CASANDRA: un framework para la gestión del riesgo tecnológico

1,354 views
1,145 views

Published on

Ponencia / Lecture.

Juan Manuel Vara. Miembro del Grupo de Investigación Kybele. Profesor de la Universidad Rey Juan Carlos
Marcos López. Miembro del Grupo de Investigación Kybele. Profesor de la Universidad Rey Juan Carlos
Rafael Ortega García. Director General de Innovation 4 Security.

CIGTR Curso de Verano / Summer Course. Aranjuez, julio de 2013.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,354
On SlideShare
0
From Embeds
0
Number of Embeds
51
Actions
Shares
0
Downloads
21
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

CASANDRA: un framework para la gestión del riesgo tecnológico

  1. 1. @Aranjuez, 9 de Julio de 2013 CASANDRA: un framework para la gestión del riesgo tecnológico Juan M. Vara Marcos López Sanz Esperanza Marcos Kybele Research Group Rey Juan Carlos University Rosa Quintanar Santiago Moral IT Risk, Fraud & Security Innovation for Security, BBVA METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
  2. 2. Agenda Motivación CASANDRA Conclusiones METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS • Metodologías tradicionales • Nuevos retos • Gestión de la intencionalidad • • • • Vista general Cadena de valor Base de datos de incidentes Metodología • Hasta ahora … • … lo que nos queda CASANDRA: un framework para la gestión del riesgo tecnológico -2- @Aranjuez 09/07/2013
  3. 3. Motivación Modelos tradicionales NIST SP 800-30 MAGERIT Frecuencia Incidente f (riesgo ) Impacto Incidente METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico -3- @Aranjuez 09/07/2013
  4. 4. Motivación Modelos tradicionales  Deficiencias estructurales de los modelos tradicionales  Modelos endógenos  No están basados en mediciones empíricas  No permiten incorporar los constantes cambios Pesados, poco flexibles y en general, poco recomendables para la toma de decisiones en un mundo cada vez más globalizado METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico -4- @Aranjuez 09/07/2013
  5. 5. Motivación Contexto Actual METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico -5- @Aranjuez 09/07/2013
  6. 6. Motivación Nuevos retos: nuevos tipos de riesgo Contexto actual Cantidad y valor de los Activos Riesgo para el atacante El factor determinante es el número de vulnerabilidades El factor determinante es el valor para el atacante Valor Vulnerabilidades METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS Vulnerabilidades Valor CASANDRA: un framework para la gestión del riesgo tecnológico -6- @Aranjuez 09/07/2013
  7. 7. Motivación Nuevos retos: nuevos tipos de riesgo Contexto actual Cantidad y valor de los Activos Riesgo para el atacante El factor determinante es el valor para el atacante  Tipos de riesgo  Riesgo Accidental  Riesgo Oportunista  Riesgo Intencional METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico -7- @Aranjuez 09/07/2013
  8. 8. Motivación Nuevos retos: nuevos tipos de riesgo Contexto Actual Cantidad y valor de los Activos Riesgo para el atacante El factor determinante es el valor para el atacante  Tipos de riesgo  Riesgo Accidental  Riesgo Oportunista  Riesgo Intencional METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS  Probabilidad de que algo falle o se descomponga  Medido como disponibilidad – Datos en espejo – Respaldos … CASANDRA: un framework para la gestión del riesgo tecnológico -8- @Aranjuez 09/07/2013
  9. 9. Motivación Nuevos retos: nuevos tipos de riesgo Contexto Actual Cantidad y valor de los Activos Riesgo para el atacante El factor determinante es el valor para el atacante  Tipos de riesgo  Riesgo Accidental  Riesgo Oportunista  Riesgo Intencional METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS  Tiene un factor intencional pero es NO dirigido – Virus, worms … CASANDRA: un framework para la gestión del riesgo tecnológico -9- @Aranjuez 09/07/2013
