El análisis de riesgos consiste en el estudio de las posibles amenazas así como los daños que estos puedan producir en los activos de la organización.
Para la evaluación de riesgos se utilizará la metodología Magerit por ser la más extendida en la Administración. Para facilitar su realización se utilizará la herramienta MicroPilar del CCN-CERT que que se adaptada al ENS.
Los pasos a seguir serán determinar:
- los activos relevantes para la organización: servicios, información, etc
- amenazas: causa potencial de un incidente que puede causar daños
- vulnerabilidad: defecto o debilidad que habilita o facilita la materialización de una amenaza
- impacto: consecuencia que sobre un activo tiene la materialización de una amenaza
- riesgo: estimación del grado de exposición a que una amenaza se materialice
Los activos se clasifican en:
- Esenciales:
- servicios
- información
- Subordinados:
- datos que materializan la información
- servicios auxiliares que se necesitan para poder organizar el sistema
- aplicaciones informáticas (software) que permiten manejar los datos
- equipos informáticos (hardware) que permiten hospedar datos, aplicaciones y servicios
- soportes de información que son dispositivos de almacenamiento de datos
- equipamiento auxiliar que complementa el material informático
- redes de comunicaciones que permiten intercambiar datos
- instalaciones que acogen equipos informáticos y de comunicaciones
- personas que explota u operan todos los elementos anteriores
| Activo | Amenaza | Vulnerabilidad | Impacto | Riesgo | Dimensión |
|---|---|---|---|---|---|
| Subsistema A | Que los organismos no cumplan la obligación | Baja | Alto | Medio | D |
| Problemas de sincronización | Baja | Medio | Medio | ACID | |
| Código dañino en los datos | Baja | Medio | Medio | CID | |
| Subsistema B | Suplantación de identidad del usuario | Baja | Medio | Medio | ACI |
| Ataques externos | Media | Medio | Medio | D | |
| Corrupción de datos | Baja | Bajo | Medio | AI | |
| Información | Manipulación o perdida de datos | Media | Medio | Medio | IDT |
| Destrucción de la información | Media | Alto | Medio | D | |
| Comunicaciones y Hardware | Desastres naturales | Baja | Alto | Medio | IDT |
| Caídas de las redes | Media | Bajo | Medio | D | |
| Interceptación de información | Media | Medio | Bajo | C | |
| Sistemas externos | Interrupción de los servicios | Media | Alto | Alto | D |
Ejemplos de amenazas
- Desastres naturales
- Fuego
- Daños por agua
- Desastres naturales
- De origen industrial
- Fuego
- Daños por agua
- Desastres industriales
- Contaminación mecánica
- Contaminación electromagnética
- Avería de origen físico o lógico
- Corte del suministro eléctrico
- Condiciones inadecuadas de temperatura o humedad
- Fallo de servicios de comunicaciones
- Interrupción de otros servicios y suministros esenciales
- Degradación de los soportes de almacenamiento de la información
- Emanaciones electromagnéticas
- Errores y fallos no intencionados
- Errores de los usuarios
- Errores del administrador
- Errores de monitorización (log)
- Errores de configuración
- Deficiencias en la organización
- Difusión de software dañino
- Errores de [re-]encaminamiento
- Errores de secuencia
- Escapes de información
- Alteración accidental de la información
- Destrucción de información
- Fugas de información
- Vulnerabilidades de los programas (software)
- Errores de mantenimiento / actualización de programas (software)
- Errores de mantenimiento / actualización de equipos (hardware)
- Caída del sistema por agotamiento de recursos
- Pérdida de equipos
- Indisponibilidad del personal
- Ataques intencionados
- Manipulación de los registros de actividad (log)
- Manipulación de la configuración
- Suplantación de la identidad del usuario
- Abuso de privilegios de acceso
- Uso no previsto
- Difusión de software dañino
- [Re-]encaminamiento de mensajes
- Alteración de secuencia
- Acceso no autorizado
- Análisis de tráfico
- Repudio
- Interceptación de información (escucha)
- Modificación deliberada de la información
- Destrucción de información
- Divulgación de información
- Manipulación de programas
- Manipulación de los equipos
- Denegación de servicio
- Robo
- Ataque destructivo
- Ocupación enemiga
- Indisponibilidad del personal
- Extorsión
- Ingeniería social (picaresca)