Get best of the week

Análisis de documentos internacionales sobre gestión de riesgos de seguridad de la información. Parte 1

Amigos, en un post anteriorRevisamos los documentos reglamentarios sobre la protección de la información en el sector financiero y crediticio de Rusia, algunos de los cuales se refieren a las metodologías de gestión y evaluación de riesgos de seguridad de la información. En términos generales, desde una perspectiva comercial, la gestión de la seguridad de la información es un proceso subsidiario de un proceso de gestión de riesgos más amplio: si una empresa, después de analizar y evaluar todos sus riesgos comerciales, concluye que los riesgos de la seguridad de la información son relevantes, entonces la protección de la información en sí misma entra en juego como una forma de minimizar algunos riesgos La gestión de riesgos le permite construir de manera eficiente y racional los procesos de SI y asignar recursos para proteger los activos de la empresa, y la evaluación de riesgos le permite aplicar las medidas apropiadas para minimizarlos: para protegerse contra amenazas importantes y relevantes, será lógico utilizar soluciones más costosas,que contrarrestar amenazas insignificantes o difíciles de implementar.

Además, el proceso de gestión de riesgos de SI incorporado le permitirá desarrollar y, si es necesario, aplicar planes claros para garantizar la continuidad del negocio y la recuperación ante desastres (Continuidad del negocio y recuperación ante desastres): un estudio profundo de varios riesgos lo ayudará a tener en cuenta, por ejemplo, una necesidad repentina de acceso remoto para un gran número de empleados, ya que esto puede suceder en caso de una epidemia o colapso del sistema de transporte. Entonces, en esta publicación, un análisis de documentos internacionales sobre gestión de riesgos de seguridad de la información. ¡Disfruta leyendo!

imagen

El concepto general de gestión de riesgos de SI


Se entiende que el riesgo de seguridad de la información, o riesgo cibernético, significa la posibilidad potencial de explotar las vulnerabilidades de los activos como una amenaza específica para dañar a la organización. El valor de riesgo condicionalmente significa el producto de la probabilidad de un evento negativo y la cantidad de daño. A su vez, la probabilidad de un evento se entiende como el producto de la probabilidad de una amenaza y el peligro de vulnerabilidad, expresada en forma cualitativa o cuantitativa. Convencionalmente, podemos expresar esto con la fórmula lógica:
ValueRisk = Probabilidad de un evento * Tamaño del daño , donde la Probabilidad de un evento = Probabilidad de amenazas * Valor de vulnerabilidad


También hay clasificaciones condicionales de riesgos: por fuente de riesgo (por ejemplo, ataques de piratas informáticos o de información privilegiada, errores financieros, el impacto de los reguladores gubernamentales, reclamos legales de los contratistas, impacto informativo negativo de los competidores); por propósito (activos de información, activos físicos, reputación, procesos comerciales); por la duración de la influencia (operativa, táctica, estratégica).

Los objetivos del análisis de riesgo de SI son los siguientes:

  1. Identificar activos y evaluar su valor.
  2. Identificar amenazas a los activos y vulnerabilidades de seguridad.
  3. Calcule la probabilidad de amenazas y su impacto en el negocio.
  4. Mantener un equilibrio entre el costo de posibles consecuencias negativas y el costo de las medidas de protección, dar recomendaciones a la administración de la empresa sobre el procesamiento de los riesgos identificados.

Los pasos 1 a 3 son una evaluación de riesgos y son una recopilación de información disponible. La etapa 4 ya es un análisis de riesgo directo (análisis de riesgo en inglés), es decir estudio de los datos recopilados y la emisión de resultados / instrucciones para acciones futuras. Es importante comprender su propio nivel de confianza en la corrección de la evaluación. En la etapa 4, también se proponen métodos de procesamiento para cada uno de los riesgos relevantes: transferencia (por ejemplo, a través de un seguro), evitación (por ejemplo, negativa a introducir una tecnología o servicio en particular), aceptación (disposición consciente de sufrir daños en caso de riesgo), minimización ( aplicación de medidas para reducir la probabilidad de un evento negativo que conduzca a la realización del riesgo).Después de completar todas las etapas del análisis de riesgos, debe seleccionar un nivel de riesgo aceptable para la empresa, establecer el nivel mínimo posible de seguridad (líneas de base de rendimiento en inglés), luego implementar contramedidas y evaluarlas en términos de la posibilidad de alcanzar el nivel mínimo posible establecido seguridad.

El daño de la implementación de un ataque puede ser directo o indirecto .

El daño directo es la pérdida inmediata obvia y fácilmente predecible de la empresa, como la pérdida de los derechos de propiedad intelectual, la divulgación de secretos de producción, la reducción del valor de los activos o su destrucción parcial o total, los costos legales y el pago de multas y compensaciones, etc.

El daño indirecto puede resultar en calidad o pérdida indirecta .
Las pérdidas cualitativas pueden ser una suspensión o disminución de la eficiencia de una empresa, pérdida de clientes, disminución de la calidad de los productos manufacturados o servicios prestados. IndirectoLas pérdidas son, por ejemplo, ganancias perdidas, pérdida de buena voluntad y gastos adicionales incurridos. Además, en la literatura extranjera también existen conceptos como riesgo total (Ing. Riesgo total), que está presente, si no se implementan medidas de protección, así como el riesgo residual (Ing. Riesgo residual), que está presente si las amenazas se realizan, a pesar de las medidas de protección implementadas.

El análisis de riesgos puede ser tanto cuantitativo como cualitativo .

Considere uno de los métodos de análisis de riesgo cuantitativo . Los principales indicadores son los siguientes valores:

ALE - expectativa de pérdida anual; "Costo" de todos los incidentes por año.
SLE: expectativa de pérdida única, pérdidas esperadas de una sola vez, es decir "Costo" de un incidente.
EF - factor de exposición, factor de apertura a la amenaza, es decir qué porcentaje del activo destruirá la amenaza si se implementa con éxito.
ARO: tasa de incidencia anualizada, el número promedio de incidentes por año según las estadísticas.

El valor SLE se calcula como el producto del valor estimado del activo y el valor EF, es decir. SLE = AssetValue * EF . Al mismo tiempo, el costo del activo debe incluir sanciones por su protección insuficiente.

