Metodología NIST SP 800 – 30 para el análisis de Riesgos en SGSI

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

Metodología NIST SP 800 – 30 para el análisis de Riesgos en SGSI

Metodología NIST SP 800 – 30 para el análisis de Riesgos en SGSI

Seguridad en la organización

Metodología NIST SP 800-30

Los ataques cibernéticos han aumentado a consecuencia de los continuos avances en los servicios y modelos de información y comunicación, además del aumento de las nuevas Tecnologías de la Información y la Comunicación (TIC). El creciente aumento de los ciberataques han hecho que las empresas busquen estrategias que les permitan ejecutar análisis para prevenir, controlar y reducir los riesgos asociados a la vulnerabilidad de la información.

En una situación de intrusión a la información de la empresa puede hacer que su imagen corporativa se vea comprometida, e incluso en el peor de los casos, provocar grandes pérdidas económicas a causa de ese ciberataque. Para ello, existen métodos de análisis eficaces, que nos facilitan la tarea de rechazar a los hackers que atentan contra la privacidad de nuestros datos. 

Para ello, existen diferentes metodologías, una de las más importantes e implementadas en numerosas empresas es el análisis de riesgos según la metodología NIST SP800-30. La clave de dicha metodología es el uso de categorías para clasificar la información según el nivel de riesgo  y estándares para asegurar la información apropiada a su nivel. Este método nació en el Instituto Nacional de Estándares y Tecnología. Fue fundado para evaluar los riesgos de seguridad de la información especialmente en sistemas TI (Tecnología de la Información) con el objetivo de apoyar a las organizaciones con todo lo relacionado a Tecnología. 

Los objetivos principales por los cuales nació la metodología NIST SP800-30 fueron: 

  • Seguro de los sistemas de información que se encargan de almacenar, procesar y transmitir información.
  • Gestión de Riesgos.
  • Mejorar la administración de Riesgos a partir del resultado en el análisis. 
  • Salvaguardar las habilidades de la organización para alcanzar su misión. 
  • Ser una función esencial de la administración.

El componente principal para la gestión de riesgos es la creación de un marco de riesgos de las organizaciones. Se usa para establecer un contexto de situación de ataque en el cual, se describa cual es la forma correcta de tomar las decisiones. De esta manera la organización tiene esclarecido cómo ha de abordar una situación de ataque de forma que pueda evaluar el riesgo, responder a los propios riesgos y monitorearlos.

Para conseguir un informe tan detallado es necesario hacer evaluaciones de riesgos relacionados con la seguridad de la información; razonar el proceso de gestión a seguir y como las evaluaciones de riesgos son una parte integral del proceso, la comunicación de la realización de evaluaciones de riesgos de los sistemas de información y enumerar una serie de “pasos» en el proceso de evaluación de riesgos: 

  • preparación de la evaluación
  • la realización de la evaluación 
  • comunicar los resultados de la evaluación, y el mantenimiento de la evaluación

Proceso de gestión de riesgo

Los procesos de gestión del riesgo  introducen: 

  • Estructura del riesgo 
  • Evaluación del riesgo 
  • Responder a los riesgos 
  • Seguimiento de los riesgos 

Finalidad de la metodología NIST SP800-30

  • Suministrar una base para el desarrollo de la gestión del riesgo. 
  • Suministrar información acerca de controles de seguridad en función de la rentabilidad del negocio. 

En la gestión de riesgos nos encontramos un segundo componente: cómo evalúan el riesgo en el contexto del “marco de riesgo” en la organización. Los objetivos principales de la evaluación de riesgos son:

  • identificar las amenazas de las organizaciones, estas pueden ser, operaciones, activos o individuos, o amenazas guiadas a través de organizaciones en contra de otras organizaciones. 
  • identificación de vulnerabilidades internas y externas a las organizaciones 
  • el daño que pueda trascender por la importancia de las amenazas explotando vulnerabilidades. 
  • que probabilidad de que una situación así pueda ocurrir. La determinación del riesgo es el resultado final. 

