SimpleRisk: Herramienta para la Gestión de Riesgos (I)

La gestión de riesgos es uno de los aspectos más importante en los Sistemas de Gestión de Seguridad de la Información y de Continuidad de Negocio. Gracias a simplerisk podremos llevar esta titánica tarea de una forma un poco menos ardua.

Si eres seguidor de este blog, seguramente sabrás que ya hemos hablamos sobre la gestión de riesgos en ocasiones anteriores, sino, te invito a revisar aquí, aquí y aquí, donde podrás comprender en lo que consiste este complejo proceso.

Hace poco en una de las lista de correo de OWASP publicaron la información de una interesante herramienta denominada simplerisk, es una aplicación orientada a trabajar con el famoso XAMP (X sistema operativo, Apache, Mysql, PHP) que, como veremos en este articulo, no aliviará muchos dolores de cabeza. En la página de simplerisk podemos ver una introducción, de sus desarrolladores, sobre esta herramienta:

“Como profesionales de la seguridad, casi cada acción que tomamos se reduce a tomar una decisión basada en el riesgo. Vulnerabilidades de aplicaciones Web, las infecciones de malware, vulnerabilidades físicas y mucho más y todo esto se reduce a una combinación de la probabilidad de que ocurra un evento y el impacto de ese evento.

La gestión del riesgo es un concepto relativamente sencillo de entender, pero el lugar donde muchos practicantes fallan está en el conjunto de herramientas que emplean. Los profesionales de la seguridad afortunados trabajan para empresas que pueden permitirse costosas herramientas GRC para ayudarles en la gestión del riesgo, no tienen mayor problema. Pero, la mayor parte nosotros (sí, me incluyo), por lo general, tenemos la mala suerte de pasar incontables horas de gestión de riesgos a través de hojas de cálculo, Esto es engorroso, lento y simplemente una mierda (sus palabra, no las mías, aunque las comparto).

Después de iniciar un programa de gestión de riesgos a partir de cero en una compañía de $ 1B/yr , Josh Sokol se encontró con estas mismas barreras y donde el presupuesto no le dejó ir por el camino de GRC , que finalmente decidió hacer algo al respecto. Me gustaría presentarles a SimpleRisk , una herramienta sencilla y gratuita para realizar las actividades de gestión de riesgos. Basado exclusivamente en tecnologías de código abierto y luciendo un Mozilla Public License 2.0, una instancia SimpleRisk se puede colocar en cuestión de minutos y de inmediato ofrece al profesional la posibilidad de presentar riesgos, plan de mitigación, facilitar revisiones por la dirección, para dar prioridad a la planificación de proyectos de seguridad y seguimiento a las revisiones periódicas. Es altamente configurable e incluye informes dinámicos y la capacidad de modificar las fórmulas de riesgo sobre la marcha. Se encuentra en desarrollo activo con nuevas características que se añade todo el tiempo. SimpleRisk es verdaderamente una herramienta de Gestión de Riesgos Empresarial simplificada.”

Como lo dicen en su introducción, su instalación es bastante sencilla, de todas formas, en la página se cuenta con: una guía de instalación, una guía de actualización y una guía para instalación en servidores LAMP

Revisión de SimpleRisk

A continuación haremos una pequeña revisión de la herramienta, aunque aun me encuentro explorándola, al menos, podemos hablar de sus aspectos más resaltantes:

Gestión de Usuarios

Primero, está el ingreso a la herramienta, es cual es un formulario de Login bastante básico (no hay mucho que decir al respecto)

Segundo, es que SimpleRisk, permite una gestión de usuarios basada en roles, es decir, se puede definir que puede o no, hacer un determinado usuario. También podemos definir en cuales grupos de trabajo puede estar el usuario, esto significa que pudieras tener un usuario trabajando con la gestión de unos riesgos específicos, sin que tenga que acceder a otros tipos de riesgos.

Gestión de los Riesgos

En esta sección es donde se hará la mayor parte del trabajo, ya que aquí es donde valoraremos, entre otras cosas, cada uno de nuestros riesgos.

Esta sección está dividida en 5 apartes:

1. Ingresar los riesgos

   Lo primero que debemos hacer es cargar nuestros riesgo, esto lo haremos en este apartado. Utilizaremos este formulario se puede documentar un nuevo riesgo que consideraremos en el proceso de gestión de riesgos.

   

2. Planear las mitigaciones

   Un aspecto interesante de la herramienta es que puede monitorear cuales son los riesgo que ya tienen un plan de mitigación y cuáles no, lo que nos ayudará a tener un mejor control de la gestión de cada riesgo, aquellos riesgo que no tengan un plan establecido podemos crearles dicho plan. En este apartado se muestra la lista de los riesgos que requieren planes de mitigación.

   

3. Revisiones por la dirección

   Aquí podremos monitorear si el nivel decisorio de la organización revisó cada uno de los riesgos, ya que, como sabemos, los que realizamos las evaluaciones de riesgos y presentamos los planes de mitigación, no somos los que aprobamos. Se muestra la lista de los riesgos que requieren revisión por parte de la gerencia.

   

4. Dar prioridad a la planificación de proyectos

   Muchos riesgos requieren más de un paso para que puedan ser gestionados y otros son parte de aspectos más grandes (como la creación de un nuevo producto o la mudanza a una nueva localidad). En estos casos es mejor gestionar los riesgos a través de proyectos, pero sabemos que, usualmente, no contamos con los recursos para llevar todos los proyectos en paralelo. Esto es lo que podremos planificar en esta parte: primero, debemos crear el proyecto, en caso de que no exista; segundo, debemos añadir los riesgos que no están asignados a un determinado proyecto y; tercero, le damos prioridad a cada uno de los proyecto.

   

5. Revisar periódicamente los riesgos

   Aquí nos muestra una lista de todos los riesgos, ordenado por la fecha de la próxima revisión de los riesgos, es un apartado bastante útil, ya que, como sabemos, el día a día laboral nos come y se nos pasan, estas fechas.

 Por ahora nos quedaremos hasta aquí, como podemos ver, es una herramienta, que aunque aun esta en desarrollo, cuanta con bastantes virtudes y capacidades.

En una próxima entrega, revisaremos la sección de Reportes de esta simple, pero poderosa, herramienta.