InfoSecMan Blog

Selecciona menú:
Home

Acerca de

Análisis de Riesgos, ¿Para Qué? (Otras Opiniones)

3 February 2009

El post de hace unos días buscando un poco de polémica sobre la necesidad de un análisis de riesgos en todas las ocasiones ha despertado cierto interés en otros foros paralelos a este blog donde otros profesionales han manifestado distintas opiniones y reflexiones al respecto que, para ampliar la reflexión, incluyo a continuación (previa aprobación por parte de los autores correspondientes).

¡¡Muchas gracias a todos por las excelentes aportaciones!!

———-
De: Rodney López <rlopez@vertice.cu>
Fecha: 15 de enero de 2009 13:48

———-
De: Christian B. <christianx@gmail.com>
Fecha: 15 de enero de 2009 13:52

Desde mi punto de vista, el principal problema de las pymes con lo que
respecta a la seguridad es el pensamiento arcaico de
problema-solucion, es decir, cuando sucede una catastrofe se le busca
la solucion y se establece un parche para evitar que vuelva a suceder
ese problema especifico. No seria mejor, que se implementaran medidas
para evitar este tipo de situaciones en un primer lugar?

Un analisis de riesgo, como bien haces el paralelismo con un analisis
medico a un paciente, solo va a servir si el paciente confia en el
diagnostico, respeta al doctor y cree en que las soluciones que el
medico puede brindarle van a ser de ayuda. A que voy con esto? Que hay
una.. “incompatibilidad” entre las pymes y el sector de IT. A medida
que el tiempo avanza, cada vez mas empresas empiezan a apoyarse en las
nuevas tecnologias, migracion de formas de trabajo hacia bases de
datos, sistemas de facturacion virtual, camaras por ip, fax virtuales,
voip, cientos de cosas diferentes, pero cuantas de ellas luego
invierten para asegurar esa infraestructura? Cuantas invierten parte
de su presupuesto en mejorar esto? O contratar personal para su
correcto mantenimiento?

Palabras como planes de contingencia o similares son desconocidas y
hasta en algunas es mala palabra porque significan dinero adicional en
bueno, nada tangible (Excepto seguridad fisica, que dentro de todo
esta mas aceptado). Personalmente, creo que el principal problema es
la falta de interes y una mentalidad bastante cerrada ante la
tecnologia, y todos deben conocer algun caso de problemas que hayan
sido causados en una organizacion por esta actitud.

Saludos, Christian Ariel Benitez (I’m not Borghello damn it!!!, jaja )

———-
De: Rodney López <rlopez@vertice.cu>
Fecha: 15 de enero de 2009 13:57

———-
De: Samuel Linares <samuel.linares@gmail.com>
Fecha: 15 de enero de 2009 14:15

Interesantísimos aportes con los que estoy de acuerdo (en parte):

1. Existe una gran distancia a día de hoy entre lo que la mayoría de las empresas con nivel de madurez bajo necesitan (por ejemplo muchas PYMES) y lo que el mercado TI y nosotros, profesionales, les ofrecemos.

2. Es totalmente necesaria una aproximación que se adapte a la realidad de las organizaciones y aporte valor a las mismas (para evitar casos como el que comentas, de implantación de SGSI, normas o métodos que no aporten valor real a la organización … si no dolores de… eso

)

Cuando me refiero a la aproximación “sin” análisis de riesgos en PYMES, no lo digo de forma general, sino en grupo de PYMES con parámetros comunes (como PYMES de tal región de tal sector, o microPYMES de menos de 5 empleados, etc.). Es cierto que la solución y mejoras que puedas aportar a las 1000, pueda no aplicar totalmente (o ya estar aplicada en el mejor de los casos) a 10 o 20 de ellas, pero habrás elevado el nivel de su seguridad (en el mejor de los casos) a las otras 980 (o 900 por decir algo) y suponiendo que te llevase hacer un análisis de riesgos una hora (ja!), habrías ahorrado 1000 horas de trabajo (unos 6 meses de trabajo de una persona…).

Estoy hablando de elevar niveles GLOBALES de madurez y medidas de seguridad. En España está muy de moda la vacuna contra la gripe para la gente de más de 60 años (no sé si es esa la edad exacta). Está claro que un % de esas personas cogerán igualmente la gripe (porque no les sirva), y otros no la cogerán porque no estarán en contacto con la enfermedad (los menos), pero habrá muchos a los que les sirva para evitar contraer esa “enfermedad” y estoy seguro que incluso a algunos más mayores, pueda salvarles la vida (al menos este año…).

