- Ninguna Categoria
AnalisisRiesgosURV
Anuncio
Análisis y categorización de Riesgos Consultoría de seguridad para la adecuación al Esquema Nacional de Seguridad © Altran 2012 Tabla de contenidos 1 Introducción ........................................................................................................... 3 2 Objetivos ................................................................................................................ 3 3 Procedimiento de análisis de riesgos ........................................................................ 3 Anexo I - Metodología y criterios para la extensión del plan ................................ 6 Altran Análisis y categorización de Riesgos 02/08/2011 2/13 Introducción 1 La categorización de los riesgos de forma correcta y estandarizada proporciona una estructura que garantiza un proceso completo de identificación sistemática de los riesgos con un nivel de detalle uniforme, y contribuye a la efectividad y calidad de la identificación de riesgos que se debe realizar en toda organización. Objetivos 2 El presente documento tiene por objetivo describir el procedimiento de análisis de riesgos por parte de los responsables técnicos de las aplicaciones informáticas que dan servicio a aquellos servicios de la Universidad sujetos al Esquema Nacional de Seguridad. Procedimiento de análisis de riesgos 3 En este apartado se describe de forma genérica el proceso de análisis de riesgos que se seguirá en las diferentes reuniones con los responsables técnicos de las aplicaciones que dan soporte a los servicios afectados por el ENS. Para este análisis de riesgos debe tener en cuenta las siguientes definiciones para las dimensiones de seguridad previstas en el ENS: Confidencialidad no puesto a disposición, ni revelado a individuos, entidades o procesos no autorizados o que no necesitan conocer la información Integridad no modificado de forma no autorizada Disponibilidad las entidades o procesos autorizados tienen acceso cuando es requerido Autenticidad se garantiza la exactitud / integridad de los datos Trazabilidad permite identificar el origen de los datos y los procesos que la tratan / modifican Altran Análisis y categorización de Riesgos 02/08/2011 3/13 Sobre estas dimensiones de seguridad hay que analizar individualmente como un incidente que afectara a la seguridad de la información o de los sistemas podría repercutir en la capacidad organizativa de la Universidad en: a) Conseguir sus objetivos. b) Proteger los activos a su cargo. c) Cumplir sus obligaciones diarias de servicio. d) Respetar la legalidad vigente. e) Respetar los derechos de las personas. En función de si las consecuencias del incidente suponen un perjuicio sobre las funciones o los activos de la Universidad o de los individuos afectados se categorizará para cada una de las dimensiones de seguridad como de nivel: Bajo, Si el perjuicio se estima como limitado Medio, Si el perjuicio se estima como grave Alto, Si el perjuicio se estima como muy grave Los perjuicios y los criterios para la categorización de cada dimensión de seguridad en función de si se valora un activo de información o un servicio se expresan en la ENS y se encuentran detallados en el Anexo I de este documento el cual podrá ser empleado por la Universidad para extender el análisis sobre aquellos servicios que han quedado fuera del alcance del presente proceso de adaptación, así como los sucesivos servicios que se pongan en marcha y estén afectados por la ENS. Sin embargo, a grandes rasgos, los pasos que se han seguido, teniendo en cuenta lo expresado en el Anexo I, son los siguientes: 1. Valoración de los activos de información. Valorando las dimensiones de confidencialidad, integridad, autenticidad y trazabilidad y, en función de si es relevante, la disponibilidad es una dimensión más relacionada con la prestación de servicios. 2. Valoración de los servicios que emplean los activos de información. Valorando disponibilidad, autenticidad y trazabilidad pues la confidencialidad e integridad hereda del análisis de los activos de información. A raíz de este análisis, se obtiene el nivel de categorización de cada dimensión en cuanto a activos de información y servicios que emplean estos activos siendo la Altran Análisis y categorización de Riesgos 02/08/2011 4/13 categorización general del activo o del servicio la calificación más alta asignada a cualquiera de las sus dimensiones. Finalmente, hay que relacionar cada activo de información con los servicios que la emplean ya la vez con los sistemas de información que apoyan. A partir de aquí, para categorizar los sistemas de información, este adquirirá el nivel más alto que tenga cualquiera de las dimensiones de cualquiera de los activos de información o servicios a