EAR > FAQ

EAR / FAQ
Entorno de análisis de riesgos

FAQ: Preguntas frecuentes

Análisis de riesgos
ENS - Esquema Nacional de Seguridad
Certificaciones
- SGSI (27001)
- ¿Qué pasos hay que dar para obtener una certificación 27001?
PILAR
RMAT
- ¿Qué hace RMAT?
- ¿A quién va dirigido RMAT?

Análisis de riesgos

¿Qué es un análisis de riesgos?

Es una actividad básica para gestionar la seguridad de un sistema de información.

El análisis del riesgo es una técnica para recopilar los activos, valorarlos en la medida en que el negocio se vería afectado por su pérdida y levantar un mapa de las amenazas a las que está expuesto. El resultado es un mapa de riesgos y una valoración de los activos en base a su nivel o estado de riesgo que es, en definitiva, la medida de lo que puede perder la organización.

¿Qué es el tratamiento de los riesgos?

Es el conjunto de decisiones que se toman para evitar, mitigar, transferir o, en última instancia, aceptar los riesgos identificados.

¿Qué es la gestión del riesgo?

Es una aproximación ordenada para mantener el riesgo bajo control. Se utilizan los resultados del análisis como información para tomar decisiones de tratamiento.

Se requiere que el sistema esté sometido a una disciplina continua de análisis y toma de decisiones para mantener actualizada la posición de riesgo.

¿Para qué más sirve realizar un proyecto de análisis y gestión de riesgos?

Es la base para un Plan [ Director ] de Seguridad que marque la estrategia corporativa de evolución
Es paso preliminar necesario para una certificación del sistema de gestión de la seguridad de la información (ISO 27001 u otros referentes como PCI-DSS, Basilea II, Sarbanes-Oxley, ...) pues determina qué controles son relevantes en un sistema y permite al auditor contrastar la implantación real con las necesidades impuestas por el riesgo al que está sometida la organización.

ENS - Esquema Nacional de Seguridad

¿Qué es el Esquema Nacional de Seguridad?

El Esquema Nacional de Seguridad es una norma con rango de Real Decreto, que establece "los principios básicos y requisitos mínimos que, de acuerdo con el interés general, naturaleza y complejidad de la materia regulada, permiten una protección adecuada de la información y los servicios, lo que exige incluir el alcance y procedimiento para gestionar la seguridad electrónica de los sistemas que tratan información de las Administraciones públicas en el ámbito de la Ley 11/2007, de 22 de junio."

¿Sirve PILAR para el ENS?

Sí.

El ENS establece el análisis de riesgos como uno de los principios básicos que deben regir toda actuación en materia de seguridad.

El análisis de riesgos es en sí mismo un requisito mínimo.

El ENS establece tres niveles de exigencia en el análisis de riesgos que debe realizarse. Sólo en los sistemas de categoría alta se exige un análisis formal; pero PILAR puede utilizarse en cualquier sistema.

En sistemas sencillos, de categoría básica, basta hacer un análisis de trazo grueso, con los activos que intuitivamente se consideran más valiosos, o con una identificación somera de los bloques que constituyen el sistema (o sea, media docena de activos para reflejar que hay información, que hay equipos, que hay instalaciones y que hay personal, sin entrar en un inventario exhaustivo).

¿Hay un perfil ENS para PILAR?

Todavía no.

Está pendiente del desarrollo de las guías de implantación que precisen qué se va a requerir para el cumplimiento de cada medida del Anexo II.

El ENS ¿es un SGSI?

No.

Pero es natural que los organismos implanten algún sistema de gestión para dar solidez a los principios y garantizar la madurez de las medidas de protección que se exigen.

La existencia de un sistema de gestión aparece entre los objetivos de las auditorías.

Certificaciones

SGSI (27001)

Un SGSI (Sistema de Gestión de la Seguridad de los Sistemas de Información) es una parte del sistema de gestión de una organización.

Concretamente, es la parte que, basada en un enfoque de riesgo empresarial, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información.

El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.

¿Qué pasos hay que dar para obtener una certificación 27001?

Para certificar un SGSI debe realizar una serie de tareas previas:

Debe realizar un análisis de riesgos que cubra todos los sistemas afectos a la futura certificación.
Gracias a este análisis de riesgo podrá justificar
- qué controles son pertinentes (justificando los que no aplican)
- qué grado de calidad requiere en los controles,
lo que servirá de guía y justificación frente al evaluador:
- la Declaración de Aplicabilidad (en inglés, SoA - Statement of Applicability).
A continuación debe aplicar un tratamiento convincente de los riesgos identificados, implantando las salvaguardas necesarias para reducir el riesgo a un valor residual acaptable por la Dirección de su Organización.
Puede realizar una auditoría interna preparatoria.
Póngase en contacto con la Entidad de Certificación que le indicará los pasos a seguir en el proceso formal.

