--Originally published at (Not so) Random talk
En el sector público y privado se tienen diferentes usos para la información y las nuevas tecnologías, como ya hemos visto eso conlleva a tener presentes una serie muy grande de peligros y vulnerabilidades latentes. Las diferentes compañías y empleados que generan las nuevas tecnologías deben no sólo ser capaces de reaccionar ante estas vulnerabilidades, sino también manejarlas y evaluarlas para poder otorgar un grado mayor de seguridad a los usuarios.
Los diferentes objetivos que conlleva el evaluar estos riesgos son:
- Encontrar peligros para la organización.
- Detectar vulnerabilidades dentro y fuera de la organización.
- Evaluar el impacto del explotamiento de dichas vulnerabilidades.
- Conocer el porcentaje de probabilidad de ser explotada de una vulnerabilidad.
Es decir, se lleva una evaluación que determinará el riesgo.
Los riesgos en las organizaciones deben ser vistos a partir de diferentes puestos de trabajo los cuales terminan abarcando todas las jerarquías. Los dirigentes deben saber tanto como los programadores sobre los riesgos que puede implicar el uso de la tecnología, convirtiendo la tarea del asesoramiento de riesgos algo realmente complicado.
Una manera de entender esto es lo siguiente: Digamos que se te pide que realices un formulario con la contraseña de la gente.
Hecho 1: El jefe, al no saber sobre riesgos acepta el trabajo aún sin especificar claramente que no se debe mostrar en algún lado esa información.
Hecho 2: El empleado al no saber sobre la seguridad de contraseñas ni peticiones, envía la contraseña dentro del url para que la página que le utiliza le pueda verificar.
Hecho 3: Un atacante se da cuenta del error y roba información cuando el producto sale a la venta.
Todo lo anterior da como resultado que la empresa quede en mala posición, se pierda dinero por la necesidad de arreglar el error, probablemente el programador sea despedido 
Es ahí cuando la evaluación de riesgos ayuda puesto que nos permite el saber sobre estas vulnerabilidades desde el inicio, pudiendo permitir que se evite el problema o se minimice desde el encargado de aceptar el pedido y no solo cuando ya se está en pánico y el programador debe pelear contra el tiempo para no seguir con pérdidas.
Esto parece más sencillo de lograr de lo que en realidad es, por lo anterior, se implementan los Frameworks de Administración de Riesgos.
La administración de riesgos es el proceso que consta del asesoramiento de riesgos (el cual es también otro tema), mitigación de riesgos y la evaluación y el asesoramiento. Este ayuda a los administradores IT balancear los costos operacionales y económicos de las medidas preventivas y a obtener logros en la misma protección de los sistemas.
Los Frameworks no son más que una serie de buenas prácticas que ayudan a minimizar riesgos, métodos de control para detectarlos y procedimientos para actuar en caso de ellos. Los frameworks son entonces herramientas que ayudan a mantener un cierto nivel de seguridad a la hora de realizar implementaciones y desarrollar los productos de tecnología que usan la información tan valiosa que se pudiera necesitar.
Entre los pasos descritos por un Framework que deben ser respetados se encuentran los siguientes:
- Categorizar la información del sistema y la información que se usará a partir de un analisis de impacto.
- Seleccionar las reglas para los controles de seguridad de dichas categorías.
- Implementar los controles de seguridad y describir sus usos.
- Evaluar los controles de seguridad.
- Autorizar el sistema de información basado en los riesgos.
- Monitorear los controles de seguridad continuamente.
Como nos podemos dar cuenta no todos los pasos pueden ser realizados por la parte de desarrollo de los sistemas de información y deben de actuar diferentes jerarquías de la organización para, juntos, lograr un nivel de riesgo mínimo. Y justo en este punto es donde entran las políticas de seguridad, pero ese es otro tema.
Algunas tecnologías (o frameworks) y protocolos para la administración de riesgos son:
- Cramm
- Ebios
- ISAMM
- ISF Methods
- ISO/IEC 13335-2
- ISO/IEC 17799
- ISO/IEC 27001
- Magerit
- Marion
- Mehari
- MIGRA
- Octave
- RiskSafe Assessment
- SP800-3
Post made in collaboration with Cesar.
References and more info:
https://rmf.org/images/stories/rmf_documents/sp800-37-rev1-final.pdf
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