los que dé soporte. Disponer de la categorización de los sistemas de información a nivel de dimensión es relevante para la aplicación de las medidas de seguridad pues existen medidas que sólo son de aplicación si determinadas dimensiones de seguridad han sido calificadas con un cierto nivel y otros que son de aplicación en función de la categorización general del sistema. La categorización de los sistemas de información permitirá obtener la Declaración de Aplicabilidad de Controles, información que se introducirá y se mantendrá sobre la herramienta PILAR. Altran Análisis y categorización de Riesgos 02/08/2011 5/13 Anexo I - Metodología y criterios para la extensión del plan El procedimiento a seguir para realizar el análisis de riesgos respecto a un nuevo servicio contempla la identificación de los activos de información que utiliza y los sistemas de información que apoyan tal y como se ha visto a lo largo del documento. La Universidad podrá extender este análisis para nuevos servicios teniendo en cuenta que debe analizar el nivel de perjuicio que un incidente de seguridad podría causar considerando los siguientes criterios. Tabla 1. Nivel de perjuicio que puede causar un incidente de seguridad. Prejuicio Bajo Medio Alto La capacidad para atender las obligaciones fundamentales, aunque éstas se sigan implementando Reducción de forma apreciable Reducción significativa Anulación El sufrimiento de un daño para los activos de la organización Menor Significativo Muy grave / irreparable El incumplimiento de alguna ley o regulación Formal, con carácter reparable Material o Formal sin carácter reparable Grave Causar un prejuicio individuo (derechos ciudadanos) Menor, fácilmente reparable Significativo de reparación difícil Grave, de reparación difícil o imposible a algún de los Sobre esta base deberá realizar un análisis primero de los activos de información y luego sobre los servicios, tal y como se ha dicho en el apartado 3 del informe: Altran Análisis y categorización de Riesgos 02/08/2011 6/13 1. Valoración de los activos de información. Valorando las dimensiones de confidencialidad, integridad, autenticidad y trazabilidad y, en función de si es relevante, la disponibilidad es una dimensión más relacionada con la prestación de servicios. 2. Valoración de los servicios que emplean los activos de información. Valorando disponibilidad, autenticidad y trazabilidad pues la confidencialidad e integridad hereda del análisis de los activos de información. A continuación se incluyen una serie de tablas a emplear para la categorización de los activos de información. Están dispuestas en el mismo orden en el que se debe practicar el análisis de riesgos. Hay que tener en cuenta que la disponibilidad sólo se analizará si se estima relevante ya que se trata de una dimensión que tiene que ver en la prestación de servicios. CATEGORIZACIÓN DE LOS ACTIVOS DE INFORMACIÓN Tabla 2. Criterios a tener en cuenta en cuanto a las dimensiones de seguridad cuando se analizan las dimensiones de seguridad en el ámbito de los activos de información Nivel de requerido seguridad Se establecerá en función de las consecuencias que tenga Confidencialidad Revelación a personas no autorizadas o que no necesitan conocer la información Integridad Modificación por alguien no autorizado a hacerlo Autenticidad Información no autentica o que no se puede verificar la fuente Trazabilidad No poder rastrear quien ha accedido o modificado cierta información Disponibilidad Que una persona autorizada no pueda acceder al sistema cuando lo requiere Tabla 3.Criterios a tener en cuenta para determinar el nivel de confidencialidad de un activo de información. Altran Análisis y categorización de Riesgos 02/08/2011 7/13 Alta Lo tiene que conocer número muy reducido personas un de Media Baja Sólo quien lo necesita para su trabajo, con autorización explicita No lo tienen que conocer personas alienas, todas las de la Organización Disposición legal o administrativa: ley decreto, orden, reglamento… La revelación causaría… Un grave daño, de difícil o imposible reparación Daño importante substancial aunque Algún perjuicio Un incumplimiento grave de una norma Incumplimiento material o formal de una norma Incumplimiento leve de una norma Pérdidas económicas elevadas o alteraciones financieras significativas Pérdidas importantes Pérdidas apreciables Un daño sobre la reputación grave con los ciudadanos o otras organizaciones Un daño sobre la reputación importante con los ciudadanos o otras organizaciones Un daño sobre la reputación apreciable con los ciudadanos o otras organizaciones Podría desembocar en protestas masivas (alteración seria del orden público) Protestas (alteración público) Múltiples individuales económicas del públicas orden económicas