0
Vicente Aceituno Canal
vaceituno@inovement.es
696470328
© Inovement Spain 2014
Análisis de Riesgos
O-ISM3 RA
Análisis de Riesgos
 El Análisis de Riesgos se utiliza por motivos
de cumplimiento normativo, comunicación
del valor, par...
AU IT SB
FAIR
MAGERIT
CRAMM
Dutch A&K
EBIOS
ISAMM
ISO27005
MARION
MEHARI
MIGRA
OCTAVE
SP 800-30
ISF
Canadian RM Guide
……Etc
Análisis de Riesgos
 Existen 10 grados de libertad para el diseño de un
método de Análisis de Riesgos, con múltiples
solu...
Diseño de Método de RA
Impacto Activos Valor
Coste
Amenazas Frecuencia
Vulnerabilidades
Controles
Probabilidad
Exposición
Análisis de Riesgos
 La complejidad de la mayor parte de los
métodos de Análisis de Riesgos los hace
caros y poco ágiles....
GoalsAlcance
Alcance
 Aumentar el alcance incrementa el coste
del análisis,
 Cuanto mayor es el alcance, más
significativo es el anál...
GoalsEmpresa
Profundidad
(Nivel de Detalle)
Profundidad de Modelado
 Cuanto mas detallado es el modelo, más
complejo y costoso es.
 La profundidad del modelado debe...
Modelo TIC
 Ninguno
 Activos
 Servidores, Bases de Datos, Redes, etc
(Purely Technical)
 ISM3-RA utiliza Entornos
Envi...
Modelo de Negocio
 La mayor parte de los métodos de análisis
de riesgos no usan Ninguno
 ISM3-RA utiliza Funciones de Ne...
Profundidad de Gestión
Funciones de Negocio
 Todas las compañías realizan estas
funciones de negocio.
Research
Financing/
Accounting
Legal
Sales...
Funciones de Negocio
 Todas las compañías realizan estas
funciones de negocio.
 Que tienen distinta importancia en disti...
 No se pueden modelar a nivel de gestión
mediante Activos, Servidores o
Aplicaciones.
 Si se puede modelar si nos guiamo...
Dependencia
O-ISM3 RA
HostSSCC Terceros
SSAAOficinas
Usuarios
Móviles
Personal
Research
Financing/
Accounting
Legal
Sales
Relationship...
 No hay ninguna lista
de amenazas
utilizada
universalmente.
 No suele estar
disponible
información
suficiente para saber...
 O-ISM3 RA usa una escala cualitativa de
probabilidad de la amenaza, de muy baja a
muy alta.
Probabilidad de la Amenaza
 La multiplicidad y evolución de las amenazas las
hace difíciles de modelar.
 Se usan a veces listas de cientos de eleme...
1. Destrucción, Corrupción o
Perdida de información válida.
2. Destrucción incompleta de
información caducada.
3. Uso inap...
Impacto
 A veces se calcula en Euros
 Alto – Medio – Bajo
 Magerit: Disponibilidad, integridad,
Confidencialidad, Autenticidad,...
Controles
(ISO27001
PCI DSS
NIST
O-ISM3, etc)
 Controles ISO 27002
 Controles PCI DSS
 Controles Cobit
 Listas a medida
 O-ISM3 RA usa procesos O-ISM3, pero se
fác...
 Alcance a nivel corporativo
 Modelado a un nivel suficientemente bajo para
obtener un análisis significativo, pero
sufi...
Ejemplo O-ISM3 RA
Internal
Network
DMZ
Mobile
Users
Internal
Users
WiFi
Networks
Governance
Infrastructure
Human
Resources...
Ejemplo O-ISM3 RA
Internal
Network
DMZ
Mobile
Users
Internal
Users
WiFi
Networks
Governance
Infrastructure
Human
Resources...
Ejemplo O-ISM3 RA
0
20
40
60
80
100
120
Relative Weight of Business Functions
Research
Financing/
Accounting
Legal
Sales
R...
0,0000
0,1000
0,2000
0,3000
0,4000
0,5000
0,6000
0,7000
0,8000
Internet SSCC Oficinas Host SSAA Terceros Usuarios
Mobiles
...
Ejemplo O-ISM3 RA
0
2000
4000
6000
8000
10000
12000
Internet SSCC Oficinas Host SSAA Terceros Usuarios
Mobiles
Personal
Re...
0,000000
0,200000
0,400000
0,600000
0,800000
1,000000
1,200000
1,400000
1,600000
1,800000
SSCC Oficinas Host SSAA Terceros...
0,00000000
1,00000000
2,00000000
3,00000000
4,00000000
5,00000000
6,00000000
7,00000000
8,00000000
SSCC Oficinas Host SSAA...
0
2000
4000
6000
8000
10000
12000
14000
16000
Relative Reliance on Environments
Ejemplo O-ISM3 RA
Research
Financing/
Acco...
