Ejemplos Matriz de Riesgo

 Matriz para el Análisis de Riesgo

Introducción

La Matriz para el Análisis de Riesgo, es producto del proyecto de Seguimiento al “Taller Centroamericano Ampliando la Libertad de Expresión: Herramientas para la colaboración, información y comunicación seguras” y fue punto clave en analizar y determinar los riesgos en el manejo de los datos e información de las organizaciones sociales participantes. La Matriz, que basé en una hoja de calculo, no dará un resultado detallado sobre los riesgos y peligros de cada recurso (elemento de información) de la institución, sino una mirada aproximada y generalizada de estos.

Hay que tomar en cuenta que el análisis de riesgo detallado, es un trabajo muy extenso y consumidor de tiempo, porque requiere que se compruebe todos los posibles daños de cada recurso de una institución contra todas las posibles amenazas, es decir terminaríamos con un sinnúmero de grafos de riesgo que deberíamos analizar y clasificar. Por otro lado, hay que reconocer que la mayoría de las organizaciones sociales centroamericanas (el grupo meta del proyecto), ni cuentan con personal técnico específico para los equipos de computación, ni con recursos económicos o mucho tiempo para dedicarse o preocuparse por la seguridad de la información que manejan y en muchas ocasiones tampoco por la formación adecuada de sus funcionarios en el manejo de las herramientas informáticas.

Entonces lo que se pretende con el enfoque de la Matriz es localizar y visualizar los recursos de una organización, que están más en peligro de sufrir un daño por algún impacto negativo, para posteriormente ser capaz de tomar las decisiones y medidas adecuadas para la superación de las vulnerabilidades y la reducción de las amenazas.

Fundamento de la Matriz

La Matriz la basé en el método de Análisis de Riesgo con un grafo de riesgo, usando la formula Riesgo = Probabilidad de Amenaza x Magnitud de Daño

La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y condiciones respectivamente

• 1 = Insignificante (incluido Ninguna)
• 2 = Baja
• 3 = Mediana
• 4 = Alta

El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por Magnitud de Daño, está agrupado en tres rangos, y para su mejor visualización, se aplica diferentes colores.

• Bajo Riesgo = 1 – 6 (verde)
• Medio Riesgo = 8 – 9 (amarillo)
• Alto Riesgo = 12 – 16 (rojo)

Uso de la Matriz

La Matriz verdadera la basé en un archivo con varias hojas de calculo que superan el tamaño de una simple pantalla de un monitor. Entonces por razones demostrativas, en las siguientes imágenes solo se muestra una fracción de ella.

La Matriz contiene una colección de diferentes Amenazas (campos verdes) yElementos de información (campos rojos). Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Daño (campos amarillas) por cada Elemento de Información.

Para la estimación de la Probabilidad de amenazas, se trabaja con un valor generalizado, que (solamente) está relacionado con el recurso más vulnerable de los elementos de información, sin embargo usado para todos los elementos. Si por ejemplo existe una gran probabilidad de que nos pueden robar documentos y equipos en la oficina, porque ya entraron varias veces y no contamos todavía con una buena vigilancia nocturna de la oficina, no se distingue en este momento entre la probabilidad si robarán una portátil, que está en la oficina (con gran probabilidad se van a llevarla), o si robarán un documento que está encerrado en una caja fuerte escondido (es menos probable que se van a llevar este documento).

Este proceder obviamente introduce algunos resultados falsos respecto al grado de riesgo (algunos riesgos saldrán demasiado altos), algo que posteriormente tendremos que corregirlo. Sin embargo, excluir algunos resultados falsos todavía es mucho más rápido y barato, que hacer un análisis de riesgo detallado, sobre todo cuando el enfoque solo es combatir los riesgos más graves.

En el caso de que se determine los valores para la Probabilidad de Amenaza y Magnitud de Daño a través de un proceso participativo de trabajo en grupo (grande), se recomienda primero llenar los fichas de apoyo (disponible enDescargas) para los Elementos de Información y Probabilidad de Amenaza, y una vez consolidado los datos, llenar la matriz.

Dependiendo de los valores de la Probabilidad de Amenaza y la Magnitud de Daño, la Matriz calcula el producto de ambos variables y visualiza el grado de riesgo.

