Tras ver brevemente en la anterior entrada la fase de Planificación del proyecto, pasaremos en esta a tratar la parte de Análisis de riesgos y Gestión de riesgos.

2. Análisis de riesgos

El proceso principal de un proyecto de análisis y gestión de riesgos es el propio análisis de riesgos. Este a su vez se divide en 4 bloques: caracterización de activos, caracterización de amenazas, caracterización de salvaguardas y estimación del estado del riesgo.

2.1 Caracterización de activos

La primera etapa del análisis de riesgos es la realización de un inventario de activos, entendiendo por activo según MAGERIT: los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. Dicho de otro modo, los activos críticos están formados por todos los activos que se consideran de importancia para el negocio de la organización. Obviamente, esto comprende tantos activos de proceso de datos (hardware), ubicaciones físicas, activos de información (datos), imagen corporativa, etc. Es importante identificar la persona o el cargo responsable de cada activo.

[Read more…]

Tras la introducción a las distintas metodologías de análisis de riesgos realizadas en anteriores publicaciones (ver parte I y parte II), vamos a profundizar en una de aquellas metodologías, en concreto en MAGERIT. Nuestro objetivo va a ser verificar que MAGERIT en su versión 2 cumple con los requisitos establecidos por el Esquema Nacional de Seguridad (ENS en adelante).

¿Por qué el ENS requiere un análisis de riesgos?

En primer lugar me gustaría introducir al lector en el papel que el análisis de riesgos desempeña en la implantación del ENS. La gestión de riesgos queda identificada como uno de los principios básicos del ENS definidos en el artículo 4. Este principio se desarrolla en el artículo 6, detalla la gestión de la seguridad basada en el riesgo:

[Read more…]

OCTAVE

OCTAVE es una metodología de análisis de riesgos desarrollada por la Universidad Carnegie Mellon en el año 2001, y su acrónimo significa “Operationally Critical Threat, Asset and Vulnerability Evaluation“, estudia los riesgos en base a tres principios Confidencialidad, Integridad y Disponibilidad, esta metodología se emplea por distintas agencias gubernamentales tales como el Departamento de defensa de Estados Unidos.

Existen 3 versiones de la metodología OCTAVE:

• La versión original de OCTAVE
• La versión para pequeñas empresa OCTAVE-S
• La versión simplificada de la herramienta OCTAVE-ALLEGRO

Al igual que CRAMM cuenta con 3 fases durante el proceso de desarrollo de la metodología:

1) La primera contempla la evaluación de la organización, se construyen los perfiles activo-amenaza, recogiendo los principales activos, así como las amenazas y requisitos como imperativos legales que puede afectar a los activos, las medidas de seguridad implantadas en los activos y las debilidades organizativas.
2) En la segunda se identifican las vulnerabilidades a nivel de infraestructura de TI.
3) En la última fase de desarrolla un plan y una estrategia de seguridad, siendo analizados los riesgos en esta fase en base al impacto que puede tener en la misión de la organización.

Además se desarrollan planes para mitigar los riesgos prioritarios y una estrategia de protección para la organización.

MEHARI

MEHARI es la metodología de análisis y gestión de riesgos desarrollada por la CLUSIF (CLUb de la Sécurité de l’Information Français) en 1995 y deriva de las metodologías previas Melissa y Marion. La metodología ha evolucionado proporcionando una guía de implantación de la seguridad en una entidad a lo largo del ciclo de vida. Del mismo modo, evalúa riesgos en base a los criterios de disponibilidad, integridad y confidencialidad.

En cuanto al proceso de análisis de riesgos mediante esta metodología, se expone a continuación de un modo resumido:

SP800-30

SP800-30 es un documento de la serie SP-800 dedicada a la seguridad de la información y desarrollada por el NIST (National Institute of Standards and Techonogy), el cual es una agencia del Departamento de Comercio de los Estados Unidos. La publicación de esta guía data julio de 2002, y a continuación se muestra el flujo de proceso para el desarrollo del análisis de riesgos mediante el SP800-30

Espero que este breve resumen de metodologías de análisis de riesgos les haya servido a nuestro lectores para hacerse una idea de las tareas asociadas a la realización de un análisis de riesgos. Continuaremos en la siguiente entrada a analizar una de las vistas anteriormente… .