El valor de ALE se calcula como el producto de SLE y ARO, es decir ALE = SLE * ARO. El valor de ALE ayudará a clasificar los riesgos: el riesgo con un ALE alto será el más crítico. Además, el valor ALE calculado se puede usar para determinar el costo máximo de las medidas de protección implementadas, ya que, de acuerdo con el enfoque generalmente aceptado, el costo de las medidas de protección no debe exceder el valor del activo o la cantidad del daño previsto, y el costo razonable estimado del ataque para el atacante debe ser menor que el beneficio esperado de la implementación de este ataque. El valor de las medidas de protección también se puede determinar restando del valor de ALE calculado antes de la implementación de las medidas de protección el valor del valor de ALE calculado después de la implementación de las medidas de protección, así como restando los costos anuales de la implementación de estas medidas. Condicionalmente escriba esta expresión de la siguiente manera:

(El valor de las medidas de protección para la empresa) = (ALE antes de la implementación de medidas de protección) - (ALE después de la implementación de medidas de protección) - (Costos anuales de implementación de medidas de protección)

Ejemplos de análisis de riesgos cualitativos pueden ser, por ejemplo, el método Delphi, en el cual se realiza una encuesta anónima de expertos en varias iteraciones hasta llegar a un consenso, así como una lluvia de ideas y otros ejemplos de la llamada evaluación "Método experto".

A continuación, damos una lista breve y no exhaustiva de varias metodologías de gestión de riesgos , y las más populares las consideraremos a continuación con más detalle.

1. El Marco de gestión de riesgos NIST basado en documentos del gobierno de EE. UU. NIST (Instituto Nacional de Estándares y Tecnología, Instituto Nacional de Estándares y Tecnología de EE. UU.) Incluye un conjunto de los llamados "Publicaciones especiales" (Eng. Special Publication (SP), las llamaremos estándares para facilitar la percepción):

1.1. El estándar NIST SP 800-39 "Gestión de riesgos de seguridad de la información" ofrece un enfoque de tres niveles para la gestión de riesgos: organización, procesos comerciales, sistemas de información. Esta norma describe la metodología del proceso de gestión de riesgos: identificación, evaluación, respuesta y monitoreo de riesgos.
1.2. NIST SP 800-37, el Marco de gestión de riesgos para sistemas y organizaciones de información, propone un enfoque de gestión del ciclo de vida del sistema para la seguridad y la privacidad.
1.3. El Estándar NIST SP 800-30, Guía para realizar evaluaciones de riesgos, se enfoca en TI, SI y riesgos operativos. Describe un enfoque de los procesos de preparación y realización de una evaluación de riesgos, comunicando los resultados de una evaluación y apoyando aún más el proceso de evaluación.
1.4. El estándar NIST SP 800-137 "Monitoreo continuo de seguridad de la información" describe un enfoque para el proceso de monitoreo de sistemas de información y entornos de TI con el fin de controlar las medidas tomadas para manejar los riesgos de SI y la necesidad de revisarlos.

2. Las normas de la Organización Internacional de Normalización ISO (Organización Internacional de Normalización):

2.1. La norma ISO / IEC 27005: 2018 "Tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información" ("Tecnología de la información. Métodos y herramientas de seguridad. Gestión de riesgos de seguridad de la información") forma parte de una serie de normas ISO 27000 y está lógicamente interconectada con otras normas para IB de esta serie. Este estándar se centra en la seguridad de la información cuando se consideran los procesos de gestión de riesgos.
2.2. La norma ISO / IEC 27102: 2019 "Gestión de la seguridad de la información - Directrices para el ciberseguro" ofrece enfoques para evaluar la necesidad de adquirir un ciberseguro como medida de tratamiento de riesgos, así como para evaluar e interactuar con la aseguradora.
2.3. La serie de normas ISO / IEC 31000: 2018 describe un enfoque para la gestión de riesgos sin estar vinculado a TI / IS. En esta serie, vale la pena señalar la norma ISO / IEC 31010: 2019 “Gestión de riesgos - Técnicas de evaluación de riesgos” - para esta norma en su versión doméstica GOST R ISO / IEC 31010-2011 “Gestión de riesgos. Métodos de evaluación de riesgos "se refiere 607-P del Banco Central de la Federación de Rusia" Sobre los requisitos para el procedimiento para garantizar el funcionamiento ininterrumpido del sistema de pago, los indicadores de funcionamiento ininterrumpido del sistema de pago y los métodos de análisis de riesgo en el sistema de pago, incluidos los perfiles de riesgo ".

3. La metodología FRAP (Proceso de análisis de riesgos facilitado) es un método de evaluación de riesgos relativamente simplificado, que se centra solo en los activos más críticos. El análisis cualitativo se lleva a cabo utilizando el juicio de expertos.

4. La metodología OCTAVE (Evaluación de amenazas, activos y vulnerabilidades operativamente críticas) se centra en el trabajo independiente de los miembros de las unidades de negocios. Se utiliza para la evaluación a gran escala de todos los sistemas de información y procesos comerciales de una empresa.

5. AS / NZS 4360 es un estándar de Australia y Nueva Zelanda con un enfoque no solo en los sistemas de TI, sino también en la salud comercial de la empresa, es decir, ofrece un enfoque más global para la gestión de riesgos. Tenga en cuenta que este estándar se reemplaza actualmente por AS / NZS ISO 31000-2009.

6. La metodología FMEA (Modos de falla y análisis de efectos) ofrece una evaluación del sistema en términos de sus puntos débiles para encontrar elementos poco confiables.

7. La metodología CRAMM (Agencia Central de Computación y Análisis de Riesgos y Método de Gestión) propone el uso de herramientas automatizadas de gestión de riesgos.

8. La metodología FAIR (Factor Analysis of Information Risk) es un marco patentado para realizar análisis cuantitativos de riesgos, que ofrece un modelo para construir un sistema de gestión de riesgos basado en un enfoque rentable, tomar decisiones informadas, comparar medidas de gestión de riesgos, indicadores financieros y modelos de riesgo precisos.

9. El concepto de COSO ERM (Enterprise Risk Management) describe formas de integrar la gestión de riesgos con la estrategia y el desempeño financiero de la empresa y se centra en la importancia de su relación. El documento describe componentes de gestión de riesgos como la estrategia y el establecimiento de objetivos, la eficiencia económica de la empresa, el análisis y la revisión de riesgos, el gobierno corporativo y la cultura, así como la información, la comunicación y la presentación de informes.