PILAR

¿Qué es PILAR?

PILAR es una herramienta que automatiza el análisis de riesgos.

PILAR se utiliza dentro de los procesos de gestión de riesgos:

para el análisis inicial y regular de los riesgos
para analizar el efecto de las medidas de control sobre el riesgo residual, justificando qué medidas protegen de cada riesgo identificado
para diseñar planes de mejora de la seguridad, simulando el efecto de un cierto conjunto de medidas sobre el riesgo del sistema

PILAR ambién permite estimar el grado de cumplimiento de diferentes normativas o perfiles de seguridad, como por ejemplo 27002 de ISO.

¿Qué metodología se usa?

Se sigue la metodología Magerit.

Magerit es acorde con normas internacionales como ISO/IEC 27005:2008.

Magerit es acorde con normas nacionales como UNE 71504:2008.

¿Qué nivel de detalle se permite?

El que decida el usuario.

El número de activos no tiene ningún límite, aunque un número elevado oscurece el análisis y dificulta la interpretación de resultados, amen de ser difícil de mantener. La frontera suele estar en unos 200-400 activos.

Se pueden hacer análisis de riesgos con 1 sólo activo. Para ello, declare un activo y acumule sobre él todas las características (clases de activos) que sean de aplicación. Los resultados son muy rápidos, aunque podo precisos.

Se pueden hacer análisis de activos con pocos activos (como una docena) si usa "activos gordos" que agrupan bajo un único activo varios elementos o componentes.

Se pueden analizar las salvaguardas con mucho detalle, o hacer una evaluación grosera (lo que pilar denomina "nivel básico") evaluando sólo los grandes epígrafes de las medidas posibles. Los resultados son muy rápidos, aunque podo precisos.

Es habitual realizar en primera instancia un análisis rápido e impreciso y posteriormente refinar el análisis en aquellos puntos donde haymás riesgo o donde hay una riqueza y variedad de componentes que exigen precisar sin poder generalizar.

PILAR proporciona varios conceptos para agrupar de forma que luego se puede precisar de forma incremental:

capas de activos, para ordenar por áreas de responsabilidad: negocio, equipamiento, instalaciones, personal, ...
grupos de activos, para organizarse
dominios de seguridad, para valorar conjuntos de activos sometidos a una misma política de seguridad

¿Son compatibles las diferentes versiones de PILAR?

En la evolución de PILAR se busca la "compatibilidad hacia adelante" de forma que una versión de PILAR siempre sea capaz de leer proyectos realizados con versiones anteriores.

PILAR no garantiza la "compatibilidad hacia atrás"; o sea que, en general, no es posible abrir un proyecto con una versión anterior.

¿Cómo se usa PILAR con una base de datos?

necesita una licencia que habilite los protocolos SQL
necesita una base de datos que proporcione un driver JDBC
necesita adherirse a este formato de tablas.

Cuando se utiliza una base de datos, las tablas sustituyen a los ficheros .mgr.

Los ficheros .mhr van cifrados y protegidos criptográficamente por una contraseña de acceso. En una base de datos, el control de acceso se realiza con el sistema de control proporcionado por la propia base de datos y el sistema que la hospeda.

PILAR permite trasladar la información de un fichero .mgr a una base de datos y viceversa, de forma que es posible trabajar normalmente sobre la base de datos y utilizar el formato .mgr para comunicaciones, para trabajar en un portátil o incluso para cambiar de base de datos, transportando la información de una a otra.

PILAR permite cierta concurrencia en torno a una base de datos:

varios usuariospueden leer simultáneamente
sólo debería haber un usuario escribiendo en un momento dado; pilar no impide que haya varios usuarios escribiendo, pero avisa
PILAR NO trabaja sobre la base de datos; los datos se "bajan" y se "suben" cuando el usuario lo solicita

RMAT

¿Qué hace RMAT?

RMAT permite

preparar nuevos perfiles de evaluación (.evl)
preparar tablas de protecciones adicionales (.kb)
preparar perfiles de amenazas (.tsv)

¿A quién va dirigido RMAT?

RMAT está pensada para usuarios que necesitan personalizar PILAR para sectores específicos, o que simplemente requieren perfiles propios de cumplimiento tales como

normativa sectorial
normativa corporativa
cuadros de mando propios