Análisis de Riesgos

11,940 views

Published on

Completo documento que desarrolla todos los aspectos a tener en cuenta en el momento de llevar a cabo un correcto análisis de riesgos y su posterior gestión. Se presentan los elementos que componen un análisis de riesgos, se realiza una comparativa de distintas metodologías de análisis de riesgos, entre otros apartados.

Published in: Technology
0 Comments
7 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
11,940
On SlideShare
0
From Embeds
0
Number of Embeds
26
Actions
Shares
0
Downloads
695
Comments
0
Likes
7
Embeds 0
No embeds

No notes for slide

Análisis de Riesgos

  1. 1. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Ramiro Cid | @ramirocid 1 Análisis de Riesgos
  2. 2. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos 2 Índice 1. Análisis de riesgos: Primer acercamiento Pág. 3 2. Activos Pág. 22 3. Amenazas Pág. 28 4. Vulnerabilidades Pág. 41 5. Impacto Pág. 43 6. Gestión de Riesgos Pág. 47 7. Cálculo del Riesgo Pág. 55 8. Comparativa de metodologías de análisis de riesgos Pág. 62
  3. 3. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Análisis de riesgos: Primer acercamiento “Corresponde al proceso de identificar los riesgos, desde el punto de vista de la seguridad, determinando su magnitud e identificando las áreas que requieren medidas de salvaguarda”.
  4. 4. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Gestión global de Seguridad de un Sistema de Información Fases: Análisis y Gestión de Riesgos Determinar Objetivos y Política de Seguridad Establecer Planificación de Seguridad Implantar Salvaguardas Monitorización y gestión de Cambios en la Seguridad
  5. 5. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos ¿Qué es un Análisis de Riesgos? ¿qué hay que hacer para no verse afectado por ellas? ? Documento donde se describe, para su posterior análisis y ayuda a la toma de decisiones... ¿qué hay en el sistema? ¿qué amenazas le afectan?
  6. 6. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Plan Director de Seguridad Análisis de Riesgo (Problemas encontrados) [A.R.] Gestión de Riesgos (Propongo soluciones) [G.R.] [A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]
  7. 7. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Resumen del procedimiento de análisis Gestión del riesgo Identificación y valoración de activos Valoración de amenazas y vulnerabilidades Análisis de Riesgos
  8. 8. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Evaluación de riesgos y gastos Gestión del riesgo: Proceso de equilibrar el coste de protección con el coste de exposición. Coste de Equilibrio Nivel de Seguridad Decisiones: Aceptarlo Asignación a terceros Evitarlo Riesgos Seguridad
  9. 9. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos ¿Por qué realizarlo? Permite identificar los riesgos de la seguridad de la información que podrían afectar en el desarrollo de las actividades de negocio Facilita la correcta selección de las medidas de seguridad a implantar Creación de los plantes de contingencias en previsión de las amenazas detectadas Necesario en el diseño, implantación y certificación de un SGSI (es el primer paso en la implementación de un SGSI)
  10. 10. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Tipos de Análisis Hay dos tipos de análisis de riesgos según las cosas que tienen en cuenta: Intrínseco es aquel que se realiza sin tener en cuenta aquellas contramedidas que ya se están aplicando. Da como resultado el Riesgo Intrínseco Residual es aquel que se realiza teniendo en cuenta las contramedidas ya aplicadas. Da como resultado el Riesgo Residual
  11. 11. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Elementos del Análisis Activos: Los activos son todos aquellos elementos que forman parte del Sistema de Información. Amenazas: Las amenazas son todas aquellas cosas que le pueden suceder a los activos que se salen de la normalidad. Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por las amenazas para dañar a un activo (son los agujeros de seguridad). Impacto: Consecuencia de la materialización de una amenaza sobre un activo