0,000000
0,500000
1,000000
1,500000
2,000000
2,500000
Risk per Business Function
Personal
Usuarios Mobiles
Terceros
SSAA
H...
Vicente Aceituno Canal
vaceituno@inovement.es
696470328
© Inovement Spain 2014
Analisis de Riesgos con O-ISM3 RA
Upcoming SlideShare
Loading in...5
×

Analisis de Riesgos con O-ISM3 RA

545

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
545
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Analisis de Riesgos con O-ISM3 RA"

  1. 1. Vicente Aceituno Canal vaceituno@inovement.es 696470328 © Inovement Spain 2014 Análisis de Riesgos O-ISM3 RA
  2. 2. Análisis de Riesgos  El Análisis de Riesgos se utiliza por motivos de cumplimiento normativo, comunicación del valor, para definir estrategia en Seguridad y para la Gestión del Riesgo.  Existe un gran número de métodos de Análisis de Riesgos.
  3. 3. AU IT SB FAIR MAGERIT CRAMM Dutch A&K EBIOS ISAMM ISO27005 MARION MEHARI MIGRA OCTAVE SP 800-30 ISF Canadian RM Guide ……Etc
  4. 4. Análisis de Riesgos  Existen 10 grados de libertad para el diseño de un método de Análisis de Riesgos, con múltiples soluciones para cada uno.  Existen además distintas formas de combinar los elementos de Análisis.
  5. 5. Diseño de Método de RA Impacto Activos Valor Coste Amenazas Frecuencia Vulnerabilidades Controles Probabilidad Exposición
  6. 6. Análisis de Riesgos  La complejidad de la mayor parte de los métodos de Análisis de Riesgos los hace caros y poco ágiles.  O-ISM3 RA es un método de Análisis de Riesgos que se ha diseñado para que sea sencillo, y por lo tanto rápido y económico.
  7. 7. GoalsAlcance
  8. 8. Alcance  Aumentar el alcance incrementa el coste del análisis,  Cuanto mayor es el alcance, más significativo es el análisis.  O-ISM3 RA puede cubrir toda la empresa.
  9. 9. GoalsEmpresa
  10. 10. Profundidad (Nivel de Detalle)
  11. 11. Profundidad de Modelado  Cuanto mas detallado es el modelo, más complejo y costoso es.  La profundidad del modelado debería corresponderse al de las decisiones que queremos tomar.  Por eso O-ISM3 RA utiliza una profundidad a nivel de gestión.
  12. 12. Modelo TIC  Ninguno  Activos  Servidores, Bases de Datos, Redes, etc (Purely Technical)  ISM3-RA utiliza Entornos Environments
  13. 13. Modelo de Negocio  La mayor parte de los métodos de análisis de riesgos no usan Ninguno  ISM3-RA utiliza Funciones de Negocio.
  14. 14. Profundidad de Gestión
  15. 15. Funciones de Negocio  Todas las compañías realizan estas funciones de negocio. Research Financing/ Accounting Legal Sales Relationships Production Maintenance Business Intelligence Governance IT Advertising Human Resources Infrastructure Administration Procurement Logistics
  16. 16. Funciones de Negocio  Todas las compañías realizan estas funciones de negocio.  Que tienen distinta importancia en distintas compañías. Research Financing/ Accounting Legal Sales Relationships Production Maintenance Business Intelligence Governance IT Advertising Human Resources Infrastructure Administration Procurement Logistics
  17. 17.  No se pueden modelar a nivel de gestión mediante Activos, Servidores o Aplicaciones.  Si se puede modelar si nos guiamos por como están distribuidas las responsabilidades de gestión. Entornos HostSSCC Terceros SSAAOficinas Usuarios Móviles Personal
  18. 18. Dependencia
  19. 19. O-ISM3 RA HostSSCC Terceros SSAAOficinas Usuarios Móviles Personal Research Financing/ Accounting Legal Sales Relationships Production Maintenance Business Intelligence Governance IT Advertising Human Resources Infrastructure Administration Procurement Logistics
  20. 20.  No hay ninguna lista de amenazas utilizada universalmente.  No suele estar disponible información suficiente para saber como de probable es una amenaza. Amenazas
  21. 21.  O-ISM3 RA usa una escala cualitativa de probabilidad de la amenaza, de muy baja a muy alta. Probabilidad de la Amenaza
  22. 22.  La multiplicidad y evolución de las amenazas las hace difíciles de modelar.  Se usan a veces listas de cientos de elementos…  MAGERIT: Accidental Natural, Accidental Industrial, Accidental Error, Deliberada, etc…  Contra Confidencialidad, contra Integridad, contra Disponibilidad.  O-ISM3 RA usa 7 amenazas, gracias que las clasifica por consecuencias y no por causas. Taxonomía de Amenazas
  23. 23. 1. Destrucción, Corrupción o Perdida de información válida. 2. Destrucción incompleta de información caducada. 3. Uso inapropiado de acceso autorizado. 4. Falta de registro de acceso. 5. Acceso no autorizado, espionaje y revelación de información válida. 6. Servicio insatisfactorio, interrumpido o fallo de acceso autorizado. 7. Obsolescencia de acceso a la información.
