Analisis de Riesgos con O-ISM3 RA

1,188 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,188
On SlideShare
0
From Embeds
0
Number of Embeds
24
Actions
Shares
0
Downloads
27
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Analisis de Riesgos con O-ISM3 RA

  1. 1. Vicente Aceituno Canal vaceituno@inovement.es 696470328 © Inovement Spain 2014 Análisis de Riesgos O-ISM3 RA
  2. 2. Análisis de Riesgos  El Análisis de Riesgos se utiliza por motivos de cumplimiento normativo, comunicación del valor, para definir estrategia en Seguridad y para la Gestión del Riesgo.  Existe un gran número de métodos de Análisis de Riesgos.
  3. 3. AU IT SB FAIR MAGERIT CRAMM Dutch A&K EBIOS ISAMM ISO27005 MARION MEHARI MIGRA OCTAVE SP 800-30 ISF Canadian RM Guide ……Etc
  4. 4. Análisis de Riesgos  Existen 10 grados de libertad para el diseño de un método de Análisis de Riesgos, con múltiples soluciones para cada uno.  Existen además distintas formas de combinar los elementos de Análisis.
  5. 5. Diseño de Método de RA Impacto Activos Valor Coste Amenazas Frecuencia Vulnerabilidades Controles Probabilidad Exposición
  6. 6. Análisis de Riesgos  La complejidad de la mayor parte de los métodos de Análisis de Riesgos los hace caros y poco ágiles.  O-ISM3 RA es un método de Análisis de Riesgos que se ha diseñado para que sea sencillo, y por lo tanto rápido y económico.
  7. 7. GoalsAlcance
  8. 8. Alcance  Aumentar el alcance incrementa el coste del análisis,  Cuanto mayor es el alcance, más significativo es el análisis.  O-ISM3 RA puede cubrir toda la empresa.
  9. 9. GoalsEmpresa
  10. 10. Profundidad (Nivel de Detalle)
  11. 11. Profundidad de Modelado  Cuanto mas detallado es el modelo, más complejo y costoso es.  La profundidad del modelado debería corresponderse al de las decisiones que queremos tomar.  Por eso O-ISM3 RA utiliza una profundidad a nivel de gestión.
  12. 12. Modelo TIC  Ninguno  Activos  Servidores, Bases de Datos, Redes, etc (Purely Technical)  ISM3-RA utiliza Entornos Environments
  13. 13. Modelo de Negocio  La mayor parte de los métodos de análisis de riesgos no usan Ninguno  ISM3-RA utiliza Funciones de Negocio.
  14. 14. Profundidad de Gestión
  15. 15. Funciones de Negocio  Todas las compañías realizan estas funciones de negocio. Research Financing/ Accounting Legal Sales Relationships Production Maintenance Business Intelligence Governance IT Advertising Human Resources Infrastructure Administration Procurement Logistics
  16. 16. Funciones de Negocio  Todas las compañías realizan estas funciones de negocio.  Que tienen distinta importancia en distintas compañías. Research Financing/ Accounting Legal Sales Relationships Production Maintenance Business Intelligence Governance IT Advertising Human Resources Infrastructure Administration Procurement Logistics
  17. 17.  No se pueden modelar a nivel de gestión mediante Activos, Servidores o Aplicaciones.  Si se puede modelar si nos guiamos por como están distribuidas las responsabilidades de gestión. Entornos HostSSCC Terceros SSAAOficinas Usuarios Móviles Personal
  18. 18. Dependencia
  19. 19. O-ISM3 RA HostSSCC Terceros SSAAOficinas Usuarios Móviles Personal Research Financing/ Accounting Legal Sales Relationships Production Maintenance Business Intelligence Governance IT Advertising Human Resources Infrastructure Administration Procurement Logistics
  20. 20.  No hay ninguna lista de amenazas utilizada universalmente.  No suele estar disponible información suficiente para saber como de probable es una amenaza. Amenazas
  21. 21.  O-ISM3 RA usa una escala cualitativa de probabilidad de la amenaza, de muy baja a muy alta. Probabilidad de la Amenaza
  22. 22.  La multiplicidad y evolución de las amenazas las hace difíciles de modelar.  Se usan a veces listas de cientos de elementos…  MAGERIT: Accidental Natural, Accidental Industrial, Accidental Error, Deliberada, etc…  Contra Confidencialidad, contra Integridad, contra Disponibilidad.  O-ISM3 RA usa 7 amenazas, gracias que las clasifica por consecuencias y no por causas. Taxonomía de Amenazas
