CHINCHON - Anlisis del Riesgo

1. Introduccin
MAGERIT, es otra metodologa, pero para el anlisis y la gestin de riesgos de la se
guridad de los
sistemas de informacin. Por tanto, para el establecimiento de lapoltica de segurida
d, es necesario
utilizar previamente MAGERIT y luego, para elaborar
el documento formal de seguridad que
recoge los requisitos de proteccin, es recomendable el estndar ISO 17799, o su
norma espejo UNEISO/IEC 177991.
Chinchon es una herramienta para analizar cuantitativamente el riesgo de un
sistema (de informacin). La herramienta sigue el modelo Magerit.
2. Componentes del modelo
2.1. Activos
Los activos se organizan en grupos, simplemente a efectos de clasificacin.
Los activos pueden adscribirse a conjuntos lo que simplifica posteriormente la labor
de adjudicacin de amenazas.
Unos activos pueden depender de otros.
Los activos pueden ser objeto de amenazas que alteran su estado de seguridad.
Atributos
atributo requerido?

Descripcin

nombre

Req

Descripcin textual.

cod

Req

Cdigo de referencia.
Debe ser nico.

Opc

Cantidad numrica que refleja el valor del activo.

Si no se indica, se usa el valor por defecto del grupo al que
pertenece.

Opc

Marca de pertenencia a uno o ms conjuntos de activos. La

relacin de conjuntos de activos a los que pertenece el
presente, se separa por comas.

Eval

Dependencia acumulada. Valor acumulado que

se calcula teniendo en cuenta que sus daos repercuten en
otros activos.

valor

Cnj

DA

RI

RE

Rm

Eval

Riesgo intrnseco. Estimacin calculada para reflejar lo que

perderamos si se materializaran todas amenazas
potenciales sobre este activo, en el supuesto de que no
hubiramos dispuesto ninguna salvaguarda.

Eval

Riesgo efectivo. Estimacin calculada para reflejar lo que

perderamos si se materializaran todas amenazas
potenciales sobre este activo en el supuesto de que
funcionen las salvaguardas previstas con el grado de
implantacin previsto.

Eval

Riesgo mnimo. Estimacin calculada para reflejar lo que

perderamos si se materializaran todas amenazas
potenciales sobre este activo en el supuesto de que
funcionen todas las salvaguardas previstas al 100%.

2.2. Amenazas
Son los eventos que pueden desencadenar un incidente en la organizacin,
produciendo daos materiales o prdidas inmateriales en sus activos.
Las amenazas se organizan en grupos, simplemente a efectos de clasificacin.
Las amenazas pueden adscribirse a conjuntos lo que simplifica posteriormente la
labor de adjudicacin a activos..
Los activos pueden ser objeto de amenazas que alteran su estado de seguridad.
Las funciones de salvaguarda se implantan para mitigar el efecto potencial de las
amenazas.
Atributos
atributo requerido?

Descripcin

nombre

Req

Descripcin textual.

Cod

Req

Cdigo de referencia.
Debe ser nico.

Cnj

Opc

Marca de pertenencia a uno o ms conjuntos de amenazas.

La relacin de conjuntos de amenazas a los que pertenece
la presente, se separa por comas.

Opc

Vulnerabilidad tpica.
Si no se indica, se usa el valor por defecto del grupo al que
pertenece.

Se aplicar a todos los pares activo-amenaza, salvo que se

indique lo contrario.
Este atributo no tiene ms objetivo que simplificar la
especificacin.

DVE

DIE

DVm

DIm

Opc

Degradacin tpica.
Si no se indica, se usa el valor por defecto del grupo al que
pertenece.
Se aplicar a todos los pares activo-amenaza, salvo que se
indique lo contrario.
Este atributo no tiene ms objetivo que simplificar la
especificacin.

Eval

Disminucin efectiva de la
vulnerabilidad. Estimacin porcentual del efecto (reductor)
de las funciones de salvaguarda existentes.

Eval

Disminucin efectiva del impacto. Estimacin porcentual

del efecto (reductor) de las funciones de salvaguarda
existentes.

Eval

Disminucin mxima de la
vulnerabilidad. Estimacin porcentual del efecto (reductor)
de las funciones de salvaguarda existentes, si todas
funcionaran al 100%

Eval

Disminucin mxima del impacto. Estimacin porcentual

del efecto (reductor) de las funciones de salvaguarda
existentes, si todas funcionaran al 100%

Formato
<amenaza
cod="xxx"
cnj="c,..." [opcional]
v="nn%"
[opcional]
d="nn%"
[opcional]
>
nombre
</amenaza>
2.3. Funciones de salvaguarda
Acciones para reducir un riesgo; pueden ser de tipo actuacin u omisin.
Las funciones se organizan en grupos, simplemente a efectos de clasificacin.