Día tras día, nos exponemos a riesgos de todo tipo. El simple hecho de cruzar la calle implica el riesgo de ser atropellados, lanzarse en paracaídas puede conllevar que el paracaídas no se abra y ya pueden intuir el resultado, o realizar una compra por internet puede entrañar el riesgos de que obtengan nuestros datos bancarios. Está claro que a nivel personal no podemos hacer un análisis de riesgos de cada acción o decisión que tomemos y no hablemos ya de documentarlo conscientemente.

Si pensamos en el ámbito empresarial, donde la mayor parte de acciones deben tomarse de un modo objetivo, ser capaz de cuantificar el riesgo puede suponer en muchos casos la diferencia entre el éxito o el fracaso. En este sentido las áreas TIC de las empresas han sido uno de los ámbitos pioneros en acometer análisis de riesgos, impulsado por ser un requisito de normas como la ISO 27001 y sus anteriores ediciones, o como proyecto de entidad propia.

El análisis de riesgos es la herramienta a través de la cual se puede obtener una visión clara y priorizada de los riesgos a los que se enfrenta una entidad: tiene como propósito identificar los principales riesgos a los que una entidad está expuesta, ya sean desastres naturales, fallos en infraestructura o riesgos introducidos por el propio personal. En este sentido pretende identificar los riesgos más significativos que pueden afectar a la operativa de la entidad y priorizar medidas a implantar para minimizar la probabilidad de materialización de dichos riesgos o el impacto en caso de materializarse.

La pregunta principal es: ¿cómo llevamos a cabo un análisis de riesgos?

Antes entrar en harina, para los lectores que no estén familiarizados con el concepto, vamos a proponer 2 definiciones de análisis de riesgos que provienen del ámbito TIC:

• Proceso sistemático para estimar la magnitud de los riesgos a la que está expuesta una Organización. (MAGERIT)
• Utilización sistemática de la información disponible para identificar peligros y estimar riesgos. (ENS)

¿Cómo se hace un análisis de riesgos?

Como todo en esta vida uno tiene la opción de reinventar la rueda o partir de una metodología reconocida. La intención de este post es introducir al lector en las distintas metodologías existentes, no en detallar el proceso de análisis de riesgos definido en una de ellas. En posteriores post seleccionaremos una de ellas y la diseccionaremos… adivinen cual .

No obstante, en esta entrada y la siguiente vamos a introducirles en metodologías de análisis de riesgos:

MAGERIT

MAGERIT es la metodología de análisis y gestión de riesgos desarrollada por un equipo del Comité Técnico de Seguridad de los Sistemas de Información y Tratamiento Automatizado de Datos Personales del consejo Superior de Administración Electrónico. El nombre de MAGERIT viene de Metodología de Análisis y GEstión de Riesgos de los Sistemas de Información de las adminisTraciones públicas. No obstante también proporciona un marco valido para el desarrollo de análisis de riesgos en entidades privadas.

Se han realizado dos versiones de MAGERIT. La primera de ellas data de 1997 y la versión vigente data de 2005. La versión 2 de la metodología está compuesta de 3 libros:

• El primero se denomina Método, y describe las tareas a realizar para acometer proyectos de análisis y gestión de riesgos aportando una guía para el desarrollo de análisis de riesgos, aspectos prácticos y consejos para facilitar la tarea.
• El segundo libro Catálogo de elementos, recoge el catálogo de elementos implicados en el análisis de riesgos tales como: una categorización de activos, las dimensiones aplicables (DICAT), criterios para valoración de activos como procesos de negocio o datos, catálogo de amenazas y un catálogo de medidas a implantar para mitigar los riesgos a los que están expuestos los sistemas de información. Por último indica cómo desarrollar un informe.
• El tercer libro, Guía de Técnicas, proporciona técnicas para el análisis de riesgos tales como: Algoritmos de análisis, árboles ataque, análisis coste-beneficio, diagramas de flujo, tablas de procesos o técnicas de trabajo. El uso de la herramienta asociada a esta metodología PILAR implementa muchas de estas soluciones técnicas.

