Tuesday, November 25, 2008

Medir el Riesgo.


De todas las frases de Peter Drucker, una de las que mas me gustan es "Lo que no se puede medir, no se puede gerenciar".

Y para medir el riesgo necesitamos metodos y herramientas. Ya hablamos de la metodologia de Microsoft "Microsoft Security Risk Management Process" en un post previo.

Veamos una herramienta que puede ayudarnos a ver el riesgo actual y compararlo en el tiempo con futuros analisis que realizemos.

Microsoft puso a disposicion de los usuarios MSAT ( Microsoft Security Assessment ), basada en estandares como ISO 27000, MSAT fue diseñada para identificar los riesgos de la organizacion y las medidas de seguridad adoptadas para mitigar el riesgo.


Esta programa comienza realizando una serie de preguntas sobre el negocio de la organizacion, con esto construye un BRP ( Bussines Risk Profile ), midiendo el riesgo que la compañia enfrenta dado el tipo de negocios que tiene ( por ejemplo, mas expuesto por ser una marca conocida ).

Luego de esto tenemos que contestar una serie de preguntas sobre las medidas de seguridad adoptadas actualmente. Dado que para medir la seguridad actual se trabaja sobre el concepto de DiD ( Defense in Depth ), las preguntas estaran orientadas a conocer que tipo de proteccion se tienen en diferentes capas ( firewalls, IDS,antivirus...);

Por ultimo el BRP y el DIDI son comparados poara medir la distribucion del riegos en diferentes areas de analisys (AoAs) - Infraestructuram, aplicaciones, operaciones y gente.

Ademas de esto, la herramienta ayuda a medir el grado de maduridad de la organizacion ( Como se vio en el post "Microsoft Security Risk Management Process" )

Teniendo la evaluacion por medio de un reporte, se sugieren recomendaciones para el ambiente en base a las mejores practicas del mercado.

Microsoft recomienda aplicar esta herramienta en empresas de hasta 1000 empleados y tomar el resultado como un primer paso para trabajar mas profundamente en las areas mas expuestas.

Veamos un ejemplo de una empresa imaginaria, que tiene implementadas muchas herramientas de seguridad, pero que puede mejorar en las areas de procesos.


• El PRE varia de 0 a 100, donde un valor mayor implica mas riesgo.

• El Indice DP también varia de 0 a 100. Um valor alto indica um ambiente em que fue tomado un número mayor de medidas para implantar estrategias de defensa en profundidad

Un ambiente seguro deberia ser homogeneo en ambos aspectos , tanto en el PRE como en DP.

En la pestaña de informe completo se encuentran todas las recomendaciones punto por punto, con las mejores practicas a implementar.

En el futuro segun la politica adoptada por la organizacion se puede realizar otra medicion y verificar en que se mejoro o donde es necesario enfocar el esfuerzo.


MSAT se puede obtener aqui.

No comments: