Establecimiento de riesgos de
los recursos de la organización.
Es claro hasta ahora que el principal objetivo de una PSI es asegurar
los elementos de una organización, y que el estudio de la seguridad consiste en
permanecer constante el algoritmo P-C. Ahora incluiremos otro elemento
importante a la hora de definir nuestras políticas, y es el concepto de valor
de riesgo.
El umbral de riesgo que puede aceptar una organización debe tener una
forma cuantificable para ser medida, que permita identificar de quien se
protege el recurso, cual es el recurso a proteger, y cómo debe protegerse.
Nunca será igual de prioritario proteger una impresora de la empresa, que la
base de datos de clientes de la misma. ¿Cómo generamos una valoración apropiada
entonces de estos elementos? Usando 2 criterios:
·
Nivel de
importancia del recurso. (Llamado Ri)
·
Severidad
de la pérdida del recurso. (Llamado Wi)
Recordemos que en unidades anteriores coincidimos en que debíamos
integrar a los dueños y administradores de los recursos en las PSI ya que ellos
tenían el conocimiento para manejarlo. Este es el caso en que ellos deben
intervenir para generar la valoración de sus elementos.
Para generar una cuantificación del riesgo asociado a los recursos de
la organización, los expertos en cuada uno de los recursos asignará un valor
numérico, entre 1 y 10 (los umbrales son subjetivos. Así como puede ser entre
1y 10, puede ser entre 1 y 20, 1 y 100, etc.) a Ri y a Wi. Si e valor es de 10,
es porque el recurso es muy importante o la severidad de su pérdida es muy
alta, lo mismo ocurre en sentido contrario.
A partir de esto, podemos definir la valoración de riesgo como el
producto entre Ri y Wi, así:
WRi = Ri * Wi
Ejemplo práctico
Supóngase una red simplificada con un router, un servidor y un bridge.
Después de que los expertos generan las valoraciones de los elementos
de la red, se obtienen los siguientes datos:
Router:
R1 = 6, W1 = 7
Bridge:
R2 = 6, W2 = 3
Servidor:
R3 = 10, W3 = 10
El cálculo de los riesgos evaluados, será, para cada dispositivo:
Router:
WR1 = R1 * W1 = 6 * 7
= 42
Bridge:
WR2 = R2 * W2 = 6 * 3 = 1.8
Servidor:
WR3 = R3 * W3 = 10 * 10 = 100
En la siguiente tabla podemos observar cómo tabular estos datos de
manera organizada para poder determinar el riesgo de los elementos de la
organización:
Por los puntajes es evidente que el servidor es aquel elemento con
mayor riesgo, y el que debe protegerse de manera prioritaria. Con este dato
procederíamos a buscar soluciones para proteger nuestro servidor de amenazas
externas.
Este análisis debe hacerse para todos los elementos de la organización,
sin importar que tan superficial u obvio sea, que pueda incidir en la seguridad
de la organización y que pueda ser vulnerado. ¿Cuáles son estos recursos?
Podemos reunirlos en 6 grupos principales:
·
Personas:
los usuarios y las personas que operan los sistemas. Las personas siempre serán
el primer bloque de importancia de una organización.
·
Hardware:
Todo elemento externo que pueda procesar, contener, mostrar o transportar
datos.
·
Software:
herramientas tecnológicas para procesar los datos.
·
Datos:
Aquellos que se almacenan, se transportan, se almacenan fuera de los elementos
de hardware, backups, etc.
·
Documentación:
toda la información usada para aprender el funcionamiento de los sistemas de la
organización.
·
Accesorios:
Elementos usados para soportar el trabajo en la organización.
Anteriormente dijimos que la mayor parte de los problemas de seguridad
provenían de los miembros internos de la organización (80%), y el restante de
personas fuera de la organización. Es por esto que debemos basar nuestra
política en el control de los empleados internos, sabiendo quiénes usarán los
recursos y qué van a hacer con ellos.
Este punto de los usuarios es muy importante. Para definir lo que cada
uno de los usuarios puede hacer en el sistema se realizan un conjunto de listas
en las que se engloban, en grupos de trabajo, aquellos que pueden acceder a
determinado recurso y los privilegios de acceso. Un ejemplo de esta tabla es la
siguiente:
Ahora, ¿cómo protegernos de las intromisiones de usuarios no deseados?
La respuesta a esto se encuentra en el uso de “checklist” para comprobar el
funcionamiento de los sistemas de la organización. Estos checklist deben hacer
parte de una agenda, en la que se consignan las actividades que deben llevarse
a cabo y con la regularidad que se requiera. La agenda de checklist, como
veremos más adelante, es un “procedimiento”.
Un ejemplo de este chequeo se ve a continuación:
Chequeos:
Diarios:
- Extracción de un
logístico sobre el volumen de correo transportado y las conexiones de red
creadas durante las 24 horas del día
Semanal:
- Extracción de un
logístico del número de ingresos desde afuera de la red interna
- Logístico de el
número de conexiones externas hechas desde el interior de la red
- Logístico sobre
downloads y usuario que los hizo.
- Logístico sobre
conexiones realizadas en horarios no convencionales
- Logístico
gráficos sobre el tráfico de la red.
Mensual:
- Comparación de
los logísticos de las semanas para detectar anomalías y cambios.
Todos estos logísticos pueden llevarse a cabo con software
especializado, el cual informará de cualquier anomalía en el sistema para tomar
los correctivos convenientes.
No hay comentarios:
Publicar un comentario