A modo resumen a continuación se expone un diagrama que contempla las distintas fases en el análisis de riesgos que recoge esta metodología:

CRAMM

CRAMM es la metodología de análisis de riesgos desarrollado por la Agencia Central de Comunicación y Telecomunicación del gobierno británico. El significado del acrónimo proviene de CCTA Risk Analysis and Management Method. Su versión inicial data de 1987 y la versión vigente es la 5.2. Al igual que MAGERIT, tiene un alto calado en administración pública británica, pero también en empresas e instituciones de gran tamaño. Dispone de un amplio reconocimiento.

La metodología de CRAMM incluye las siguientes 3 etapas:

• La primera de las etapas recoge la definición global de los objetivos de seguridad entre los que se encuentra la definición del alcance, la identificación y evaluación de los activos físicos y software implicados, la determinación del valor de los datos en cuanto a impacto en el negocio y la identificación.
• En la segunda etapa de la metodología se hace el análisis de riesgos, identificando las amenazas que afecta al sistema, así como las vulnerabilidades que explotan dichas amenazas y por último el cálculo de los riesgos de materialización de las mismas.
• En la tercera etapa se identifican y seleccionan las medidas de seguridad aplicadas en la entidad obteniendo los riesgos residuales, CRAMM proporciona una librería unas 3000 medidas de seguridad.

Estimados lectores, el post de hoy parte del artículo “Privacy and Security, Security Risks in Next-Generation Emergency Services” escrito por Hannes Tschofenig [ver enlace $] y publicado en Communications of the ACM el pasado noviembre. En éste trataremos de plantear estudiar las implicaciones que conlleva la evolución del servicio 911 de un entorno “analógico” a un entorno “digital” 2.0.

La arquitectura a alto nivel de esta versión 2.0 del servicio 911 fue aprobada en Junio por la National Emergency Number Association (NENA), el nombre elegido es arquitectura “i3” y en ella básicamente se detallada cómo interactúan las redes y servicios para dar soporte a los ciudadanos. Dicha evolución conlleva una serie de riesgos propios de las nuevas tecnologías a soportar tales como los inherentes a la infraestructura del VoIP, o el uso de redes sociales.

En primer lugar me gustaría lanzar una pregunta a los lectores ¿Qué consideran más crítico en un servicio 911 la disponibilidad, la integridad, la confidencialidad, la trazabilidad, la autenticidad? Si me permiten mi humilde opinión, destacaría dos: la disponibilidad y la confidencialidad y ya puesto y si no es excederme apostaría por la disponibilidad. ¿De qué sirve un servicio de emergencia si no puede atender una emergencia dentro de unos tiempos aceptables?

Uno de los riesgos que afectan a la disponibilidad de los actuales servicios 911 son las falsas llamadas de emergencia. ¿Saben ustedes que en ciertos países europeos tienen un tasa de 70% de falsas llamadas sobre las llamadas totales? Es lo que en el argot podríamos considerar una forma de ataque de Denegación de Servicio (DoS). Si tienen en cuenta que en algunos países tienen SLAs referentes a la respuesta de todas las llamadas, esto puede tener un impacto significativo en el servicio.

Otro de los riesgos y dificultades a los que se enfrenta esta migración es la necesidad de localización de la llamada, donde el uso de sistemas basados en IP dificulta la tarea debido al que se hace uso de múltiples diversos proveedores para la prestación del servicio que deben permitir la trazabilidad del identificador mediante enlaces de identificadores. Esto viene dificultado por el hecho de que habitualmente no se suelen implementar sistemas de autenticación suficientemente robustos en servicios de VoIP y mensajería instantánea.

Otro punto a tener en cuenta e influido por el carácter global de Internet son los problemas, dificultades y conflictos legales que surgen entre países con normativas muy dispares en temas como puede ser todo lo referente a protección de datos, y que surgen cuando se hacen necesarias funcionalidades relacionadas con la identificación y la trazabilidad.

A pesar de todo esto, se han desarrollado medidas pendientes de implantar para limitar algunos de estos riesgos, como el protocolo Location-to-Service Translation (LoST) empleado para redirigir llamadas de emergencia a puestos de respuesta oportunos.

