La metodología que sugiere (ISC)² que se basa en los 6 pasos generales (no restrictivos) listados con anterioridad.

Entender el objetivo y alcance del análisis

El alcance

Entender el objetivo y el alcance del análisis ayuda al profesional de la seguridad a discernir entre qué activos incluir en su estudio y qué no. Hacer un análisis de riesgos del departamento de contabilidad incluirá todos los activos que se manejen: equipos de cómputo, sistemas de información, recursos humanos utilizados, información obtenida y generada, etc. Y excluirá activos propios de otras áreas como los del departamento de logística (que comúnmente tiene que ver con recepción y reparto de mercancía).

Estimar y asignar valores a los activos que son protegidos

El valor

La identificación del activo no es suficiente. Sin la asociación de un valor el estudio realizado no podrá mostrar a los dueños el impacto y valor de lo que poseen ni se podrá tener el criterio para poder sugerir contra medidas que tengan un máximo costo y un mínimo beneficio establecido. La estimación del valor es una tarea en la cual el responsable máximo es el dueño; sin embargo es requerido un apoyo y cierta responsabilidad compartida. El profesional de la seguridad deberá proporcionar todas las guías y conocimientos para llevar esta tarea correctamente. Sin embargo, aunque este valor no es una verdad absoluta si es un valor relativo desde el punto de vista del dueño. Los factores que pueden ayudar podrán ser: trabajo tomado para producir el activo, costos de mantenimiento, consecuencias cuantitativas por falta de disponibilidad, perdidas potenciales o beneficios de terceros. El valor identificado es la llave para apoyar las decisiones de seguridad.

Para identificar este número puede identificarse por la fórmula Va = ∑ Vi. Donde el valor del activo es la suma del costo de su adquisición o desarrollo, costo de mantenimiento o protección, valor para dueños y adversarios, precio en el mercado, deuda producida si el activo es comprometido, pérdidas operacionales y de productividad y costo de reemplazo. El valor es determinado por la importancia que este tiene para a los dueños, usuarios autorizados y no autorizados.

El valor de un activo debe reflejar todos los costos identificables que se puedan cuantificar. Por ejemplo, si un servidor cuesta 30 ,000 pesos, este valor no debe ser asignado únicamente como el valor. Si el servidor está fuera de línea el costo de reemplazarlo, repararlo, la pérdida productiva y el valor de cualquier dato que pudiera corromperse necesita ser contabilizado. Entender el valor de un activo es importante para entender qué mecanismos de seguridad deben ser puestos. Siempre hay que preguntarse cuánto costaría a la compañía no proteger el activo.

Obtener el valor de cada activo dentro del alcance del análisis de riesgos es una tarea pesada. En muchas ocasiones el profesional de la seguridad que la ejecute se encontrará en situaciones difíciles frente a la impotencia de los usuarios y el mismo dueño de asignar un valor monetario; sin embargo el valor de cada activo es necesario para poder obtener un análisis costo – beneficio adecuado. La valuación de cada activo será el respaldo para justificar la implantación de las contra medidas elegidas.

Identificar cada peligro, vulnerabilidad y agente

El riesgo

Una vez obtenido los valores de los activos, la identificación de los riesgos es el siguiente paso. Para realizar esta acción es recomendable crear equipos de trabajo con miembros de diferentes áreas. La identificación de los riesgos sugiere una técnica de lluvia de ideas para identificar los riesgos. Posteriormente se podrán eliminar los riesgos que no correspondan a cada activo.

La identificación del riesgo no es sólo identificar el nombre de éste. Cada riesgo debe identificar el nivel de exposición y eventualidad. De esta forma se deberá obtener una relación activo – riesgo – exposición/eventualidad. Un activo tiene diferentes riesgos asociados y cada riesgo tiene un nivel de exposición y eventualidad.
El riesgo se puede clasificar en dos categorías: riesgo total y riesgo residual. El primero refiere directamente a su existencia antes de implantar las contra medidas seleccionadas. Bajo la premisa de que ningún activo está 100% fuera de riesgo, la diferencia de este antes y después del despliegue de controles se le llama riesgo residual.

La clasificación

Una forma útil para que la dirección pueda tomar una decisión es clasificar los activos. Por ejemplo, se pueden clasificar los activos en una matriz de dos dimensiones en donde se clasifiquen costo e importancia en el negocio. Esta segmentación ayuda significativamente a la toma de decisión y a crear perfiles de seguridad de acuerdo a las características seleccionadas. El principal objetivo de esta acción es indicar los niveles de confidencialidad, integridad y disponibilidad requeridos por cada clase identificada.

