Análisis De Riesgos Dinámicos

Análisis de Riegos Dinámicos (DRA)

El Análisis de Riesgos Dinámicos (DRA) es el propio Análisis de Riesgos (AARR) pero aplicado de forma continua, todo lo que varíe y pueda afectar a la seguridad debe de tenerse en consideración para recalcular el riesgo.

DRA en Sistemas de Información

Continúa ampliando el estudio al DRA, presentándolo como un proceso que debe de ser continuo y automático, y no aplicado a intervalos discretos como se propone en. Analiza los principales trabajos sobre AARR aplicado a TI, de los que destaca por contemplar el ciclo natural de un DRA. Este ciclo contiene una valoración inicial del riesgo procedente de metodologías de análisis, una realimentación proveniente de la detección de incidentes de seguridad, y por último la evaluación de las acciones tomadas con el apoyo de estas metodologías.

Prosigue presentando los principales enfoques del DRA para

SI:

– Alimentación desde BBDD. Enumera formatos estandarizados como CVE y repositorios como la National Vulnerability Database del NIST.

– Grafos y ´arboles de ataque. Resalta el uso de redes bayesianas para el cálculo del riesgo.

– Monitorización del estado del sistema. Ejemplo IDSs.

En el trabajo se señala que, ocasionalmente se tratan los términos de real-time y online risk assessment como sinónimos de dynamic risk assessment. Desde el punto de vista de este artículo estos términos no podrían ser sinónimos, por lo que deberían clasificarse como métodos online, ya que si bien abarcan el estudio del AARR desde una faceta dinámica, únicamente lo hacen desde el enfoque de los incidentes de seguridad.

El enfoque que sugiere para el DRA, como actividad continua y actualizable en tiempo real, podría aplicarse únicamente al tratamiento online de los incidentes de seguridad, pero probablemente no al total de elementos que modifican el riesgo y que representan el DRA (offline). Por lo anterior se considera que se debe recurrir a ciclos discretos de revisión (PDCA), o a ciclos continuos en su revisión online, cuyos resultados no se podrían reflejar instantáneamente en el cálculo del riesgo debido al complejo estudio que conllevan.

DRA en Sistemas de Respuesta ante Intrusiones

Las métricas son la herramienta usada por los AIRS para determinar y evaluar las respuestas. Es en estas métricas donde se incluyen los resultados del análisis de riesgos.

Otro aspecto que plantea dudas es la extensión de su AARR a DRA, ya que en la fase offline necesitaría algún tipo de realimentación que influyese en la revisión del riesgo.

EL PROBLEMA DIMENSIONAL ENTRE EL DRA Y LOS AIRS

El título del apartado pretende resaltar la distancia existente entre el campo del DRA y el de los AIRS. A continuación se presentan los principales retos que hacen que su interrelación resulte compleja pero conveniente.

1. Carácter Preventivo frente a Reactivo. El análisis de riesgos es un estudio preventivo que sugiere qué hacer en caso de que algo negativo ocurra. Su fin no es responder a las amenazas, sino proponer soluciones y estimar riesgos. Por el contrario, los AIRS tienen como fin actuar, y aunque necesiten analizar ciertos factores que aseguren la calidad de las respuestas, no realizan un estudio exhaustivo o integral del entorno. Como se verá, el nexo entre lo preventivo del AARR y lo reactivo de los AIRS es el concepto de nivel de confianza.

2. Actividad a Medio-Largo Plazo frente a Tiempo Real.

Una de las propiedades deseables de los AIRS es su rapidez de respuesta, mientras que el análisis de riesgos es una actividad ardua, continua y cíclica, en la que prima más el buen análisis a medio-largo plazo que un reajuste rápido de la situación. Por ello el AIRS hace uso de resultados previamente calculados por los elementos offline del AARR, reajustando y orientando

...