Professional Documents
Culture Documents
1. Introduccin
MAGERIT, es otra metodologa, pero para el anlisis y la gestin de riesgos de la se
guridad de los
sistemas de informacin. Por tanto, para el establecimiento de lapoltica de segurida
d, es necesario
utilizar previamente MAGERIT y luego, para elaborar
el documento formal de seguridad que
recoge los requisitos de proteccin, es recomendable el estndar ISO 17799, o su
norma espejo UNEISO/IEC 177991.
Chinchon es una herramienta para analizar cuantitativamente el riesgo de un
sistema (de informacin). La herramienta sigue el modelo Magerit.
2. Componentes del modelo
2.1. Activos
Los activos se organizan en grupos, simplemente a efectos de clasificacin.
Los activos pueden adscribirse a conjuntos lo que simplifica posteriormente la labor
de adjudicacin de amenazas.
Unos activos pueden depender de otros.
Los activos pueden ser objeto de amenazas que alteran su estado de seguridad.
Atributos
atributo requerido?
Descripcin
nombre
Req
Descripcin textual.
cod
Req
Cdigo de referencia.
Debe ser nico.
Opc
Opc
Eval
valor
Cnj
DA
RI
RE
Rm
Eval
Eval
Eval
2.2. Amenazas
Son los eventos que pueden desencadenar un incidente en la organizacin,
produciendo daos materiales o prdidas inmateriales en sus activos.
Las amenazas se organizan en grupos, simplemente a efectos de clasificacin.
Las amenazas pueden adscribirse a conjuntos lo que simplifica posteriormente la
labor de adjudicacin a activos..
Los activos pueden ser objeto de amenazas que alteran su estado de seguridad.
Las funciones de salvaguarda se implantan para mitigar el efecto potencial de las
amenazas.
Atributos
atributo requerido?
Descripcin
nombre
Req
Descripcin textual.
Cod
Req
Cdigo de referencia.
Debe ser nico.
Cnj
Opc
Opc
Vulnerabilidad tpica.
Si no se indica, se usa el valor por defecto del grupo al que
pertenece.
DVE
DIE
DVm
DIm
Opc
Degradacin tpica.
Si no se indica, se usa el valor por defecto del grupo al que
pertenece.
Se aplicar a todos los pares activo-amenaza, salvo que se
indique lo contrario.
Este atributo no tiene ms objetivo que simplificar la
especificacin.
Eval
Disminucin efectiva de la
vulnerabilidad. Estimacin porcentual del efecto (reductor)
de las funciones de salvaguarda existentes.
Eval
Eval
Disminucin mxima de la
vulnerabilidad. Estimacin porcentual del efecto (reductor)
de las funciones de salvaguarda existentes, si todas
funcionaran al 100%
Eval
Formato
<amenaza
cod="xxx"
cnj="c,..." [opcional]
v="nn%"
[opcional]
d="nn%"
[opcional]
>
nombre
</amenaza>
2.3. Funciones de salvaguarda
Acciones para reducir un riesgo; pueden ser de tipo actuacin u omisin.
Las funciones se organizan en grupos, simplemente a efectos de clasificacin.
Descripcin
Nombre
req
Descripcin textual.
Cod
req
Cdigo de referencia.
Debe ser nico.
opc
opc
opc
Coste
Anual
Formato
<funcion
cod="xxx"
coste="nnn"
e= "x%"
>
nombre
</funcion>
[opcional]
[opcional: "100%"]
Descripcin
Nombre
Req
Descripcin textual.
Cdigo
Req
Cdigo de referencia.
Debe ser nico.
Opc
Opc
Opc
Coste
Anual
GI
Formato
<mecanismo
cod="xxx"
coste="nnn"
grado="x%"
[opcional]
[opcional: "100%"]
>
nombre
</mecanismo>
3. Formato de entrada de datos
<proyecto cod="xxx">
<nombre>nombre del proyecto</nombre>
<propietario>Autor</propietario>
<filiacion>
Adscripcin del autor
</filiacion>
<fecha>fecha</fecha>
<descripcion>
Descripcin del proyecto
</descripcion>
<parametros>
...