Al final de la clasificación cada activo deberá tener las siguientes etiquetas:

• Utilidad,
• Valor,
• Antigüedad,
• Nivel de daño que puede ser causado si el activo es publicado,
• Nivel de daño que puede ser causado si el activo es modificado o corrupto,
• Leyes, regulaciones, obligaciones y responsbilidades sobre la protección del activo,
• Efectos a la seguridad nacional,
• ¿Quién debe acceder al activo?,
• ¿Dónde debe ser resguardado el activo?,
• ¿Quién debe poder realizar copias del activo?,
• Si el activo requiere etiquetas especiales.

La clasificación no es una tarea fácil pero debe ser ejecutada. La ejecución de los procedimientos necesarios son una responsabilidad compartida, sin embargo, existen tareas que sólo el dueño del activo será capaz de ofrecer. Estas tareas son:

• Identificar al custodio,
• Desarrollar la clasificación de sus activos,
• Clasificar los controles,
• Documentar excepciones a las clasificaciones,
• Especificar cómo debe transferirse la custodia,
• Especificar los procedimientos de destrucción o anulación del activo,
• Identificar el público usuario al que se le debe realizar una inducción necesaria.

Actualmente existen diferentes tipo de clasificaciones13: comercial, militar y gubernamental. Estas son:

• Comercial
  • Confidencialidad
  • Privada
  • Sensible
  • Para uso interno
  • Pública
• Militar
  • Alto secreto
  • Secreto
  • Confidencial
  • Sensible clasificada
  • Sin clasificar
• Gubernamental
  • Para uso interno
  • Confidencialidad
  • Privada
  • Sensible
  • Pública

Los negocios comerciales privados tienen diferentes objetivos que una organización militar. Los primeros usualmente no están preocupados por guardar secretos al contrario que los segundos. Por lo tanto sus clasificaciones son distintas.

Depende de la organización de la compañía determinar qué tipo de clasificación requiere de acuerdo a sus objetivos. Es responsabilidad del profesional de seguridad definir las características de cada clasificación que se definan.

Estimar la pérdida potencial de cada riesgo

Análisis cualitativo

Existen dos formas de analizar el riesgo: cualitativo y cuantitativo. El análisis cualitativo no implica valores monetarios pero utiliza otro tipo de medidas que son fáciles de calificar. Por ejemplo, la asignación de importancia de un activo utilizando una escala: prescindible, no útil, útil o imprescindible. Este tipo de análisis es altamente útil en situaciones en donde el paso de una clase a otra no está bien definido.

Para desarrollar un análisis cualitativo se sugieren los siguientes pasos:

1. Desarrollo de escenarios de riesgo,
2. Obtención de opiniones de expertos reconocidos por la compañía,
3. Trabajo del escenario para determinar consecuencias,
4. Asignación de prioridades a riesgos y peligros sobre los activos,
5. Construcción por consenso de las mejores contra medidas.

Estas acciones arrojarán tablas no cuantitativas que ayudarán a la toma de decisiones. La siguiente ilustración demuestra cómo se puede hacer un levantamiento de riesgo cualitativo.

Otras metodologías de análisis de riesgo alternas son OCTAVE y CORAS.

Estimar la probabilidad y frecuencia de que cada riesgo pudiera materializarse

Análisis cuantitativo

El análisis cuantitativo, como su nombre lo dicta, está involucrado directamente con números (pérdidas monetarias, probabilidades estadísticas, valores) y es muy útil para cuestiones objetivas. El cálculo más común de este tipo es la Pérdida Anual Esperada (ALE por sus siglas en inglés: Annualized Loss Expectancy). El ALE es una medida de las pérdidas monetarias que una compañía puede esperar antes y después de implantar sus controles. Para lograr medirlo se requiere de la siguientes fórmulas:

SLE=V_a ×EF
ALE=SLE× ARO

Donde:

• Va es el valor del activo, V_a ∈ℝ
• EF es el factor de exposición, EF ∈ℝ∧EF ∈[0,1]
• SLE es la pérdida esperada cada vez que el riesgo este materializado, SLE∈[0,V a ]
• ARO es la probabilidad de ocurrencia anual, ARO∈ℝ∧ ARO∈[ 0,1]
• ALE es la pérdida anual del activo en un año, ALE∈[ 0,V ]