  10. 10. Motivación Nuevos retos: nuevos tipos de riesgo Contexto Actual Cantidad y valor de los Activos Riesgo para el atacante El factor determinante es el valor para el atacante  Tipos de riesgo  Riesgo Accidental  Riesgo Oportunista  Riesgo Intencional METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS  Ataque dirigido CASANDRA: un framework para la gestión del riesgo tecnológico - 10 - @Aranjuez 09/07/2013
  11. 11. Motivación Gestión de la intencionalidad  La intencionalidad como eje vertebrador  Los incidentes de los que ningún atacante puede obtener recompensa no son parte de la seguridad de la información  Los incidentes accidentales son un subconjunto de los intencionales IT People CISO METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 11 - @Aranjuez 09/07/2013
  12. 12. Motivación Gestión de la intencionalidad  La intencionalidad como eje vertebrador  Organizativamente  Seguridad = Confidencialidad + Integridad + Disponibilidad → CIO VS CISO  Estratégicamente  Se considera la delincuencia organizada como un stakeholder más  Operativamente  Monitorizar los efectos de los modus operandi en organización y ejecución  Tecnológicamente  Beneficios Juegos de suma cero: ↑Atacante ↔ ↓Defensor Ser el más resistente  Ser el menos rentable Gastos Rentabilidad Riesgo METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS Ingresos CASANDRA: un framework para la gestión del riesgo tecnológico - 12 - Riesgo @Aranjuez 09/07/2013
  13. 13. Agenda Motivación CASANDRA Conclusiones METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS • Metodologías tradicionales • Nuevos retos • Gestión de la intencionalidad • • • • Vista general Cadena de valor Base de datos de incidentes Metodología • Hasta ahora … • … lo que nos queda CASANDRA: un framework para la gestión del riesgo tecnológico - 13 - @Aranjuez 09/07/2013
  14. 14. CASANDRA Vista general  Modelo CASANDRA Modelo de toma de decisiones sobre riesgos IT basado en el análisis de la realidad, la rentabilidad de los ataques y la existencia de patrones de ataque y defensa  Adaptado para el análisis del fraude considerando el factor intencional de los ataques  Riesgo Riesgo Intencional Intencional Omite riesgos accidentales, aspectos regulatorios, etc.  Se basa en la cadena de valor que define el modelo de negocio de la delincuencia organizada  Parte de la explotación de una Base de Datos de Incidentes (BDI) de seguridad reales  Conocimiento METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 14 - CASANDRA Cadena Cadena de de Valor Valor BDI @Aranjuez 09/07/2013
  15. 15. CASANDRA Cadena de valor  Modelo de negocio de la delincuencia organizada Riesgo Intencional CASANDRA Elementos habilitadores del fraude Cadena Cadena de de Valor Valor Métodos de preparación Conjunto habilitador del fraude Métodos de ejecución BDI £ $ € €Propósito $ € £ £ del fraude$  Conjunto habilitador del fraude (CHF)  Todos los activos o vulnerabilidades que permiten a la Delincuencia Organizada la comisión de un fraude determinado.  Elemento habilitador del fraude (EHF)  Cada uno de los activos o vulnerabilidades individuales que forman parte del CHF se denomina Elemento habilitador del fraude (EHF) METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 15 - @Aranjuez 09/07/2013
  16. 16. CASANDRA Cadena de valor  Modelo de negocio de la delincuencia organizada Riesgo Intencional CASANDRA Elementos habilitadores del fraude Elementos habilitadores del Fraude METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS Cadena Cadena de de Valor Valor Métodos de preparación Conjunto habilitador del fraude Métodos de preparación Métodos de ejecución Conjunto habilitador del fraude CASANDRA: un framework para la gestión del riesgo tecnológico - 16 - BDI £ $ € €Propósito $ € £ £ del fraude$ Métodos de jecución Fraude @Aranjuez 09/07/2013
  17. 17. CASANDRA Cadena de valor Riesgo Intencional CASANDRA Cadena Cadena de de Valor Valor BDI http://www.getmemedia.com La defensa contra el fraude se fundamenta en el análisis de dicha cadena de valor y en la definición de las acciones aplicables contra los métodos de preparación y de ejecución METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 17 - @Aranjuez 09/07/2013
