En las anteriores entradas nos hemos referido a la seguridad en el desarrollo como parte de una actitud ante la seguridad y una serie de mecanismos a implementar en la metodología que predisponen a la adopción de un modelo seguro. No en vano cada uno de los puntos llevaba su correspondiente carga de seguridad asociada. Muchos de estos mecanismos pueden haber sido adoptados por el equipo de desarrollo, pero cabe plantear en primer lugar si se ha seguido una metodología organizada que permita asegurarse de la correcta implantación de todos ellos sin dejar ninguno en el tintero y en segundo lugar cual es la importancia de una buena seguridad en el desarrollo que ocupa al equipo en cada momento.
La importancia de la seguridad se puede ver en el momento de conocer los riesgos que acechan al proyecto. Una buena gestión de riesgos no solamente será capaz de señalar donde pueden surgir los principales problemas de seguridad, sino que además permitirá adecuar los esfuerzos del equipo y las medidas a adoptar en materia de seguridad. Así pues, éste es el momento de calcular y gestionar los riesgos.
En primer lugar, para familiarizarnos con los conceptos que manejaremos en la gestión de riesgos, me gustaría dejar claras unas pocas definiciones y así hablaremos el mismo idioma:
Riesgo: Posibilidad de sufrir pérdidas o daños.
Control: Medida tomada para detectar, prevenir o mitigar el riesgo asociado a una amenaza. Puede llamarse también contramedida o salvaguarda.
Riesgo residual: Riesgo existente después de aplicar un control que reduce el riesgo asociado a una vulnerabilidad. Es el nivel de riesgo que debe ser asumido.
Gestión del riesgo: Proceso general de toma de decisiones identificando amenazas y vulnerabilidades y sus potenciales impactos, determinando los costes de mitigar tales situaciones y decidiendo las acciones más adecuadas y efectivas en coste para controlar los riesgos.
Evaluación del riesgo: Es el proceso de analizar el entorno para identificar los riesgos (amenazas y vulnerabilidades) y las acciones mitigantes para determinar (ya sea cuantitativamente o cualitativamente) el impacto de un evento de seguridad. Puede llamarse también análisis de riesgos.
Activo: Es un recurso de información necesario para el negocio.
Vulnerabilidad: Cualquier característica de un activo que puede ser explotada para causar daño. Generalmente están documentadas dependiendo de las características del activo al que pueden afectar, pero no ocurre siempre y a veces se habla de vulnerabilidades no documentadas o “Zero Day”.
Ataque: Intento de realizar actividades no permitidas o no deseadas mediante la explotación de una vulnerabilidad.
Amenaza: Cualquier circunstancia o evento que pueda causar daño a un activo. Generalmente existen categorizaciones en los modelos de gestión de riesgos.
Impacto: Las consecuencias (daños o pérdidas) de que una amenaza explote una vulnerabilidad.
Mitigar: acciones que se llevan a cabo para reducir la posibilidad de que se produzca una amenaza.
Evaluación cualitativa de riesgos: Proceso de determinar el impacto desde un punto de vista subjetivo. Generalmente se realiza con el criterio de expertos.
Evaluación cuantitativa de riesgos: Proceso de determinar de manera objetiva el impacto de un evento. Generalmente se utilizan medidas, métricas y modelos. Además, hay una serie de conceptos asociados a este tipo de evaluación, algunos de los más relevantes muestro a continuación (Generalmente se usan los conceptos en inglés):
– Single Loss Expectancy (SLE): Previsión unitaria de pérdidas. Es la pérdida monetaria o impacto derivado de la realización de una amenaza.
– Exposure Factor (EF): Factor de exposición. Medida de la magnitud de la pérdida de un activo. Se usa como en el cálculo de la SLE.
– Annualized Rate of Occurrence (ARO): Frecuencia esperada de ocurrencia de un evento expresada de manera anual.
– Annualized Loss Expectancy (ALE): Coste esperado de un evento de seguridad expresado de manera anual.
Todos estos conceptos no deben entenderse como aislados. Es necesario entender que el contexto de riesgo es también importante y que los riesgos de un activo influyen y son influidos por los riesgos de los activos del contexto.
Una vez entendidos los riesgos, debemos entender que existen controles, y que estos controles entendidos como las medidas a tomar para detectar, prevenir o mitigar los riesgos asociados con las amenazas a las que está expuesto un sistema, se dividen en cuatro grupos:
Controles Preventivos
Controles Detectivos
Controles Correctivos
Controles Compensatorios
También hay que tener en cuenta que la aplicación de estos tipos de controles puede ser de tres tipos:
Administrativos
Físicos
Técnicos
Una vez asumidos estos conceptos de riesgo y control podemos ponernos manos a la obra para encontrar amenazas, riesgos vulnerabilidades, conocer cómo influyen en el ciclo de desarrollo y actuar para establecer los controles adecuados. Será en el próximo post.
Firma: M4ky4 01001010 01001011
Tu centro de expertise en España sobre Quality Engineering y Testing 
Reblogueó esto en Guido Miranda Mercado.
Me gustaMe gusta