Get best of the week

Análisis de documentos internacionales sobre gestión de riesgos de seguridad de la información. Parte 2

En la parte anterior , describimos el concepto general de gestión de riesgos y los métodos de gestión de riesgos divulgados de acuerdo con los documentos de la serie NIST SP 800. En esta parte continuaremos revisando documentos internacionales sobre gestión de riesgos de seguridad de la información: tenemos las normas ISO 27005 y 31010 en proceso.

imagen

Las publicaciones especiales previamente revisadas NIST SP 800-39, NIST SP 800-37 y NIST SP 800-30 ofrecen un enfoque sistemático coherente para la evaluación y el procesamiento de riesgos, mientras que NIST SP 800-53, NIST SP 800-53A y NIST SP 800-137 Ofrecer medidas específicas para minimizar los riesgos de seguridad de la información. Sin embargo, debe tenerse en cuenta que estos documentos son esencialmente de carácter consultivo y no son estándares (por ejemplo, a diferencia de los documentos NIST FIPS), y también que fueron desarrollados originalmente para empresas y organizaciones de los Estados Unidos. Esto impone ciertas restricciones sobre su uso: por ejemplo, las organizaciones no pueden obtener una certificación internacional para la implementación de las disposiciones de estos documentos, y el uso de todo el conjunto de marcos relacionados con el NIST puede ser demasiado laborioso e inapropiado.A menudo, las empresas eligen la ruta de certificación de acuerdo con los requisitos de la Organización Internacional de Normalización (ISO), recibiendo, por ejemplo, el estado de "Certificado ISO 27001", reconocido en todo el mundo. La serie de normas ISO 27000 incluye documentos sobre seguridad de la información y gestión de riesgos. Considere el documento principal de esta serie sobre gestión de riesgos de SI: norma ISO / IEC 27005: 2018.

ISO / IEC 27005: 2018


Norma ISO / IEC 27005: 2018 "Tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información"("Tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información") es la tercera revisión: la primera versión de la norma se publicó en 2005 y la segunda en 2011. El documento presenta varios términos específicos de riesgo. Entonces, un medio de protección (control en inglés) es una medida que cambia el riesgo. El concepto de contextos (contexto en inglés) incluye el contexto externo, lo que significa el entorno externo de la empresa (por ejemplo, el entorno político, económico, cultural, así como las relaciones con las partes interesadas externas), y el contexto interno, que significa el entorno interno de la empresa (procesos internos, políticas, estándares, sistemas, objetivos y cultura de la organización, relaciones con partes interesadas internas, así como obligaciones contractuales).

Riesgo- este es el resultado de la inexactitud (incertidumbre inglesa) en el logro de objetivos sin embargo, la inexactitud significa un estado de falta de información relacionada con un determinado evento, sus consecuencias o la probabilidad de que ocurra. Bajo el nivel de riesgo (Ing. Nivel de riesgo) se entiende la magnitud del riesgo, expresada como un producto de los efectos de eventos significativos y la probabilidad de ocurrencia de estos eventos. Riesgo residual (Ing. Riesgo residual ): el riesgo restante después del procedimiento de tratamiento de riesgos. En evaluación de riesgo(Evaluación de riesgos en inglés) comprende el proceso general de identificación (es decir, búsqueda, definición y descripción del riesgo), análisis (es decir, comprensión de la naturaleza del riesgo y determinación de su nivel) y evaluación de peligros (es decir, comparación de los resultados del análisis de riesgos con criterios de riesgo para determinar la admisibilidad de su valor) riesgos. El tratamiento del riesgo es un proceso de modificación del riesgo que puede incluir:

  • evitar riesgos al evitar acciones que pueden conducir a riesgos;
  • Aceptación o aumento del riesgo para alcanzar los objetivos comerciales;
  • eliminación de fuentes de riesgo;
  • cambio en la probabilidad de ocurrencia de riesgo;
  • cambio en las consecuencias esperadas de la implementación del riesgo;
  • transferencia de riesgo (división);
  • preservación del riesgo.