  18. 18. CASANDRA Base de datos de incidentes  Conocimiento de la realidad  Incidentes pasados indican máximos de Riesgo/Beneficio  La “localización” permite particularizar los análisis para dominios concretos AVI Álgebra de Venn de Incidentes Mayor probabilidad de ocurrencia Riesgo Intencional CASANDRA Cadena de Valor BDI METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS Mayor priorización defensiva CASANDRA: un framework para la gestión del riesgo tecnológico - 18 - @Aranjuez 09/07/2013
  19. 19. CASANDRA Base de Datos de Incidentes (BDI)  La base de datos de incidentes  Ubicar incidentes Riesgo Intencional CASANDRA Cadena de Valor BDI  Priorizar y analizar coste-beneficio de medidas METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS http://www.flickr.com/photos/mpmb/62190843/ CASANDRA: un framework para la gestión del riesgo tecnológico - 19 - @Aranjuez 09/07/2013
  20. 20. CASANDRA Base de datos de incidentes (BDI)  Modelo de datos (simplificado ) Riesgo Intencional CASANDRA Cadena de Valor METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 20 - BDI @Aranjuez 09/07/2013
  21. 21. CASANDRA Base de Datos de Incidentes (BDI)  Procesos asociados a la BDI ¿Hay que hacer algún cambio en los planes estratégicos de medio y largo plazo? ¿Es necesario recalificar algún tipo de activo protegido? METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS Riesgo Intencional ¿Hay nuevos tipos de incidentes a incluir en la BDI? CASANDRA Cadena de Valor BDI ¿Genera una modificación en el nivel de riesgo del ámbito a proteger? ¿Es necesario desplegar medidas tácticas urgentes? CASANDRA: un framework para la gestión del riesgo tecnológico - 21 - @Aranjuez 09/07/2013
  22. 22. CASANDRA Base de Datos de Incidentes (BDI)  Procesos asociados a la BDI ¿Hay que hacer algún cambio en los planes estratégicos de medio y largo plazo? ¿Es necesario recalificar algún tipo de activo protegido? METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS Riesgo Intencional ¿Hay nuevos tipos de incidentes a incluir en la BDI? CASANDRA Cadena de Valor BDI ¿Genera una modificación en el nivel de riesgo del ámbito a proteger? ¿Es necesario desplegar medidas tácticas urgentes? CASANDRA: un framework para la gestión del riesgo tecnológico - 22 - @Aranjuez 09/07/2013
  23. 23. CASANDRA Definición de estrategias defensivas MPB3 MPB2 MPB1 MPA1 MPC1 EHFB EHFA MPA2 CHFX MPA3 MEX1 NO SUCEDE Métodos de preparación Métodos de ejecución METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS MPA2 MPC3 MEX1 MPC2 EHFC MEX2 SI SUCEDE MPA1 MPB2 MPC3 MEX3 SUCEDE SECTOR FINANCIERO MPB3 SUCEDE GRUPO MPC1 MEX2 CASANDRA: un framework para la gestión del riesgo tecnológico - 23 - MPB1 SE REPITE GRUPO MPA3 MPC2 MEX3 @Aranjuez 09/07/2013
  24. 24. CASANDRA Definición de estrategias defensivas MPB3 MPB2 MPB1 MPA1 MPC1 EHFB EHFA MPA2 CHFX MPA3 MEX1 NO SUCEDE Métodos de preparación Métodos de ejecución METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS MPA2 MPC3 MEX1 MPC2 EHFC MEX2 SI SUCEDE MPA1 MPB2 MPC3 MEX3 SUCEDE SECTOR FINANCIERO MPB3 SUCEDE GRUPO MPC1 MEX2 CASANDRA: un framework para la gestión del riesgo tecnológico - 24 - MPB1 SE REPITE GRUPO MPA3 MPC2 MEX3 @Aranjuez 09/07/2013
  25. 25. Agenda Motivación CASANDRA Conclusiones METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS • Metodologías tradicionales • Nuevos retos • Gestión de la intencionalidad • • • • Vista general Cadena de valor Base de datos de incidentes Metodología • Hasta ahora … • … lo que nos queda CASANDRA: un framework para la gestión del riesgo tecnológico - 25 - @Aranjuez 09/07/2013
