domingo, 3 de octubre de 2010

¿Qué debemos pedirle a una herramienta de análisis y gestión del riesgo?

Hasta hace un par de años, las herramientas de análisis y gestión del riesgo (en adelante AGR) no abundaban en el mercado, solían ser extranjeras y eran excesivamente caras. En el panorama español el rey era EAR/PILAR basada en la metodología MAGERIT. Sin embargo, con la extensión y patrocinio de los SGSI han aparecido nuevas herramientas que enriquecen el escenario y generan dudas respecto a cual elegir. Este post no es un análisis comparativo de productos sino una reflexión en voz alta basada en mi experiencia profesional sobre que debemos pedir a estas herramientas y qué objetivos deben cumplir.

Lo primero que hay que destacar es que existen dos tendencias claras dentro de las herramientas de apoyo a los SGSI: las que vienen del mundo de la calidad orientadas a dar soporte al ciclo PDCA y las que vienen del mundo de la seguridad orientadas a realizar un estudio preciso de las necesidades de seguridad en base al riesgo.
  • Herramientas del mundo de la calidad: sus puntos fuertes son que permiten de forma cómoda la gestión de los procesos generales del SGSI relacionados con la gestión de no conformidades, acciones preventivas y correctivas, gestión de las auditorías y de los resultados de la revisión del sistema por la Dirección. Este tipo de herramientas podríamos decir que son gestores documentales especializados para un SGSI. En estas herramientas el análisis y gestión del riesgo deja mucho que desear porque implantan metodologías que tienen una capacidad nula para modelar la seguridad.
  • Herramientas del mundo de la seguridad: sus puntos fuertes son que permiten realizar análisis de riesgos muy detallados y completos pero carecen de actividades de apoyo para la gestión de los procesos del SGSI, por tanto no tienen funcionalidad orientadas a la gestión y mantenimiento de los registros de operación del SGSI (No conformidades, auditorías, revisión del sistema por la Dirección, planificación de auditorías, de acciones formativas, etc). Son herramientas centradas en la seguridad y modelar la realidad para obtener una foto nítida del mapa de riesgos de la organización y posteriormente poder establecer los planes de tratamiento mas adecuados.
  • Herramientas mixtas: tienen lo mejor de ambas opciones y por tanto, son las más completas.

Yo personalmente prefiero las herramientas que modelan bien la seguridad frente a las que gestiona bien los registros del SGSI por una sencilla razón: estas tareas pueden ser hechas de forma manual porque no son complejas y te puedes arreglar con una gestión basada en documentos ofimáticos y carpetas en un servidor. Es más tedioso pero tampoco hay tanta carga de trabajo en este aspecto como para balancearme hacia las herramientas del mundo de la calidad.