  24. 24. Impacto
  25. 25.  A veces se calcula en Euros  Alto – Medio – Bajo  Magerit: Disponibilidad, integridad, Confidencialidad, Autenticidad, Trazabilidad.  O-ISM3 RA: Escala cualitativa. Cuanto más dependan y más importantes sean las Funciones de Negocio en el Entorno, mayor Impacto. Impacto
  26. 26. Controles (ISO27001 PCI DSS NIST O-ISM3, etc)
  27. 27.  Controles ISO 27002  Controles PCI DSS  Controles Cobit  Listas a medida  O-ISM3 RA usa procesos O-ISM3, pero se fácilmente adaptable a las otras taxonomías de controles. Taxonomía de Controles
  28. 28.  Alcance a nivel corporativo  Modelado a un nivel suficientemente bajo para obtener un análisis significativo, pero suficientemente alto para reducir la complejidad y el coste, y aumentar la agilidad.  Resultados útiles para comprender la situación actual, comunicar el estado del riesgo y crear planes de acción. Resumiendo
  29. 29. Ejemplo O-ISM3 RA Internal Network DMZ Mobile Users Internal Users WiFi Networks Governance Infrastructure Human Resources Production Logistics Administration IT Advertising Research Procurement Sales Business Intelligence Financing/ Accounting Maintenance Relationships Legal
  30. 30. Ejemplo O-ISM3 RA Internal Network DMZ Mobile Users Internal Users WiFi Networks Governance Infrastructure Human Resources Production Logistics Administration IT Advertising Research Procurement Sales Business Intelligence Financing/ Accounting Maintenance Relationships Legal
  31. 31. Ejemplo O-ISM3 RA 0 20 40 60 80 100 120 Relative Weight of Business Functions Research Financing/ Accounting Legal Sales Relationships Production Maintenance Business Intelligence Governance IT Advertising Human Resources Infrastructure Administration Procurement Logistics
  32. 32. 0,0000 0,1000 0,2000 0,3000 0,4000 0,5000 0,6000 0,7000 0,8000 Internet SSCC Oficinas Host SSAA Terceros Usuarios Mobiles Personal Relative Protection per Environment Ejemplo O-ISM3 RA HostSSCC Terceros SSAAOficinas Usuarios Móviles Personal
  33. 33. Ejemplo O-ISM3 RA 0 2000 4000 6000 8000 10000 12000 Internet SSCC Oficinas Host SSAA Terceros Usuarios Mobiles Personal Relative Environment Criticality HostSSCC Terceros SSAAOficinas Usuarios Móviles Personal
  34. 34. 0,000000 0,200000 0,400000 0,600000 0,800000 1,000000 1,200000 1,400000 1,600000 1,800000 SSCC Oficinas Host SSAA Terceros Usuarios Mobiles Personal Risk to Environment Ejemplo O-ISM3 RA HostSSCC Terceros SSAAOficinas Usuarios Móviles Personal
  35. 35. 0,00000000 1,00000000 2,00000000 3,00000000 4,00000000 5,00000000 6,00000000 7,00000000 8,00000000 SSCC Oficinas Host SSAA Terceros Usuarios Mobiles Risk to Technical Environment per Threat Improper recording of access to informationor systems / (anon or otherwise) Unauthorizedaccess,eavesdropping, theft and disclosure of informationor systems AND Improper use of authorizedaccess to information or systems Failure to destroy expired information or systems & Failure to stop systems at will Underperformance OR Interruptionof valid system services & Failure of authorizedaccess Aging of information& Outdatedsystems Destruction / Corruption / Loss of valid information or systems Ejemplo O-ISM3 RA HostSSCC Terceros SSAAOficinas Usuarios Móviles Personal
  36. 36. 0 2000 4000 6000 8000 10000 12000 14000 16000 Relative Reliance on Environments Ejemplo O-ISM3 RA Research Financing/ Accounting Legal Sales Relationships Production Maintenance Business Intelligence Governance IT Advertising Human Resources Infrastructure Administration Procurement Logistics
  37. 37. 0,000000 0,500000 1,000000 1,500000 2,000000 2,500000 Risk per Business Function Personal Usuarios Mobiles Terceros SSAA Host Oficinas SSCC Ejemplo O-ISM3 RA Research Financing/ Accounting Legal Sales Relationships Production Maintenance Business Intelligence Governance IT Advertising Human Resources Infrastructure Administration Procurement Logistics
  38. 38. Vicente Aceituno Canal vaceituno@inovement.es 696470328 © Inovement Spain 2014
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×