Para concluir esta pequeña revisión, las principales barreras a las que se enfrentan la implantación de servicios de emergencia basadas en IP, son las siguientes:

1. No existe un número significativo de ataques debido al escaso grado de implantación de servicios de emergencia basados en IP, lo cual no incentiva a la resolución y estudio de los problemas subyacentes.
2. Los ISPs no ven ventajas económicas para invertir en infraestructuras para garantizar la seguridad de estos servicios.
3. Existe una falta de consenso en el ámbito legal.

Aunque parece evidente que el futuro de los servicios de emergencia pasa por la migración a soluciones IP, queda un largo camino por recorrer para garantizar que las debilidades introducidas por el nuevo paradigma son tratadas de modo adecuado. En cualquier caso, ¿quién sabe que nos depara el futuro? A lo mejor algún día twitteamos un SOS o colgamos una foto pidiendo socorro y somos rescatados.

Who knows…

Estimados lectores, estoy seguro que todos ustedes conocen la tan socorrida en presentaciones Directiva 95/46/CE, del 24 de octubre de 1995, respecto a la protección de las personas en cuanto a los tratamientos de datos personales. Aprovechando que últimamente la Comunidad Europea está en boga, me gustaría resumir una entrevista realizada en la web VR-ZONE a Sophie Kwansy, secretaria del Comité Consultivo del Consejo Europeo sobre protección de datos.

Sophie Kwansy pone de manifiesto la necesidad de redefinir y actualizar el convenio europeo de protección de datos en vigor, el cual data de 1985, dado que la situación actual ha variado significativamente. Tal y como en la propia entrevista comenta “no existía internet, ni facebook que albergará información personal, ni google que dispusiera de los datos de búsqueda de los usuarios, ni Sony que hackear”. En la convención se incluye a 43 países, de los cuales 27 son estados miembros de la UE y donde cabe destacar la posición de Estados Unidos como mero observador y no partícipe del convenio, alegando importantes diferencias en la forma de afrontar este aspecto (ahora mismo me viene a la cabeza algún libro de Orwell cuyo nombre no recuerdo…).

Entre las principales aéreas tratadas se menciona la intención de fortalecer los derechos del individuo, presentando el derecho a la oposición de datos, algo que nuestra actual legislación en protección de datos ya contempla. Del mismo modo se introduce la idea de la implementación de la privacidad en la etapa del diseño de un producto, así como la obligatoriedad de notificar los incidentes de seguridad categorizándolos en función de la criticidad y el volumen de los datos expuestos (aspecto que ya recoge nuestra Ley General de Telecomunicaciones, tal y como comenta Javier Cao en esta entrada). Por último también se enfatiza en la gestión de los flujos de información entre países con independencia de su adhesión a la convención.

En otro orden de cosas, la posible existencia de este convenio plantea el cumplimiento de unos requisitos mínimos en materia de protección de datos para los estados adheridos al convenio, no obstante siendo la legislación nacional vigente la que predominaría sobre el convenio. A su vez, aunque no existirían sanciones salvo las establecidas por las autoridades nacionales en este ámbito, se abre la posibilidad a un sistema de seguimiento para verificar el cumplimiento de este convenio. De esta entrevista se puede concluir que la regulación legal en el ámbito de la protección de datos tanto a nivel europeo como mundial es un deber ineludible, siendo esta una buena propuesta que sienta las bases para dicha regulación en los países que no dispongan de legislación aplicable, y por otra parte homogeniza estas leyes estableciendo un requisitos mínimos exigibles.

Por lo que a nosotros respecta, la legislación española en protección de datos tiene un amplio recorrido y grado de madurez y contempla todos los aspectos que son objeto de tratamiento por este futurible convenio. Ahora les propongo un ejercicio de reflexión; imaginen un hipotético futuro (en el que España no vuelve al maravedí) en el que solo existe un marco legal a nivel europeo en protección de datos aplicables a todos los estados miembros y un único organismo que velara por su cumplimiento. ¿Es viable esa situación? ¿Qué ventajas y que desventajas conllevaría?

Y ya puestos y a nivel mundial…

(N.d.E. Si han estado de vacaciones, el miércoles pasado publicamos el Informe sobre Protección de Infraestructuras Críticas en España 2011. Si quieren hacer algún comentario, pueden hacerlo por mail o en los comentarios de la entrada que publicamos).