  26. 26. CASANDRA Metodología  Metodología CASANDRA Aplicación del modelo de toma de decisiones sobre riesgos IT basado en el análisis de la realidad, la rentabilidad de los ataques y la existencia de patrones de ataque y defensa  4 fases: Análisis del entorno Análisis de escenarios de fraude Definición de políticas Definición del plan de acción Elementos a proteger Diábolos de fraude Política de seguridad Análisis de alternativas Propósitos del fraude Análisis de acciones mitigadoras Riesgos asumidos Plan de acción detallado Métodos de ejecución Análisis gap Habilitadores del fraude Métodos de preparación METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 26 - @Aranjuez 09/07/2013
  27. 27. CASANDRA Metodología  Metodología CASANDRA Aplicación del modelo de toma de decisiones sobre riesgos IT basado en el análisis de la realidad, la rentabilidad de los ataques y la existencia de patrones de ataque y defensa Elementos a proteger --- --- 9 4 7 8 Elemento del sistema Descripción 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 27 - @Aranjuez 09/07/2013
  28. 28. CASANDRA Metodología  Fase I: Análisis del entorno Identificar los diferentes elementos que deben tenerse en cuenta en el análisis del ámbito de seguridad considerado Métodos de ejecución Propósitos del fraude RAR-DO ID Método de ejecución Descripción Propósitos de fraude Riesgo para Entidad ME 1 P2 – P3 – ME 2 P1 – P2 – ME 3 P1 P2 P4 P5 P9 – – – – – n ME 4 P1 P2 P3 P4 P5 P8 P9 – – – – – – – n ME 5 P2 P3 P4 P8 P9 – – – – – n METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 28 - n n @Aranjuez 09/07/2013
  29. 29. CASANDRA Metodología  Fase I: Análisis del entorno Identificar los diferentes elementos que deben tenerse en cuenta en el análisis del ámbito de seguridad considerado Habilitadores del fraude x x - CHF4 - CHF5 - - x CHF6 - - - CHF7 P9 P8 P7 P6 P5 P4 x CHF2 CHF3 P3 CHF CHF1 P2 P1 Propósitos de Fraude - x - x x CHF8 - x x x x CHF9 CHF10 CHF11 CHF12 x x x x x CHF13 x x x x x METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 29 - x x @Aranjuez 09/07/2013
  30. 30. CASANDRA Metodología  Fase I: Análisis del entorno Identificar los diferentes elementos que deben tenerse en cuenta en el análisis del ámbito de seguridad considerado Métodos de preparación Histórico ID Método de preparación Descripción EHA Riesgo para BBVA EHA6 – n MP 1 MP 2 MP 3 EHA5 – EHA6 – n EHA7 – n EHA9 – EHA10 – MP 4 EHA11 – n EHA6 – EHA7 – EHA12 – MP 5 METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS EHA6 – CASANDRA: un framework para la gestión del riesgo tecnológico - 30 - n @Aranjuez 09/07/2013
  31. 31. CASANDRA Metodología  Fase I: Análisis del entorno Identificar los diferentes elementos que deben tenerse en cuenta en el análisis del ámbito de seguridad considerado Habilitadores del fraude Métodos de preparación x x x x x x x x x x x x x x X X x X x X X x x x x x x X X X x x X x x x x x x x x x X x X x x x x X x X X x x x x x x x x x x x X x x X x x x X x x x X x x x x x x x x x x X x x x MP15 MP14 MP13 MP12 MP11 MP10 MP9 MP8 MP7 MP6 MP5 MP4 MP3 MP2 EHF EHF1 EHF2 EHF3 EHF4 EHF5 EHF6 EHF7 EHF8 EHF9 EHF10 EHF11 EHF12 EHF13 EHF14 EHF15 MP1 Métodos de preparación x x x x x x x x EHA > 50% de métodos de preparación > 25% de métodos de preparación < 25% de métodos de preparación Métodos de preparación: > 50% de EHA > 25% de EHA < 25% de EHA METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 31 - @Aranjuez 09/07/2013
  32. 32. CASANDRA Metodología  Fase II: Análisis de escenarios de fraude  realiza una representación Se 4 fases: gráfica de los elementos clave involucrados en el fraude Diábolos de fraude METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 32 - @Aranjuez 09/07/2013
  33. 33. CASANDRA Metodología  Fase II: Análisis de escenarios de fraude Se realiza una representación gráfica de los elementos clave involucrados en el fraude Análisis de acciones mitigadoras ID Acción Descripción Métodos de preparación Métodos de ejecución Valoración cualitativa R € C R € C R € C R C METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 33 - € @Aranjuez 09/07/2013
  34. 34. CASANDRA Metodología  Fase III: Definición de políticas Se define el posicionamiento de la empresa para cada ámbito de seguridad: es el que define la Política de Seguridad Política de seguridad Riesgo 0 METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 34 - Medida 6 Medida 5 Medida 4 Medida 3 Medida 2 Medida 1 Estándar del mercado @Aranjuez 09/07/2013
