Consideraciones de seguridad en el uso de las TIC

Análisis de riesgos

Los sistemas de información pueden contener datos e información que es necesario proteger.

Es necesario realizar un análisis de riesgos de manera que refleje:

• La importancia de lo que debemos proteger.

• Las amenazas a las que nos podemos enfrentar.

• Los riesgos, en caso de que la amenaza se materialice.

• El impacto que podamos sufrir si la información no se protege adecuadamente.

Activos

Valor

Amenazas

Impacto

Riesgo

Salvaguardas

Supuesto práctico

Tenemos un activo valorado en 500000 que es víctima de una amenaza que lo degradaría potencialmente un 90%.

Se pide determinar:

1. Impacto.

2. Riesgo con una frecuencia anual estimada del 0,1.

3. Impacto residual si se aplican unas salvaguardas con el 90% de eficacia.

4. Si las salvaguardas tienen un 50% de eficacia sobre la frecuencia, la frecuencia residual.

5. Riesgo residual o pérdida anual estimada.

6. Impacto repercutido en B sin salvaguardas si está valorado en 100000 (El activo B depende de A en un 30%).

Solución

Paso 1

Partimos de la valoración de nuestros activos:

$\mathbf{Valor}{\mathbf{Acitivo}}_{\mathbf{A}}=\mathbf{500000}$$\mathbf{\color{blue}Valor\ Acitivo_A} = \mathbf{500000}$

$\mathbf{Valor}{\mathbf{Acitivo}}_{\mathbf{B}}=\mathbf{100000}$$\mathbf{\color{blue}Valor\ Acitivo_B} = \mathbf{100000}$

Paso 2

Ahora añadimos el porcentaje de degradación de la amenaza:

$\mathbf{Degradaci}\mathbf{ó}\mathbf{n}{\mathbf{Activo}}_{\mathbf{A}}=\mathbf{0}\mathbf{,}\mathbf{9}$$\mathbf{\color{blue}Degradación\ Activo_A} = \mathbf{0,9}$

$\mathbf{Eficacia}\mathbf{salvaguardas}=\mathbf{0}\mathbf{,}\mathbf{9}$$\mathbf{\color{blue}Eficacia\ salvaguardas} = \mathbf{0,9}$

Paso 3

Calculamos el impacto, la frecuencia y el riesgo:

$\mathbf{Impacto}{\mathbf{Activo}}_{\mathbf{A}}=\mathbf{Activo}\mathbf{\ast }\mathbf{Degradaci}\mathbf{ó}\mathbf{n}=500000\ast 0,9=\mathbf{450000}$$\mathbf{\color{blue}Impacto\ Activo_A} = \mathbf{Activo * Degradación}= 500000 * 0,9 = \mathbf{450000}$

$\mathbf{Frecuencia}{\mathbf{Activo}}_{\mathbf{A}}=\mathbf{0}\mathbf{,}\mathbf{1}$$\mathbf{\color{blue}Frecuencia\ Activo_A} = \mathbf{0,1}$

$\mathbf{Riesgo}{\mathbf{Activo}}_{\mathbf{A}}=\mathbf{Impacto}\mathbf{\ast }\mathbf{Frecuencia}=450000\ast 0,1=\mathbf{45000}$$\mathbf{\color{blue}Riesgo\ Activo_A} = \mathbf{Impacto * Frecuencia}= 450000 * 0,1 = \mathbf{45000}$

Paso 4

Calculamos el impacto residual, la eficacia sobre la frecuencia y la frecuencia residual

$\mathbf{Impacto}\mathbf{residual}{\mathbf{Activo}}_{\mathbf{A}}=\mathbf{Impacto}\mathbf{\ast }\mathbf{(}\mathbf{1}\mathbf{-}\mathbf{Salvaguardas}\mathbf{)}=450000\ast (1-0,9)=450000\ast 0,1=\mathbf{45000}$$\mathbf{\color{blue}Impacto\ residual\ Activo_A} = \mathbf{Impacto * (1 - Salvaguardas)} = 450000 * (1 - 0,9) = 450000* 0,1 = \mathbf{45000}$

$\mathbf{Eficacia}\mathbf{sobre}\mathbf{frecuencia}=\mathbf{0}\mathbf{,}\mathbf{5}$$\mathbf{\color{blue}Eficacia\ sobre\ frecuencia} = \mathbf{0,5}$

$\mathbf{Frecuencia}\mathbf{residual}=\mathbf{Frecuencia}\mathbf{\ast }\mathbf{(}\mathbf{1}\mathbf{-}\mathbf{Eficacia}\mathbf{sobre}\mathbf{frecuencia}\mathbf{)}=0,1-(1-0,5)=0.1\ast 0,5=\mathbf{0}\mathbf{,}\mathbf{05}$$\mathbf{\color{blue}Frecuencia\ residual} = \mathbf{Frecuencia * (1 - Eficacia\ sobre\ frecuencia)} = 0,1 - (1 - 0,5) = 0.1 * 0,5 = \mathbf{0,05}$

Paso 5

Calculamos el riesgo residual:

$\mathbf{Riesgo}\mathbf{residual}=\mathbf{Impacto}\mathbf{residual}\mathbf{\ast }\mathbf{Frecuencia}\mathbf{residual}=45000\ast 0,05=\mathbf{2250}$$\mathbf{\color{blue}Riesgo\ residual} = \mathbf{Impacto\ residual * Frecuencia\ residual} = 45000 * 0,05 = \mathbf{2250}$

Paso 6

Calculamos el impacto repercutido en B sin salvaguardas:

$\mathbf{Valor}{\mathbf{Acitivo}}_{\mathbf{B}}=\mathbf{100000}$$\mathbf{\color{blue}Valor\ Acitivo_B} = \mathbf{100000}$

$\mathbf{Impacto}{\mathbf{Activo}}_{\mathbf{B}}=\mathbf{Activo}\mathbf{\ast }\mathbf{Degradaci}\mathbf{ó}\mathbf{n}\mathbf{\ast }\mathbf{Depencencia}{\mathbf{Activo}}_{\mathbf{B}}\mathbf{de}{\mathbf{Activo}}_{\mathbf{A}}=100000\ast 0,9\ast 0,3=\mathbf{27000}$$\mathbf{\color{blue}Impacto\ Activo_B} = \mathbf{Activo * Degradación * Depencencia\ Activo_B\ de\ Activo_A} = 100000 * 0,9 * 0,3 = \mathbf{27000}$

La seguridad en los sistemas de información

Los planes de seguridad suelen acometer problemas concretos, por lo que lo más aconsejable es que exista:

• Plan de mejora de la seguridad.

• Plan director de seguridad.

• Plan estratégico de seguridad.

• Plan de adecuación.

En un plan de seguridad se identifican tres tareas:

1. Identificación de proyectos de seguridad: su objetivo es elaborar un conjunto de programas de seguridad.

2. Plan de ejecución: su objetivo es ordenar temporalmente los programas de seguridad.

3. Ejecución: su objetivo es alcanzar los objetivos previstos en el plan de seguridad.