Marco de gestión de riesgos del NIST


El primer conjunto de documentos será el Marco de gestión de riesgos del Instituto Nacional Estadounidense de Estándares y Tecnología (NIST). Este instituto emite documentos de seguridad de la información como parte de una serie de recomendaciones FIPS (Normas federales de procesamiento de información) y SP (Publicaciones especiales, Serie 800). Esta serie de publicaciones se caracteriza por la interconexión lógica, el detalle, una base terminológica única. Entre los documentos relacionados con la gestión de riesgos de seguridad de la información, cabe destacar NIST SP 800-39, 800-37, 800-30, 800-137 y 800-53 / 53a.

La creación de este conjunto de documentos fue consecuencia de la adopción de la Ley Federal de Administración de Seguridad de la Información de los Estados Unidos (FISMA, 2002) y la Ley Federal de Modernización de la Seguridad de la Información de los Estados Unidos (FISMA, 2014). A pesar de la declaración "vinculante" de las normas y publicaciones del NIST a la ley de los EE. UU. Y la implementación obligatoria de las mismas para las agencias del gobierno de los EE. UU., Estos documentos pueden considerarse adecuados para cualquier empresa que busque mejorar la gestión de los SI, independientemente de la jurisdicción y la forma de propiedad.

NIST SP 800-39


Por lo tanto, NIST SP 800-39 "Gestión del riesgo de seguridad de la información: organización, misión y vista del sistema de información" ofrece un enfoque independiente, estructurado pero flexible del proveedor para Gestión de riesgos de SI en el contexto de las operaciones de una empresa, activos, personas y contrapartes. Al mismo tiempo, la gestión de riesgos debe ser un proceso holístico que afecte a toda la organización en la que se practique la toma de decisiones basada en riesgos en todos los niveles. La gestión de riesgos se define en este documento como un proceso integral, que incluye los pasos de identificación (marco), evaluación (evaluación), procesamiento (respuesta) y monitoreo (monitoreo) de riesgos. Considere estos pasos con más detalle.

1. En la etapa de determinación de los riesgos de la organización se debe identificar:

  • supuestos de riesgo, es decir identificar amenazas actuales, vulnerabilidades, consecuencias, la probabilidad de riesgos;
  • límites de riesgo, es decir capacidades de evaluación, respuesta y monitoreo;
  • tolerancia al riesgo, es decir tolerancia al riesgo: tipos y niveles aceptables de riesgos, así como un nivel aceptable de incertidumbre en los problemas de gestión de riesgos;
  • prioridades y posibles compromisos, es decir Es necesario priorizar los procesos de negocios, estudiar las compensaciones que puede hacer una organización al procesar los riesgos, así como las limitaciones de tiempo y las incertidumbres que acompañan a este proceso.

2. En la etapa de evaluación de riesgos, la organización debe identificar:

  • Amenazas de IS, es decir acciones específicas, personas o entidades que pueden constituir amenazas para la propia organización o pueden ser dirigidas a otras organizaciones;
  • vulnerabilidades internas y externas, incluidas las vulnerabilidades de la organización en los procesos comerciales de gestión de la empresa, la arquitectura de los sistemas de TI, etc.
  • daño a la organización, teniendo en cuenta las posibilidades de explotar vulnerabilidades por amenazas;
  • La probabilidad de daños.

Como resultado, la organización recibe los determinantes del riesgo, es decir, nivel de daño y probabilidad de ocurrencia de daño para cada riesgo.

Para garantizar el proceso de evaluación de riesgos, la organización predetermina:

  • herramientas, técnicas y metodologías utilizadas para la evaluación de riesgos;
  • supuestos sobre la evaluación de riesgos;
  • restricciones que pueden afectar las evaluaciones de riesgos;
  • funciones y responsabilidades;
  • formas de recopilar, procesar y transmitir información de evaluación de riesgos dentro de la organización;
  • formas de realizar una evaluación de riesgos en la organización;
  • frecuencia de evaluación de riesgos;
  • formas de obtener información sobre amenazas (fuentes y métodos).

3. En la etapa de respuesta al riesgo, la organización realiza las siguientes actividades:

  • desarrollar posibles planes de respuesta al riesgo;
  • evaluación de posibles planes de respuesta al riesgo;
  • determinación de planes de respuesta al riesgo aceptables desde el punto de vista de la tolerancia al riesgo de la organización;
  • implementación de planes de respuesta al riesgo aceptados.

Para poder responder a los riesgos, la organización determina los tipos de posibles tratamientos de riesgos (aceptar, evitar, minimizar, compartir o transferir riesgos), así como herramientas, tecnologías y metodologías para desarrollar planes de respuesta, métodos para evaluar planes de respuesta y métodos de notificación de medidas de respuesta tomadas dentro organizaciones y / o contrapartes externas.

4. En la etapa de monitoreo de riesgos, se resuelven las siguientes tareas:

  • verificación de la implementación de los planes de respuesta al riesgo adoptados y el cumplimiento de los requisitos de SI;
  • determinar la efectividad actual de las medidas de respuesta al riesgo;
  • - - , , , - , -, , - ..

Las organizaciones describen métodos para evaluar el cumplimiento normativo y la efectividad de las respuestas al riesgo, así como cómo se controlan los cambios que pueden afectar la efectividad de las respuestas al riesgo.

La gestión de riesgos se lleva a cabo en los niveles de organización, procesos comerciales y sistemas de información, mientras que la interconexión y el intercambio de información entre estos niveles deben garantizarse para mejorar continuamente la eficacia de las acciones tomadas y la comunicación de riesgos a todos los interesados. En el nivel superior (nivel de organización), se toman decisiones para identificar los riesgos, lo que afecta directamente los procesos realizados en los niveles inferiores (procesos de negocio y sistemas de información), así como la financiación de estos procesos.

Nivel de organizaciónSe lleva a cabo el desarrollo y la implementación de funciones de gestión coherentes con los objetivos comerciales y los requisitos reglamentarios de la organización: la creación de una función de gestión de riesgos, el nombramiento de los responsables, la implementación de una estrategia de gestión de riesgos y la determinación de la tolerancia al riesgo, el desarrollo y la implementación de estrategias de inversión en TI y seguridad de la información.