Las funciones de salvaguarda se implantan para mitigar el efecto potencial de

las amenazas.
Las funciones se materializan en mecanismos de salvaguarda.
Una funcin preventiva (PR) se ejerce como accin sobre la vulnerabilidad,
previniendo su ocurrencia.
Una funcin curativa (CU) acta sobre el impacto, reduciendo el efecto de la
agresin.
Una funcin preventiva/curativa (PC) previene la ocurrencia y reduce el impacto.
Atributos
Atributo requerido?

Descripcin

Nombre

req

Descripcin textual.

Cod

req

Cdigo de referencia.
Debe ser nico.

opc

Cantidad numrica que refleja el coste de instalacin inicial.

Si no se indica, se calcula en funcin del coste de los
mecanismos que la provisionan.
Si no se especifican mecanismos, se usa el valor por
defecto del grupo al que pertenece.
El coste indicado se refiere a la inversin realizada.

opc

Cantidad numrica que refleja el coste anual de operacin y

mantenimiento.
El dato se trata como fraccin o porcentaje del coste inicial.
Si no se indica, se calcula en funcin del coste anual de los
mecanismos que la provisionan.
Si no se especifican mecanismos, se usa el valor por
defecto del grupo al que pertenece.

opc

Efectividad de la salvaguarda: porcentaje que indica en

qu medida la funcin se considera efectiva.
Si no se indica, se calcula en funcin de los mecanismos
que la provisionan.
Si no se especifican mecanismos, se usa el valor por
defecto del grupo al que pertenece.

Coste

Anual

Formato
<funcion
cod="xxx"

coste="nnn"
e= "x%"
>
nombre
</funcion>

[opcional]
[opcional: "100%"]

2.4. Mecanismos de salvaguarda

Procedimientos o dispositivos, fsicos o lgicos,", que reducen el riesgo.
Los mecanismos se organizan en grupos, simplemente a efectos de clasificacin.
Los mecanismos provisionan funciones de salvaguarda en cierta medida.
Atributos
Atributo requerido?

Descripcin

Nombre

Req

Descripcin textual.

Cdigo

Req

Cdigo de referencia.
Debe ser nico.

Opc

Cantidad numrica que refleja el coste de instalacin,

operacin y mantenimiento.
Si no se indica, se usa el valor por defecto del grupo al que
pertenece.
El coste indicado se refiere al coste de la inversin
realizada..

Opc

Cantidad numrica que refleja el coste anual de operacin y

mantenimiento.
El dato se trata como fraccin o porcentaje del coste inicial.
Si no se indica, se usa el valor por defecto del grupo al que
pertenece.

Opc

Grado de implantacin: porcentaje que indica en qu

medida el mecanismo est implantado o se considera
efectivo.
Si no se indica, se usa el valor por defecto del grupo al que
pertenece.

Coste

Anual

GI

Formato
<mecanismo
cod="xxx"
coste="nnn"
grado="x%"

[opcional]
[opcional: "100%"]

>
nombre
</mecanismo>
3. Formato de entrada de datos
<proyecto cod="xxx">
<nombre>nombre del proyecto</nombre>
<propietario>Autor</propietario>
<filiacion>
Adscripcin del autor
</filiacion>
<fecha>fecha</fecha>
<descripcion>
Descripcin del proyecto
</descripcion>
<parametros>
...
</parametros>
<activos cod="GA">
nombre del grupo
<activo cod="xxx" valor="nnn">
nombre del activo
<dependede act="cod" grado="nn%" />
</activo>
</activos>
<amenazas cod="xxx">
nombre del grupo
<amenaza cod="xxx" tipo="TIPO">
nombre de la amenaza
</amenaza>
</amenazas>
<funciones cod="xxx">
nombre del grupo
<funcion cod="cod" tipo="TIPO">
nombre de la funcin
</funcion>
</funciones>
<mecanismos cod="xxx">
<mecanismo cod="xxx" coste="nnn" grado="nn%">
nombre del mecanismo
</mecanismo>
</mecanismos>
<activo-amenaza>
<aa act="cod" amz="cod" v="nn%" d="nn%"/>

...
</activo-amenaza>
<amenaza-funcion>
<af amz="cod" fun="cod" dv="nn%" di= "nn%" />
...
</amenaza-funcion>
<funcion-mecanismo>
<fm fun="cod" mec="cod" grado="nn%" />
...
</funcion-mecanismo>
</proyecto>
4. Relaciones entre componentes