  23. 23. 1. Destrucción, Corrupción o Perdida de información válida. 2. Destrucción incompleta de información caducada. 3. Uso inapropiado de acceso autorizado. 4. Falta de registro de acceso. 5. Acceso no autorizado, espionaje y revelación de información válida. 6. Servicio insatisfactorio, interrumpido o fallo de acceso autorizado. 7. Obsolescencia de acceso a la información.
  24. 24. Impacto
  25. 25.  A veces se calcula en Euros  Alto – Medio – Bajo  Magerit: Disponibilidad, integridad, Confidencialidad, Autenticidad, Trazabilidad.  O-ISM3 RA: Escala cualitativa. Cuanto más dependan y más importantes sean las Funciones de Negocio en el Entorno, mayor Impacto. Impacto
  26. 26. Controles (ISO27001 PCI DSS NIST O-ISM3, etc)
  27. 27.  Controles ISO 27002  Controles PCI DSS  Controles Cobit  Listas a medida  O-ISM3 RA usa procesos O-ISM3, pero se fácilmente adaptable a las otras taxonomías de controles. Taxonomía de Controles
  28. 28.  Alcance a nivel corporativo  Modelado a un nivel suficientemente bajo para obtener un análisis significativo, pero suficientemente alto para reducir la complejidad y el coste, y aumentar la agilidad.  Resultados útiles para comprender la situación actual, comunicar el estado del riesgo y crear planes de acción. Resumiendo
  29. 29. Ejemplo O-ISM3 RA Internal Network DMZ Mobile Users Internal Users WiFi Networks Governance Infrastructure Human Resources Production Logistics Administration IT Advertising Research Procurement Sales Business Intelligence Financing/ Accounting Maintenance Relationships Legal
  30. 30. Ejemplo O-ISM3 RA Internal Network DMZ Mobile Users Internal Users WiFi Networks Governance Infrastructure Human Resources Production Logistics Administration IT Advertising Research Procurement Sales Business Intelligence Financing/ Accounting Maintenance Relationships Legal
  31. 31. Ejemplo O-ISM3 RA 0 20 40 60 80 100 120 Relative Weight of Business Functions Research Financing/ Accounting Legal Sales Relationships Production Maintenance Business Intelligence Governance IT Advertising Human Resources Infrastructure Administration Procurement Logistics
  32. 32. 0,0000 0,1000 0,2000 0,3000 0,4000 0,5000 0,6000 0,7000 0,8000 Internet SSCC Oficinas Host SSAA Terceros Usuarios Mobiles Personal Relative Protection per Environment Ejemplo O-ISM3 RA HostSSCC Terceros SSAAOficinas Usuarios Móviles Personal
  33. 33. Ejemplo O-ISM3 RA 0 2000 4000 6000 8000 10000 12000 Internet SSCC Oficinas Host SSAA Terceros Usuarios Mobiles Personal Relative Environment Criticality HostSSCC Terceros SSAAOficinas Usuarios Móviles Personal
  34. 34. 0,000000 0,200000 0,400000 0,600000 0,800000 1,000000 1,200000 1,400000 1,600000 1,800000 SSCC Oficinas Host SSAA Terceros Usuarios Mobiles Personal Risk to Environment Ejemplo O-ISM3 RA HostSSCC Terceros SSAAOficinas Usuarios Móviles Personal
  35. 35. 0,00000000 1,00000000 2,00000000 3,00000000 4,00000000 5,00000000 6,00000000 7,00000000 8,00000000 SSCC Oficinas Host SSAA Terceros Usuarios Mobiles Risk to Technical Environment per Threat Improper recording of access to informationor systems / (anon or otherwise) Unauthorizedaccess,eavesdropping, theft and disclosure of informationor systems AND Improper use of authorizedaccess to information or systems Failure to destroy expired information or systems & Failure to stop systems at will Underperformance OR Interruptionof valid system services & Failure of authorizedaccess Aging of information& Outdatedsystems Destruction / Corruption / Loss of valid information or systems Ejemplo O-ISM3 RA HostSSCC Terceros SSAAOficinas Usuarios Móviles Personal
  36. 36. 0 2000 4000 6000 8000 10000 12000 14000 16000 Relative Reliance on Environments Ejemplo O-ISM3 RA Research Financing/ Accounting Legal Sales Relationships Production Maintenance Business Intelligence Governance IT Advertising Human Resources Infrastructure Administration Procurement Logistics
  37. 37. 0,000000 0,500000 1,000000 1,500000 2,000000 2,500000 Risk per Business Function Personal Usuarios Mobiles Terceros SSAA Host Oficinas SSCC Ejemplo O-ISM3 RA Research Financing/ Accounting Legal Sales Relationships Production Maintenance Business Intelligence Governance IT Advertising Human Resources Infrastructure Administration Procurement Logistics
  38. 38. Vicente Aceituno Canal vaceituno@inovement.es 696470328 © Inovement Spain 2014

×