Abrazos,

———-
De: Rodney López <rlopez@vertice.cu>
Fecha: 15 de enero de 2009 14:20

Definitivamente los problemas son mas universales de lo que uno cree , sin embargo el llamado “abismo” entre los especialistas TI y la gerencia o directiva o dirigencia como le quieras llamar es en parte intransigencia de ambas partes pues muchas veces nosotros usamos un lenguaje muy tecnico y por otra parte la directiva muchas veces tratan a las TI y mas especificamente a la seguridad como si le pudieran vender 1 Kg de seguridad en rebaja…y cuando lo pesan en su balanza se quejan de que al kilo le faltan o le sobran gramos…sin embargo, un analisis de riesgo y se puede aplicar a la gestion TI en general es mas que capacidad o pericia tecnica , para mi envuelve 3 factores , la pericia tecnica, el conocimiento organizacional y la capacidad de comunicacion, si somos muy capaces tecnicamente pero nos faltan los otros dos tenemos una evaluacion ineficaz o ineficiente que a la larga significa inefectiva , yo conozco personas que solucionan este dilema mediante el alarmismo…pero para mi ese es un camino peligroso y falto de etica , se trata de informar y hacerlo bien luego de eso …solo queda esperar…

———-
De: VESTER TOMAZIN, DANIEL <dvestert@ypf.com>
Fecha: 15 de enero de 2009 14:56

Es verdad lo que comentan de las empresas, no siempre se tiene en cuenta la seguridad. Pero por lo que lei no están teniendo en cuenta el costo-beneficio de aplicar seguridad. En algunos casos es mas barata la catástrofe y el parche que saca adelante el problema que toda la infraestructura, personal, aplicaciones y demás cosas que se necesita para protegerse!!! Lo que las empresas deben saber (que no es fácil) cuanto le cuesta el “parate” que le generara la catástrofe y a partir de ahí analizar cuanto conviene invertir en seguridad.

Saludos

Daniel

———-
De: Tirso Hernandez <tirso@netminds.com.mx>
Fecha: 15 de enero de 2009 17:02

Antes que otra cosa les envío un cordial saludo.

Déjenme comentar que en general estoy de acuerdo en lo expresado por Rodney.

Sin embargo yo creo que habría que hacer algunas apreciaciones al respecto para dejar más claro este asunto.

Primero, el termino PyME (pequeña y mediana empresa) aplica para empresas con un número pequeño de empleados (existen varias clasificaciones pero en general podríamos decir que más de 25 y menos de 250), pero en este grupo de empresas hay las que apenas generan los recursos necesarios para sobrevivir y las que ganan muchísimo dinero y que por lo tanto tienen muchísimos recursos para invertir.

Por otro lado hay manufactureras que tienen procesos productivos como base de sus riqueza y cuentan con poca infraestructura informática (informática en el sentido de información) ya que solo tienen nómina y contabilidad como bienes informáticos, hay también empresas que tienen como su bien más preciado la información con que trabajan (por ejemplo los despachos de profesionales (contadores, abogados, etc.) además existen muchos tipos más.

En este contexto vemos que si bien es posible generalizar, también es necesario conocer bien el o los sectores a los que pertenecen nuestros clientes.

Por otro lado un análisis de riesgos contempla factores que son muy particulares como la situación geográfica y los riesgos ambientales, sociales, etc., por lo que la generalización total sería, desde mi punto de vista, peligrosa y poco práctica.

Como siempre quedo a sus órdenes y en espera de sus comentarios.

Saludos a todos.

ATENTAMENTE

Tirso Hernández

———-
De: Gustavo Rodriguez <rodriguez.gustavo@gmail.com>
Fecha: 15 de enero de 2009 19:15

El 60% de las empresas mexicanas no realizan un análisis de riesgos; en su esfuerzo por recortar gastos los ejecutivos pueden sacrificar accidentalmente elementos de control clave.

http://seguridad-informacion.blogspot.com/2009/01/advierten-riesgos-en-reduccin-de-costos.html

———-
De: Edson Pizarro C. <proyecto.uap@gmail.com>
Fecha: 16 de enero de 2009 7:36

Estimados

Noto interesante el tema del Analisis de Riesgos, pero como lei en un comentario pocas empresas analizan lo que en verdad quieren proteger, siempre reaccionan tardiamente a soluciones inmediatas (parches) a la seguridad.

Quiza por tema de presupuesto ya que muchas veces es dificil aceptar que el area involucrada en resguardar la informacion no cuenta con los conocimientos adecuados con esto no quiero juzgar a nadie pero la alta gerencia no trata de capacitar al personal que tiene a cargo la labor de resguardar la info.

Los tiempo cambian y no solo es necesario la seguridad Fisico.

saludos

edson

———-
De: Carlos Suarez <csuarez@alpat.com.ar>
Fecha: 16 de enero de 2009 13:09

Estimados, muy bueno el debate.

Me sumo con mi humilde opinión.

El hecho de prevenir una perdida de información/producción o accidente, esta relacionado a la estructura de mantenimiento a mi entender.

Mantenimiento preventivo, para evitar la reparación/Mitigación;

Una vez ocurrido el hecho in fortuito demandaría mantenimiento correctivo.

Siendo este último el de mayor índice de existencia en la mayoría de las empresas.

Si el análisis de riesgo es efectivo se traza un plan de ejecución de mantenimiento preventivo, justamente para evitar el riesgo; esto, bajaría el índice de tareas correctivas que generalmente (pero no siempre) consumen mas recursos y generan una perdida o baja en la línea de producción.

Es por esto a mí entender, el análisis de riesgo, una herramienta muy valorable para toda empresa. Y este a su vez, único según el caso.

No se puede analizar el riesgo de todas las partes funcionales de una empresa, o, mejor dicho, si se puede analizar pero no podemos pretender una efectividad del 100×100 en el análisis, en muchos casos interviene el factor humano (desde siempre imprevisible), también pueden afectar situaciones externas a la empresa.