</parametros>
<activos cod="GA">
nombre del grupo
<activo cod="xxx" valor="nnn">
nombre del activo
<dependede act="cod" grado="nn%" />
</activo>
</activos>
<amenazas cod="xxx">
nombre del grupo
<amenaza cod="xxx" tipo="TIPO">
nombre de la amenaza
</amenaza>
</amenazas>
<funciones cod="xxx">
nombre del grupo
<funcion cod="cod" tipo="TIPO">
nombre de la funcin
</funcion>
</funciones>
<mecanismos cod="xxx">
<mecanismo cod="xxx" coste="nnn" grado="nn%">
nombre del mecanismo
</mecanismo>
</mecanismos>
<activo-amenaza>
<aa act="cod" amz="cod" v="nn%" d="nn%"/>
...
</activo-amenaza>
<amenaza-funcion>
<af amz="cod" fun="cod" dv="nn%" di= "nn%" />
...
</amenaza-funcion>
<funcion-mecanismo>
<fm fun="cod" mec="cod" grado="nn%" />
...
</funcion-mecanismo>
</proyecto>
4. Relaciones entre componentes
5. Utilizacin
Para su preparacin slo se requiere un editor (por ejemplo el NodePad o Bloc de
Notas).Para utilizar chinchon se requiere un runtime de Java2. (tome una versin
1.3.1 o superior)
El directorio CHINCHON contiene varios elementos
CHINCHON/help
CHINCHON/exs
CHINCHON/chinchon.jar
Documentacin
Ejemplos
Ejecutable
Chinchon utiliza XML para especificar el sistema cuyos riesgos deseamos analizar.
XML es un formato que se puede producir con cualquier procesador de textos (por
ejemplo el NodePad o Bloc de Notas) y puede ser presentado directamente por el
Internet Explorer de Microsoft un visor excelente de ficheros xml.
De momento chinchon no incluye ninguna facilidad para generar los modelos en
formato XML, pero el usuario encontrar fcilmente programas que lo facilitan, tanto
de pago como gratuitos.
5.2. Resultados
La salida del anlisis consiste en
Ejemplos
Los ejemplos estn en el directorio exs y pueden ejecutarse:
cd CHINCHON/exs
java -classpath DIR/chinchon.jar chinchon.Analisis ejemplo1.xml
El resultado del anlisis se encuentra en
CHINCHON/exs/ejemplo1/analisis.htm
6. Herramientas
Esta distribucin contiene bsicamente dos herramientas.
Anlisis
Ris2k
Anlisis
Tiene como objeto realizar el anlisis de los riesgos a partir de una especificacin.
java chinchon.Anlisis [opciones] MODELO.xml
Para ver las opciones:
java chinchon.Analisis -help
Ris2k
help
Se han identificado tambin los siguientes softwares que cumplen con las
caractersticas generales y de seguridad:
RISK2K Pilar Chinchn
Resultado: Estos programas permiten implementar los conceptos y procesos
propuestos por la metodologa MAGERIT para el anlisis y gestin de riesgos. Los
objetivos bsicos del MAGERIT son estudiar los riesgos y recomendar
contramedidas, esto se consigue cargando la base de datos informacin como:
Grupos de activos, Amenazas, Grupos de amenazas, Tipos de amenazas,
Funciones de salvaguarda, Tipos de funciones de salvaguarda, Mecanismos de
Salvaguarda. La metodologa MAGERIT est compuesta por: Gua de
Aproximacin, Gua de Procedimientos, Gua Tcnica, Gua para desarrolladores de
aplicaciones, Gua para responsables del dominio protegible, Referencia de normas
legales y Tcnicas.
Enterprise Risk Assessor (ERA)
Resultado: Es una versin mejorada del Pro Audit Advisor que adems de los
procesos de auditora, permite la gestin y control del riesgo, proporciona: Un
sistema consistente de gestin de riesgos; Identificacin especfica de riesgos para
la estrategia y contexto organizacional; Gestin para los planes de accin, y
monitoreo mediante una base de datos; Asimismo, permite la evaluacin de
riesgos, controles y amenazas semicuantitativas, a travs de anlisis de
consecuencias; Grficos de anlisis; Reportes de alta calidad alineados a los
requerimientos individuales de los negocios.
Risk Assesment Program RAP
Resultado: RAP es un programa de anlisis de riesgos y contramedidas basndose
en la tcnica de Tablas en la que se identifican riesgos y se determina la
probabilidad, impacto y en funcin a estos dos ltimos se calcula el Nivel de Riesgo
Asociado. Las contramedidas se asignan de acuerdo al mayor Nivel de Riesgo que
presenten los Activos de Informacin de la organizacin.