Análisis de riesgos dinámicos en sistemas de información

Abstract

Actualmente, la aplicación de procesos de Análisis y Gestión de Riesgos en el ámbito de los Sistemas de Información, es una práctica común que permite la planificación en un momento puntual de tiempo de las acciones preventivas frente al riesgo a corto, medio o largo plazo, pero con un considerable potencial actualmente desaprovechado, para facilitar la toma de decisiones en tiempo real frente a eventos o incidentes de seguridad. Este trabajo hace un recorrido por las principales corrientes que buscan sacar partido a este potencial, englobadas principalmente bajo el concepto de Análisis de Riesgos Dinámico, cuyo principio es la actualización incesante de los parámetros que intervienen en el cálculo del riesgo para la optimización de su tratamiento posterior. Finalmente, se propone una extensión al modelo de datos IODEF orientada al Análisis de Riesgos Dinámico (IODEF-DRA). Este modelo tiene por objetivo facilitar una visión global del riesgo, a través de la integración en tiempo real y mediante comunicaciones basadas en él, de un amplio abanico de sistemas de seguridad con herramientas de Análisis de Riesgos (basadas en metodologías reconocidas). La utilidad de esta integración se refleja en el escenario presentado como prueba de concepto, donde se evidencian las posibles mejoras en los resultados del Análisis de Riesgos. [ABSTRACT] Nowadays Risk Management is a common practice in the Information Systems security field. It is usually supported by a Risk Assessment process done at regular intervals, instead of dynamically. In this paper different existing approaches to face Dynamic Risk Assessment and Management are recapitulated along with their pros and cons. As a result of this analysis, the IODEF extended model for Dynamic Risk Assessment (IODEF-DRA) is presented. This data model aims to facilitate a global vision of risk, by letting RA tools based on renowned methodologies, be fed in real-time with security events data from a wide range of security systems. Usefulness of this integration and the proposed data model is presented through a proof-of-concept scenario, where improvements on risk assessment outcomes are evidenced.