Procesos de análisis de riesgos

La metodología NIST SP800-30 está compuesta por nueve fases: 

  • Caracterización del sistema: nos permite establecer el alcance y los límites operacionales de la evaluación de riesgos en la empresa.
  • Identificación de amenazas: es donde se definen las diferentes fuentes de motivación de las mismas. Para ello, deberíamos revisar el historial de ataques, datos de agencias de inteligencia, datos de medios de comunicación.  Aquí buscaríamos introducción de virus en los sistemas, corrupción de datos o incumplimientos legales intencionados.
  • Identificación de vulnerabilidades: para su identificación se desarrolla una lista de defectos o debilidades para conocer las posibles intrusiones de una amenaza. Un ejemplo puede ser: personal sin la adecuada información, la inexistencia de software antivirus, falta de políticas de restricciones de personal para uso de licencias de software.
  • Análisis de controles:  analizar controles actuales y controles planificados, además de elaborar la lista correspondiente. Para entenderlo mejor, un ejemplo de esto puede ser: el control del número de personas que tiene acceso al equipo informático diariamente, registro de información confidencial para la que se requiere uso de contraseñas, etc.
  • Determinación de probabilidades. Conocer a través del estudio cuales son las motivaciones para los ataques, capacidad de las amenazas, naturaleza de las vulnerabilidades… así podemos elaborar el ranking de probabilidades de que materialice la amenaza.
  • Análisis del impacto.  En dicha fase de determinación del riesgo, se pretende evaluar el riesgo real en el sistema de información, recomendaciones de control donde se proporcione qué controles se podrían mitigar el riesgo identificado disminuyendo hasta un nivel aceptable.
  • Determinación del riesgo. Para hacer un plan completo debemos conocer qué probabilidad de explotación de las amenazas, magnitud de los impactos, adecuación de los controles actuales y planificados nos podemos encontrar. Con dicho análisis estableceremos qué nivel de riesgo tiene la organización pudiendo ser: bajo, medio o alto.
  • Recomendación de controles. Para tener nuestro sistema seguro debemos realizar revisiones de las políticas de seguridad, actualizaciones periódicas del antivirus, un cambio de contraseñas periódicas, instalación de firewalls o en caso de incumplimiento de la normativa vigente, sanciones.
  • Documentación de resultados: Según los riesgos de la organización proceder a la elaboración de un informe detallado de valoración de los riesgos.

Fases de gestión de riesgos

  1. Priorización de acciones. A partir de los diferentes niveles de riesgo que hemos comentado anteriormente y del informe de evaluación de riesgos se procederá a realizar un Ranking de acciones a llevar a cabo en la empresa. 
  2. Evaluación de operaciones de control recomendados. Analizar su viabilidad y eficacia, además de la adecuación a nuestro modo de trabajo para determinar si realmente pueden enfrentarse a los riesgos. 
  3. Análisis de coste- beneficio. Conocer qué impacto supondría la implantación o no de los controles sugeridos, además de los costes moderados. 
  4. Seleccionar los controles que nos ayudarían a eliminar los riesgos. Para evitar intrusiones en la red tenemos que contemplar que controles utilizar: firewalls, cambio de contraseñas o actualización del firewalls. 
  5. Asignación de responsabilidades. Seleccionar qué persona, o grupo de personas son las encargados de llevar un control sobre los controles seleccionados. 
  6. Desarrollo del plan de implementación de salvaguardas. 

 

Sofware ISOTools para la seguridad de la información

Para determinar los riesgos de la información hay numerosas herramientas, pero independientemente sobre la metodología o herramientas utilizadas, el resultado debe esclarecer una lista con los posibles impactos de los riesgos establecidos.

De esta forma se podrá categorizar los riesgos e identificar cuales deben ser tratados con mayor intencionalidad. Categorizar es fundamental, para saber a qué riesgo está expuesta la organización. 

El Software ISOTools te ayudará a desarrollar cada una de las indicaciones para la implementación de un SGI de ISO27001, y poder llevar a cabo una gestión eficaz y eficiente.

 

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...