Como en todos los casos entra en juego el factor costo-beneficio, a veces la medida correctiva es mas “barata” que poner en marcha un plan de: análisis de riesgo + oportunas medidas preventivas.

Un cordial saludo.

Carlos

———-
De: Javier Hernández™ <javier.hernandez.ar@gmail.com>
Fecha: 16 de enero de 2009 13:15

Excelente forma de ver las cosas.

Lastima que la alta gerencia y/o el comite de seguridad no aplica casi nunca esta forma. (Por lo menos en mi caso particular)

Mi pregunta es: Por que se espera que pase algo para hacer algo? Por que tiene que haber un incidente de seguridad para darle importancia a las cosas? la respuesta sigue siendo siempre la misma. Costos!

———-
De: Christian B. <christianx@gmail.com>
Fecha: 16 de enero de 2009 20:10

No creo que sea unicamente un tema de costos, muchas empresas tienen
los recursos para mejorar su infraestructura pero lo ven como un
“costo” y no como “inversion”, asi que se deja como esta hasta que es
inevitable que pongan plata por cierta catastrofe. Aparte al ser una
pymes, esos recursos no son taan abundantes asi que si deciden
invertir, lo hacen en otros campos (Como sueldos y bonos! Jjajajja).

Saludos

———-
De: Cristian Borghello | www.segu-info.com.ar <segu.info@gmail.com>
Fecha: 17 de enero de 2009 19:44

Hola,

Muy buen debate. Acaba de salir el Boletin 128 de Segu-Info y en el
mismo se hace un resumen del mismo:
http://www.segu-info.com.ar/boletin/

Quiero aclarar 2 cosas:
- El articulo original de 4 partes pertenece a Adrían Palma de bSecure
y fue publicado en diciembre en nuestro Blog:
http://blog.segu-info.com.ar/2008/12/anlisis-y-evaluacin-de-riesgos-en.html

- En el Boletin se trascribieron partes de la conversación que se
mantuvo aquí. Si se encuentran errores, los mismos me corresponden

Creo q esta metodología de trabajo y posterior publicación podría
emplearse posteriormente para enriquecer los contenidos de cualquier
articulo. Q opinan ?

Saludos
Cristian

———-
De: Samuel Linares <samuel.linares@gmail.com>
Fecha: 17 de enero de 2009 20:05

Christian, me alegro que la polémica os haya gustado

Incluyo a continuación un comentario muy interesante que Joseba Enjuto adjuntó a esta cuestión en mi blog (blog.infosecman.com):

Joseba Enjuto January 16th, 2009 10:32 am

Interesante cuestión… Creo que la clave de la pregunta es la omisión (intencionada?) de una palabra. Es necesario siempre realizar un análisis de riesgos FORMAL? No, por supuesto. Todos hacemos análisis de riesgos sin darnos cuenta, continuamente. Si hay muchas personas a punto de morirse, todos somos conscientes de que el activo son las personas, la amenaza la muerte, y el valor final del riesgo es muy alto. Extremo. Y no necesitamos un análisis formal para saber que ese riesgo es el primero que hay que atajar, nuestra propia intuición, sentido común o como queramos llamarlo es quien “hace el trabajo por nosotros”, en lugar de ser nuestra parte más analítica y racional.

En cualquier ámbito de nuestra vida, y la seguridad no es una excepción, funcionan las quick-wins. Acciones “pequeñas”, “baratas” y a menudo sencillas y obvias cuyo efecto es un beneficio grande. Y para aplicarlas no hace falta realizar un análisis de riesgos formal (aunque si lo pensamos bien, para poder valorar ese beneficio hemos tenido que analizar la situación negativa que soluciona, y por lo tanto en mayor o menor medida habremos analizado sus riesgos, aunque sea cualitativamente y en una fracción de segundo).

Y para terminar, esa identificación previa de las carencias generales, como bien dices, no deja de ser un análisis de riesgos (carencias de seguridad que identificamos como “graves”). En defnitiva, que lo que no es necesario hacer siempre es un análisis de riesgos formal, porque en realidad los análisis de riesgos no los podemos evitar, aunque sean intuitivos.

————-

… y mi contestación:

Samuel January 16th, 2009 11:26 am

Totalmente de acuerdo. Has entendido exactamente lo que quería transmitir (y lo que omitía intencionadamente jeje).

Gracias por el comentario Joseba, como siempre.
Gracias a todos por vuestros comentarios!