A nivel de los procesos comerciales , se lleva a cabo la definición y creación de procesos comerciales orientados al riesgo y la arquitectura organizacional, que debe basarse en la segmentación, la reserva de recursos y la ausencia de puntos únicos de falla. Además, a este nivel, se está desarrollando la arquitectura de seguridad de la información, que garantizará la implementación efectiva de los requisitos de seguridad de la información y la implementación de todas las medidas y medios de protección necesarios.

A nivel de sistemas de informaciónes necesario garantizar la implementación de las decisiones tomadas en los niveles superiores, a saber, garantizar la gestión del riesgo de SI en todas las etapas del ciclo de vida de los sistemas: inicialización, desarrollo o adquisición, implementación, uso y desmantelamiento. El documento enfatiza la importancia de la capacidad de recuperación de los sistemas de TI, que es un indicador de la viabilidad de las funciones comerciales de una empresa.

Tenga en cuenta que en el Apéndice “H” del documento considerado en este documento, se describe cada uno de los métodos de tratamiento de riesgos enumerados en la etapa de respuesta al riesgo. Por lo tanto, se indica que la organización debe tener tanto una estrategia general para elegir un método de tratamiento de riesgo específico en una situación dada, como estrategias separadas para cada uno de los métodos de tratamiento de riesgo. Se indican los principios básicos para elegir uno u otro enfoque para la gestión de riesgos:

  • (acceptance) - ;
  • (avoidance) , - , -;
  • (share) (transfer) — , — - ;
  • ( ) (mitigation) . - , , , , , .

El documento también presta gran atención a la cultura organizacional y la confianza en los proveedores / contratistas como factores para la gestión exitosa del riesgo. En particular, se dice que la cultura organizacional y los altos directivos de la empresa afectan directamente las decisiones elegidas para la gestión del riesgo, por lo tanto, la estrategia general de gestión del riesgo debe tener en cuenta el apetito por el riesgo de la empresa y reflejar los métodos reales de gestión del riesgo. Los modelos para generar confianza con las contrapartes y proveedores se describen en el Apéndice "G": modelos basados ​​en controles de contratistas (por ejemplo, a través de auditorías), confianza histórica (cuando la contraparte no cometió violaciones durante el historial de relaciones a largo plazo), confianza a un tercero ( que realiza una evaluación independiente de las contrapartes), en un fideicomiso de credenciales (en el casocuando los requisitos reglamentarios establecen requisitos de confianza para dicho proveedor), así como un modelo híbrido.

NIST SP 800-37


Ahora pasemos al NIST SP 800-37 "Marco de gestión de riesgos para sistemas y organizaciones de información: un enfoque del ciclo de vida del sistema para la seguridad y la privacidad" ("Marco de gestión de riesgos para sistemas y organizaciones de información: el ciclo de vida de los sistemas de seguridad y privacidad") .

El documento actual tiene la revisión №2 y se actualizó en diciembre de 2018 para tener en cuenta el panorama moderno de amenazas y enfatizar la importancia de la gestión de riesgos a nivel de los jefes de las empresas, para enfatizar el vínculo entre el marco de gestión de riesgos (Marco de gestión de riesgos, RMF) y el marco de seguridad cibernética ( Ciberseguridad Marco de referencia, CSF), señale la importancia de integrar los procesos de gestión de la privacidad y la gestión de riesgos de la cadena de suministro (SCRM), y también enlace lógicamente la lista de medidas de protección propuestas (controles) al documento NIST SP 800-53. Además, la implementación de las disposiciones de NIST SP 800-37 se puede utilizar si es necesario para realizar una evaluación mutua de los procedimientos de gestión de riesgos de las empresas en los casos en que estas empresas necesiten intercambiar datos o recursos. Por analogía con NIST SP 800-39, la gestión de riesgos se considera en los niveles de organización, misión, sistemas de información.

NIST SP 800-37 establece que el Marco de gestión de riesgos en su conjunto indica la importancia de desarrollar e implementar capacidades de seguridad y confidencialidad en los sistemas de TI a lo largo de todo el ciclo de vida (ciclo de vida de desarrollo del sistema, SDLC), apoyo continuo de la conciencia situacional sobre el estado de protección de los sistemas de TI utilizando procesos de monitoreo continuo (CM) y proporcionando información a la gerencia para tomar decisiones informadas basadas en el riesgo. Los siguientes tipos de riesgos se identifican en RMF: riesgo de programa, riesgo de incumplimiento, riesgo financiero, riesgo legal, riesgo comercial, riesgo político, riesgo de seguridad y confidencialidad (incluido el riesgo de la cadena de suministro), riesgo de proyecto, riesgo de reputación, riesgo de seguridad de vida, riesgo estratégico planificación.

Además, el marco de gestión de riesgos:

  • proporciona un proceso repetible para la protección de la información y los sistemas de información basada en el riesgo;
  • Destaca la importancia de las actividades preparatorias para gestionar la seguridad y la privacidad;
  • proporciona categorización de información y sistemas de información, así como la selección, implementación, evaluación y monitoreo de equipos de protección;
  • sugiere utilizar herramientas de automatización para gestionar riesgos y medidas de protección en modo casi en tiempo real, así como métricas de tiempo relevantes para proporcionar información a la gerencia para la toma de decisiones;
  • conecta los procesos de gestión de riesgos en varios niveles e indica la importancia de elegir a los responsables de tomar medidas de protección.

El documento contiene 7 pasos para aplicar RMF:

  1. , .. -;
  2. ( , NIST SP 800-30 3 , : , , );
  3. () ;
  4. , ;
  5. , , ;
  6. ;
  7. , , , .

Además, la publicación NIST SP 800-37 enumera las tareas que deben realizarse en cada etapa de la aplicación de RMF. Para cada tarea, se indica el nombre de la tarea (control), los datos de entrada y salida (resultantes) del proceso se enumeran con referencia a las categorías de los controles CSF correspondientes, una lista de roles responsables y auxiliares, una descripción adicional de la tarea y también, si es necesario, enlaces a documentos NIST relacionados.

Enumeramos a continuación las tareas para cada una de las etapas de aplicación de RMF.

Los objetivos de la fase de " Preparación " a nivel de organización incluyen:

  • definición de roles para la gestión de riesgos;
  • creación de una estrategia de gestión de riesgos, teniendo en cuenta la tolerancia al riesgo de la organización;
  • Evaluación de riesgos;
  • selección de valores objetivo de medidas de protección y / o perfiles del documento del Marco de Seguridad Cibernética;
  • Definición para sistemas de TI de medidas de protección general que pueden heredarse de niveles superiores (por ejemplo, del nivel de organización o procesos de negocio)
  • priorización de sistemas de TI;
  • desarrollo e implementación de una estrategia para el monitoreo continuo de la efectividad de las medidas de protección.

