análisis de Riesgos Valoración de Activos Valoración de Amenazas y Vulnerabilidades Riesgos Aceptación del riesgo residual Revisión y monitoreo Plan de Tratamiento Nombre: John Edward Molano Hernández Cargo: Coordinador Grupo de Trabajo de Infraestructura Tecnológica y Seguridad Informática Fecha: Revisado y Aprobado por: Nombre: Oscar Javier Asprilla Cruz Cargo: Jefe Oficina de Tecnología e Informática Fecha: Aprobación Metodológica por: Nombre: Giselle Johanna Castelblanco Muñoz Cargo: Representante de la Dirección para el Sistema de Gestión de Calidad Fecha: Firma: (Original firmado) Firma: (Original firmado) Firma: (Original firmado) Cualquier copia impresa, electrónica o de reproducción de este documento sin la marca de agua o el sello de control de documentos, se constituye en copia no controlada. SC01-F02 Vr2 ( )

2 Página 2 de 21 1 OBJETIVO Desarrollar una metodología para la identificación, el análisis, la evaluación, las opciones para el tratamiento y la selección de controles para gestionar los riesgos de la seguridad de la información de la OTI de la SIC que produzca resultados comparables y reproducibles. 2 GLOSARIO Activo de información: Conforme con la norma ISO , un activo de información es cualquier cosa que tiene valor para la organización. Amenaza: Evento que tiene la propiedad potencial de dañar activos tales como información, procesos y sistemas y por lo tanto afectar las operaciones de la Entidad. Las amenazas pueden ser naturales, humanas, operacionales, sociales, tecnológicas y a las instalaciones (fuego, daños de agua), entre otras Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados. Control: Actividad, recurso, actuación o dispositivo que se usa para cumplir con una función. Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada. Impacto: Supone la pérdida de cualquier principio de seguridad de cada activo de información (confidencialidad, integridad y disponibilidad). Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos. Riesgo: Resultado de una amenaza que explota una vulnerabilidad. Su valor se obtiene en función de los 1 Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), NTC-ISO/IEC Tecnología de la Información. Técnicas de Seguridad. Gestión del Riesgo en la Seguridad de la Información, Colombia, 2008.

3 Página 3 de 21 valores de amenaza y vulnerabilidad. Tratamiento de Riesgo: Proceso de selección y puesta en aplicación de medidas para modificar el riesgo. Vulnerabilidad: Debilidad que puede ser explotada por amenazas para causar daños a los activos de la organización. Las vulnerabilidades no causan daño por si solas. 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES 3.1 Metodología de Análisis de Riesgos La asociación entre amenazas, vulnerabilidades, tipos de activos de información y controles de seguridad se da por medio del árbol de relaciones T.A:V.C que se encuentra por defecto en la herramienta de apoyo al SGSI (AGGIL). Para acceder al árbol de relaciones se debe presionar el botón Relaciones T.A.V.C del módulo ISO27001:2013, como se ilustra en la siguiente imagen: El árbol de relaciones T.A.V.C. puede ser visualizado de diferentes formas, mostrándose por defecto el siguiente orden: Tipo de Activo - Amenaza Vulnerabilidad Control. Con este árbol es fácil identificar cuáles son las amenazas asociadas a un tipo de activo en particular, cuáles son las vulnerabilidades explotadas por una amenaza y finalmente cuáles son los controles de seguridad de la norma ISO27001:2013 Anexo A que mitigan la existencia de dichas vulnerabilidades. Una visualización del árbol de relaciones T:A:V:C. para activos de tipo físico se muestra en la siguiente imagen:

4 Página 4 de 21 Un análisis de riesgos se comienza presionando el botón Análisis del módulo ISO27001:2013, como se ilustra en la siguiente imagen:

5 Página 5 de 21 Una vez allí se hace click en agregar y se diligencian los campos solicitados:

6 Página 6 de Valoración de Activos Al tener creado el análisis de riesgos, se debe valorar los activos de información. Para valorar los activos, se requiere que sus propietarios identifiquen las consecuencias que tendría para el negocio la pérdida de su confidencialidad, integridad o disponibilidad, en el peor caso posible, sin tener en cuenta medidas de seguridad existentes en la organización y de acuerdo con la siguiente codificación: Tabla 1. Codificación para Valoración de Activos Valoración CID Descripción Justificación 5 Supervivencia del negocio amenazada Requiere 4 Daño grave No requiere 3 Daño considerable No requiere 2 Daño menor No requiere 1 Daño insignificante No requiere Con el fin de obtener de obtener los impactos sobre el negocio a partir de la pérdida de los atributos de los activos, se han establecido dependencias entre los activos. Las dependencias se han establecido en el siguiente orden: 1. Información a. Servicio i. Software 1. Físicos a. Personal ii. Red 1. Persona 2. Procesos En este sentido, para asegurarse que se aplican todas las amenazas, vulnerabilidades y controles al análisis

7 Página 7 de 21 de riesgos, será necesario que exista al menos un activo de cada tipo (siempre que en el alcance se hayan detectado). Si alguno de los activos ya analizados debe ser re-categorizados, es importante mantener la historia de su categoría anterior, ya que esto debe reflejarse en los documentos generados, y adicionalmente supone una revisión en el análisis de riesgos para el activo re-categorizado. No se considerará activo de información, aquel que no cumpla con ninguno de los criterios especificados a continuación, ya que no tendrán ningún tipo de tratamiento. Lo mismo sucede cuando no puede ser catalogado dentro de la tipología de activos de información, o cuando éste no puede ser creado como una nueva categoría. Para facilitar el trabajo de identificación de los activos de información es indispensable que dichos activos sean categorizados por tipo, las siguientes son las categorías definidas para ello: Categoría de Activo Información Físico Servicio Personal Descripción Información vital para el negocio. Información personal privada según la Ley de Protección de Datos. Información estratégica requerida para alcanzar objetivos. Información de alto costo económico o en dedicación de recursos para conseguirla, almacenarla o procesarla. Elementos físicos que soportan los procesos de tratamiento de información y del negocio. Servicios relacionados con la seguridad o sus procesos Puesto de personal clave para la toma de decisiones relacionadas con la seguridad. Ejemplos de Activo Datos, Información de Bases de datos, archivos de documento digital, etc. Appliances, POS, lectores de tarjetas, servidores, etc. Servicio de correo, servicio de atención a usuarios, servicio de suscripción electrónica, etc. Directivos, desarrolladores, administradores, contadores, etc.

8 Página 8 de 21 Software Cualquier software de cliente final, como suites de ofimática, correo, edición de documentos, etc. Programas informáticos, adquiridos, desarrollados o mantenidos. Procesos Procesos cuya pérdida o degradación pueda hacer imposible llevar adelante la misión de la organización. Procesos que sean secretos o utilicen tecnología propietaria. Procesos necesarios para el cumplimiento legal, regulatorio o contractual. Red Elementos de la infraestructura de telecomunicaciones. Aplicativos, Motor de bases de datos, Página Web, etc. Proceso de seguridad de la información. Enrutadores, switches, etc. Una vez creado el nuevo análisis de riesgos y entendida la tabla de valoración de los activos de información, se debe proceder a valorarlos, seleccionando el análisis de riesgos, y haciendo click en en boton Activos se abre una nueva pestaña para su valoración, tal como se indica en las siguientes imágenes:

9 Página 9 de Valoración de Amenazas y Vulnerabilidades Una vez valorados los activos de información se procede a realizar la valoración de las amenazas y vulnerabilidades vinculadas a cada activo. Este procedimiento se realiza ingresando al menú Analisis de Riesgos en la opción Análisis del módulo ISO27001:213.