Un abrazo,

———-
De: Mauro Graziosi <mgraziosi@gmail.com>
Fecha: 19 de enero de 2009 12:24

Samuel:
Ahora que se habla de análisis de riesgo FORMAL estoy en un 100% de acuerdo para aplicación en las empresas de menos de 20 equipos, en especial de las de menos de 5 equipos.
Ocurre frecuentemente en nuestra empresa que al realizar un análisis de riesgos inicial nos encontramos con realidades prácticamente similares en un 99% de los casos, motivo por el cual notamos realizamos el mismo proceso una y otra vez obteniendo los mismos resultados.
De la misma manera notamos que las acciones a realizar para asegurar estas microempresas son las mismas ya que ellas tienen todas los mismos problemas básicos.
Voy a dar algunos ejemplos prácticos para microempresas:
En general empiezan teniendo problemas porque los equipos informáticos son adquiridos de distintos comercios y cada comercio configura los equipos de diferente manera, luego llega la hora de los inconvenientes con estos (ya sea de hardware o software) por lo que son atendidos por más de una empresa o particular para solucionar sus problemas. Como se basan en problema-solución, entonces si tienen muchos virus se instalan muchos antivirus (he visto hasta 4 antivirus con monitor funcionando al mismo tiempo).
En la empresa se acostumbran a este tipo de soporte, de manera tal que los equipos nunca están a un 100% de su performance y mucho menos de seguridad. Entonces, salvo que el equipo no funcione se sigue usando. Cuando se llama al servicio informático esperan una respuesta inmediata (que en el 99% de los casos no la tiene porque no existe un compromiso de ninguna de las partes).
Cuando ocurren problemas vinculados con la rotura de algún disco se dan cuenta que la información estaba unicamente en los puestos de trabajo y que nunca se realizó un backup de la información, que todos acceden a la información compartida en todos los puestos con permisos totales (inclusive el malware).
Y así sucesivamente vemos que muchas empresas están en la misma situación y que inclusive pasan por los mismos estados de inseguridad-seguridad a medida que maduran.

Creo que un análisis general de los riesgos de un sector es útil, porque al fin y al cabo, sería útil para que se puedan compartir experiencias generales sobre sectores con problemas similares y permitir asegurar muchas microempresas que no son alcanzadas por las grandes consultoras, pero que no por eso tienen o causan problemas de seguridad a diario.

Saludos

———-
De: Samuel Linares <samuel.linares@gmail.com>
Fecha: 17 de enero de 2009 20:05

———-
De: Mauro Graziosi <mgraziosi@gmail.com>
Fecha: 19 de enero de 2009 12:24

Samuel:

Y para terminar, esa identificación previa de las carencias generales, como bien dices, no deja de ser un análisis de riesgos (carencias de seguridad que identificamos como “graves”). En defnitiva, que lo que no es necesario hacer siempre es un análisis de riesgos formal, porque en realidad los análisis de riesgos no los podemos evitar, aunque sean intuitivos.

———-
De: Alvaro Vanni <avanni@ama.com.uy>
Fecha: 19 de enero de 2009 13:57
Para: forosi@googlegroups.com

Aquie les dejo mi experiencia ,

Hace poco menos de dos meses , certifique una empresa en 27001. Fue un proceso de 4 meses. Focalize mi esfuerzo en hacer una analisis de riesgo granulado , para dar una idea contaba con 140 activos y me quedo un analiais de riesgo de 680 registros , de los cuales mas de 130 se debian tratar. El analisis de riesgo llevo 175 hrs de trabajo.

Independientemente de la certificacion , lo que mas valoro la empresa fueron las vulnerabilidades encontradas en el Analisis de riesgo.

En mi opinion creo que para una empresa que nunca hizo tal evaluacion , es importante al menos hacerlo bien la primera ves. Luego si la empresa tiene la madurez como para incorporar el concepto de riesgo en cada activo nuevo que incorpore o cada cambio de proceso que realize no seria necesario revisarlo muy amenudo , tal ves una ves al año seria lo aconsajeble.

Comparto lo que han dicho , sobre las generalidades entre empresas y el concepto de siempre pensar en seguridad … , pero si el Analisis de Riesgo de hace a conciencia , del cruzamiento sistematico de activos con amenzan , surgen combinaciones que estoy seguro hemos pasado por alto. Y he de ahi el valor del AR.

Tambien les quiero comentar que he visto AR muy pobres , inclusive en empresas certifcadas en 27001. Con un nivel de abstracion tal , que los resultados son tan ovbios que el objetivo del AR parece que solo fue cumplir con los requisitos de la norma.

———-
De: Mauro Graziosi <mgraziosi@gmail.com>
Fecha: 19 de enero de 2009 13:11
Para: forosi@googlegroups.com

Alvaro:

2009/1/19 Alvaro Vanni <avanni@ama.com.uy>Certificar ISO <-> microempresa… Me parece que estamos hablando de realidades MUY distintas…

Una microempresa, que no solo es pequeña por cantidad de equipos sino por la experiencia en tecnología no puede estar más lejos de lo que es una certificación.
No se está tratando de decir que NO hay que hacer análisis de riesgo, simplemente que no es necesario un análisis de riesgo FORMAL en empresas u organizaciones con características muy similares (en especial empresas muy, pero muy pequeñas). Siendo el objetivo hacer un análisis más general de un sector en particular, haciendo foco en un efecto vacuna, donde lo que se pretende es no perder tiempo en una actividad donde los resultados más importantes ya son sabidos de antemano.

Para una empresa donde deba certificar es indispensable un buen análisis de riesgo a conciencia, eso no es lo que se discute.

Creo yo, que tal cual como insisten Nacho y Samuel con IS2ME que sigue habiendo falta de entendimiento de la mayoría de los profesionales de seguridad informática y las microempresas…

Observación: 175 x $$$ la hora = valor irreal para una microempresa. Obvio que sería mucho menos el tiempo para una microempresa, pero de todas formas si se pretende atacar a ese mercado dudo que se pueda realizar algo de esta manera…

———-
De: Javier Hernández™ <javier.hernandez.ar@gmail.com>
Fecha: 19 de enero de 2009 13:13

Alvaro, que suerte que tuviste en seguir los pasos para la certificacion de una empresa en la 27001, y realizar el Analisis de Riego. Por favor, dentro de tus posibilidades, creo que a todo el foro, le gustaria saber que procesos llevaron a cabo para realizar el analisis de riesgo.