Las tareas de la etapa de " Preparación " a nivel de sistemas de TI incluyen:

  • Definir las funciones y procesos comerciales que admite cada sistema de TI
  • identificación de personas (partes interesadas) interesadas en la creación, implementación, evaluación, funcionamiento, apoyo, desmantelamiento de sistemas;
  • identificación de activos que requieren protección;
  • determinación del límite de autorización para el sistema;
  • identificación de tipos de información procesada / transmitida / almacenada en el sistema;
  • identificación y análisis del ciclo de vida de todo tipo de información procesada / transmitida / almacenada en el sistema;
  • realizar evaluaciones de riesgos a nivel de sistemas de TI y actualizar la lista de resultados de evaluaciones;
  • Definición de requisitos de seguridad y confidencialidad para sistemas y entornos operativos.
  • ubicación de los sistemas en la arquitectura general de la empresa;
  • distribución de puntos de aplicación de requisitos de seguridad y confidencialidad para sistemas y entornos operativos;
  • registro formal de sistemas de TI en departamentos y documentos relevantes.

Las tareas de la fase de " Categorización " incluyen:

  • documentación de las características del sistema;
  • categorización del sistema y documentación de los resultados de categorización de acuerdo con los requisitos de seguridad;
  • revisión y aprobación de resultados y decisiones sobre categorización de acuerdo con los requisitos de seguridad.

Las tareas de la etapa " Selección de un conjunto de medidas de protección " incluyen:

  • selección de medidas de protección para el sistema y su entorno de funcionamiento;
  • aclaración (adaptación) de medidas de protección seleccionadas para el sistema y su entorno de funcionamiento;
  • distribución de puntos de aplicación de medidas de seguridad y confidencialidad al sistema y su entorno de funcionamiento;
  • documentación de las medidas planificadas para garantizar la seguridad y confidencialidad del sistema y su entorno en los planes pertinentes;
  • creación e implementación de una estrategia para monitorear la efectividad de las medidas de protección aplicadas, que está lógicamente conectada y complementa la estrategia general de monitoreo organizacional;
  • revisión y aprobación de planes para garantizar la seguridad y confidencialidad del sistema y su entorno operativo.

Las tareas de la fase de “ Implementación de medidas de protecciónincluyen:

  1. implementar medidas de seguridad de acuerdo con los planes de seguridad y confidencialidad;
  2. documentar los cambios en las salvaguardas planificadas después del hecho, en función del resultado real de la implementación.

Las tareas de la etapa " Evaluación de las medidas de seguridad implementadas " incluyen:

  • selección de un tasador o equipo de evaluación apropiado para el tipo de evaluación que se lleva a cabo;
  • desarrollo, revisión y aprobación de planes para la evaluación de medidas de protección implementadas;
  • Evaluación de medidas de protección de acuerdo con los procedimientos de evaluación descritos en los planes de evaluación;
  • preparación de informes de evaluación que contienen los defectos encontrados y recomendaciones para su eliminación;
  • tomar medidas correctivas con medidas de protección y reevaluar las medidas corregidas;
  • preparación de un plan de acción basado en las deficiencias encontradas y las recomendaciones de los informes de evaluación.

Las tareas de la fase de " Autorización " incluyen:

  • recolectar un paquete de autorización de documentos y enviárselo a la persona a cargo de la autorización;
  • análisis y determinación del riesgo de usar el sistema o aplicar medidas de protección;
  • determinación e implementación de un plan de acción preferido en respuesta al riesgo identificado;
  • determinación de la aceptabilidad del riesgo de usar el sistema o aplicar medidas de protección;
  • informar los resultados de la autorización y cualquier falta de medidas de seguridad que representen un riesgo significativo para la seguridad o la privacidad.

Las tareas de la fase de " Monitoreo continuo " incluyen:

  • , ;
  • ;
  • , , ;
  • , , ;
  • ;
  • ;
  • .

NIST SP 800-30


La Guía especial de NIST SP 800-30 para realizar evaluaciones de riesgos se centra en el proceso de evaluación de riesgos, que es un componente fundamental del proceso de gestión de riesgos de la organización de acuerdo con NIST SP 800-39, junto con la definición de Procesamiento y seguimiento de riesgos. Los procedimientos de evaluación de riesgos se utilizan para identificar, evaluar y priorizar los riesgos derivados del uso de sistemas de información para las actividades operativas de una organización, sus activos y empleados. Los objetivos de la evaluación de riesgos son informar a los responsables de la toma de decisiones y apoyar el proceso de respuesta al riesgo mediante la identificación de:

  • amenazas reales tanto para la organización misma como indirectamente para otras organizaciones;
  • vulnerabilidades internas y externas;
  • daño potencial a la organización, teniendo en cuenta las posibilidades de explotar vulnerabilidades por amenazas;
  • La probabilidad de este daño.

El resultado final es el cálculo del determinante (valor) del riesgo, es decir funciones de la cantidad de daño y la probabilidad de daño. La evaluación de riesgos se puede llevar a cabo en los tres niveles de gestión de riesgos (niveles de organización, misión, sistemas de información), por analogía con el enfoque utilizado en NIST SP 800-39 y NIST SP 800-37. Se enfatiza que la evaluación de riesgos es un proceso continuo que afecta a todos los niveles de gestión de riesgos en una organización, y también requiere su inclusión en el ciclo de vida de desarrollo del sistema (SDLC) y se lleva a cabo con una frecuencia adecuada a los objetivos y el alcance de la evaluación.

El proceso de evaluación de riesgos incluye:

  • preparación para la evaluación de riesgos;
  • Evaluación de riesgos;
  • comunicar los resultados de la evaluación y transferir información dentro de la organización;
  • mantenimiento de resultados logrados.