protestas Tabla 4.Criterios a tener en cuenta para determinar el nivel de integridad de un activo de información. Alta Media Baja Disposición legal o administrativa: ley decreto, orden, reglamento… La manipulación o modificación no autorizada causaría… Daño importante substancial aunque Algún perjuicio Un daño grave, de difícil o imposible reparación Un incumplimiento grave de una norma Incumplimiento material o formal de una norma Incumplimiento leve de una norma Pérdidas económicas elevadas o alteraciones financieras significativas Pérdidas importantes Pérdidas apreciables Un daño sobre la reputación Un daño sobre la reputación económicas económicas Un daño sobre la reputación Altran Análisis y categorización de Riesgos 02/08/2011 8/13 grave con los ciudadanos o otras organizaciones importante con ciudadanos o organizaciones Podría desembocar en protestas masivas (alteración seria del orden público) Protestas (alteración público) del los otras públicas orden apreciable con los ciudadanos o otras organizaciones Múltiples individuales protestas Tabla 5.Criterios a tener en cuenta para determinar el nivel de autenticidad de un activo de información. Alta Media Baja Disposición legal o administrativa: ley decreto, orden, reglamento… La falsedad en origen destinatario causaría… o Daño importante substancial aunque Algún perjuicio Un daño grave, de difícil o imposible reparación Un incumplimiento grave de una norma Incumplimiento material o formal de una norma Incumplimiento leve de una norma Pérdidas económicas elevadas o alteraciones financieras significativas Pérdidas importantes Pérdidas apreciables Un daño sobre la reputación grave con los ciudadanos o otras organizaciones Un daño sobre la reputación importante con los ciudadanos o otras organizaciones Un daño sobre la reputación apreciable con los ciudadanos o otras organizaciones Podría desembocar en protestas masivas (alteración seria del orden público) Protestas (alteración público) Múltiples individuales económicas del públicas orden económicas protestas Tabla 6.Criterios a tener en cuenta para determinar el nivel de trazabilidad de un activo de información. Alta Media Baja Disposición legal o administrativa: ley decreto, orden, reglamento… La incapacidad para rastrear un acceso a la información… …un error importante …errores Altran Análisis y categorización de Riesgos 02/08/2011 9/13 Impediría o dificultaría notablemente la capacidad de descubrir un error grave Impediría o dificultaría notablemente la capacidad para perseguir delincuentes Impediría o dificultaría notablemente la capacidad para perseguir delincuentes Impediría o dificultaría la capacidad para perseguir delincuentes Facilitaría enormemente comisión de delitos graves Facilitaría la comisión de delitos graves Dificultaría la capacidad para perseguir delitos la Tabla 7.Criterios a tener en cuenta para determinar el nivel de disponibilidad de un activo de información. Alta Media Baja Disposición legal o administrativa: ley decreto, orden, reglamento… La indisponibilidad de información causaría… la Daño importante substancial aunque Algún perjuicio Un daño grave, de difícil o imposible reparación Un incumplimiento grave de una norma Incumplimiento material o formal de una norma Incumplimiento leve de una norma Un daño sobre la reputación grave con los ciudadanos o otras organizaciones Un daño sobre la reputación importante con los ciudadanos o otras organizaciones Un daño sobre la reputación apreciable con los ciudadanos o otras organizaciones Podría desembocar en protestas masivas (alteración seria del orden público) Protestas (alteración público) Múltiples individuales Tiempo objetivo de recuperación – TOR < 4 horas 4 < TOR < 24 horas del públicas orden protestas 1 < TOR < 5 días A continuación se incluyen una serie de tablas a emplear para la categorización de los servicios. Están dispuestas en el mismo orden en el que se debe practicar el análisis de riesgos. Hay que tener en cuenta que la confidencialidad y la integridad hereda del análisis de los activos de información que intervienen en el servicio ya que son dimensiones que tienen que ver con la información y no con la prestación de servicios. Altran Análisis y categorización de Riesgos 02/08/2011 10/13 CATEGORIZACIÓN DE LOS SERVICIOS Tabla 8.Criterios a tener en cuenta para determinar el nivel de disponibilidad de un activo de información. Alta Media Baja Disposición legal o administrativa: ley decreto, orden, reglamento… La indisponibilidad de información causaría… la Daño importante substancial aunque Algún perjuicio Un daño grave, de difícil o imposible reparación Un incumplimiento grave de una norma Incumplimiento material o formal de una norma Incumplimiento leve de una norma Un daño sobre la reputación