juliocperezv
Navegación
  Analisis de riegos
 

Gestión ITILizada de vulnerabilidades


El modelo de gestión de riesgos es un modelo estático. Analizamos los riesgos una vez, y no revisamos el análisis hasta pasado un ciclo completo del proceso. Sin embargo, la gestión de vulnerabilidades es algo mucho más dinámico, pero que con un ciclo corto para el análisis de riesgos. 


El modelo ITIL de gestión de incidentes aplicado a las vulnerabilidades tiene algunas dificultades, para empezar no encaja con el planteamiento clásico de resolución de incidentes. Una vulnerabilidad no afecta al SLA del servicio, al menos no directamente. No obstante, los principios de la gestión de problemas sí que parecen encajar con la gestión que requieren las vulnerabilidades.


Otros modelos de referencia tampoco terminan de encajar. Ya que algunas metodologías de gestión suelen quedar en manos de departamentos diferentes.


Una propuesta para la gestión de vulnerabilidades es hacer uso del proceso ITIL v3 de Gestión de Eventos, suele limitar a la monitorización de sistemas, sin embargo, es un proceso que puede dar mucho más de sí, tanto desde el punto de vista de la correlación de logs como desde el punto de vista de la gestión de vulnerabilidades.


La gestión de eventos es un proceso "interno" de un departamento TIC, tiene vocación preventiva, y dos de sus principales salidas van hacia la gestión de problemas y la gestión de cambios. Por lo tanto, entre el propio proceso y aquellos con los que se relaciona se puede cubrir el ciclo completo de gestión de la vulnerabilidad: 

  • Aparición --> Detección y Notificación --> Registro --> Análisis --> Aplicación de WorkAround --> Análisis de causa --> Parcheo --> Cierre

Desde el punto de vista de proceso con uso intensivo de soluciones tecnológicas, la gestión de eventos puede ser un proceso muy apropiado para ser revalorizado desde el punto de vista de la seguridad, por un lado, es el proceso más apropiado para la introducción de soluciones de correlación de logs y SIEM, también es una tentación la introducción de soluciones de auditoria automatizada de red, que refuercen el apartado de gestión de vulnerabilidades y se integren con las herramientas de gestión de incidentes y problemas.

 

Introducción al análisis de riesgos Metodologías (I)

Día tras día, nos exponemos a riesgos de todo tipo. El empresarial es donde la mayor parte de acciones deben tomarse de un modo objetivo, ser capaz de cuantificar el riesgo puede suponer en muchos casos la diferencia entre el éxito o el fracaso. En este sentido las áreas TIC de las empresas han sido uno de los ámbitos pioneros en acometer análisis de riesgos, impulsado por ser un requisito de normas como la ISO 27001.

El análisis de riesgos es la herramienta a través de la cual se puede obtener una visión clara y priorizada de los riesgos a los que se enfrenta una entidad: tiene como propósito identificar los principales riesgos a los que una entidad está expuesta, ya sean desastres naturales, fallos en infraestructura o riesgos introducidos por el propio personal. .

Definiciones de análisis de riesgos que provienen del ámbito TIC:

  • Proceso sistemático para estimar la magnitud de los riesgos a la que está expuesta una Organización. (MAGERIT)
  • Utilización sistemática de la información disponible para identificar peligros y estimar riesgos. (ENS)

MAGERIT

Desarrollada por un equipo del Comité Técnico de Seguridad de los Sistemas de Información y Tratamiento Automatizado de Datos Personales del consejo Superior de Administración Electrónico. El nombre de MAGERIT viene de Metodología de Análisis y GEstión de Riesgos de los Sistemas de Información de las adminisTraciones públicas.

Existen dos versiones. La primera de ellas data de 1997 y la versión vigente de 2005. La versión 2 de la metodología está compuesta de 3 libros:

  • Método, describe las tareas a realizar para proyectos de análisis y gestión de riesgos aportando una guía para el desarrollo de análisis de riesgos, aspectos prácticos y consejos para facilitar la tarea.
  • Catálogo de elementos, recoge el catálogo de elementos implicados en el análisis de riesgos tales como: una categorización de activos, dimensiones aplicables, criterios para valoración de activos como procesos de negocio o datos, catálogo de amenazas y un catálogo de medidas a implantar para mitigar los riesgos., también indica cómo desarrollar un informe.
  • Guía de Técnicas, proporciona técnicas para el análisis de riesgos como: Algoritmos de análisis, árboles ataque, análisis costo-beneficio, diagramas de flujo, tablas de procesos o técnicas de trabajo.

Fases del análisis de riesgos




CRAMM

Desarrollado por la Agencia Central de Comunicación y Telecomunicación del gobierno británico. Su versión inicial data de 1987 y la versión vigente es la 5.2. Al igual que MAGERIT, tiene un alto grado en administración pública británica, pero también en empresas e instituciones de gran tamaño.

La metodología incluye 3 etapas:

  • Recoge la definición global de los objetivos de seguridad entre los que se encuentra la definición del alcance, identificación y evaluación de los activos físicos y software implicados, la determinación del valor de los datos en cuanto a impacto en el negocio.
  • Se realiza el análisis de riesgos, identificando las amenazas que afecta al sistema, así como las vulnerabilidades que explotan dichas amenazas y por último el cálculo de los riesgos de materialización de las mismas.
  • Se identifican y seleccionan las medidas de seguridad aplicadas en la entidad obteniendo los riesgos residuales, CRAMM proporciona una librería unas 3000 medidas de seguridad.





OCTAVE

Desarrollada por la Universidad Carnegie Mellon en el año 2001, estudia los riesgos en base a tres principios Confidencialidad, Integridad y Disponibilidad, esta metodología se emplea por distintas agencias gubernamentales.

Existen 3 versiones:

  • La versión original de OCTAVE
  • La versión para pequeñas empresa OCTAVE-S
  • La versión simplificada de la herramienta OCTAVE-ALLEGRO

Al igual que CRAMM cuenta con 3 fases durante el proceso de desarrollo de la metodología:

1)   Contempla la evaluación de la organización, se construyen los perfiles activo-amenaza, recogiendo los principales activos, así como las amenazas y requisitos como imperativos legales que puede afectar a los activos, las medidas de seguridad implantadas en los activos y las debilidades.

2)   Identifica las vulnerabilidades a nivel de infraestructura de TI.

3)   Desarrolla un plan y una estrategia de seguridad, siendo analizados los riesgos en esta fase en base al impacto que puede tener en la misión de la organización.

Además se desarrollan planes para mitigar los riesgos prioritarios y una estrategia de protección para la organización.






MEHARI

Desarrollada por la CLUSIF (CLUb de la Sécurité de l’Information Français) en 1995. La metodología ha evolucionado proporcionando una guía de implantación de la seguridad en una entidad a lo largo del ciclo de vida. Del mismo modo, evalúa riesgos en base a los criterios de disponibilidad, integridad y confidencialidad.

En cuanto al proceso de análisis de riesgos mediante esta metodología, se expone a continuación de un modo resumido:




SP800-30

ES un documento de la serie SP-800 dedicada a la seguridad de la información y desarrollada por el NIST (National Institute of Standards and Techonogy). La publicación de esta guía data de julio de 2002, y a continuación se muestra el flujo de proceso para el desarrollo del análisis de riesgos mediante el SP800-30






  
  Hoy habia 1 visitantes (4 clics a subpáginas) ¡Aqui en esta página!  
 
Este sitio web fue creado de forma gratuita con PaginaWebGratis.es. ¿Quieres también tu sitio web propio?
Registrarse gratis