El documento dice sobre la importancia de compilar una metodología de evaluación de riesgos, desarrollada por la organización en la etapa de determinación de riesgos. Se indica que la organización puede elegir una o varias metodologías de evaluación de riesgos, dependiendo de los recursos disponibles, la fase SDLC, la complejidad y la madurez de los procesos comerciales, la importancia / importancia de la información procesada. Al mismo tiempo, al crear la metodología correcta, la organización mejora la calidad y la reproducibilidad de las evaluaciones de riesgo realizadas. Una metodología de evaluación de riesgos generalmente incluye:

  • descripción del proceso de evaluación de riesgos;
  • un modelo de riesgo que describe los factores de riesgo que se evalúan y las relaciones entre ellos;
  • un método de evaluación de riesgos (por ejemplo, cualitativo o cuantitativo) que describe los valores que pueden tomar los factores de riesgo y cómo se pueden procesar las combinaciones de estos factores;
  • Un método de análisis (por ejemplo, centrado en amenazas, centrado en activos o vulnerabilidades) que describe cómo se identifican y analizan las combinaciones de factores de riesgo.

El modelo de riesgo describe los factores de riesgo estimados y las relaciones entre ellos. Los factores de riesgo son características utilizadas en los modelos de riesgo como entrada para determinar los niveles de riesgo al realizar una evaluación de riesgos. Además, los factores de riesgo se utilizan en la comunicación de riesgos para resaltar aquellos factores que afectan significativamente los niveles de riesgo en ciertas situaciones y contextos. Los factores de riesgo típicos incluyen:

  • amenazas
  • vulnerabilidades
  • Influencia negativa;
  • probabilidad;
  • precondiciones

Sin embargo, algunos factores de riesgo pueden descomponerse en características más detalladas, por ejemplo, las amenazas pueden descomponerse en fuentes de amenaza y eventos de amenaza.

Una amenaza es cualquier circunstancia o evento que tiene el potencial de afectar negativamente los procesos o activos comerciales, empleados, otras organizaciones a través del acceso no autorizado, destrucción, divulgación o modificación de información y / o denegación de servicio. Los eventos de amenaza son generados por fuentes de amenaza. La fuente de amenazas puede ser una acción deliberada dirigida a explotar la vulnerabilidad, o una acción no intencional, como resultado de la cual la vulnerabilidad fue explotada accidentalmente. En general, los tipos de fuentes de amenazas incluyen:

  • ;
  • ;
  • , ;
  • .

Los detalles para determinar los eventos de amenaza dependen de la profundidad de la construcción de un modelo de riesgo. En el caso de una consideración detallada del modelo de riesgo, es posible construir escenarios de amenaza, que son un conjunto de varios eventos de amenaza que conducen a efectos negativos atribuidos a una fuente específica de amenazas (o varias fuentes) y ordenados por tiempo; Al mismo tiempo, se considera la probabilidad potencial de la explotación secuencial de varias vulnerabilidades que conducen a la implementación exitosa del ataque. Las amenazas de eventos en ataques cibernéticos o físicos se caracterizan por un conjunto de tácticas, técnicas y procedimientos (Ing. Tácticas, técnicas y procedimientos, TTP), sobre los cuales hemos dicho anteriormente .

El documento bajo consideración también habla de un concepto como " sesgo de amenaza"(Eng. Threat shifting), que se entiende como los atacantes que cambian sus TTP dependiendo de las medidas de protección tomadas por la compañía e identificadas por los atacantes. El cambio de amenazas puede llevarse a cabo en un dominio temporal (por ejemplo, intentos de atacar en otro momento o extender el ataque a tiempo), en un dominio objetivo (por ejemplo, elegir un objetivo menos seguro), un dominio de recursos (por ejemplo, usar recursos adicionales de atacantes para entrar en un objetivo), un dominio método de planificación o ataque (por ejemplo, usando otras herramientas de hackers o intentando atacar usando otros métodos). Además, se enfatiza que los atacantes a menudo prefieren el camino de menor resistencia para lograr sus objetivos, es decir. elija el eslabón más débil de la cadena de protección.

Vulnerabilidad- esto es una debilidad en el sistema de información, los procedimientos de seguridad, los métodos internos de protección o en las características de una implementación / implementación particular de una tecnología o sistema en particular. La vulnerabilidad se caracteriza por su peligro en el contexto de la importancia calculada de solucionarlo; Al mismo tiempo, el peligro puede determinarse dependiendo del efecto negativo esperado de la explotación de esta vulnerabilidad. La mayoría de las vulnerabilidades en los sistemas de información de la organización surgen debido a medidas de SI que no se han aplicado (ya sea accidental o deliberadamente), o que se aplican incorrectamente. También es importante recordar la evolución de las amenazas y los propios sistemas protegidos: ambos cambios ocurren con el tiempo, lo que debe tenerse en cuenta al reevaluar los riesgos. Además de las vulnerabilidades técnicas en los sistemas de TI,Los errores en la gestión de la organización y la arquitectura del sistema también deben considerarse.

Una condición predisponente en el contexto de la evaluación de riesgos es una condición que existe en un proceso de negocio, arquitectura o sistema de TI que afecta (disminuye o aumenta) la probabilidad de daños causados ​​por una amenaza. Los sinónimos lógicos son los términos "susceptibilidad" (susceptibilidad en inglés) o "apertura" (exposición en inglés) al riesgo, lo que significa que la vulnerabilidad puede ser explotada por una amenaza de daño. Por ejemplo, un servidor SQL es potencialmente vulnerable a la vulnerabilidad de inyección SQL. Además de las condiciones técnicas previas, se deben tener en cuenta las organizativas: por ejemplo, la ubicación de una oficina en tierras bajas aumenta el riesgo de inundación, y la falta de comunicación entre los empleados al desarrollar un sistema de TI aumenta el riesgo de romperlo en el futuro.