grave con los ciudadanos o otras organizaciones Un daño sobre la reputación importante con los ciudadanos o otras organizaciones Un daño sobre la reputación apreciable con los ciudadanos o otras organizaciones Podría desembocar en protestas masivas (alteración seria del orden público) Protestas (alteración público) Múltiples individuales Tiempo objetivo de recuperación – TOR < 4 horas 4 < TOR < 24 horas del públicas orden protestas 1 < TOR < 5 días Tabla 9. Criterios a tener en cuenta en cuanto a las dimensiones de seguridad cuando se analizan las dimensiones de seguridad en el ámbito de los servicios Nivel de requerido seguridad Se establecerá en función de las consecuencias que tenga Disponibilidad Que una persona autorizada no pueda acceder al sistema cuando lo requiere Autenticidad El servicio es usado por personas indebidamente identificadas que no se pueden garantizar quien son Trazabilidad No poder rastrear quien ha accedido al servicio Confidencialidad Se hereda de la valoración de la información que trata el servicio Integridad Se hereda de la valoración de la información que trata el servicio Altran Análisis y categorización de Riesgos 02/08/2011 11/13 Tabla 10.Criterios a tener en cuenta para determinar el nivel de disponibilidad de un servicio. Alta Media Baja Disposición legal o administrativa: ley decreto, orden, reglamento… La detención causaría… del servicio Daño importante substancial aunque Algún perjuicio Un daño grave, de difícil o imposible reparación Un incumplimiento grave de una norma Incumplimiento material o formal de una norma Incumplimiento leve de una norma Un daño sobre la reputación grave con los ciudadanos o otras organizaciones Un daño sobre la reputación importante con los ciudadanos o otras organizaciones Un daño sobre la reputación apreciable con los ciudadanos o otras organizaciones Podría desembocar en protestas masivas (alteración seria del orden público) Protestas (alteración público) Múltiples individuales Tiempo objetivo de recuperación – TOR < 4 horas 4 < TOR < 24 horas del públicas orden protestas 1 < TOR < 5 días El TOR mide el tiempo máximo que un servicio puede estar interrumpido sin causar perjuicio al Organismo. Se tendrá en cuenta la siguiente escala donde "h" se refiere a horas y "d" en días: TOR < 4h 4h – 1d 1d – 5d > 5d Nivel Alto Medio Bajo Sin valorar Hay que tener en cuenta que los requisitos de disponibilidad pueden variar según el momento en que se ofrece el servicio. En función del periodo se aplicarán las medidas de seguridad correspondientes garantizando que siempre se apliquen las medidas pertinentes o superiores, nunca inferiores. Tabla 11.Criterios a tener en cuenta para determinar el nivel de autenticidad de un servicio. Altran Análisis y categorización de Riesgos 02/08/2011 12/13 Alta Media Baja Disposición legal o administrativa: ley decreto, orden, reglamento… La falsedad de origen destinatario causaría… o Daño importante substancial aunque Algún perjuicio Un daño grave, de difícil o imposible reparación Un incumplimiento grave de una norma Incumplimiento material o formal de una norma Incumplimiento leve de una norma Pérdidas económicas elevadas o alteraciones financieras significativas Pérdidas importantes Pérdidas apreciables Un daño sobre la reputación grave con los ciudadanos o otras organizaciones Un daño sobre la reputación importante con los ciudadanos o otras organizaciones Un daño sobre la reputación apreciable con los ciudadanos o otras organizaciones Podría desembocar en protestas masivas (alteración seria del orden público) Protestas (alteración público) Múltiples individuales económicas del públicas orden económicas protestas Tabla 12.Criterios a tener en cuenta para determinar el nivel de trazabilidad de un servicio. Alta Media Baja Disposición legal o administrativa: ley decreto, orden, reglamento… …un error importante …errores Impediría o dificultaría notablemente la capacidad para perseguir delincuentes Impediría o dificultaría notablemente la capacidad para perseguir delincuentes Impediría o dificultaría la capacidad para perseguir delincuentes Facilitaría enormemente comisión de delitos graves Facilitaría la comisión de delitos graves Dificultaría la capacidad para perseguir delitos La incapacidad para rastrear un acceso al servicio … Impediría o dificultaría notablemente la capacidad de descubrir un error grave la Altran Análisis y categorización de Riesgos 02/08/2011 13/13
0
Anuncio
Descargar
Anuncio
Añadir este documento a la recogida (s)
Puede agregar este documento a su colección de estudio (s)
Iniciar sesión Disponible sólo para usuarios autorizadosAñadir a este documento guardado
Puede agregar este documento a su lista guardada
Iniciar sesión Disponible sólo para usuarios autorizados