Saludos.

———-
De: Mariano Mileti <mariano.mileti@gmail.com>
Fecha: 19 de enero de 2009 17:58

Mi humilde (muy humilde) opinión al respecto…

Me detengo 2 minutos en esto último que hace referencia al primer renglón de lo que escribí.

Uno sin hacer un análisis cuando llega a una PYME y ve (al pasar) que de servidor tienen una PC común, no hay estabilizador, el “servidor” es la PC del jefe, el sistema que utilizan esta programado por un pasante de 1er año de la facultad o en algún sistema obsoleto (que anda mal y todo el mundo se queja), la red esta montada sobre cables pasados por el costado de los escritorios (muchas veces junto con la cadena de zapatillas que alimenta varias PC’s), en fin… millones de ítems que a simple vista (sin ser necesario un análisis profundo) llevan a que a uno no le haga falta hacer un “análisis de riesgos” ya que las medidas a tomar en esa situación son standard.

Pero ojo… uno no hizo un análisis profundo, no hace falta si uno ve que la PC de escritorio del jefe es el servidor y que si el sistema que hay en esa PC se compromete la empresa funde (cosa que sucede mas seguido de lo que uno cree), uno YA SABE que es necesario ubicar el sistema en un servidor dedicado el cual TIENE que tener respaldo. Pero al NOTAR eso, uno ya hizo un análisis y evaluó que era la primera acción necesaria.

En resumen…

No es que no sea necesario hacer un análisis de riesgos. Sino que nos alcanza (y muchas veces nos sobra) un diagnostico rapido a la hora de analizar una PYME promedio.

Ya si uno en una primera medida no “nota” los riesgos mas comunes uno realizara uno detallado.

Saludos

Mariano Mileti

———-
De: Samuel Linares <samuel.linares@gmail.com>
Fecha: 19 de enero de 2009 18:11
Para: forosi@googlegroups.com

Hola amigos,

En efecto, como vamos desbrozando según pasan los mensajes, la palabra clave no mencionanda intencionadamente (por aquello de crear polémica y que nos animemos un poquito

) y que muy hábilmente intuyó Joseba es FORMAL que, seamos realistas, es a lo que habitualmente llamamos un análisis de riesgos (sin más adjetivos)

Y lanzo ahora una cuestión “pensando en voz alta”: ¿es posible “formalizar” en cierta medida, con lógica, proporción, efectividad y eficiencia este análisis digamos “informal”? Quiero decir, ¿cabe una aproximación “formal” distinta a la “tradicional” a un análisis de riesgos en este tipo de empresas?

Abrazos,

——–
De: Tirso Hernandez <tirso@netminds.com.mx>
Fecha: 19 de enero de 2009 18:58

Permítanme un comentario, creo que cuando llegas con un cliente y te contrata para que te hagas cargo de la seguridad de su información, lo menos que puedes hacer es cumplir con sus expectativas y ayudarlo de la mejor manera posible.

Estoy de acuerdo en que debemos de ser cada vez más formales en este tipo de actividades, recordemos que como profesionales de la seguridad, debemos de basarnos cada vez más en procesos identificados, mapeados y mejorados, a fin de establecer políticas y procedimientos que aseguren hasta donde sea posible preservar la integridad, confidencialidad y disponibilidad de la información.

Si no hacemos un levantamiento de los riesgos a que está expuesta la información de nuestros clientes ¿cómo lo protegeríamos? ¿o de qué?

Yo creo que este tema es personal de acuerdo a lo que cada uno cree que un profesional de la Seguridad de la Información debe o debería de hacer.

Personalmente realizo el análisis siempre, algunas veces más o menos profundo de acuerdo a las circunstancias, pero siempre lo hago.

Recordemos que hay algunos riesgos que aparentemente están fuera del ámbito informático y que no siempre los tomamos en cuenta, pero que en la realidad amenazan la integridad, confidencialidad o disponibilidad de la información de las organizaciones, y estos también deberían ser evaluados y mitigados por los profesionales de la seguridad.

saludos

———-
De: Alvaro Vanni <avanni@ama.com.uy>
Fecha: 19 de enero de 2009 20:04

Con gusto .

1.- Identificacion de Activos y clasificacion de Activos. ( se aconseja que sea un grupo de personas de diferentes ambitos, los que participen en esta tarea )

Se tomo como guia el diagrama de procesos de la empresa , de esta forma no nos olvidamos de ningun Activo y ademas , al tener documentado en los procesos que esta involucrado el activo , tambien nos sirvio para el PCN .

3.- Para la clasificacion se utilizo la Ubicacion del activo y una Categorizacion , para esta ultima utlizamos la brindada por la Metodologia de Magerit II.

4.- Se valora cada grupo de activos claisficados , haciendo el promedio ponderado pesimista de cada uno de los criterios.