Probabilidad de ocurrenciaAmenazas (probabilidad de ocurrencia en inglés): un factor de riesgo calculado sobre la base del análisis de la probabilidad de que una determinada amenaza (o grupo de vulnerabilidades) pueda ser explotada por una determinada amenaza, teniendo en cuenta la probabilidad de que la amenaza finalmente cause un daño real. Para las amenazas intencionales, una evaluación de la probabilidad de ocurrencia generalmente se evalúa en función de las intenciones, capacidades y objetivos del atacante. Para amenazas no intencionales, la evaluación de la probabilidad de ocurrencia generalmente depende de datos empíricos e históricos. Además, la probabilidad de ocurrencia se estima para una perspectiva de tiempo determinada, por ejemplo, para el próximo año o para el período del informe. Si la amenaza se inicia o implementa casi en su totalidad al 100% dentro de un cierto período de tiempo,Al evaluar los riesgos, se debe tener en cuenta la frecuencia esperada de su implementación. Al evaluar la probabilidad de una amenaza, se debe tener en cuenta el estado de los procesos de gestión y negocios de la organización, las condiciones previas, la presencia y la eficacia de las medidas de protección existentes. La probabilidad de impacto negativo significa la posibilidad de que cualquier daño sea causado durante la implementación de la amenaza, independientemente de su magnitud. Los siguientes tres pasos se pueden utilizar para determinar la probabilidad general de ocurrencia de eventos de amenaza:Los siguientes tres pasos se pueden utilizar para determinar la probabilidad general de ocurrencia de eventos de amenaza:Los siguientes tres pasos se pueden utilizar para determinar la probabilidad general de ocurrencia de eventos de amenaza:

  1. , - ( ) ( ).
  2. , , , .
  3. .

Además de este enfoque, el documento recomienda no buscar absolutamente todas las amenazas y vulnerabilidades relacionadas, sino concentrarse en aquellas que realmente se pueden usar en ataques, así como en procesos y funciones comerciales con medidas de protección insuficientes.

El nivel de impacto negativo (ing. Impacto) de un evento de amenaza es la cantidad de daño que se espera de la divulgación no autorizada, acceso, alteración, pérdida de información o inaccesibilidad de los sistemas de información. Las organizaciones definen explícitamente:

  1. El proceso utilizado para determinar el impacto negativo.
  2. Supuestos utilizados para determinar los efectos adversos.
  3. Fuentes y métodos para obtener información sobre el impacto negativo.
  4. La justificación utilizada para determinar el impacto negativo.

Además, al calcular el impacto negativo, las organizaciones deben tener en cuenta el valor de los activos y la información: puede utilizar el sistema aceptado de la empresa para clasificar la información por nivel de importancia o los resultados de las Evaluaciones de impacto de privacidad.

Al evaluar los riesgos, un factor importante es el grado de inexactitud (incertidumbre del inglés) que surge debido a las siguientes limitaciones, en general, naturales, como la incapacidad de predecir con precisión los eventos futuros; insuficiente información disponible sobre las amenazas; vulnerabilidades desconocidas; interdependencias no reconocidas

Con base en lo anterior, el modelo de riesgo puede describirse como la siguiente estructura lógica:

fuente de amenaza(con ciertas características) con un cierto grado de probabilidad inicia un evento de amenaza que explota la vulnerabilidad (que tiene un cierto grado de peligro, teniendo en cuenta las condiciones previas y la elusión exitosa de las medidas de protección), como resultado de lo cual se crea un efecto negativo (con una cierta cantidad de riesgo en función de la cantidad de daño y probabilidad daño) que da lugar al riesgo .

El documento también ofrece recomendaciones sobre el uso del proceso de agregación de riesgos .(Agregación de riesgos en inglés) para combinar varios riesgos fragmentados o de bajo nivel en uno más general: por ejemplo, los riesgos de los sistemas de TI individuales se pueden agregar a un riesgo común para todo el sistema empresarial que soportan. Con tal combinación, debe tenerse en cuenta que algunos riesgos pueden ocurrir simultáneamente o con más frecuencia de lo previsto. También es necesario tener en cuenta la relación entre riesgos dispares y combinarlos o, por el contrario, desconectarlos.

NIST SP 800-30 también describe los principales métodos de evaluación de riesgos : cuantitativo (inglés cuantitativo), cualitativo (inglés cualitativo) y semicuantitativo (inglés semicuantitativo).

Cuantitativoel análisis opera con números específicos (costo, tiempo de inactividad, costos, etc.) y es el más adecuado para el análisis de costo-beneficio, sin embargo, requiere bastante recursos.

El análisis cualitativo utiliza características descriptivas (por ejemplo, alta, media, baja), que pueden llevar a conclusiones incorrectas debido al pequeño número de estimaciones posibles y la subjetividad de su presentación.

SemicuantitativoEl método es una opción intermedia, que ofrece el uso de un rango más amplio de calificaciones posibles (por ejemplo, en una escala de 1 a 10) para una evaluación y análisis más precisos de los resultados de la comparación. La aplicación de un método de evaluación de riesgo específico depende tanto del campo de actividad de la organización (por ejemplo, se puede aplicar un análisis cuantitativo más riguroso en el sector bancario) como de la etapa del ciclo de vida del sistema (por ejemplo, solo se puede llevar a cabo una evaluación de riesgo cualitativa en las etapas iniciales del ciclo, pero en las más maduras) - ya cuantitativo).

Finalmente, el documento también describe tres formas principales de analizar los factores de riesgo: centrado en la amenaza (orientado a la amenaza en inglés), orientado a los activos (orientado a los activos / impacto en inglés) o vulnerabilidad (orientado a la vulnerabilidad en inglés).

Centrado en la amenazael método se enfoca en crear escenarios de amenazas y comienza con la determinación de las fuentes de amenazas y eventos de amenazas; Además, las vulnerabilidades se identifican en el contexto de las amenazas y el impacto negativo se asocia con las intenciones del atacante. El

método orientado a los activos implica identificar eventos de amenazas y fuentes de amenazas que pueden tener un impacto negativo en los activos; El daño potencial a los activos está a la vanguardia.

Aplicar un método basado en la vulnerabilidadcomienza con un análisis de un conjunto de condiciones previas y debilidades / debilidades que pueden ser explotadas; Además, se determinan los posibles eventos de amenazas y las consecuencias de explotar sus vulnerabilidades. El documento contiene recomendaciones para combinar los métodos de análisis descritos para obtener una imagen más objetiva de las amenazas en la evaluación de riesgos.

Entonces, como ya hemos indicado anteriormente, de acuerdo con NIST SP 800-30, el proceso de evaluación de riesgos se divide en 4 pasos:

  • preparación para la evaluación de riesgos;
  • Evaluación de riesgos;
  • comunicar los resultados de la evaluación y transferir información dentro de la organización;
  • mantenimiento de resultados logrados.

Consideremos con más detalle las tareas realizadas en cada etapa.