Estimados lectores, espero que me permitan un post un tanto atípico y no especialmente relacionado con la seguridad pero si con las TIC. A estas alturas de la mañana todos ustedes estarán al tanto de lo sucedido; esta mañana fallecía Steve Jobs, fundador de Apple, con lo que el sector de las tecnologías de la información ha perdido uno de los grandes visionarios de la actualidad, hasta el punto de que en muchos lugares lo equiparan con Thomas Edison. Eso tan solo el tiempo lo dirá.

Por mi parte diré que no soy un consumidor de productos Apple (no por ninguna razón en especial) y no he seguido la carrera de Steve Jobs muy de cerca, así que en un primer momento pienso que Steve Jobs puede dar una imagen un tanto altiva y distante. Sin embargo ayer por casualidad vi un video en el que pronunciaba un discurso especialmente emotivo sobre su vida en la universidad de Stanford. En este discurso se veía a una persona cuya vida ha sido dirigida por una voluntad inquebrantable y una pasión irrefrenable por su trabajo, alguien que no solo ha transcendido a todos los problemas que ha encontrado a lo largo de su vida sino que ha sabido sacar partido de estas situaciones.

Como él mismo dijo en este discurso: en la vida se trata de conectar puntos…

[Read more…]

Estimados lectores, a raíz de un reciente proyecto, he podido conocer el significado de la palabra Exitus. Probablemente muchos de ustedes conocerán el significado de esta palabra, pero para los no estén familiarizados con el término éste se emplea en el ámbito medico para hacer referencia a historias clínicas de pacientes que han terminado en la muerte de un individuo.

Este post trata de desarrollar este escatológico término en el ámbito de las TI; es decir, que sucede con la información de un individuo tras su defunción.

Con independencia de las calificaciones morales o éticas que tenga el uso indebido de la información relacionada con un difunto, desde un punto de vista actual con respecto al tratamiento de esos datos por parte de la LOPD, en el informe 61/2008, Aplicación de la normas de protección de datos a los datos de personas fallecidas, de la AEPD, se indica

[Read more…]

(Continuamos hoy con la segunda y última entrega de la entrevista a Eusebio Moya, Jefe de la Unidad de Protección de Datos en la Diputación de Valencia, cuya primera parte publicamos el pasado viernes)

7. ¿La Diputación está contemplando la posibilidad de un proyecto de adecuación conjunto para Ayuntamientos?

Desde luego. La Diputación es plenamente consciente de las grandes dificultades que para los ayuntamientos de la provincia supone la adecuación al ENS. Como acabo de decir anteriormente, los municipios, sobre todo los de menor tamaño y recursos, presentan un conjunto de deficiencias estructurales que les impiden afrontar por si mismos proyectos como el que nos ocupa. Las entidades públicas mayores de su territorio, como la Generalitat y, muy especialmente, las Diputaciones, deben prestar todo el apoyo posible para ello.

En este sentido, la Diputación va a poner a disposición de los ayuntamientos de menores recursos un programa para llevar a cabo los aspectos fundamentales de adecuación al ENS. Dicho programa se encuentra en un nivel de diseño muy avanzado y esperamos poder presentarlo a la mayor brevedad posible a los destinatarios. Tendrá un alcance de legislatura y se desarrollará a lo largo del período comprendido entre 2011 y enero de 2014, que es el plazo máximo que contempla el ENS para la adecuación en el ámbito de la administración local y autonómica.

8. Y ahora una pregunta rápida, ¿Qué entiende por SISTEMA de acuerdo con el Esquema Nacional de Seguridad? Pongamos un ejemplo que afecte a la Diputación…

El ENS contienen una definición meridianamente clara sobre lo que debe entenderse por sistema de información, que es el conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

Por tanto un sistema de información bajo aplicación del ENS verá afectados todos los elementos que intervienen en el ciclo vital de la información: personas, mecanismos, programas informáticos, soportes, canales de transmisión, etc, tanto si esos elementos forman parte o están integrados en la propia organización como si pertenecen, en todo o en parte, a terceros.

En la Diputación, un ejemplo de sistema de información puede ser el de gestión tributaria, constituido por todos los elementos que, de forma organizada, intervienen en el ciclo vital de la información requerida para cumplir el objetivo tributario.