10 Página 10 de 21 Y luego se hace click en el boton amenazas: A continuación se desplega una ventana en la cual se debe seleccionar del menú desplegable Grupos, el grupo de activos que se desea valorar dentro de las siguientes opciones: Activos de Información Digital, Activos de Información Física, Activos de Servicio, Activos de Software, Activos Físicos, Activos Persona y No agrupados. Despues de seleccionar cada grupo de activos aparecerán el conjunto de amenazas asociadas y para cada amenaza el conjunto de vulnerabilidades aplicables; las cuales se deben ir serleccionando una por una para realizar la valoración.

11 Página 11 de 21 Una vez se hayan listados las amenazas y vulnerabilidades vinculadas al grupo de activos, se deben valorar con los siguientes criterios: Nivel de Amenaza Descripción Justificación La amenaza se considera presente y con alta probabilidad de que explote vulnerabilidades dentro del alcance. La amenaza se considera presente y con media probabilidad de que explote vulnerabilidades dentro del alcance. La amenaza se considera presente y con baja probabilidad de que explote vulnerabilidades dentro del alcance. La amenaza no está presente en el entorno del alcance de la implantación. No requiere No requiere Requiere Requiere El oficial de seguridad de la información utilizará la información contenida en la siguiente tabla para evaluar cada vulnerabilidad en función del grado de cumplimiento de los controles que la mitigan: Vulnerabilidad Descripción Justificación 5 La vulnerabilidad ha sido explotada en el pasado, más allá del No requiere

12 Página 12 de nivel de implantación del control. Es muy probable que la vulnerabilidad sea explotada en el futuro ya que el control no se ha implantado. Es probable que la vulnerabilidad sea explotada en el futuro, ya que el control se ha implantado parcialmente. Es poco probable que la vulnerabilidad sea explotada en el futuro, ya que el control está implantado. Es muy improbable que la vulnerabilidad sea explotada, ya que el control está implantado y auditado. La vulnerabilidad no aplica al activo, por lo que el control no se aplica. No requiere Requiere Requiere Requiere Requiere 3.4 Riesgos Una vez finalizada la valoración anterior, se procede a ir al menú RIESGOS, alli se muestran los activos y el nivel de riesgo en términos de integridad, confidencialidad y disponibilidad. En este lugar tambien se decide si el riesgo se debe tratar, aceptar o transferir el riesgo.

13 Página 13 de 21 El nivel de riesgo de los activos de información de la organización se obtiene por medio de multiplicar el valor de impacto del atributo de los activos por el nivel de amenaza y de vulnerabilidad: = * ( * ) : Riesgo del Atributo (Confidencialidad, Integridad, Disponibilidad) : Impacto del Atributo (Confidencialidad, Integridad, Disponibilidad) : Amenaza sobre el Atributo V : Vulnerabilidad del activo El valor de los activos de información es estático, tal y como lo han determinado los propietarios de dichos

14 Página 14 de 21 activos. Anualmente se revisará esta valoración sobre activos existentes por si la pérdida de alguno de sus atributos representase un impacto mayor por cambios en el sistema, por ejemplo debido a nuevas regulaciones legales o contractuales. La metodología de evaluación de riesgos consiste en comparar las medidas de seguridad implantadas actualmente con los controles de seguridad de la información establecidos en el anexo A de la norma NTC ISO/IEC 27001:2013, e identificar y gestionar las vulnerabilidades existentes o potenciales en los procesos y sistemas de información de la organización. Los posibles valores de riesgo se representan en la siguiente figura: Valor del Activo Nivel de Amenaza Nivel de Vulnerabilidad Nivel de Riesgo Los datos reflejados en la tabla anterior se interpretarán de la siguiente manera: Nivel de Riesgo Descripción No es necesario adoptar ninguna medida. El nivel de riesgo es suficientemente bajo y no justifica la implantación de controles adicionales. La dirección de la empresa, o un delegado de esta, determinará el nivel de los riesgos que son aceptables o no a su juicio. El nivel de riesgos no es aceptable, y sólo se podrán excluir controles que los mitiguen justificando dicha exclusión por parte de la dirección de la empresa. El responsable de

