Por. Ing. José Iván Ramírez Carreño
CISSP / ITIL / ISO 27001 LA / CEH / PCI ISA
16 de septiembre 2020
Uno de los recursos más importantes con los que cuenta un responsable de seguridad de información (CISO) para la elaboración de su estrategia de seguridad alineada a los objetivos y prioridades del negocio, es el análisis de riesgos de TI.
El análisis de riesgos de TI permite identificar cuáles son las principales vulnerabilidades en los servicios de TI que pueden ser explotadas por diferentes amenazas, tanto internas como externas, y que potencialmente pueden generar un impacto importante en la confidencialidad, integridad y disponibilidad de la información que es utilizada en los procesos del negocio.
Existen diferentes marcos de referencias o guías para la realización de un análisis de riesgos. Uno de los más utilizados por su enfoque y alineación al contexto de seguridad de información es el ISO/IEC 27005:2008 Information Security Risk Management, el cual forma parte de la familia de los estándares de seguridad de la serie ISO 27000.
Fig. 1 – Proceso de gestión de riesgos ISO 27005:2008
La norma ISO/IEC 27005 proporciona las directrices para gestionar los riesgos que puede sufrir la información de una empresa, básicamente se apoya en el ISO/IEC 27001, centrándose principalmente en los requisitos de seguridad de la información.
En la práctica es muy importante identificar las figuras y roles que se deben involucrar durante la ejecución de este proceso, con el objetivo de obtener resultados más asertivos y alineados a los requerimientos de la organización. Uno de los principales desafíos para el responsable de seguridad de información o CISO, será el traducir cómo afectan las amenazas y riesgos tecnológicos en impactos tangibles y reales para la organización ante una audiencia que tomará decisiones y que no tiene regularmente una formación o experiencia técnica.
A continuación se enumeran los 5 pasos importantes que se recomienda seguir con el objetivo de generar un vínculo entre las áreas de negocio y los especialistas en TI durante el proceso de análisis de riesgos:
Fig 2. Metodología para análisis y evaluación de riesgo tecnológico
1.- Identificación de servicios críticos de TI: El primer paso es entender el contexto de la organización e identificar con apoyo de los usuarios claves de negocio, cuáles servicios de TI son críticos para soportar los procesos que forman parte de la columna vertebral de la empresa, procesos clave que al verse comprometidos o interrumpidos generarían un impacto inmediato en las operaciones del negocio; aquí es donde inicia la alineación entre TI y el negocio, identificando las piezas importantes que deben ser analizadas. En este primer paso es recomendable enumerar los servicios y aplicativos de TI tal y como lo conocen los usuarios del negocio (Ej: ERP, telefonía, correo electrónico, CRM, WMS, etc.), en este primer nivel no es necesario enlistar o inventariar detalladamente los componentes técnicos que soportan a dichos servicios de TI.
2.-Evaluación del impacto. El siguiente paso es definir la escala y los criterios de manera estandarizada sobre cómo serán evaluados los impactos al negocio en caso de existir una afectación en la confidencialidad, integridad y disponibilidad de los servicios de TI críticos. Los impactos al negocio pudieran clasificarse y evaluarse como financieros, operativos, legales, humanos y/o reputacionales. Las áreas de negocio son las que mejor conocen y más sensibles están respecto al impacto que puede sufrir la organización cuando un servicio de TI se interrumpe o cuando de manera no autorizada la información se ve comprometida. La evaluación del impacto debe realizarse con los usuarios clave de los procesos de negocio por medio de talleres o entrevistas.
3.-Identificación del estado actual de controles TI. En este paso, los jugadores más importantes serán los especialistas técnicos (Subject Matter Experts) como son los administradores de sistemas, bases de datos, telecomunicaciones o de soporte técnico; durante esta etapa se deberá desglosar con mayor nivel de detalle los componentes técnicos que soportan a los servicios de TI críticos identificados en el paso 1 (Ej: servidores, routers, firewalls, componentes de almacenamiento, etc.). Durante esta etapa, las entrevistas o talleres tienen como objetivo analizar con apoyo de los administradores de tecnología los controles y prácticas de seguridad que hoy se tienen implementadas para la protección de los sistemas de TI; importante considerar que los controles a evaluar podrán ser normativos (Ej: políticas, procesos, procedimientos), tecnológicos (Ej: antivirus, respaldos, bitácoras de eventos, alta disponibilidad, segmentación de red) o físicos (Ej: control de acceso al centro de datos, suministro alterno de energía, guardias). Existen numerosas guías y marcos de referencia disponibles de controles de seguridad (ISO/IEC 27002, NIST 800-53, CIS 20 Controls) que pueden apoyar en la evaluación de la situación actual de los controles de seguridad y con ello evaluar el nivel de exposición que tienen actualmente los componentes tecnológicos ante potenciales amenazas.
4.-Evaluación de las amenazas: El CISO o responsable de seguridad de información de información deberá evaluar el nivel de exposición y probabilidad de ocurrencia ante amenazas internas o externas que puedan explotar las vulnerabilidades existentes en los activos tecnológicos identificados en el paso anterior. El catálogo existente de amenazas en los anexos de ISO 27005:2008, pueden servir como referencia y punto de partida para identificar factores de riesgo de tipo ambiental (Ej: inundación, huracán, terremoto), tecnológico (Ej: código malicioso, fallas técnicas, bugs) o humanos (Ej: hackers, sabotaje, errores humanos) que puedan comprometer potencialmente las operaciones del negocio.
5.Evaluación de riesgos: Finalmente con la información obtenida en los pasos anteriores, el CISO o el responsable designado para la identificación de riesgos de tecnología se encuentra en posibilidades para la evaluación del riesgo. Las piezas necesarias para el cálculo del riesgo han sido identificadas tanto con los usuarios claves de negocio y con los expertos técnicos.
La ecuación que permitirá realizar la evaluación del riesgo estará integrada por los siguientes elementos previamente analizados:
Fig 3. Modelo para cálculo de riesgo tecnológico
Con base a los resultados obtenidos, tocará el turno al Comité de Seguridad de Información o Alta Dirección tomar las decisiones respecto a las acciones que deberán de ejecutarse para el tratamiento de los riesgos que mayor probabilidad e impacto pueden generar al negocio y que desde un punto de vista técnico presentan mayor nivel de exposición.
En resumen, el proceso de análisis de riesgos no es una tarea que pueda ser delegada o ejecutada por un área en particular de la organización. Su éxito y correcta aplicación en beneficio del negocio requieren del involucramiento de diversos actores al interior de la empresa, donde la figura del responsable de seguridad actúa siempre como guía del proceso e integrador de la información provista por las áreas que mejor conocen a los procesos de negocio y los expertos en tecnología para su debido análisis y presentación ante la alta dirección.
José Iván, forma parte del equipo de consultores de HKMX. Tiene experiencia con más de 15 años en la definición e implementación de procesos de tecnologías de información apegados a mercos de referencia como COBIT, ITIL, PCI DSS e ISO 27001 para empresas del sector financiero, manufactura, automotriz, retail, telecomunicaciones, logística y educativo, en donde ha apoyado a diversas empresas en su certificación en estándares internacionales de seguridad de información.
Es egresado del Tecnológico de Monterrey, Campus Monterrey, donde obtuvo su grado profesional de Ingeniero en Sistemas Electrónicos, además de tener un título como Master en Administración de Telecomunicaciones por parte de la EGADE, Campus Monterrey.