Dependencia entre activos

Efecto de las amenazas sobre los activos

Mitigacin de las amenazas gracias a las funciones de salvaguarda

Provisin de las funciones por medio de mecanismos de salvaguarda

5. Utilizacin
Para su preparacin slo se requiere un editor (por ejemplo el NodePad o Bloc de
Notas).Para utilizar chinchon se requiere un runtime de Java2. (tome una versin
1.3.1 o superior)
El directorio CHINCHON contiene varios elementos
CHINCHON/help
CHINCHON/exs
CHINCHON/chinchon.jar

Documentacin
Ejemplos
Ejecutable

El ltimo elemento contiene en ejecutable y debe referenciarse como parte del

CLASSPATH en ejecucin. O bien lo incorpora a la variable de entorno
CLASSPATH, o se indica como parmetro en cada ejecucin. En lo que sigue
utilizaremos el segundo procedimiento proporcionado por sencillez, aunque para un
uso intensivo ser ms conveniente pasarlo al entorno.
Para realizar un anlisis, simplemente
java -classpath CHINCHON/chinchon.jar chinchon.Analisis proyecto.xml
5.1. Entrada de datos

Chinchon utiliza XML para especificar el sistema cuyos riesgos deseamos analizar.
XML es un formato que se puede producir con cualquier procesador de textos (por
ejemplo el NodePad o Bloc de Notas) y puede ser presentado directamente por el
Internet Explorer de Microsoft un visor excelente de ficheros xml.
De momento chinchon no incluye ninguna facilidad para generar los modelos en
formato XML, pero el usuario encontrar fcilmente programas que lo facilitan, tanto
de pago como gratuitos.
5.2. Resultados
La salida del anlisis consiste en

listados en HTML (visibles con cualquier navegador estndar)

proyecto/index.htm

resultados para importar en hoja de clculo

proyecto/*.txt

Ejemplos
Los ejemplos estn en el directorio exs y pueden ejecutarse:
cd CHINCHON/exs
java -classpath DIR/chinchon.jar chinchon.Analisis ejemplo1.xml
El resultado del anlisis se encuentra en
CHINCHON/exs/ejemplo1/analisis.htm
6. Herramientas
Esta distribucin contiene bsicamente dos herramientas.

Anlisis

Ris2k

Anlisis
Tiene como objeto realizar el anlisis de los riesgos a partir de una especificacin.
java chinchon.Anlisis [opciones] MODELO.xml
Para ver las opciones:
java chinchon.Analisis -help
Ris2k

Tiene como objeto intercambiar el modelo de datos:

importa datos exportados por Ris2k

exporta datos para importar en Ris2k

java chinchon.Ris2k [opciones] MODELO.xml

Para ver las opciones:
java chinchon.Ris2k

help

Se han identificado tambin los siguientes softwares que cumplen con las
caractersticas generales y de seguridad:
RISK2K Pilar Chinchn
Resultado: Estos programas permiten implementar los conceptos y procesos
propuestos por la metodologa MAGERIT para el anlisis y gestin de riesgos. Los
objetivos bsicos del MAGERIT son estudiar los riesgos y recomendar
contramedidas, esto se consigue cargando la base de datos informacin como:
Grupos de activos, Amenazas, Grupos de amenazas, Tipos de amenazas,
Funciones de salvaguarda, Tipos de funciones de salvaguarda, Mecanismos de
Salvaguarda. La metodologa MAGERIT est compuesta por: Gua de
Aproximacin, Gua de Procedimientos, Gua Tcnica, Gua para desarrolladores de
aplicaciones, Gua para responsables del dominio protegible, Referencia de normas
legales y Tcnicas.
Enterprise Risk Assessor (ERA)
Resultado: Es una versin mejorada del Pro Audit Advisor que adems de los
procesos de auditora, permite la gestin y control del riesgo, proporciona: Un
sistema consistente de gestin de riesgos; Identificacin especfica de riesgos para
la estrategia y contexto organizacional; Gestin para los planes de accin, y
monitoreo mediante una base de datos; Asimismo, permite la evaluacin de
riesgos, controles y amenazas semicuantitativas, a travs de anlisis de
consecuencias; Grficos de anlisis; Reportes de alta calidad alineados a los
requerimientos individuales de los negocios.
Risk Assesment Program RAP
Resultado: RAP es un programa de anlisis de riesgos y contramedidas basndose
en la tcnica de Tablas en la que se identifican riesgos y se determina la
probabilidad, impacto y en funcin a estos dos ltimos se calcula el Nivel de Riesgo
Asociado. Las contramedidas se asignan de acuerdo al mayor Nivel de Riesgo que
presenten los Activos de Informacin de la organizacin.