26 agosto 2008

Análisis de riesgos


La labor de un ingeniero de seguridad consiste en garantizar la confidencialidad, integridad y disponibilidad de los activos de su organización de una manera eficaz, eficiente y económica. Suena mucho más fácil de lo que realmente es porque lo cierto es que no es raro encontrarse profesionales que aplican soluciones de seguridad inadecuadas ya sea porque no han entendido correctamente la naturaleza de las amenazas o porque son excesivamente caras en comparación con el valor de los activos a proteger. Por tanto resulta imprescindible para un ingeniero de seguridad realizar un pormenorizado análisis de riesgos de su organización con el fin tener bien claro:
  • Qué es lo que debe proteger (Activos).
  • Qué supone un peligro para lo que debe proteger (Amenazas).
  • Cual es la probabilidad de que esos peligros se materialicen (Riesgo).
  • Cual es el grado de incertidumbre que la organización está dispuesta a asumir (Riesgo residual)
  • Cual sería el coste para la organización si esos peligros se materializasen y afectasen a lo que debemos proteger (Impacto).
Con todos los puntos anteriores bien claros, resulta de sentido común efectuar lo que se denomina una comparación coste/beneficio o lo que es lo mismo: una comparación entre el impacto que tendría para la organización que se materializase el riesgo de una amenaza sobre un activo en particular y el coste que supondría desplegar la tecnología y los procedimientos necesarios para anular estos riesgos (salvaguardas).

Como se puede ver no resulta una tarea sencilla. Un análisis de riesgos supone un análisis minucioso de la organización -para determinar los activos-, una comprensión plena de la naturaleza de su negocio -para ponderar cada uno de los activos-, un conocimiento exhaustivo y actualizado del campo de la seguridad -para localizar las amenazas y su riesgo de ocurrencia- y por último el apoyo completo y realista de todos los departamentos de la organización -para obtener unas estimaciones de impacto correctas- a través del imprescindible respaldo de la dirección de la organización.

Intuitivamente los activos son todo aquello que pertenezca a la organización y su valor será directamente proporcional a la dependencia de los beneficios de la organización respecto a ese activo. Por ejemplo, el mobiliario es un activo de una empresa de telecomunicaciones al igual que los equipos de su CPD y por tanto deben ser protegidos por sistemas de seguridad perimétrica, pero dado que los beneficios de esta empresa no dependen de su mobiliario resulta lógico pensar que el valor como activo del mobiliario es menor que el valor como activo del CPD. No pasa lo mismo con un restaurante, para el que el mobiliario resulta infinitamente más valioso que su página web. Además, la valoración de activos no sólo sirve para priorizar su protección sino también para poner un tope a la inversión realizada en su defensa ¿qué sentido tiene instalar en nuestro hogar una caja fuerte de 12.000 euros si en nuestro caso particular no tenemos nada valioso y nunca juntamos en casa más de 200 euros de efectivo?. Este tipo de valoración intuitiva se denominaría cualitativa y es muy útil a la hora de hacer una primera estimación. Sin embargo, a la hora de sistematizar el proceso de análisis de riesgos y utilizar herramientas automatizadas especializadas en dicha labor, resulta imprescindible asignar a cada activo un valor numérico. Aquí el asunto se complica ya que el ingeniero deberá decidir qué utiliza para asignar dicho valor. Podría optar, por ejemplo, por cualquiera de los siguientes indicadores:
  • Coste para adquirir o desarrollar el activo.
  • Coste de mantenimiento del activo.
  • Valor del activo para los usuarios.
  • Valor de la propiedad intelectual utilizada para desarrollar el activo.
  • Valor que le daría la competencia al activo.
  • Responsabilidad legal que se daría en caso de pérdida o daño del activo.
  • Utilidad del activo para la organización.
Identificar las amenazas y, sobre todo, sus riesgos de ocurrencia resulta aún más complicado. Las amenazas no siempre estarán claras ya que pueden no ser intencionadas y pueden encontrarse tanto fuera como dentro de la organización. Además estas amenazas, en caso de que se materialicen, pueden dar lugar a otras amenazas en un efecto cascada difícil de evaluar y controlar. Por ejemplo, un empleado mal entrenado puede ser un peligro para la integridad de nuestro sistema, lo que le convierte en una amenaza, pero además puede dejar a su paso configuraciones deficientes que abran agujeros en la seguridad útiles para atacantes remotos. Una herramienta muy útil a la hora de estimar riesgos son los registros de incidencias que nos permitirán conocer el historial de incidentes de la organización y su frecuencia.

En cuanto a la estimación de impactos hay que tener cierta perspectiva ya que el daño sufrido por la organización, en caso de que algunos de sus activos se vea afectado, puede no sólo ser inmediato sino también diferido. Es evidente que un servicio de banca on-line que sufra un incidente de seguridad sufrirá un impacto inmediato en función del incidente pero también otro diferido relativo a la merma de confianza de sus potenciales clientes acerca del servicio.

Como ya hemos dicho, a la hora de combinar elementos tan complejos de una manera sistemática se hace necesario el uso de técnicas de análisis cuantitativo mediante la ponderación de los diversos factores implicados y su interrelación mediante ecuaciones que determinen los riesgos totales y residuales. Poner valor a todos los elementos anteriores es una tarea compleja, pesada y al final resulta imposible hacerlo de una manera 100% objetiva... pero es lo que hay y gracias a este tipo de técnicas se pueden usar herramientas automatizadas como PILAR que, una vez configuradas con el modelo de nuestra organización, nos permitirán realizar cálculos rápidamente, estimar impactos de manera precisa y determinar la efectividad de diversas tecnologías de salvaguarda.

Al final de todo el proceso se llega a un diseño para nuestra organización que nos permitirá minimizar los riesgos, aunque nunca podremos anularlos por completo, siempre habrá un cierto grado de riesgo que nuestra organización deberá asumir bien como inevitable o bien como demasiado costoso de eliminar. En el primer caso, el riesgo inevitable, se puede reducir el impacto transfiriendo el riesgo, por ejemplo mediante seguros. Con el segundo caso no queda sino vivir con él y cruzar los dedos para que nunca ocurra, recibiendo el nombre de riesgo residual . Por ejemplo, Los antiguos diseñadores de fortalezas procuraban construirlas con murallas bien altas pero siempre debían asumir el riesgo residual de que los sitiador construyesen máquinas de asalto aún más altas; para reducir este riesgo los que tenían la posibilidad construían castillos encima de picos escarpados pero ni siquiera eso conseguía anular del todo el riesgo... como descubrieron los desafortunados defensores de Masada.

El informe resultante de nuestro análisis de riesgos deberá contener, como mínimo:
  • El valor asignado a cada uno de los activos de manera que se pueda priorizar entre unos y otros.
  • Una lista completa de todas las amenazas significativas.
  • Probabilidad de ocurrencia de cada una de las amenazas.
  • Impacto estimado de cada una de las amenazas a lo largo de un periodo mínimo de 12 meses.
  • Un diseño que comprenda las salvaguardas, reformas y contramedidas recomendadas.
Por supuesto, este informe debe ser presentado a la dirección de la organización que será la responsable de evaluar las medidas recomendadas y aplicarlas si así lo considera oportuno. Precisamente porque la dirección de la organización carece, por lo general, de una formación técnica profunda, lo más recomendable es entregar un resumen ejecutivo comprensible por personal no técnico y recoger los cálculos y la base técnica en los correspondientes anexos.