Dependiendo del color de cada celda, podemos sacar conclusiones no solo sobre el nivel de riesgo que corre cada elemento de información de sufrir un daño significativo, causado por una amenaza, sino también sobre las medidas de protección necesarias

• Proteger los datos de RR.HH, Finanzas contra virus
• Proteger los datos de Finanzas y el Coordinador contra robo
• Evitar que se compartan las contraseñas de los portátiles
• Etc, etc

También, como se mencionó anteriormente, existen combinaciones que no necesariamente tienen mucho sentido y por tanto no se las considera para definir medidas de protección

• Proteger el Personal (Coordinador y Personal técnico) contra Virus de computación
• Evitar la falta de corriente para el Coordinador
• Etc, etc

Análisis de Riesgo

 Análisis de Riesgo

El primer paso en la Gestión de riesgo es el análisis de riesgo que tiene como propósito determinar los componentes de un sistema que requieren protección, sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.

Clasificación y Flujo de Información

La clasificación de datos tiene el propósito de garantizar la protección de datos (personales) y significa definir, dependiendo del tipo o grupo de personas internas y externas, los diferentes niveles de autorización de acceso a los datos e informaciones. Considerando el contexto de nuestra misión institucional, tenemos que definir los niveles de clasificación como por ejemplo: confidencial, privado, sensitivo y público. Cada nivel define por lo menos el tipo de persona que tiene derecho de acceder a los datos, el grado y mecanismo de autenticación.

Una vez clasificada la información, tenemos que verificar los diferentes flujos existentes de información internos y externos, para saber quienes tienen acceso a que información y datos.

Clasificar los datos y analizar el flujo de la información a nivel interno y externo es importante, porque ambas cosas influyen directamente en el resultado del análisis de riesgo y las consecuentes medidas de protección. Porque solo si sabemos quienes tienen acceso a que datos y su respectiva clasificación, podemos determinar el riesgo de los datos, al sufrir un daño causado por un acceso no autorizado.

Análisis de Riesgo

Existen varios métodos de como valorar un riesgo y al final, todos tienen los mismos retos -las variables son difíciles de precisar y en su mayoría son estimaciones- y llegan casi a los mismos resultados y conclusiones.

En el ámbito de la Seguridad Informática, el método más usado es el Análisis de Riesgo.

La valoración del riesgo basada en la formula matemática

Riesgo = Probabilidad de Amenaza x Magnitud de Daño

Para la presentación del resultado (riesgo) se usa una gráfica de dos dimensiones, en la cual, el eje-x (horizontal, abscisa) representa la “Probabilidad de Amenaza” y el eje-y (vertical, ordenada) la “Magnitud de Daño”. La Probabilidad de Amenaza y Magnitud de Daño pueden tomar condiciones entre Insignificante (1) y Alta (4). En la practica no es necesario asociar valores aritméticos a las condiciones de las variables, sin embargo facilita el uso de herramientas técnicas como hojas de calculo.

Nota: La escala (4 condiciones) de la Probabilidad de Amenaza y Magnitud de Daño no es fijo y puede ser adaptada y afinada a las necesidades propias. En diferentes literaturas, particularmente la Probabilidad de Amenaza puede tomar hasta seis diferentes condiciones.

Como mencioné, el reto en la aplicación del método es precisar o estimar las condiciones (valores) de las dos variables, porque no basen en parámetros claramente medibles. Sin embargo, el análisis de riesgo nos permite ubicar el riesgo y conocer los factores que influyen, negativa- o positivamente, en el riesgo.

En el proceso de analizar un riesgo también es importante de reconocer que cada riesgo tiene sus características [4]:

• Dinámico y cambiante (Interacción de Amenazas y Vulnerabilidad)
• Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad)
• No siempre es percibido de igual manera entre los miembros de una institución que talvez puede terminar en resultados inadecuados y por tanto es importante que participan las personas especialistas de los diferentes elementos del sistema (Coordinación, Administración financiera, Técnicos, Conserje, Soporte técnico externo etc.)

El modelo se pude aplicar a los diferentes elementos de manera aislado, sino también al sistemas completa, aunque en el primer caso, el resultado final será más preciso pero también requiere más esfuerzo.

Entre más alta la Probabilidad de Amenaza y Magnitud de Daño, más grande es el riesgo y el peligro al sistema, lo que significa que es necesario implementar medidas de protección.