15 Página 15 de 21 seguridad que gestiona el SGSI determinará los controles que tendrán que aplicarse para mitigar los riesgos Gestión del riesgo Se establecen cuatro métodos para la gestión de riesgos: Aceptar. Tratar. Transferir. Evitar Aceptar el riesgo La Dirección de la OTI puede aceptar riesgos que no tratará de ninguna manera en los casos que: El riesgo sea menor o igual al nivel de riesgo aceptable. El costo de tratar el riesgo sea mayor que el daño que pueda causar su impacto. El costo de tratar el riesgo no pueda ser asumido económicamente por la empresa. En este caso deberán considerarse opciones adecuadas al presupuesto para el tratamiento aunque no sean las idóneas. Para cualquiera de estas situaciones, se justificará debidamente las razones por las que el riesgo se acepta Tratar el riesgo La Dirección de la OTI decidirá, a su juicio, la prioridad en la implantación de las medidas de tratamiento de riesgo, en proporción al nivel de riesgo, la facilidad de la implantación, el costo o a los cambios en la organización.

16 Página 16 de Riesgo ALTO: si el nivel de riesgo resultante para un activo es igual o superior a 49, la Dirección se remitirá a la norma NTC-ISO/IEC ISO 27001:2013 Anexo A para seleccionar los objetivos de control y controles que mitiguen el riesgo a un nivel aceptable y que encajen con los requisitos establecidos por la organización. En relación a los activos y a sus vulnerabilidades/amenazas asociadas, se implantarán todos los controles adicionales que tengan un efecto positivo en el negocio o en los procesos existentes y cuyo costo sea aceptable. 2. Riesgo MODERADO: el Comité de Seguridad puede aceptar un riesgo con un nivel entre 25 y 49 por cualquiera de las razones expuestas a continuación: a) El control o el proceso asociado no está alineado con la cultura de la organización. b) El personal necesario para su operación no está disponible. c) Los recursos económicos necesarios no están disponibles. d) No existe un beneficio claro para la organización. e) El costo de implantación del control supera el costo del activo que protege o el costo de una brecha de seguridad actual o futura. La aceptación del riesgo debe quedar documentada en las actas de reunión del Comité de Seguridad. En caso de no aceptación del riesgo, se actuará, como se indica para el caso de riesgo ALTO, seleccionando los procedimientos, mejores prácticas y mecanismos que mitiguen el riesgo a un nivel aceptable. 3. Riesgo BAJO: Los niveles de riesgo entre 1 y 24 son bajos y no requieren actuación ninguna. Se determina que un riesgo ALTO es inaceptable para la organización, a menos que así lo decida la Dirección y sobre el que dependa la propiedad y el derecho de uso del activo afectado mediante la justificación de dicha decisión.

17 Página 17 de Transferir el riesgo Cuando sea conveniente, la organización podrá transferir el riesgo a otras entidades. El responsable de seguridad es el encargado de asegurarse de que las responsabilidades que han sido transferidas son proporcionales al riesgo y de que sus colaboradores, proveedores o socios de negocio están conscientes de dichas responsabilidades. En caso de optar por transferir un riesgo, las acciones tomadas deben quedar documentadas y ser revisadas por el responsable de seguridad de la información. Las responsabilidades transferidas se reflejarán en acuerdos de nivel de servicio. Se registrarán las actuaciones llevadas adelante en la transferencia de los riesgos Evitar el riesgo La organización también puede optar por evitar el riesgo cesando un proceso o actividad o modificando la forma en que éste se lleva a cabo. En caso de optar por evitar un riesgo, las acciones tomadas deben quedar documentadas y ser revisadas por el responsable de seguridad. Si el proceso o actividad son modificados, deberá realizarse el análisis de riesgos para el proceso o actividad modificada, no así en caso de cese del mismo. Se registrarán las actuaciones llevadas adelante para evitar los riesgos. 3.5 Aceptación del riesgo residual Como se ha definido, el riesgo residual para cualquiera de los activos y una vez aplicados las medidas de control previstas deberían situarse en un rango de valores por debajo del valor de riesgo aceptable determinado por la Dirección de la OTI. Para aquellos casos en que, tras el tratamiento con los controles previstos, se determine un nivel de riesgo moderado, se deberá obtener la aprobación de la Dirección de la OTI para aceptar el riesgo residual resultante, lo que se documentará mediante Acta de reunión del Comité de Seguridad.