El proceso de gestión de riesgos de IS desde el punto de vista de los autores de la norma ISO / IEC 27005: 2018 debe caracterizarse por las siguientes características:

  1. . , ( -).
  2. .
  3. .
  4. , .
  5. .
  6. .
  7. .
  8. .

El proceso de gestión de riesgos en sí consiste en los siguientes pasos (procesos) que cumplen con el enfoque PDCA (Plan - Do - Check - Act) adoptado en ISO 27001:

  1. Definición del contexto.
  2. Evaluación de riesgos.
  3. Desarrolle un plan de tratamiento de riesgos.
  4. Toma de riesgos
  5. Implementación del plan de tratamiento de riesgos desarrollado.
  6. Monitoreo continuo y revisión de riesgos.
  7. Soporte y mejora del proceso de gestión de riesgos de SI.

Además, consideraremos cada uno de estos pasos con más detalle.

1. Definición del contexto.


Al determinar el contexto, los datos de entrada son toda la información sobre la empresa que es relevante para la gestión de riesgos. Como parte de este proceso, se selecciona un enfoque para la gestión de riesgos, que debe incluir criterios de evaluación de riesgos, criterios para evaluar el impacto negativo (impacto en inglés) y criterios para aceptar riesgos. Además, los recursos necesarios para la implementación de este proceso deben ser evaluados y asignados.

Los criterios de evaluación de riesgos deben desarrollarse para evaluar los riesgos de SI en la empresa y deben tener en cuenta el valor de los activos de información, los requisitos para su confidencialidad, integridad, accesibilidad, el papel de los procesos comerciales de la información, los requisitos legales y las obligaciones contractuales, las expectativas de las partes interesadas, las posibles consecuencias negativas para la buena voluntad y la reputación. empresa.

Los criterios para evaluar el impacto negativo deben tener en cuenta el nivel de daños o gastos de la empresa para recuperarse del riesgo de seguridad de la información realizado, teniendo en cuenta el nivel de importancia del activo de TI, violación de la seguridad de la información (es decir, pérdida de la privacidad, integridad, propiedades de disponibilidad del activo), tiempo de inactividad forzado del proceso comercial, pérdidas económicas , violación de planes y plazos, daños a la reputación, violación de requisitos legales y obligaciones contractuales.

Criterios de aceptación de riesgospuede expresarse como la relación entre los beneficios comerciales esperados y los riesgos esperados. Al mismo tiempo, se pueden aplicar diferentes criterios para diferentes clases de riesgos: por ejemplo, los riesgos de incumplimiento de la ley pueden no ser aceptados en principio, y los riesgos financieros altos pueden ser aceptados si son parte de las obligaciones contractuales. Además, se debe tener en cuenta el período de tiempo previsto de relevancia del riesgo (riesgos a largo y corto plazo). Los criterios para aceptar riesgos deben desarrollarse teniendo en cuenta el nivel de riesgo deseado (objetivo) con la posibilidad de que la alta dirección acepte riesgos por encima de este nivel en ciertas circunstancias, así como la posibilidad de aceptar riesgos sujetos a un procesamiento posterior de riesgos durante el período de tiempo acordado.

Además de los criterios anteriores, como parte del proceso de determinación del contexto, se deben tener en cuenta los límites y el alcance del proceso de gestión de riesgos de SI: los objetivos comerciales, los procesos comerciales, los planes y políticas de la compañía, la estructura y las funciones de la organización, la legislación aplicable y otros requisitos, activos de información, expectativas de las partes interesadas, interacción con las contrapartes. Puede considerar el proceso de gestión de riesgos dentro de un sistema de TI, infraestructura, proceso de negocio específico o dentro de una parte específica de toda la empresa.

2. Evaluación de riesgos


Como parte del proceso de evaluación de riesgos, la empresa debe evaluar el valor de los activos de información, identificar las amenazas y vulnerabilidades actuales, obtener información sobre las soluciones actuales y su efectividad, y determinar las posibles consecuencias de los riesgos. Como resultado de la evaluación de riesgos, la empresa debe recibir una evaluación de riesgos cuantitativa o cualitativa, así como la priorización de estos riesgos, teniendo en cuenta los criterios para evaluar el riesgo de riesgos y los objetivos de la empresa. El proceso de evaluación de riesgos en sí consiste en la identificación de riesgos, análisis de riesgos, evaluación de riesgos.

