SEGURIDAD INFORMÁTICA Y HACKING ÉTICO

Metodología

La ISO 27001 establece unos requisitos que debe cumplir el análisis de riesgos, sin embargo, deja total libertad para seleccionar la metodología de análisis o diseñar la nuestra propia. En cualquier caso habrá que definirla y documentarla y deberemos asegurarnos de que es la indicada para el SGSI y está acorde con los requerimientos del negocio y con los requisitos legales y regulatorios que apliquen a la organización. Aunque la metodología de análisis de riesgos puede ser definida por la empresa, en la norma se recomienda revisar la “ISO/IEC TR 13335-3, Information technology — Guidelines for the management of IT Security — Techniques for the management of IT Security” y tener en cuenta la ISO 27005 “Information technology — Security techniques — Information security risk management”.

El Esquema Nacional de Seguridad (ENS), en cambio, establece en su artículo 13, “Análisis y gestión de los riesgos”, que deberá emplearse una metodología reconocida internacionalmente (sin perjuicio de la establecido en el ANEXO II).

Requisitos

Requisitos del ENS

El ENS define la categoría del sistema en función de sus dimensiones de seguridad. En el anexo II, el ENS establece distintos requisitos que debe cumplir el análisis de riesgos, dependiendo de dicha categoría. Para determinar la categoría a la que pertenece un sistema, se tienen en cuenta cinco dimensiones de seguridad, disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad frente a las tres que se emplean en la ISO 27001, confidencialidad, disponibilidad e integridad.

Si la categoría del sistema es BÁSICA, el análisis de riesgos puede realizarse de manera informal, en lenguaje natural. Se deberán identificar:

1. Activos con mayor valor
2. Amenazas más probables
3. Salvaguardas que protegen de dichas amenazas
4. Principales riesgos residuales

Si la categoría es MEDIA, el análisis de riesgos deberá ser más formal. Deberá definirse un lenguaje específico, una semántica y un catálogo básico de amenazas. Además, se deberán identificar los mismos puntos de la categoría básica (activos, amenazas, salvaguardas y riesgos residuales) y además deberán valorarse.

Para la categoría ALTA, el análisis de riesgos deberá ser totalmente formal y deberá tener una base matemática reconocida internacionalmente. Además de la identificación y valoración de los puntos de la categoría MEDIA, deberán identificarse las vulnerabilidades que permiten la materialización de las amenazas identificadas.

Requisitos de la ISO 27001

En la clausula 4.2.1 c), establece que la metodología de análisis de riesgos debe garantizar resultados comparables y reproducibles.

El análisis de riesgos debe incluir los siguientes puntos:

• Identificación de activos y responsables de los mismos
• Identificación de amenazas
• Identificación de vulnerabilidades que facilitan la materialización de las amenazas (este punto solo era requerido en el ENS para la clasificación ALTA).
• Valoración del impacto de la materialización de la amenaza sobre la confidencialidad, integridad y disponibilidad de cada activo.
• Valoración de la probabilidad teniendo en cuenta amenazas, vulnerabilidades, impacto y controles de seguridad ya implantados.
• Valoración de los riesgos
• Clasificación de los riesgos en aceptables y no aceptables según el criterio de aceptación del riesgo y los niveles de riesgo aceptable.

La ISO 27001 no requiere que la valoración del riesgo se realice con una fórmula matemática determinada, por ejemplo la fórmula clásica de Amenaza * Vulnerabilidad * Impacto o Probabilidad * Impacto, mientras que el ENS sí que exige para los sistemas de categoría ALTA el uso de una fórmula con una base matemática reconocida.

Aceptación del riesgo

La ISO 27001 requiere del concepto de criterio de aceptación del riesgo mientras que el ENS no lo precisa. La ISO 27001, en la cláusula 4.2.1 c) 2) establece que debe definirse un criterio de aceptación del riesgo y deben identificarse los niveles de aceptación del riesgo. La referencia más parecida que encontramos en el ENS aparece en el artículo 6 punto 2 donde se especifica que la gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables.

Revisión del análisis de riesgos

En el Esquema Nacional de Seguridad, el análisis de riesgos, según el artículo 6 “Gestión de la seguridad basada en los riesgos”, debe ser parte del proceso de seguridad y debe mantenerse permanentemente actualizado. En la ISO 27001, en la cláusula 4.2.3 d) se indica que el análisis de riesgos debe revisarse a intervalos planificados, pero no se especifica un intervalo concreto de tiempo. Según la ISO 27001 se deberán tener en cuenta cambios en:

1. La organización
2. La tecnología
3. Los objetivos y procesos de negocio
4. Amenazas
5. Efectividad de los controles implantados
6. Eventos externos (cambios legales o regulatorios, cambios contractuales y/o cambios en la conyuntura social).

En la cláusula 7.3 b) de la ISO 27001, donde se enumera la información resultado relativa a decisiones o acciones que van a llevarse a cabo tras una revisión por la Dirección, se indica la actualización del análisis de riesgos como uno de los puntos necesarios.

Conclusión

El análisis de riesgos en el ENS pone más enfasis en la evaluación de los activos mientras que la ISO 27001 lo hace más en la evaluación de los riesgos. El ENS al haberse elaborado a posteriori incluye dimensiones de la seguridad que no se incluyen en la 27001 como la trazabilidad y la autenticidad. Por otro lado, en la ISO 27001 se le da mucha importancia al criterio de aceptación de los riesgos y a la aceptación explícita de los riesgos residuales mientras que en el ENS, aunque los riesgos residuales aparecen, no se requiere su aprobación.

Si uno de nuestros objetivos es que nuestro SGSI esté conforme con ambas normativas, será necesario diseñar una valoración de activos de información y un análisis de riesgos a medida o adaptar el que ya tenemos, como resultado de la implantación de una de estas normas a la otra.