Metodología OCTAVE

 Metodología OCTAVE

RESUMEN 

Este documento presenta la aplicación de la metodología OCTAVE-s para el análisis y gestión del riesgo en la seguridad de la información, adaptada al proceso Inscripciones y Admisiones, en la División de Admisión, Registro y Control Académico (DARCA) de la Universidad del Cauca; siguiendo las directrices de la norma ISO/IEC 27005:2011. Además se incluye la estructura del proceso, y el procedimiento escogido como caso de estudio para aplicar el tratamiento del riesgo. Finalmente, se muestran los resultados obtenidos y las conclusiones de la gestión del riesgo con la metodología adaptada.

Palabras Clave. Activo, amenaza, impacto, ISO/IEC 27005, Metodología de las Elipses, Metodología Octave-s, riesgo, seguridad de la información.

En la actualidad, las empresas manejan la información referente a sus procesos de negocio de forma física y digital. Dicha información, independiente de su medio de almacenamiento y transmisión, es un recurso vital para el éxito y la continuidad del servicio en cualquier organización, ya que de ella depende la toma de decisiones y el conocimiento interno de la empresa. Debe tenerse en cuenta que un sistema de información no necesariamente está asociado a un sistema informático. Un sistema de información pueden ser personas, materiales, objetivos, actividades, etc., aunque también tecnologías de la información y de comunicación. Es por esto que la gestión del riesgo en la seguridad de la información debe considerar aspectos tanto físicos como lógicos para lograr un adecuado tratamiento del riesgo. La gestión del riesgo en la seguridad de la información implica inversión de tiempo, esfuerzo y otros recursos con los que una pequeña organización no suele disponer, siendo esta una de las razones por las que no suelen ejecutar a gestión del riesgo como una prioridad.

Teniendo en cuenta las consideraciones mencionadas anteriormente, el presente artículo aborda una propuesta del cómo llevar a cabo la gestión del riesgo en la seguridad de la información, proponiendo una adaptación de la metodología OCTAVE-s que cumpla con las directrices de la norma ISO/IEC 27005, para ser aplicada al proceso de Inscripciones y Admisiones, correspondiente a la División de Admisiones Registro y control académico (DARCA) de la Universidad del Cauca, con el fin de minimizar el riesgo actual de dicho proceso.

PROCESO INSCRIPCIONES Y ADMISIONES Y DEFINICIÓN DEL ALCANCE DEL CASO DE ESTUDIO 

La norma ISO 27005 se fue acoplando con la metodología OCTAVE-s a medida que se gestionaba el riesgo a la seguridad de la información al proceso Inscripciones y Admisiones. La norma ISO 27005 cuenta con 7 pasos los cuales son: 

1. Establecimiento del contexto 

2. Identificación del riesgo 

3. Estimación del riesgo 

4. Evaluación del riesgo 

5. Tratamiento del riesgo 

6. Aceptación del riesgo 

7. Comunicación del riesgo 

La norma OCTAVE-s cuenta con 3 fases las cuales son: 

1. Construcción de perfiles de amenazas basados en los activos. 

2. Identificación de las vulnerabilidades de la infraestructura. 

3. Desarrollo de estrategia y planes de seguridad. 

Cada fase de Octave-s se fue adaptando a los pasos de la norma ISO 27005. Pero antes de usar la metodología Octave-s, se empezó por establecer el contexto (Establecimiento del contexto – Norma ISO 27005), es decir por definir el alcance del proceso Inscripciones y Admisiones. El proceso de Inscripciones y Admisiones cuenta con los siguientes siete procedimientos: 

1. Definición del calendario de admisión 

2. Justificación del servicio de aplicación de la prueba 

3. Inscripciones 

4. Alistamiento para la aplicación de la prueba

5. Aplicación de la prueba 

6. Evaluación de la prueba 

7. Admisiones  

CONSTRUCCIÓN DE PERFILES DE AMENAZAS BASADOS EN LOS ACTIVOS (FASE 1. OCTAVE-S) 

En esta fase se definen los criterios de evaluación de impacto que se utilizan posteriormente en la evaluación de riesgos. Luego se identifican los activos organizacionales y se evalúan las prácticas actuales de la seguridad en DARCA para proteger dichos activos. Posteriormente, se seleccionan activos críticos para analizar en profundidad basado en su importancia relativa a la organización. Finalmente, se definen los requisitos de seguridad y un perfil de amenaza para cada activo crítico.

a. Establecimiento de Criterios de Evaluación de Impacto. (Fase 1-Octave-s. Identificación del riesgo- ISO 27005). 

Se definieron un conjunto cualitativo y cuantitativo de medidas (criterios de evaluación de impacto) con las cuales se puede evaluar el efecto de un riesgo para los objetivos del proceso de Inscripciones y Admisiones. Para lo anterior se consideraron las siguientes variables de impacto a evaluar: 

 Reputación / confianza. 