18 Página 18 de 21 Vulnerabilidad Residual Descripción La vulnerabilidad residual es parcial ya que el activo ha sido evaluado metodológicamente y se ha decidido aceptar su riesgo. Es poco probable que la vulnerabilidad residual sea explotada en el futuro, ya que el conjunto de controles estará implantado. Es muy improbable que la vulnerabilidad residual sea explotada, ya que el conjunto de controles estará implantado y auditado. La vulnerabilidad residual no aplica al activo porque la amenaza no aplica, o porque el conjunto de controles no aplica. Justificación No Requiere No Requiere No Requiere No Requiere Para realizar esta actividad, es necesario hacer click dentro de la pantalla de análisis al botón RESIDUAL: Después de esto se desplegará una nueva pestaña en la cual se valora el riesgo residual que puede llegar a existir después de implementados los controles (con las consideraciones descritas en la tabla anterior), de esta manera se obtiene el riesgo total de este análisis:

19 Página 19 de Revisión y monitoreo El análisis de riesgos se repetirá con un intervalo anual, partiendo de los niveles de riesgo residual del análisis anterior. Teniendo en cuenta las incidencias, no conformidades, auditorías internas, nuevos requisitos de seguridad de las partes interesadas, cambios en la legislación, riesgos no contemplados, nuevos riesgos por cambios en los sistemas de información, indicadores de la efectividad de los controles implantados y el valor de riesgo aceptable definido por la dirección para ese año se modifican los valores de vulnerabilidad en el nuevo análisis revisión del anterior. Esta revisión requiere información del ciclo de mejora continua del SGSI. Si en la revisión del análisis, se debe modificar el valor propuesto (residual en el análisis anterior), se debe justificar su cambio, ya sea por empeorar o por mejorar la valoración residual propuesta el año anterior. Si el valor de los riesgos que se obtienen a partir de este análisis excede el valor aceptable, se determina qué controles es necesario implantar o reforzar, incluyendo sólo estos en el Plan de Tratamiento asociado con este análisis de riesgos, definiendo el valor del riesgo residual tras su implantación. Las revisiones podrán llevarse a cabo antes de la fecha prevista si hay factores determinantes que lo aconsejen. En cualquier caso,

20 Página 20 de 21 se tendrán en cuenta las situaciones que pueden requerir que se revise el análisis de riesgos incluyendo: 1. Cambios en la organización, los objetivos de negocio, los procesos o en el alcance del SGSI. 2. Cambios tecnológicos. 3. Cambios en las amenazas identificadas o en los requisitos externos (legales, contractuales). 4. Efectividad de los controles implantados. 5. Nuevos requisitos de seguridad de las partes interesadas. Cada análisis realizado se guarda como registro y se realiza una comparación del valor de riesgo máximo anual de forma de representar la evolución del riesgo. 3.7 Plan de Tratamiento Para ejecutar el plan de tratamiento a los controles a los cuales sea necesario ejecutar actividades específicas, es necesario ir al menú general del SGSI (ISO 27001) y seleccionar PLAN DE TRATAMIENTO: Posteriormente saldrán todos los controles a los cuales sea necesario realizar el plan de tratamiento, y así mismo mediante la opción editar, se podrán generar nuevas actividades, asignación de presupuesto, asignación de responsables, etc.

21 Página 21 de 21