2.1. Identificación de riesgo


El propósito de identificar riesgos es determinar qué puede suceder y conducir a un daño potencial, y obtener una comprensión de cómo, dónde y por qué puede ocurrir este daño. En este caso, uno debe tener en cuenta los riesgos, independientemente de si la fuente de estos riesgos está bajo el control de la organización o no. Como parte de este proceso, se debe llevar a cabo lo siguiente:

  1. identificación (inventario) de activos, lo que resulta en una lista de activos de TI y procesos comerciales;
  2. identificación de amenazas, aunque es necesario tener en cuenta las amenazas deliberadas y aleatorias, las fuentes externas e internas de amenazas, y la información sobre posibles amenazas puede obtenerse tanto de fuentes internas de la organización (abogados, RRHH, TI, etc.) como de fuentes externas (seguros empresas, consultores externos, información estadística, etc.);
  3. ;
  4. , ; , , -, , , ;
  5. , , -.

2.2.


Se puede llevar a cabo un análisis de riesgos con diferentes profundidades, dependiendo de la criticidad de los activos, el número de vulnerabilidades conocidas y también teniendo en cuenta incidentes anteriores. La metodología del análisis de riesgos puede ser tanto cualitativa como cuantitativa: como regla general, primero se utiliza un análisis cualitativo para resaltar los riesgos de alta prioridad, y luego se aplica un análisis cuantitativo a los riesgos identificados, lo que lleva más tiempo y proporciona resultados más precisos.

Al utilizar el análisis cualitativo, los especialistas operan en una escala de evaluación descriptiva del peligro (por ejemplo, bajo, medio, alto) de las posibles consecuencias de ciertos eventos y la probabilidad de estas consecuencias.

Cuando se utilizan métodos de análisis cuantitativos.Los valores numéricos ya se están aplicando, teniendo en cuenta los datos históricos sobre incidentes que ya han ocurrido. Debe tenerse en cuenta que, en ausencia de hechos confiables y verificables, una evaluación cuantitativa del riesgo solo puede dar la ilusión de precisión.

Con el proceso de análisis de riesgos en sí, primero se evalúan las posibles consecuencias de los incidentes de SI: su nivel de impacto negativo en la empresa se evalúa teniendo en cuenta las consecuencias de las violaciones de la confidencialidad, integridad y disponibilidad de los activos de información. Los activos existentes se verifican y auditan con el fin de clasificarlos de acuerdo con su criticidad, y también se evalúa el posible impacto negativo de las violaciones de seguridad de la información de estos activos en el negocio (preferiblemente en términos monetarios). La valoración de los activos se lleva a cabo como parte de un análisis del impacto negativo en el negocio (Análisis de impacto empresarial) y se puede calcular en función del costo de reemplazar o restaurar activos / información, así como las consecuencias de la pérdida o el compromiso de los activos / información: se consideran los aspectos financieros, legales y de reputación.También se debe tener en cuenta que las amenazas pueden afectar uno o varios activos interrelacionados o afectar los activos solo parcialmente.

A continuación, una evaluación de la probabilidad de un incidente, es decir, todos los posibles escenarios de amenaza. Es necesario tener en cuenta la frecuencia de la amenaza y la facilidad de explotación de las vulnerabilidades, guiada por información estadística sobre amenazas similares, así como datos sobre la motivación y las posibilidades de fuentes deliberadas de amenazas (construir un modelo del intruso), el atractivo de los activos para los atacantes, las vulnerabilidades existentes, las medidas de protección aplicadas y, en caso de consideración no intencional amenazas: tenga en cuenta la ubicación, las condiciones climáticas, las características del equipo, los errores humanos, etc. Dependiendo de la precisión requerida de la evaluación, los activos se pueden agrupar o dividir en términos de escenarios de ataque aplicables a ellos.