Probabilidad de Amenaza

Se habla de un Ataque, cuando una amenaza se convirtió en realidad, es decir cuando un evento se realizó. Pero el ataque no dice nada sobre el éxito del evento y sí o no, los datos e informaciones fueron perjudicado respecto a suconfidencialidad, integridad, disponibilidad y autenticidad.

Para estimar la Probabilidad de Amenaza nos podemos hacer algunas preguntas

• ¿Cuál es el interés o la atracción por parte de individuos externos, de atacarnos? Algunas razones pueden ser que manejamos información que contiene novedades o inventos, información comprometedora etc, talvez tenemos competidores en el trabajo, negocio o simplemente por el imagen o posición pública que tenemos.
• ¿Cuáles son nuestras vulnerabilidades? Es importante considerar todos los grupos de vulnerabilidades. También se recomienda incluir los expertos, especialistas de las diferentes áreas de trabajo para obtener una imagen más completa y más detallada sobre la situación interna y el entorno.
• ¿Cuántas veces ya han tratado de atacarnos? Ataques pasados nos sirven para identificar una amenaza y si su ocurrencia es frecuente, más grande es la probabilidad que pasará otra vez. En el caso de que ya tenemos implementadas medidas de protección es importante llevar un registro, que muestra los casos cuando la medida se aplico exitosamente y cuando no. Porque de tal manera, sabemos en primer lugar si todavía existe la amenaza y segundo, cuál es su riesgo actual.

Considerando todos los puntos anteriores, nos permite clasificar la Probabilidad de Amenaza. Sin embargo, antes tenemos que definir el significado de cada condición de la probabilidad (Baja, Mediana, Alta). Las definiciones mostradas en la imagen anterior solo son un ejemplo aproximado, pero no necesariamente refleja la realidad y la opinión común y por tanto se recomienda que cada institución defina sus propias condiciones.

Magnitud de Daño

Se habla de un Impacto, cuando un ataque exitoso perjudicó la confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones.

Estimar la Magnitud de Daño generalmente es una tarea muy compleja. La manera más fácil es expresar el daño de manera cualitativa, lo que significa que aparte del daño económico, también se considera otros valores como daños materiales, imagen, emocionales, entre otros. Expresarlo de manera cuantitativa, es decir calcular todos los componentes en un solo daño económico, resulta en un ejercicio aun más complejo y extenso.

Aunque conozcamos bien el impacto de un ataque exitoso, sus consecuencias pueden ser múltiples, a veces son imprevisibles y dependen mucho del contexto donde manejamos la información, sea en una ONG (derechos humanos, centro de información etc.), en una empresa privada (banco, clínica, producción etc.), en una institución Estatal o en el ámbito privado. Otro factor decisivo, respecto a las consecuencias, es también el entorno donde nos ubicamos, es decir cuales son las Leyes y prácticas comunes, culturales que se aplica para sancionar el incumplimiento de las normas.

Un punto muy esencial en el análisis de las consecuencias es la diferenciación entre los dos propósitos de protección de la Seguridad Informática, la Seguridad de la Información y la Protección de datos, porque nos permite determinar, quien va a sufrir el daño de un impacto, nosotros, otros o ambos. En todo caso, todos nuestros comportamientos y decisiones debe ser dirigidos por una conciencia responsable, de no causar daño a otros, aunque su realidad no tenga consecuencias negativas.

Otras preguntas que podemos hacernos para identificar posibles consecuencias negativas causadas por un impacto son:

• ¿Existen condiciones de incumplimiento de confidencialidad (interna y externa)? Esto normalmente es el caso cuando personas non-autorizados tienen acceso a información y conocimiento ajeno que pondrá en peligro nuestra misión.
• ¿Existen condiciones de incumplimiento de obligación jurídicas, contratos y convenios? No cumplir con las normas legales fácilmente puede culminar en sanciones penales o económicas, que perjudican nuestra misión, existencia laboral y personal.
• ¿Cuál es el costo de recuperación? No solo hay que considerar los recursos económicos, tiempo, materiales, sino también el posible daño de la imagen pública y emocional.

Considerando todos los aspectos mencionados, nos permite clasificar la Magnitud del Daño. Sin embargo, otra vez tenemos que definir primero el significado de cada nivel de daño (Baja, Mediana, Alta). Las definiciones mostradas en la imagen anterior solo son un ejemplo aproximado, pero no necesariamente refleja la realidad y la opinión común y por tanto se recomienda que cada institución defina sus propios niveles.