 La vida / salud de los usuarios y funcionarios. 

 Financiero. 

 Productividad. 

Los criterios de evaluación considerados son 

 Alto Impacto (valor de impacto = 3) 

 Medio Impacto (valor de impacto =2) 

 Bajo Impacto (valor de impacto = 1)


b. Identificación de Activos de Información. (Fase 1-Octave-s. Identificación del riesgo- ISO 27005).

Los activos del Proceso Inscripciones y Admisiones se clasificaron según las categorías propuestas en ISO/IEC 27002 de la siguiente manera: Activos de Información, Activos Físicos, Activos de Aplicaciones (activos de software), Activos de Servicios, y Personas Involucradas en el proceso Inscripciones y Admisiones.

c. Evaluación de Procedimientos de Seguridad de DARCA. (Fase 1-Octave-s. Identificación del riesgo- ISO 27005).

En esta parte se procede a evaluar las diferentes áreas de seguridad respecto al proceso Inscripciones y Admisiones. Se tomaron como referencia dos tipos de áreas propuestas en OCTAVE-s, que son: áreas de práctica estratégica y áreas de práctica operacionales. Las áreas de práctica estratégica trata sobre todo lo que concierne a políticas de seguridad. Estas áreas son: 

1. Conciencia y Formación de Seguridad. 

2. Estrategia de Seguridad 

3. Gestión de la Seguridad 

4. Políticas y Reglamentos de Seguridad 

5. Gestión de la Seguridad Colaborativa 

6. Planes de Contingencia / Recuperación de Desastres.

Las áreas de práctica operacionales trata sobre todo lo que concierne a procesos tecnológicos y físicos así como su uso diario. Estas áreas son: 

1. Control de Acceso Físico 

2. Monitoreo y Auditoría de Seguridad Física 

3. Gestión de Sistema y Red 

4. Seguimiento y auditoría de Seguridad de TI 

5. Autenticación y autorización

6. Gestión de Vulnerabilidades 

7. Cifrado 

8. Arquitectura y Diseño de Seguridad 

9. Gestión de Incidentes 

Cada área de práctica de seguridad se evaluó de acuerdo a una cantidad de actividades que la metodología OCTAVE-s proporciona; Estas actividades se evalúan respecto a tres criterios: 

 Mucho- la organización está haciendo totalmente la actividad para el área determinada. 

 Algo – la organización está haciendo a medias dicha actividad para el área determinada. 

 Nada - la organización no está haciendo dicha actividad para el área determinada. 

d. Selección de Activos Críticos. (Fase 1-Octave-s. Identificación del riesgo- ISO 27005). 

Para considerar un activo como crítico, se tomó como referencia el impacto que podría ocasionar al proceso Inscripciones y Admisiones en cuanto a su continuidad de negocio si dicho activo fuera modificado, revelado, destruido, o el acceso a este fuera interrumpido. Como resultado de lo anterior, se identificaron quince activos críticos; para luego proceder a documentar información específica de cada uno de ellos, especificando el fundamento para ser seleccionado, junto con una descripción de dicho activo. 

e. Identificación de los requisitos de seguridad para los activos críticos. (Fase 1-Octave-s. Identificación del riesgo- ISO 27005). 

En este punto se procede a obtener los requisitos de seguridad para cada activo crítico. Para ello, se centra en los requisitos que debería tener, más no los que tiene actualmente. Posteriormente se procede a registrar el requisito de seguridad más importante para el activo crítico. Los requisitos de seguridad para los activos críticos son confidencialidad, integridad y disponibilidad. 

f. Identificación de las amenazas a los activos críticos. (Fase 1-Octave-s. Identificación del riesgo- ISO 27005). 

Es esta paso se procede a encontrar los actores tanto internos como externos que podrían amenazar dichos activos críticos. Para ello se toman como referencia dos categorías: 

 Los actores utilizando acceso a la red. 

 Los actores usando el acceso físico.


4. IDENTIFICAR LAS VULNERABILIDADES DE LA INFRAESTRUCTURA (FASE 2. OCTAVE-S) 

a. Análisis de vías de acceso. (Fase 2-Octave-s. Identificación del riesgo- ISO 27005). 

En primer lugar, se estableció el sistema (s) que está más estrechamente ligado a un activo crítico. Se empieza por verificar en donde los activos residen, a qué lugar se tendría que ir para obtener una copia "oficial" del activo, cual es el sistema que ofrece a los usuarios legítimos tener acceso a un activo crítico y cuáles son los sistemas que un actor de amenaza apuntaría para acceder a una activo crítico. 