Finalmente, el nivel de riesgo se determina para todos los escenarios de la lista desarrollada de escenarios de ataque. La magnitud del riesgo esperado es un producto de la probabilidad del escenario del incidente y sus consecuencias.

2.3. Evaluación de riesgos


Como parte del proceso de evaluación de riesgos y riesgos, los niveles de riesgo obtenidos en la etapa anterior se comparan con los criterios de comparación de riesgos y los criterios de aceptación de riesgos obtenidos en la etapa de determinación del contexto. Al tomar decisiones, se deben tener en cuenta las consecuencias de la implementación de amenazas, la probabilidad de consecuencias negativas, el nivel de confianza personal en la corrección de la identificación y el análisis de riesgos. Es necesario tener en cuenta las propiedades de los activos de SI (por ejemplo, si la pérdida de confidencialidad no es relevante para la organización, entonces se pueden descartar todos los riesgos que violen esta propiedad), así como la importancia de los procesos comerciales atendidos por un determinado activo (por ejemplo, los riesgos que afectan un proceso comercial insignificante pueden ser reconocido como de baja prioridad).

3. Tratamiento de riesgo IS


Al comienzo de este subproceso, ya tenemos una lista de riesgos priorizados de acuerdo con los criterios para evaluar el riesgo de riesgos asociados con escenarios de incidentes que pueden conducir a la realización de estos riesgos. Como resultado de pasar por la etapa de procesamiento de riesgos, debemos elegir medidas de protección diseñadas para modificar (retener), mantener (evitar) o transferir (compartir) riesgos, y procesar riesgos y formas residuales plan de tratamiento de riesgos.

Las opciones de tratamiento de riesgo indicadas (modificación, preservación, evitación o transferencia) deben seleccionarse en función de los resultados del proceso de evaluación de riesgos, la estimación del costo esperado de la implementación de medidas de protección y los beneficios esperados de cada opción, mientras que pueden combinarse (por ejemplo, modificar la probabilidad de riesgo y transferir el riesgo residual ) Se debe dar preferencia a las medidas fáciles de implementar y de bajo presupuesto, que al mismo tiempo tienen un gran efecto de reducción de riesgos y cubren un mayor número de amenazas, y si es necesario, el uso de soluciones costosas debe dar una justificación económica para su aplicación. En general, uno debe esforzarse por minimizar las consecuencias negativas, así como tener en cuenta los riesgos raros pero destructivos.

Como resultado, las personas responsables deben formular un plan de tratamiento de riesgos que defina claramente la prioridad y el intervalo de tiempo de acuerdo con el cual se debe implementar un método de procesamiento de cada riesgo. Las prioridades se pueden establecer en función de los resultados de la clasificación de riesgos y el análisis de costo-beneficio. Si ya se han implementado medidas de protección en la organización, será razonable analizar su relevancia y costo de propiedad, teniendo en cuenta la relación entre las medidas de protección y las amenazas para las cuales se aplicaron estas medidas de protección.

Al final del plan de tratamiento de riesgos, se deben determinar los riesgos residuales. Esto puede requerir actualizar o volver a realizar una evaluación de riesgos teniendo en cuenta los efectos esperados de los métodos de tratamiento de riesgos propuestos.

A continuación, consideramos con más detalle las posibles opciones para procesar riesgos.

3.1. Modificación de riesgo


La modificación del riesgo implica dicha gestión del riesgo mediante la aplicación o el cambio de medidas de protección, lo que lleva a la evaluación del riesgo residual como aceptable. Cuando se utiliza la opción de modificación del riesgo, se seleccionan medidas de protección justificadas y relevantes que cumplen con los requisitos definidos en las etapas de evaluación y procesamiento de riesgos. Se debe tener en cuenta una variedad de restricciones, como el costo de propiedad del equipo de protección (teniendo en cuenta la implementación, administración e influencia en la infraestructura), el marco de tiempo y financiero, la necesidad de personal que preste servicio a este equipo de protección y los requisitos para la integración con las medidas de seguridad actuales y nuevas. También es necesario comparar el costo de los costos indicados con el valor del activo que se protege. Las medidas de protección incluyen: corrección, eliminación, prevención, minimización del impacto negativo,prevención de posibles infractores; detección, recuperación, seguimiento y sensibilización de los empleados.

