Matriz De Seguridad

Introducción

El primer paso en la Gestión de riesgo es el análisis de riesgo que tiene como propósito determinar los componentes de un sistema que requieren protección, sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.

La clasificación de datos tiene el propósito de garantizar la protección de datos (personales) y significa definir, dependiendo del tipo o grupo de personas internas y externas, los diferentes niveles de autorización de acceso a los datos e informaciones. Considerando el contexto de nuestra misión institucional, tenemos que definir los niveles de clasificación como por ejemplo: confidencial, privado, sensitivo y público. Cada nivel define por lo menos el tipo de persona que tiene derecho de acceder a los datos, el grado y mecanismo de autenticación.

Existen varios métodos de como valorar un riesgo y al final, todos tienen los mismos retos -las variables son difíciles de precisar y en su mayoría son estimaciones- y llegan casi a los mismos resultados y conclusiones.

En el ámbito de la Seguridad Informática, el método más usado es el Análisis de Riesgo.

La valoración del riesgo basada en la fórmula matemática

Riesgo = Probabilidad de Amenaza x Magnitud de Daño

Para la presentación del resultado (riesgo) se usa una gráfica de dos dimensiones, en la cual, el eje-x (horizontal, abscisa) representa la “Probabilidad de Amenaza” y el eje-y (vertical, ordenada) la “Magnitud de Daño”. La Probabilidad de Amenaza y Magnitud de Daño pueden tomar condiciones entre Insignificante (1) y Alta (4). En la práctica no es necesario asociar valores aritméticos a las condiciones de las variables, sin embargo facilita el uso de herramientas técnicas como hojas de cálculo.

MATRIZ PARA ANALISIS DE RIESGO

La Matriz para el Análisis de Riesgo, es producto del proyecto de Seguimiento al “Taller Centroamericano Ampliando la Libertad de Expresión: Herramientas para la colaboración, información y comunicación seguras” y fue punto clave en analizar y determinar los riesgos en el manejo de los datos e información de las organizaciones sociales participantes.

Hay que tomar en cuenta que el análisis de riesgo detallado, es un trabajo muy extenso y consumidor de tiempo, porque requiere que se compruebe todos los posibles daños de cada recurso de una institución contra todas las posibles amenazas, es decir terminaríamos con un sinnúmero de grafos de riesgo que deberíamos analizar y clasificar.

Por otro lado, hay que reconocer que la mayoría de las organizaciones sociales centroamericanas no cuentan con personal técnico específico para los equipos de computación, ni con recursos económicos o mucho tiempo para dedicarse o preocuparse por la seguridad de la información que manejan y en muchas ocasiones tampoco por la formación adecuada de sus funcionarios en el manejo de las herramientas informáticas.

Entonces lo que se pretende con el enfoque de la Matriz es localizar y visualizar los recursos de una organización, que están más en peligro de sufrir un daño por algún impacto negativo, para posteriormente ser capaz de tomar las decisiones y medidas adecuadas para la superación de las vulnerabilidades y la reducción de las amenazas.

Fundamento de la Matriz

La Matriz la basé en el método de Análisis de Riesgo con un grafo de riesgo, usando la formula Riesgo = Probabilidad de Amenaza x Magnitud de Daño

La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y condiciones respectivamente.

Amenaza: Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir daño (material o inmaterial) sobre los elementos (activos, recursos) de un sistema.

• 1 = Insignificante

• 2 = Baja

• 3 = Mediana

• 4 = Alta

El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por Magnitud de Daño, está agrupado en tres rangos, y para su mejor visualización, se aplica diferentes colores.

• Bajo Riesgo = 1 – 6 (verde)

• Medio Riesgo = 8 – 9 (amarillo)

• Alto Riesgo = 12 – 16 (rojo)

USO DE LA MATRIZ

La Matriz contiene una colección de diferentes Amenazas (campos verdes) y Elementos de información (campos rojos). Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Daño (campos amarillas) por cada Elemento de Información.

Para la estimación de la Probabilidad de amenazas, se trabaja con un valor generalizado, que (solamente) está relacionado con el recurso más vulnerable de los elementos de información, sin embargo usado para todos los elementos. Si por ejemplo existe una gran probabilidad de que nos pueden robar documentos y equipos en la oficina, porque ya entraron varias veces y no contamos todavía con una buena vigilancia nocturna de la oficina, no se distingue en este momento entre la probabilidad si robarán una portátil, que está en la oficina (con gran probabilidad se van a llevarla), o si robarán un documento que está encerrado en una caja fuerte escondido (es menos probable que se van a llevar este documento).