5.- Luego se tomo cada Grupo de Activos , y se lo cruzo con una lista de Amenzas , tambien sacada del Magerit II ( se extendio un poco la lista )

6.- Para cada cruze , se estima el valor de Prohabilidad ( de que impacte esa amenaza sobre el grupo de activos) y el nivel de Vulnerabilidad ( que tan eficientes son los controles que se tienen ). Tambien se utilizan una tabla de valoracion del 1 al 5.

7.- En funcion de la Prohabilidad y el Nivel de Vulnerabilidad se calcula el Grado de Exposicion.

8..- Luego se determina a que criterio D,I,C afectaria al activo si impactara con existo la amenza.

9. En funcion del Grado de Exposicion y el Valor del criterio afectado , se calcula el Riesgo.

10. Para finalizar , se estipula por ejemplo “que todas aquellos registros que el riesgo sea mayor a 6 , deben de ser mitigados , y los menores a este se asumen”

11. Y ahi empieza la tarea de determinar para cada cruze con un riesgo superior a 6 , cuales son los controles de la norma que hay que implementar para mitigarlos.

En resumen , esta fue un poco la metodoligia aplicada.

Cualquier cosa a las ordenes.

———-
De: Ojeda Knapp, Martin <martin.chile@gmail.com>
Fecha: 19 de enero de 2009 19:07

A mí me ha servido en estos casos MSAT http://www.microsoft.com/downloads/details.aspx?FamilyID=cd057d9d-86b9-4e35-9733-7acb0b2a3ca1&displaylang=es ya con esto se puede dar una pequeña línea base para comenzar a controlar riesgos. Está basado en Defensa en profundidad.

2.- Se valoro cada activo , en funcion de cada criterio “Disponibilidad” , “Integridad” , “Confidencialiad” , utilizando una escala del 1 al 5.

Defínase Riesgo cualquier instancia que pueda afectar la integridad, confidencialidad, disponibilidad de la información la cual esta contenida en diferentes medios incluso en las cabezas de los empleados. Aquí está la gran piedra de tope pasando por este punto ya se puede hablar de análisis de riego.

Para mi primero hay que definir qué información es confidencial y cual es importante para el negocio día a día y que sistemas los soportan ya que proteger toda la información es titánico y poco práctico.

Una vez acotado esto los riesgos se manifiestan solos, una vez identificado buscar las mejores prácticas para mitigarlos.

Información general

El Microsoft Security Assessment Tool 4,0 es la versión revisada de la original de Microsoft Security Risk – Self Assessment Tool (MSRSAT), publicado en 2004 y el Microsoft Security Assessment Tool 2,0 publicados en 2006.

Las cuestiones relacionadas con la seguridad han evolucionado desde 2004 , nuestro objetivo es disponer de un conjunto de preguntas y respuestas adicionales necesarias para asegurar una amplia gama de herramientas para ayudar a ser más conscientes de las amenazas de seguridad del ecosistema que pueda afectar a su organización.
La herramienta emplea un enfoque holístico para la medición de su postura de seguridad para temas que abarcan tanto: personas, procesos, y la tecnología. Las conclusiones son, junto con la orientación prescriptiva y recomendación de los esfuerzos de mitigación, incluyendo enlaces con más información para la industria de la orientación adicional. Estos recursos pueden ayudarle a ser consciente del mantenimiento de herramientas y métodos específicos para cambiar la postura de seguridad de su ambiente de TI.

Al cargar sus datos de la solicitud puede recuperar los datos disponibles más recientes. Para poder ofrecer esta información comparativa, tenemos clientes, como el añadir su información. Toda la información es estrictamente confidencial y ninguna información personal será enviado de ninguna manera. Para obtener más información sobre la política de privacidad de Microsoft, por favor visite:
http://www.microsoft.com/info/privacy.mspx.

———-
De: Alvaro Vanni <avanni@ama.com.uy>
Fecha: 19 de enero de 2009 20:51

Mauro :

Entiendo!! , solo que el universo de PYMES , es muy grande y te encuentras con todo tipo de organizaciones y no me parecia bueno generalizarlo.

Creo que depende de la necesidad de la empresa mas que de su tamaño , el tamaño solo va a determinar el esfuerzo en realizar un buen analisis.

Que te lo pagen o no es otro problema.

La seguridad de la informacion , no radica esclusivamente en elementos tecnologicos , como un buen firewall o un buen antivirus … , existe la ingenieria social , el material impreso , etc etc. Muchas veces no se pueden solo aplicar plantillas , hay que conocer a la empresa . Y para conocerla es escencial saber cuales son sus activos mas preciados y de que forman los manipulan. Y te aseguro que no hay dos empresas que manejen sus activos de la misma forma.

Para mi el AR para la seguridad de la informacion , es como el Relevamiento para el desarrollo de un buen software a medida. Cuanto mas inviertas en él , obtendras mejores resultados para tu cliente.

———-
De: Suscripcioneslistas <suscripcioneslistas@yahoo.com.ar>
Fecha: 20 de enero de 2009 12:10

Yo creo que depende del rubro. Las empresas petroleras están exigiendo en algunos casos que sus proveedores se certifiquen. Estos proveedores son pequeñas empresas en donde con suerte llegan a 10 pcs, y no tienen más de 30 o 40 empleados. Pero facturan millones de$ por mes a las petroleras. Por lo tanto es un costo que pueden absorber. Pero es cierto que en otros rubros es imposible.