El resultado del paso "Modificación del riesgo" debe ser una lista de posibles medidas de protección con su costo, los beneficios propuestos y la prioridad de implementación.

3.2. Preservación del riesgo


La preservación del riesgo significa que, en base a los resultados de la evaluación del riesgo de riesgo, se decidió que no se requieren pasos adicionales para su procesamiento, es decir. El nivel estimado de riesgo esperado cumple con los criterios de aceptación del riesgo. Tenga en cuenta que esta opción es significativamente diferente de la práctica viciosa de ignorar el riesgo, en la que el riesgo ya identificado y evaluado no se procesa de ninguna manera, es decir. la decisión sobre su adopción no se adopta oficialmente, dejando el riesgo en un estado "suspendido".

3.3. Evitación de riesgo


Al elegir esta opción, se toma la decisión de no realizar una determinada actividad o de cambiar las condiciones de su conducta para evitar el riesgo asociado con esta actividad. Esta decisión se puede tomar en caso de altos riesgos o si el costo de implementar medidas de protección excede los beneficios esperados. Por ejemplo, una empresa puede negarse a proporcionar a los usuarios ciertos servicios en línea relacionados con datos personales, en función de los resultados de un análisis de los posibles riesgos de fuga de dicha información y el costo de implementar medidas de protección adecuadas.

3.4. Transferencia de riesgo


El riesgo puede transferirse a la organización que puede gestionarlo de manera más efectiva. Por lo tanto, sobre la base de una evaluación de riesgos, se toma la decisión de transferir ciertos riesgos a otra persona, por ejemplo, asegurando los riesgos cibernéticos (un servicio que está ganando popularidad en Rusia pero que todavía está varias veces por detrás del tamaño de este mercado, por ejemplo, en los EE. UU.) O transfiriendo responsabilidades para monitorear y responder a incidentes de IS al MSSP (Proveedor de servicios de seguridad gestionados) o MDR (Detección y respuesta gestionadas), es decir en SOC comercial. Al elegir la opción de transferencia de riesgos, debe tenerse en cuenta que la transferencia de riesgos en sí misma puede ser un riesgo, así como el hecho de que la responsabilidad de administrar el riesgo puede transferirse a otra compañía, pero la responsabilidad por las consecuencias negativas de un posible incidente no puede transferirse a ella.

4. Aceptación de riesgos


Los datos de entrada para esta etapa serán los planes de tratamiento de riesgos desarrollados en el paso anterior y la evaluación de riesgos residuales. Los planes de gestión de riesgos deben describir cómo se procesarán los riesgos evaluados para cumplir con los criterios de aceptación de riesgos. Las personas responsables analizan y acuerdan los planes de tratamiento de riesgos propuestos y los riesgos residuales finales, así como también indican todas las condiciones bajo las cuales se realiza esta aprobación. En un modelo simplificado, se realiza una comparación trivial del riesgo residual con un nivel aceptable previamente definido. Sin embargo, debe tenerse en cuenta que en algunos casos puede ser necesario revisar los criterios para aceptar riesgos que no tienen en cuenta las nuevas circunstancias o condiciones. En este caso, los responsables pueden verse obligados a aceptar tales riesgos,indicando los fundamentos y comentarios sobre la decisión sobre el incumplimiento de los criterios para aceptar riesgos en un caso particular.

Como resultado, se forma una lista de riesgos aceptados con una justificación para aquellos que no cumplen con los criterios definidos previamente para aceptar riesgos.