Respecto a las herramientas del mundo de la seguridad, ¿Qué cosas son esenciales para mi?
  • Deben respetar los conceptos establecidos por ISO 27005 que es la norma que establece el marco de trabajo de toda metodología de análisis y gestión del riesgo. Deben permitir realizar todas las fases establecidas por esta norma y representar correctamente los conceptos que esta norma establece como marco en el que deben desenvolverse estas metodologías.
  • Deben tener unas matemáticas claras a la hora de calcular el riesgo. Todos sabemos que riesgo es una función del impacto que puede sufrir un activo debido a una amenaza y la vulnerabilidad de dicho activo frente a dicha amenaza. Las funciones sirven para establecer el abanico de riesgos a utilizar pero deben equilibrar los resultados de forma que los valores sean proporcionales para riesgos altos, medios o bajos según los rangos numéricos que vayamos a utilizar. Ello garantiza a priori una distribución homogénea de resultados impacto x vulnerabilidad para los riesgos. En cualquier caso, es imprescindible que los resultados sean sencillamente reproducibles conociendo los valores de impacto y vulnerabilidad pensando sobre todo en el cliente final que debe entender de donde salen los riesgos.
  • Deben tratar las dimensiones de seguridad como se merecen. No se pueden mezclar churras con meninas y las amenazas afectan de forma diferente a las diferentes características de la seguridad. Por tanto, el valor del riesgo debe estar condicionado a una amenaza sobre un activo que afecta a una o mas dimensiones. Cuando una herramienta indica que se tiene un nivel de riesgo X pero no indica en que dimensión, es complicado después en el tratamiento del mismo saber que hacer. Las estrategias de las medidas de seguridad están condicionadas al tipo de daño del que pretender preservar al activo, por tanto es muy relevante conocer la dimensión dañada. Si una herramienta toma como riesgo el máximo valor del daño recibido en cualquiera de sus dimensiones, deja ciego al técnico que luego debe pensar en que hacer para solventarlas. Es como ir al médico y cuando te pregunta que síntomas tienes, sólo le dices que estas enfermo. Mal diagnóstico puedes dar con tan poca información. Hay que pensar una cosa, todo lo que no hagamos bien en la fase de análisis del riesgo, complicará y dificultará la fase de tratamiento que es realmente lo importante de todo este proceso. No se trata de poder hacer un análisis estupendo que revele las carencias sino de definir qué hacer, en qué plazos y con qué objetivos para remediar esa situación. Por tanto, hay dos aspectos muy importantes a tener en cuenta: que permita modelar bien el problema de seguridad para dar un diagnóstico certero pero a su vez, que esté orientado a establecer un plan de tratamiento para poder poner fin a dicha situación.
  • Deben considerar las particularidades de la dimensión de la disponibilidad. Cuando hablamos de incidentes de seguridad no se suele considerar el factor tiempo porque en la mayoría de los casos, el daño no es proporcional al tiempo, excepto para la disponibilidad. Si una información confidencial es revelada a terceros, el impacto ya se ha producido. Sin embargo, cuando hablamos de una pérdida de un servicio, el tiempo es un factor determinante para calcular los daños. No tiene las mismas consecuencias están sin servicio una hora que estarlo durante una semana. Por tanto, esta dimensión debe ser tratada de forma especial. Además, de hacerlo así, estamos recogiendo información que es muy necesaria en los estudios de impacto en el negocio para cuando abordemos la continuidad de negocio. Se puede simultanear la recogida de información para el análisis del riesgo y para el estudio de impacto en el negocio (Business Impact Analyisis o BIA).

A modo de conclusión, lo que yo espero de este tipo de aplicaciones es que sean una especie de sistema experto que contengan conocimiento en relación a amenazas y soluciones, de manera que conforme vamos incorporando a ellas información, sean capaces de asesorar y establecer las mejores opciones de gestión y tratamiento de los riesgos detectados. Para mi es más importante lo que me proporcionan en la fase de gestión que en la fase de análisis dado que donde más conocimiento se debe tener es a la hora de poner el tratamiento que mitigue los riesgos. Eso sí, requiere previamente de haber realizado el diagnóstico correcto. Espero haber proporcionado algo de criterio a la hora de poder evaluar y comparar ahora los productos del mercado.

5 comentarios:

Anónimo dijo...

algunos enlaces a los principales productos estarian bien....

Edgar David Salazar dijo...

Me gustaría que publicaras algunos de estos productos y si sabes de la existencia de versiones open source.

saludos y gracias, la información esta muy buena.

Javier Cao Avellaneda dijo...

Como indico al principio, el objetivo del post no es realizar un análisis comparativo de productos. En primer lugar porque no tengo acceso a todos ellos y ya no son pocos lo que llevaría bastante tiempo y esfuerzo para hacer un estudio comparativo serio. Y en segundo lugar porque siempre trato mantener el blog al margen de cualquier aspecto o actividad de carácter comercial para poder seguir garantizando mi neutralidad y objetividad respecto a su contenido.

Prometeo dijo...

Muy buen artículo javier, cuando nos (me) decidí por una solución tuve en cuenta casi textualmente las consideraciones que expresas, me quedo tranquilo que elegí con un criterio que comparte alguien con experiencia en el tema. es importante que la herramienta considere los modelos de Negocio, el funcional y el de Gestión y que los cálculos no sean "una caja negra", sino que claramente uno pueda justificar de donde llegan los resultados.
Un saludo

Continuidad del Negocio dijo...

El uso de este tipo de herramientas nos puede ayudar a asegurar la Continuidad de nuestro Negocio.
Felicidades por el artículo, muy útil.
Saludos.

 
;