Carlos

Quieras o no siempre estas haciendo un análisis de riesgo, un “diagnostico” lo que diferencia es el nivel de detalle.
Cuando uno habla de PYME hay millones de cosas que no se aplican a la hora de trabajar, seria absurdo en muchos casos hacer un análisis de riesgo detallado, la mayoría de veces primero que nada seria impagable para una PYME promedio (aunque seria una excelente inversión…. o eso al menos es lo que digo cuando me llaman ), en un segundo nivel veríamos que el 50% de las soluciones a aplicar al análisis de riesgo son imposibles para una PYME por el costo que conlleva y por ultimo los factores de mayor riesgo se pueden ver sin ser necesario un análisis profundo.

No creo que todas las PYMES tengan carencias comunes , al menos no tan comunes como para poder dar un “diagnostico” basandose en una o un grupo de ellas, cada sistema es implementado de acuerdo a la experiencia de sus gestores y esta experiencia varia demasiado, tanto como para asegurar que dos sistemas dedicados a lo mismo con las mismas caracteristicas su estructura de gestion pueden diferir radicalmente, en este punto me gusta satirizar del principio de invariabilidad de teoria de diseño de algoritmos :No importa cuan bueno sea el sistema siempre te vas a encontrar un grupo de personas que lo hagan funcionar como mier…coles…

El ejemplo del medico esta interesante pero en ultimo caso seria como tratar una fiebre sin saber las causas, yo sin ser medico te puedo decir que a lo mejor funcione pero realmente lo dudo…en el caso del envenenamiento con plomo , se realizo un estudio y se identifico una causa comun eso seria mas como si existiera un ataque de DoS a varias organizaciones y se identificara el agente , por supuesto que ls solucion podria ser la misma para esas organizaciones, el analisis de riesgo seria mas bien como los analisis que te manda a hacer el seguro o tu empresa para saber que tan bien de salud vas.

En cuanto a la realizacion de un analisis de riesgo general para una clase de organizacion, no creo que sea posible a menos que todos los elementos dentro de la clase se concibieran mediante procesos homogeneos y la influencia humana fuera casi nula o se garantizara desempeño semejante(No olvidemos que si obviamos este factor estamos embarcados) de no ser asi supongamos que el resultado del analisis de riesgo general seria una especie de tendencia central de una variable aleatoria y las desviaciones o desplazamientos que por supuesto basados en la premisa de que cada sistema refleja la medida de la experiencia de las personas existirian podrian tener resultados catastroficos a la postre.

———

RE: Análisis de Riesgos ¿Para qué? (Continuación)

Camilo Candales Pimienta [camilo@futuver.com]

Blasfemia!!!

Horror!!!

¿Cómo os atrevéis a atentar contra uno de los pilares del statu quo en la gestión de la seguridad?

Ahora en serio, este tema da para mucha polémica y seguramente nos va a enriquecer muchísimo como profesionales de la seguridad. Se ha puesto el dedo en una llaga que duele mucho.

Creo que el análisis de riesgos se hace siempre, es una actividad inmersa no solo en los SGSI y las normas que los sustentan, sino en prácticamente toda la actividad humana, es algo inevitable.

Por poner un ejemplo, ahí tenéis la matriz DAFO, con sus debilidades y amenazas.

Lo que no siempre es necesario es un nivel exhaustivo de precisión en el análisis (más bien en la valoración). No se pueden abordar todos los proyectos de seguridad con el mismo enfoque en el análisis de riesgos.

Esto lo comprende casi todo el mundo y entonces aparece otro problema, el de la simplificación excesiva que no sirve absolutamente para nada (perdón, es un buen punto de partida para las certificaciones).

El problema consiste en que hemos querido imponer determinadas metodologías de análisis de riesgos y sus las correspondientes herramientas para todos los casos (ojo Paco que no me estoy metiendo contigo, sino con los consultores que las aplican).

Cuando el análisis de riesgos se aborda desde el punto de vista de una consultora, al ser una actividad empresarial el tema tiempo se convierte en algo importante por lo que para maximizar beneficios se tiende reducir las horas de dedicación a la planeación del enfoque que se va a emplear en el análisis de los riesgos. Eso por decirlo de un modo suave, porque lo que sucede en la gran mayoría de los casos es que dicha planeación no se realiza.

Resumiendo, ¿Es necesario siempre el análisis de riesgos como se hace actualmente? Allá voy…..

No, no solo no es necesario, sino que además es perjudicial.

¿Es necesario siempre hacer un buen análisis de riesgos, adaptado a las necesidades de la organización y teniendo en cuenta los distintos momentos del ciclo de vida del sistema de información?

Siiiiiiii.

Saludos

Camilo

———-

RE: Análisis de Riesgos ¿Para qué? (Continuación)

Beatriz Martinez [beatriz@legal-protect.com]

En que es necesario un “buen análisis de riesgos” estamos todos de acuerdo Camilo. Lo que ocurre es que las empresas no saben valorar uno bueno de uno mediocre o, si me apuras, malo, más que cuando llegan las revisiones del sistema y, ocasionalmente, cambian de “consultora”.