1. Preparación para la evaluación de riesgos.

En preparación para la evaluación de riesgos, se realizan las siguientes tareas:

1.1. Identificación del propósito de la evaluación de riesgos: qué información se espera como resultado de la evaluación, qué decisiones serán dictadas por el resultado de la evaluación.
1.2. Identificación del alcance de la evaluación de riesgos en el contexto de aplicabilidad a una organización en particular, marco de tiempo, información sobre la arquitectura y las tecnologías utilizadas
1.3. Identificación de supuestos y limitaciones específicos, teniendo en cuenta qué evaluación de riesgos se lleva a cabo. Como parte de esta tarea, las suposiciones y limitaciones se definen en elementos tales como fuentes de amenazas, eventos de amenaza, vulnerabilidades, condiciones previas, probabilidad de ocurrencia, impacto negativo, tolerancia al riesgo y nivel de inexactitud, así como el método de análisis elegido.
1.4. Identificación de fuentes de información preliminar, fuentes de amenazas y vulnerabilidades, así como información sobre el impacto negativo que se utilizará en la evaluación de riesgos. En este proceso, las fuentes de información pueden ser tanto internas (como informes de incidentes y auditorías, registros de seguridad y resultados de monitoreo) como externas (por ejemplo, informes CERT, resultados de investigaciones y otra información relevante disponible públicamente).
1.5. Identificación del modelo de riesgo, método de evaluación de riesgos y enfoque de análisis que se utilizará en la evaluación de riesgos.

2. Realizar una evaluación de riesgos.

Como parte de la evaluación de riesgos, se realizan las siguientes tareas:

2.1. Identificación y caracterización de las fuentes actuales de amenazas, incluidas las capacidades, intenciones y objetivos de las amenazas intencionales, así como los posibles efectos de las amenazas no intencionales.
2.2. Identificación de posibles eventos de amenaza, la relevancia de estos eventos, así como las fuentes de amenazas que pueden desencadenar eventos de amenaza.
2.3. Identificación de vulnerabilidades y condiciones previas que afectan la probabilidad de que los eventos de amenazas actuales conduzcan a un impacto negativo. Su propósito es determinar qué tan vulnerables son los procesos de negocios y los sistemas de información a las fuentes de amenazas previamente identificadas y cómo las amenazas identificadas pueden ser desencadenadas por estas fuentes de amenazas.
2.4. Determinar la probabilidad de que los eventos de amenazas actuales conduzcan a un impacto negativo, teniendo en cuenta las características de las fuentes de amenazas, vulnerabilidades y condiciones previas, así como la exposición de la organización a estas amenazas, teniendo en cuenta las medidas de protección implementadas.
2.5. Determinación del impacto negativo generado por las fuentes de amenazas, teniendo en cuenta las características de las fuentes de amenazas, vulnerabilidades y condiciones previas, así como la exposición de la organización a estas amenazas, teniendo en cuenta las medidas de protección implementadas.
2.6. Determinar el riesgo de la implementación de eventos de amenazas actuales, teniendo en cuenta el nivel de impacto negativo de estos eventos y la probabilidad de que ocurran estos eventos. El Apéndice “I” de esta norma contiene la Tabla I-2 para calcular el nivel de riesgo dependiendo de los niveles de probabilidad e impacto negativo.

3. Comunicar los resultados de la evaluación de riesgos y transmitir información.

En el marco de la comunicación de los resultados de la evaluación de riesgos y la transferencia de información, se realizan las siguientes tareas:

3.1. Comunicar los resultados de la evaluación de riesgos a los tomadores de decisiones para responder a los riesgos.
3.2. Transmisión a las partes interesadas de información sobre los riesgos identificados como resultado de la evaluación.

4. Mantenimiento de los resultados obtenidos.

En el marco de mantener los resultados obtenidos, se realizan las siguientes tareas:

4.1. Realizar un monitoreo continuo de los factores de riesgo que afectan los riesgos en las actividades operativas de la organización, sus activos, empleados y otras organizaciones. Esta tarea está dedicada al estándar NIST SP 800-137, que consideraremos más adelante.
4.2. Actualización de la evaluación de riesgos utilizando los resultados del proceso de monitoreo continuo de factores de riesgo.

Como puede ver, el documento NIST SP 800-30 ofrece un enfoque bastante detallado para el modelado de amenazas y el cálculo de riesgos. Los apéndices de esta norma, que contienen ejemplos de cálculos para cada una de las subtareas de evaluación de riesgos, así como listas de posibles fuentes de amenazas, eventos de amenazas, vulnerabilidades y condiciones previas, también son valiosos.

NIST SP 800-137


Ahora pasamos a la revisión del documento NIST SP 800-137 "Monitoreo continuo de la seguridad de la información para organizaciones y sistemas de información federales" ("Monitoreo continuo de la seguridad de la información para organizaciones y sistemas de información federales").

La tarea de construir una estrategia para el monitoreo continuo de la seguridad de la información es evaluar la efectividad de las medidas de seguridad y el estado de seguridad de los sistemas para responder a los desafíos y tareas en constante cambio en el campo de la seguridad de la información. El sistema de monitoreo continuo de seguridad de la información ayuda a proporcionar una conciencia situacional del estado de seguridad de los sistemas de información de la compañía en función de la información recopilada de diversos recursos (como activos, procesos, tecnologías, empleados), así como las capacidades disponibles para responder a los cambios en la situación. Este sistema es una de las tácticas en la estrategia general de gestión de riesgos.

Al igual que otros documentos de la serie SP, esta publicación proporciona el enfoque de proceso recomendado para construir un sistema de monitoreo de seguridad de la información, que consiste en:

  • ( , - ; ; );
  • ( ; ; );
  • ;
  • ( ; ; );
  • ;
  • .

El documento también proporciona las siguientes recomendaciones para elegir herramientas para garantizar el monitoreo continuo de la seguridad de la información:

  • su soporte para una gran cantidad de fuentes de datos;
  • el uso de especificaciones abiertas y públicas (por ejemplo, SCAP - Protocolo de automatización de contenido de seguridad);
  • integración con otro software, como sistemas de mesa de ayuda, sistemas de gestión de inventario y configuración, sistemas de respuesta a incidentes;
  • apoyando el proceso de análisis de cumplimiento con las leyes aplicables;
  • proceso de informe flexible, la capacidad de "fallar" (desglose en inglés) en la profundidad de los datos bajo consideración;
  • Soporte para sistemas de información de seguridad y gestión de eventos (SIEM) y sistemas de visualización de datos.


UPD: La continuación de este artículo está aquí .

More articles:


All Articles