5. Implementación del plan de tratamiento de riesgos desarrollado. Comunicación de riesgo IS


En esta etapa, el plan de tratamiento de riesgos desarrollado se implementa directamente: de acuerdo con las decisiones tomadas, se compran y configuran equipos y equipos de protección, se concluyen los contratos de seguro cibernético y respuesta a incidentes, y se lleva a cabo un trabajo legal con los contratistas. Al mismo tiempo, la información sobre los riesgos de SI identificados y las medidas tomadas para abordarlos a fin de lograr una comprensión común de las actividades se comunica a la gerencia y a las partes interesadas.
Se están desarrollando planes de comunicación de riesgos de seguridad de la información para actividades coordinadas en situaciones normales y de emergencia (por ejemplo, en caso de un incidente de seguridad de la información importante).

6. Monitoreo y revisión continua de riesgos.


Debe tenerse en cuenta que los riesgos pueden cambiar silenciosamente con el tiempo: los activos y su valor cambian, aparecen nuevas amenazas y vulnerabilidades, la probabilidad de amenazas y el nivel de sus cambios de impacto negativo. Por lo tanto, es necesario monitorear continuamente los cambios en curso, incluso con la participación de contrapartes externas especializadas en el análisis de las amenazas actuales de IS. Se requiere llevar a cabo una revisión periódica de los riesgos de SI y los métodos utilizados para tratarlos por la pertinencia y adecuación de una situación potencialmente cambiante. Se debe prestar especial atención a este proceso en el momento de los cambios significativos en el trabajo de la empresa y los procesos comerciales en curso (por ejemplo, durante fusiones / adquisiciones, el lanzamiento de nuevos servicios, cambios en la estructura de propiedad de la empresa, etc.).

7. Apoyo y mejora del proceso de gestión de riesgos de SI.


Similar al monitoreo continuo de riesgos, el proceso de gestión de riesgos en sí mismo debe mantenerse y mejorarse constantemente para que el contexto, la evaluación y el plan de tratamiento sigan siendo relevantes para la situación y las circunstancias actuales. Todos los cambios y mejoras deben ser acordados con las partes interesadas. Los criterios para evaluar y aceptar riesgos, evaluar el valor de los activos, los recursos disponibles, la actividad de los competidores y los cambios en la legislación y las obligaciones contractuales deben corresponder a los procesos comerciales actuales y los objetivos actuales de la empresa. Si es necesario, es necesario cambiar o mejorar el enfoque actual, la metodología y las herramientas de gestión de riesgos de SI.

IEC 31010: 2019


Ahora revisamos brevemente la norma IEC 31010: 2019 "Gestión de riesgos - Técnicas de evaluación de riesgos" .

Este estándar es parte de una serie de estándares de gestión de riesgos empresariales que no están específicamente vinculados a los riesgos de SI. El estándar de "título" es ISO 31000: 2018, "Gestión de riesgos - Directrices", que describe el marco, los principios y el proceso de gestión de riesgos en sí. El proceso de gestión de riesgos descrito en este documento es similar al discutido anteriormente: se determinan el contexto, los límites y los criterios, se realiza una evaluación de riesgos (que consiste en identificación, análisis, evaluación de riesgos y riesgos), luego se procesa el riesgo, seguido de comunicación, informes, monitoreo y revisión.

La norma IEC 31010: 2019 es notable porque proporciona más de 40 técnicas diferentes de evaluación de riesgos, cada una proporciona una explicación, un método de aplicación para todos los subprocesos de evaluación de riesgos (identificación de riesgos, identificación de fuentes y causas de riesgos, análisis de medidas de protección, análisis consecuencias, probabilidades, relaciones e interacciones, medición y evaluación del nivel de riesgo, elección de medidas de protección, informes), y para algunas técnicas también se dan ejemplos prácticos de uso. Además, para esta norma en su versión doméstica, GOST R ISO / IEC 31010-2011 “Gestión de riesgos. Métodos de evaluación de riesgos "se refiere 607-P del Banco Central de la Federación de Rusia" Sobre los requisitos para el procedimiento para garantizar el funcionamiento ininterrumpido del sistema de pago, los indicadores de funcionamiento ininterrumpido del sistema de pago y los métodos de análisis de riesgo en el sistema de pago, incluidos los perfiles de riesgo ".

More articles:


All Articles