Desde mi humilde punto de vista, un buen análisis de riesgos es aquel que comprende la dirección de la empresa y no el que solo entiende el consultor que realiza la adaptación o el auditor que la visa. Si no lo entiende el dueño del negocio, mal vamos (por mucho que el susodicho análisis de riesgos sea la leche de completo a todos los niveles).

Saludos.

Bea

———

RE: Análisis de Riesgos ¿Para qué? (Continuación)

Ignacio Paredes [iparedes@grupointermark.com]

Permitidme introducir un poco más de ruido en la conversación J

Beatriz ha dado en el clavo, nadie mejor que la dirección para realizar un análisis de riesgos de su empresa. De hecho, y por esto se planteaba este asunto, todos los directivos hacen (al menos los buenos) análisis de riesgos en sus tareas diarias, la clave es que los realizan de forma intuitiva sin utilizar métodos formales. Debido a esto nos planteábamos: ¿merece la pena utilizar las metodologías tradicionales en el entorno pyme?

———

RE: Análisis de Riesgos ¿Para qué? (Continuación)

Francisco Menéndez [paco@contein-xxi.net]

Después de leerme todo lo que envió Samuel y los artículos relacionados, donde se dicen bastantes cosas interesantes, creo que la discusión en nuestro equipo ha llegado al punto exacto y al cuestión clave; que es, desde mi punto de vista, la subjetividad del análisis de riesgos. Y ya que es pura subjetividad, como intentaré explicar a continuación, deben ser sobre la dirección y los más altos responsables de la información (jefes de área o departamento) sobre quienes recaiga el peso del análisis de riesgos.

¿Por qué digo que el análisis de riesgos es pura subjetividad?. Por lo siguiente:

Podemos utilizar la metodología y/o aplicación que queramos, más o menos compleja, potente, etc. Al final lo que tenemos que valorar son los siguientes aspectos:

- Valor de nuestros activos

- Impacto de una incidencia en el negocio

- Nivel de amenaza

- Nivel de vulnerabilidad de nuestros sistemas

La valoración de cualquiera de los dos primeros aspectos la deben realizar personas con el suficiente conocimiento de la organización y del entorno empresarial. La valoración de los dos segundos, personas con conocimientos de sistemas y del entorno tecnológico.

La labor del consultor es, apoyándose en una metodología, aportar su conocimiento y experiencia para ayudar a que estas valoraciones se realicen de la forma más correcta posible.

Todo esto no lo acabo de discurrir ahora al hilo de esta discusión, os adjunto una diapositiva de mi charla en sobre Análisis de Riesgos en ENISE I – 2007 donde ya apuntaba este problema.

Saludos

Por otra parte los articulos que citas (interesantes) no se habla de que pudieran no ser necesarios o demasiado cargosos sino al contrario establecen la necesidad de mejorar las metodologias y de realizar un diagnostico certero que se adaptanten a la realidad de la organizacion, para ponerte un ejemplo, yo me embarque en la aventura (y lo digo asi pues en eso se ha convertido) de llevar un SGSI orientado a las ISO y en la concreta la metodologia que uso no me brinda muchos resultados de valor que digamos , lo que ha sido un fuerte dolor en los…(esos mismos) y sobre todo ni siquiera desde mi punto de vista es capaz de captar la realidad de la organizacion …pero bueno ya ese es otro cuento : )

2 Comments » | Posted in Curiosidades, Mercado, Metricas, Normativas, Profesion | del.icio.us |

2 Comments so far

Miguel Trujillo March 10th, 2009 1:03 am

Hola a todos, desde mi muy particular punto de vista..

estamos de acuerdo que el mundo ideal seria que todas las empresas, chicas, medianas, etc, deberian ralizar un Analisis de Riesgos, sin embargo, no todas estan en la disposicion de hacerlo por costo o porque no cuentan con el personal adecuado, sin embargo, esto deberia de iniciar con un analisis de la empresa, es decir, identificar cuales son los procesos de negocio que realmente hacen que la empresa pueda subsistir, una vez esto, identificar los servicios que soportan estos procesos de negocio, y por ultimo, enlistar los activos que soportan estos servicios (gente, tecnologia, procesos, etc.)

esto nos ayudaria a tener un panorama muy amplio de que es lo que tenemos y que es lo que lo esta soportando.

Teniendo esto, podemos definir niveles de riesgo en base a la severidad, probabilidad e importancia.

Cada activo se basa define sus indicadores de riesgo en base a los controles que aplican restando los controles implementados.

Esto nos podria dar un panorama del nivel de riesgo corportivo y relacionado con TI, y los activos que realmente soportan la operacion del negocio.

mitru01@hotmail.com
Mathias June 17th, 2011 1:38 pm

Sr Webmaster, se ruega sacar las direcciones d email d ecada uno de los comentarios, el tema muy bueno no aportar al SPAM poniendo los mail se ruega eliminar solo las cuentas de correo

Top Of Page

Últimos "tweets" en InfoSecManBlog

@sergiogranda As soon as we have good contents to share :) in reply to sergiogranda 4 hrs ago
Attending the Kickoff meeting of the Spanish Cyber Security Institute. Here we go! 6 hrs ago
Take a look at this video: Smart Grid, Utilities and Internet Protocols: http://t.co/IO8bVgZJ 6 hrs ago
More updates...