Este proceder obviamente introduce algunos resultados falsos respecto al grado de riesgo (algunos riesgos saldrán demasiado altos), algo que posteriormente tendremos que corregirlo. Sin embargo, excluir algunos resultados falsos todavía es mucho más rápido y barato, que hacer un análisis de riesgo detallado, sobre todo cuando el enfoque solo es combatir los riesgos más graves.

Dependiendo de los valores de la Probabilidad de Amenaza y la Magnitud de Daño, la Matriz calcula el producto de ambos variables y visualiza el grado de riesgo.

Dependiendo del color de cada celda, podemos sacar conclusiones no solo sobre el nivel de riesgo que corre cada elemento de información de sufrir un daño significativo, causado por una amenaza, sino también sobre las medidas de protección necesarias

• Proteger los datos de RR.HH, Finanzas contra virus

• Proteger los datos de Finanzas y el Coordinador contra robo

• Evitar que se compartan las contraseñas de los portátiles

También, como se mencionó anteriormente, existen combinaciones que no necesariamente tienen mucho sentido y por tanto no se las considera para definir medidas de protección

• Proteger el Personal (Coordinador y Personal técnico) contra Virus de computación

• Evitar la falta de corriente para el Coordinador

Elementos de la Matriz

La Matriz la basé en una hoja de cálculo. Existe la versión en Open Office y Microsoft PowerPoint y se recomienda usar el formato que corresponde con el sistema operativo donde se la usa, debido a algunos problemas de compatibilidad entre ambos formatos.

La Matriz del análisis de riesgo está compuesta por 6 hojas

1.- Datos: Es la hoja para valorar el riesgo para los Elementos de Información “Datos e Informaciones”, llenando los campos “Magnitud de Daño” y “Probabilidad de Amenaza” conforme a sus valores estimados (solo están permitidos valores entre 1 y 4). Los valores de Probabilidad de Amenaza solo se aplica en está hoja, porque las demás hojas, hacen referencia a estos.

2.- Sistemas: Es la hoja para valorar el riesgo para los Elementos de Información “Sistemas e Infraestructura”. Hay que llenar solo los valores de Magnitud de Daño, debido a que los valores de Probabilidad de Amenaza están copiados automáticamente.

3.- Personal: Es la hoja para valorar el riesgo para los Elementos de Información “Personal”..

4.- Análisis Promedio: Esta hoja muestra el promedio aritmético de los diferentes riesgos, en relación con los diferentes grupos de amenazas y daños. La idea de esta hoja es ilustrar, en que grupo (combinación de Probabilidad de Amenaza y Magnitud de Daño) hay mayor o menor peligro. No hay nada que llenar en esta hoja.

5.- Análisis Factores: Esta hoja tiene el mismo propósito como la hoja “Análisis Promedio”, con la diferencia que esta vez el promedio aritmético de los grupos está mostrado en un grafo, dependiendo de la Probabilidad de Amenaza y Magnitud de Daño. La línea amarilla muestra el traspaso de la zona Bajo Riesgo a Mediano Riesgo y la línea roja, el traspaso de Mediano riesgo a Alto Riesgo. La idea de esta hoja es ilustrar el nivel de peligro por grupo y la influencia de cada factor (Probabilidad de amenaza, Magnitud de Daño).

6.- Fuente: Esta hoja se usa solo para la definición de algunos valores generales de la matriz.

Adaptación de la Matriz a las necesidades individuales

La Matriz trabaja con una colección de diferentes Amenazas y Elementos de información. Ambas colecciones solo representan una aproximación a la situación común de una organización, pero no necesariamente reflejan la realidad de una organización específica. Entonces si hay necesidad de adaptar la Matriz a la situación real de una organización, solo hay que ajustar los valores de las Amenazas en la hoja “1_Datos” (solo en esta) y los Elementos de información en su hoja correspondiente. Pero ojo, si hay que insertar, quitar filas o columnas, se recomienda hacerlo con mucho cuidado, debido a que se corre el peligro de introducir errores en la presentación y el cálculo de los resultados.

MÉTODO RMPP (RISK MANAGEMENT AND PREVENTION)

INTRODUCCION

La evaluación

...