octubre 2015

All posts from octubre 2015

  1. home
  2. blog
  3. 2015
  4. octubre

Riesgo, Amenaza y Vulnerabilidad (ISO 27001)

by Alfonso Lorenzo Pérez on 10/31/2015 No comments

 

Uno de los aspectos esenciales de un Sistema de Gestión de la Seguridad de la Información (SGSI) de acuerdo a los requisitos de ISO 27001:2005, es la evaluación de los riesgos a los que están sometidos los activos de la organización.

Para ello existen dos conceptos fundamentales: Amenaza y Vulnerabilidad, sobre los cuales me gustaría recordar lo siguiente:
• RIESGO: (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la probabilidad de un evento y sus consecuencias.
• AMENAZA: (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.
• VULNERABILIDAD: (Inglés: Vulnerability). Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.

De la lectura de la definición de vulnerabilidad, así como la mención en la propia ISO 27001:2005, cuando habla de “identificar los riesgos” (4.2.1.d) y dice “identificar las vulnerabilidades bajo las que podrían actuar dichas amenazas”, se entiende que la vulnerabilidad nunca es la consecuencia de la amenaza, sino una situación existente que pudiera ser aprovechada (explotada) por una determinada amenaza.

 En muchos de los SGSI que he tenido la oportunidad de conocer, algunos incluso con varios años de existencia y evolución, he comprobado cómo se confunde vulnerabilidad con “consecuencia”, estableciendo la siguiente errónea analogía:

ANALOGIA_ERROR.PNG
En el siguiente gráfico explico con un ejemplo la relación entre Riesgo, Amenaza y Vulnerabilidad:

 

 RiesgoAmenazaVulnerabilidad.png

 Mi resumen:

• La vulnerabilidad nunca es la consecuencia.
• La vulnerabilidad es un factor o situación que debe existir para que la amenaza se manifieste.
• La vulnerabilidad es una “debilidad”.
• Las vulnerabilidades están ligadas a las características y condiciones de los sistemas de información, así como a su entorno.
• Las vulnerabilidades pueden ser cambiantes, incluso cuando las amenazas permanezcan estáticas.
read more
Alfonso Lorenzo PérezRiesgo, Amenaza y Vulnerabilidad (ISO 27001)

UNE 71505, Gestión de evidencias electrónicas (I)

by Alfonso Lorenzo Pérez on 10/23/2015 No comments

GEE

En un  mundo en el que cada día existe un mayor número de procesos de negocio soportados por sistemas informáticos, surge la necesidad de disponer de una metodología que permita disponer de información veraz sobre las actividades realizadas, así como del resultado de las mismas.

Ya no basta con prestar un servicio u obtener un resultado deseado, sino que debemos poner a disposición de aquéllos que lo demanden, información descriptiva de las actividades realizadas. Esta información debe disponer de una serie de atributos que la hagan fiable para el receptor de la misma.

Tradicionalmente hemos dispuesto de los llamados “logs de actividades”, los cuales nos proporcionaban, cada uno de una forma particular, determinada información sobre qué había sucedido en un determinado sistema de información. El punto débil de estos logs ha sido siempre el mismo: “demostrar que no han sido alterados”, es decir, que se garantiza su cadena de custodia. Esto hace que el valor del log quede limitado al valor que el receptor del mismo le quiera otorgar, existiendo siempre una cierta “duda razonable” sobre que dicho log sea un fiel reflejo del hecho que trata de describir o probar.

Con el fin de establecer un método para la gestión de este tipo de logs, que a partir de ahora denominaremos  “evidencias electrónicas”, nace la norma UNE 71505, cuyos principales objetivos son:

  • Definir y describir los conceptos de seguridad de la información relacionados con las evidencias electrónicas.
  • Identificar las relaciones entre el Sistema de Gestión de Evidencias Electrónicas (SGEE) y el Sistema de Gestión de la Seguridad de la Información (SGSI).
  • Especificar los controles de seguridad aplicables a la gestión de evidencias electrónicas.
  • Describir los formatos de intercambio de las evidencias electrónicas y los mecanismos técnicos aplicables, para el mantenimiento de su confiabilidad.

La confiabilidad de las evidencias electrónicas e fundamenta en el cumplimiento de la siguiente triple pareja de atributos:

  • Autenticación e integridad.
  • Disponibilidad y completitud.
  • Cumplimiento y gestión.

La norma UNE 71505 establece los requisitos para la gestión de las evidencias electrónicas a lo largo de todo su ciclo de vida, incluyendo, por lo tanto las actividades relacionadas con las siguientes fases de dicho ciclo de vida:

  • Generación
  • Almacenamiento
  • Transmisión
  • Recuperación (extracción y exportación)
  • Tratamiento (consolidación, agregación, correlación)
  • Comunicación de las evidencias electrónicas.
read more
Alfonso Lorenzo PérezUNE 71505, Gestión de evidencias electrónicas (I)

Recent Posts

Comentarios recientes

    Archives

    Categorías

    Meta

    Contacto

    Aviso legal

    Política de privacidad