Por ejemplo, una instalación debido a su arquitectura puede sufrir un daño del 50% en caso de inundación. De acuerdo al departamento meteorológico, existe una probabilidad del 10% que una inundación suceda. Si el activo está valuado en 500,000 pesos entonces el cálculo de la pérdida anual se hará de la siguiente forma:

$ 500,000×0.50=$ 250,000
$ 250,000×0.10=$ 25,000

Por lo tanto la compañía poseedora de este inmueble espera 25,000 pesos de pérdida anual por inundaciones. Esto traducido a negocios sugiere que se se podrá invertir como máximo está cantidad en contra medidas para inundaciones.

Otras metodologías de análisis de riesgo cuantitativo son ISRAM, Cost-Of-Risk Analysis CORA e IS Risk Analysis on BM.

Posteriormente, se deberá analizar los resultados y los riesgos identificados en los dos tipos de análisis. Hay que recordar que la interacción con el riesgo es continua. Después de identificarlo seguirá el análisis de riesgo sin embargo, una vez terminado se deberá tomar decisiones sobre qué hacer con el riesgo; esto permitirá seleccionar las mejores contra medidas.

Existen cuatro tipo de decisiones sobre qué hacer con el riesgo: transferencia, negación, reducción o mitigatorio y aceptación.

• La transferencia del riesgo consiste básicamente en delegar la responsabilidad. En una compañía donde existe alto riesgo de activos físicos es probable que opte por contratar la seguridad física en lugar de hacer un despliegue de recursos para controlar la entrada y salida. Cuando el costo de la tercerización es menor que la implantación interna y el ALE del riesgo es muy alto es una buena idea transferirlo.
• La negación del riesgo implica ignorarlo y por lo tanto presentar negligencia. Esta opción no es recomendable.
• La reducción del riesgo significa que la empresa realizará las acciones necesarias para reducir la probabilidad de ocurrencia o el nivel de exposición. Esta decisión es buena cuando el ALE del riesgo asociado es alto y las contra medidas tiene un precio inferior.
• La aceptación del riesgo implica no hacer nada, sin embargo tiene diferencia de la negación en que la compañía genera toda la documentación que indica el conocimiento de las consecuencias y la disposición de asumir la responsabilidad. Cuando el ALE es mínimo (tiene un nivel aceptable) y el costo de los controles es superior ya sea al costo de transferirlo o de reducirlo es una buena opción aceptarlo.

La decisión sobre qué acción tomar en los riesgos corresponde a la dirección o dueños del negocio. El profesional de la seguridad debe dar conciencia a la dirección de que la eliminación de riesgo a un valor cercano a cero es prácticamente imposible y que no invertir para la reducción del riesgo puede ser contraproducente.

La siguiente gráfica explica esta relación.

Sugerir contramedidas y remedios que sean candidatos a ser implantados para mitigar los riesgos encontrados

Contramedidas

En base a la información obtenida por los dos tipos de análisis, el profesional de la seguridad deberá evaluar todo un universo de contra medidas que pudieran ser aplicables al ambiente actual. No todos los controles son buenos para todas las organizaciones; mientras en organizaciones de menos de 10 empleados un firewall con capacidades de NAT será suficiente, un corporativo multinacional exigirá alta disponibilidad y ser operativamente compatible con tecnologías ya existentes.

El análisis cualitativo ayuda a identificar qué riesgos son de mayor importancia y sobre todo las consecuencias. Con esto damos prioridad. Por otra parte el análisis cuantitativo ofrece una visión de los daños económicos que pudieran ser causados y ofrece un parámetro de cuántos recursos podrían ser asignados para mitigar del riesgo identificado.

Para poder elegir el control idóneo se deben comparar los diferentes candidatos en cuanto a las siguientes características:

• Contabilidad
• Diseño de la arquitectura
• Capacidad de ser auditado
• Reputación del fabricante

La administración de un control debe tener identificado un responsable quien debe vigilar el buen desempeño del control. Esto implica la identificación de algún tipo de métrica para poder deducir el funcionamiento correcto.

La arquitectura del control idóneo debe mantener independencia; el control no debe necesitar algún tipo de insumo vital para su funcionamiento de elementos productivos. Los controles deben ser afinados en sus umbrales de tolerancia y seguir la regla: entre más automático, más eficiente.