  35. 35. CASANDRA Metodología  Fase III: Definición de políticas Se define el posicionamiento de la empresa para cada ámbito de seguridad: es el que define la Política de Seguridad Riesgos asumidos Riesgo 0 METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS Medida 6 Medida 5 Medida 4 Medida 3 Medida 2 Medida 1 Estándar del mercado CASANDRA: un framework para la gestión del riesgo tecnológico - 35 - @Aranjuez 09/07/2013
  36. 36. CASANDRA Metodología  Fase III: Definición de políticas Se define el posicionamiento de la empresa para cada ámbito de seguridad: es el que define la Política de Seguridad Plan de acción Riesgo 0 1 1 2 5 6 4 METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS Medida 6 Medida 5 Medida 4 Estándar del mercado Medida 3 Medida 2 Medida 1 3 CASANDRA: un framework para la gestión del riesgo tecnológico - 36 - @Aranjuez 09/07/2013
  37. 37. CASANDRA Metodología  Fase IV: Definición del plan de acción Estudiar las distintas alternativas identificadas en el análisis de escenarios de fraude desde el punto de vista riesgo/beneficio Análisis de alternativas Análisis de las acciones a acometer Acción 3 Acción 1 Acción 4 TOTAL Acción 6 Acción 2 Acción 5 Acción 7 TOTAL ? ?Complejidad Acción 1 Mitigación del riesgo Acción 2 Acción 3 Acción 4 Acción 5 Acción 6 Acción 7 Leyenda de acciones: Análisis de las acciones a desestimar A1.R2.A1 A1.R7.A1 A1.R9.A1 A1.R8.A1 TOTAL ? ?Complejidad METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS 0€ 0€ 0€ 0€ 0€ 0€ 0€ 0€ 1.000 € 0€ 0€ 0€ 0€ 0€ 1.000 € Mitigación del riesgo CASANDRA: un framework para la gestión del riesgo tecnológico - 37 - @Aranjuez 09/07/2013
  38. 38. CASANDRA Metodología  Fase IV: Definición del plan de acción Estudiar las distintas alternativas identificadas en el análisis de escenarios de fraude desde el punto de vista riesgo/beneficio Plan de acción detallado INTRODUCCIÓN ANTECEDENTES Y DESCRIPCIÓN RESPONSABILIDADES OBJETIVOS DEPENDENCIAS PRESUPUESTO . ALCANCE– ÁMBITODE APLICACIÓN . ANÁLISISCUALITATIVO FACTORESCLAVEDE ÉXITO ESTRATEGIADE EJECUCIÓNY DESPLIEGUE 0€ 0€ 1.000 € 0,6 1.000 € Pr 1 Pr 2 Pr 3 Pr 4 TOTAL PLANIFICACIÓN Q1 0 8.000 € A1.R1.A1 A1.R1.A6 A1.R1.A7 A1.R3.A4 R 8.000 € Q2 Q3 Q4 T0 C METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS € CASANDRA: un framework para la gestión del riesgo tecnológico - 38 - @Aranjuez 09/07/2013
  39. 39. Agenda Motivación CASANDRA Conclusiones METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS • Metodologías tradicionales • Nuevos retos • Gestión de la intencionalidad • • • • Vista general Cadena de valor Base de datos de incidentes Metodología • Hasta ahora … • … lo que nos queda CASANDRA: un framework para la gestión del riesgo tecnológico - 39 - @Aranjuez 09/07/2013
  40. 40. Conclusiones Hasta ahora … http://www.flickr.com/photos/mpmb/62190843/ Análisis del entorno Definición del plan de acción Análisis de escenarios de fraude Definición de políticas Elementos a proteger Diábolos de fraude Política de seguridad Análisis de alternativas Propósitos del fraude Análisis de acciones mitigadoras Riesgos asumidos Plan de acción detallado Métodos de ejecución Análisis gap Habilitadores del fraude Métodos de preparación METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 40 - @Aranjuez 09/07/2013
  41. 41. Conclusiones … lo que nos queda  Lo que nos queda … http://www.flickr.com/photos/zeusandhera/ METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS CASANDRA: un framework para la gestión del riesgo tecnológico - 41 - @Aranjuez 09/07/2013
  42. 42. @Aranjuez, 9 de Julio de 2013 CASANDRA: un framework para la gestión del riesgo tecnológico Juan M. Vara Marcos López Sanz Esperanza Marcos Kybele Research Group Rey Juan Carlos University Rosa Quintanar Santiago Moral IT Risk, Fraud & Security Innovation for Security, BBVA METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS

×