Al examinar las vías de acceso, primero se establece qué componentes son parte del sistema de interés. Se tomó como referencia las siguientes clases de componentes del sistema de interés: 

 Servidores 

 Redes internas 

 Estaciones de trabajo en las instalaciones 

 Otros 

Luego, se determinó cómo se transmite la información y las aplicaciones del sistema de interés para las personas que tienen acceso a ese sistema. Los tipos de componentes de acceso intermedio que se tomaron como referencia son los siguientes: 

 Redes internas 

 Redes externas 

 Otros 

Se examinó qué componentes utilizan las personas (por ejemplo, los usuarios, los atacantes) para acceder al sistema de interés. Para esto, se tomaron en cuenta los puntos de acceso tanto internos como externos a las redes de DARCA. Los componentes de acceso que las personas podrían usar son: 

 Estaciones de trabajo en las instalaciones 

 Computadoras portátiles 

 PDAs / componentes inalámbricos 

 Desde casa / estaciones de trabajo externas 

 Otros 

Se determinó en qué clase de componentes de almacenamiento se encuentra la información del sistema de interés almacenada como copia de seguridad. Como opciones se tomaron: 

 Dispositivos de almacenamiento 

 Otros 

b. Análisis de los procesos tecnológicos relacionados. (Fase 2-Octave-s. Identificación del riesgo- ISO 27005). 

Durante esta actividad, se analizaron los procesos relacionados con la tecnología utilizadas durante la configuración y el mantenimiento de la infraestructura informática. Luego, se compiló la información para cada clase de componente que se ha identificado durante la actividad anterior. La información de cada clase incluye: 

 Los activos críticos que están relacionados con cada clase. 

 La parte (o partes) responsable de mantener y asegurar cada clase de componentes.

 La medida en que la seguridad se considera a la hora de configurar y mantener cada clase de componentes (mucho, poco, nada, no se sabe) 

 El cómo se determinó el grado en el que la seguridad se considera al momento de configurar y mantener cada clase de componentes (técnicas formales, medios informales, otros) 

 Cualquier información adicional.

Después de esto se realizó un Análisis Gap, en donde se refino la información de la Fase 1 basado en el análisis de las vías de acceso y procesos relacionados con la tecnología. Para ello se llevaron a cabo las siguientes tareas:  Se documentó información que describa donde reside cada activo crítico.  Se documentó información que describa donde residen las prácticas de seguridad. También se buscó los casos en los que se puede revisar las prácticas de seguridad existentes y las vulnerabilidades de la organización mediante la adición de detalles, o donde se pudiera identificar nuevas prácticas de seguridad y vulnerabilidades de la organización. Por último, se revisó la información para cada área de práctica de seguridad en donde se hubiera hecho adiciones o cambios, y se revisó el estado de luz (verde-amarilla-roja) en esa zona cuando fue apropiado. A continuación se mostrara la gráfica donde se ilustra los diferentes pasos a seguir en esta actividad



 

Comentarios

Publicar un comentario

Entradas populares de este blog

Metodologías para análisis de riesgos

Imagen
 Análisis de Riesgos  ¿Cómo gestionamos el riesgo?  ¿Cómo lo analizamos?  ¿Cómo sabemos a lo que nos enfrentamos? ISO/IEC 27001:2013  Information technology — Security techniques — Information security management systems — Requirements  – ISO/IEC 27005:2011  – ISO/IEC 31000 ISO/IEC 27001:2013   – 4.1 Comprender la organización y su contexto        • Contexto internal y externo de la organización de acuerdo al punto 5.3 de la ISO-31000 – 6.1 Análisis y gestión de riesgos        • Alineado con los principios y directrices de la ISO 31000 ISO/IEC 27005:2011   Information technology -- Security techniques -- Information security risk management  Fases del análisis de riesgos   – Establecimiento del contexto  – Evaluación del riesgo  – Tratamiento del riesgo  – Aceptación del riesgo  – Comunicación del riesgo  – Monitorización y revisión del riesgo UNE-ISO 31000  Gesti...
Leer más

Importancia del proceso de software, métodos, y herramientas en su ciclo de vida

 Importancia del proceso de software: Un proceso se define como un conjunto de actividades, acciones o tareas que se llevan a cabo para el desarrollo de un producto, a diferencia de algunas áreas, los procesos en ingeniería de software no se compone de actividades rígidas, estas pueden ser adaptadas por el equipo de desarrollo de software dependiendo del problema a solucionar, el proyecto, el equipo y la cultura organizacional, con el fin de alcanzar el objetivo principal que es entregar un software que cumpla con los requerimientos del clientes, respetando los tiempos acordados y el presupuesto estimado (Pressman, 2010) Un proceso está conformado por actividades las cuales a su vez agrupan un conjunto de tareas. Un ejemplo de la estructura de un proceso se muestra a continuación. Existen diferentes modelos de procesos de software, los cuales representan diferentes enfoques para abordar el problema. Estos modelos pueden incluir actividades que son parte de los procesos y productos ...
Leer más