9. ¿Cómo establece la frontera entre un servicio afectado por el cumplimiento del ENS y uno que no lo está? ¿Se limita a los servicios prestados a través de la sede electrónica?

Esta es una cuestión muy interesante y controvertida y, desgraciadamente, como suele ocurrir con las cuestiones de esta naturaleza, se suele pasar de puntillas y se ha tratado poco. Observo como habitualmente se establece una equivalencia entre aplicación del ENS y servicios prestados en sede electrónica, de forma que parece que el ámbito de aplicación del ENS se circunscriba exclusivamente a dichos servicios. Y esto es absolutamente falso.

En primer lugar, hay que recordar que el ámbito de aplicación del ENS es el mismo que el de la LAECSP, es decir, resulta de aplicación no sólo a las relaciones de los ciudadanos con las AAPP, sino también a las relaciones entre las propias AAPP y a la utilización por éstas de las tecnologías de la información sobre datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.

En segundo lugar, la sede electrónica es un concepto legal, que coincidirá, eso sí, en la mayor parte de los casos, con un portal web en Internet. Pero no hay que olvidar que también pueden utilizarse otros medios telemáticos o electrónicos, como la mensajería electrónica, los SMS o la TDT interactiva, por ejemplo, para relacionarse con los ciudadanos.

Por tanto, a priori, para la determinación de si un servicio se ve afectado por lo dispuesto en el ENS habrá que atender a dos criterios: uno, el de fondo o funcional, que coincidirá con el ámbito de aplicación de la LAECSP al que me refería anteriormente; y otro, el instrumental, que nos dirá si se trata de un servicio tratado mediante tecnologías de la información.

Ahora bien, debemos descartar aquellos servicios que, aun cumpliendo las dos premisas básicas anteriores, se encuentran excluidos de alguna forma por la propia normativa. A saber, sistemas de información que traten información clasificada bajo la regulación de la Ley 9/1968, de Secretos Oficiales, y sus normas de desarrollo; los afectos a actividades que se desarrollen en régimen de derecho privado; y, por último, los sistemas no relacionados con el ejercicio de derechos ni con el cumplimiento de deberes por medios electrónicos, ni con el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento administrativo. En este último supuesto hay que matizar que la exclusión es una potestad de cada AAPP.

10. El análisis de riesgos se ha convertido en una necesidad para la adecuación al ENS, ¿se decanta por alguna metodología en concreto?

Efectivamente, el análisis de riesgos y su posterior gestión es un elemento consustancial al ENS. Cualquiera de las metodologías existentes y contrastadas, del tipo UNE 71504 o similares, puede servir para cumplimentar perfectamente dicho análisis.

No obstante, me decanto por MAGERIT, no solo por tratarse de una herramienta con amplia tradición en el ámbito de la AAPP, sino por ser de elaboración netamente nacional, accesible de modo gratuito por cualquiera y siempre actualizada, además de haber integrado todos los elementos específicos para el ENS.

11. En última instancia, y poniendo punto y final a esta entrevista, ¿Cuál es la parte más complicada a la hora de abordar la adecuación al ENS por parte de una AAPP?

Es difícil señalar o reseñar algún aspecto en concreto. Depende del estado de partida de cada organización el que se le compliquen más o menos determinados aspectos. Tomando como ejemplo las EELL, resulta evidente que la precariedad de medios va a condicionar mucho la adecuación. Téngase en cuenta, por poner un ejemplo, la instauración de la estructura organizativa necesaria –responsables de la información, del servicio, de seguridad, etc- En muchos ámbitos locales esto va a resultar realmente complicado, teniendo en cuenta, además, la separación necesaria de funciones a la que obliga el ENS. Y esta estructura es la que debe garantizar el cumplimiento, la supervisión y el control posteriores.

En general, y sin perjuicio de lo comentado, en mi opinión lo verdaderamente complicado es hacer que, una vez superados los niveles iniciales de adecuación, la organización consolide y mantenga el modelo deseado por el ENS, que no es otro que un sistema de gestión de seguridad de la información. La mentalización, la formación, la habilitación de controles y su seguimiento, y la mejora continua son elementos indispensables para que ello se cumpla.