  12. 12. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Elementos del Análisis (continuación) Controles: Son todos aquellos mecanismos que permiten reducir las vulnerabilidades de los sistemas. Riesgos: Son el resultado del análisis de riesgo. El riesgo es una ponderación del valor del activo, la probabilidad que suceda una amenaza y el impacto que tendría sobre el sistema. Riesgo = Valor Activo + Probabilidad + Impacto
  13. 13. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Relaciones Incrementan Poseen GeneranGeneran Protegen contra Incrementan Incrementan Exponen Aprovechan las RiesgosControles Amenazas Vulnerabilidades Requerimientos de Seguridad Activos Valor de los activos e impactos potenciales
  14. 14. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Algunas Conclusiones Lo que se pretende en la Gestión de riesgos es reducir la probabilidad y/o el impacto. La amenaza no se puede reducir, lo que se intenta es eliminar la vulnerabilidad para que con esto la probabilidad de ocurrencia de la amenaza disminuya o sino se trata de que el impacto en caso de ocurrencia sea menor Una buena práctica utilizada para empresas grandes es aplicar primero NIST para filtrar los riesgos altos, luego se realiza sobre estos Magerit o CRAMM sobre estos
  15. 15. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Metodologías (I): MAGERIT Es una metodología de Análisis y Gestión del Riesgos de los sistemas de información desarrolladas por el Ministerio de Administraciones Públicas. Solo se aplica en el ámbito español.
  16. 16. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Fases de MAGERIT Toma de datos. Procesos de la Información Dimensionamiento. Establecimiento de Parámetros Análisis activos Y salvaguardas Establecimiento impactos Establecimiento vulnerabilidades Análisis de amenazas Análisis Riesgo Intrínseco Influencia de salvaguardas Análisis Riesgos efectivo Evaluación de riesgos
  17. 17. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Toma de datos y procesos de la información Objetivos: Definir el área de aplicación del estudio (alcance) y el objetivo final del análisis de riesgos. Tener una visión global del proceso de información en la organización. Establecer el grado de análisis en unidades homogéneas en todo el alcance (granularidad)
  18. 18. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Establecimiento de parámetros Parámetros para valorar los activos y salvaguardas: Se debe asignar una valoración económica a los activos. Valoración real: valor que tiene para la empresa la reposición del activo en las condiciones anteriores a la acción de la amenaza Valoración estimada: medida subjetiva de la empresa que, considerando la importancia del activo, le asigna un valor económico. Valoración Rango Valor Muy Alto Valor > 200.000€ 300.000€ Alto 100.000€< valor > 200.000€ 150.000€ Medio 50.000€< valor > 100.000€ 75.000€ Bajo 10.000€< valor > 50.000€ 30.000€ Muy bajo < 10.000€ 10.000€
  19. 19. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Establecimiento de parámetros Para la estimación de la vulnerabilidad, hay que estimar la frecuencia de ocurrencia de las amenazas en una escala de tiempos. Vulnerabilidad Rango Valor Extrema Frecuencia 1 vez al día 0,997 Alta Frecuencia 1 vez cada 2 semanas 0,071 Frecuencia media 1 vez cada 2 meses 0,016 Baja Frecuencia 1 vez cada 6 meses 0,005 Muy baja Frecuencia 1 vez al año 0,003
  20. 20. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Establecimiento de parámetros Parámetros para la estimación del impacto, hay que estimar el grado de daño producido por la amenaza en los activos Impacto Valor Muy alto 99% Alto 75% Medio 50% Bajo 20% Muy bajo 5%
  21. 21. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Establecimiento de parámetros Parámetros para estimar la influencia de las salvaguardas: disminuyen el riesgo calculado (probabilidad o impacto) Variación impacto/vulnerabilidad Valor Muy alto 95% Alto 75% Medio 50% Bajo 30% Muy Bajo 10%
  22. 22. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos “Los activos son todos aquellos elementos que forman parte del Sistema de Información”. Definición de activos
  23. 23. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Detección y Clasificación de activos Activos físicos: Hardware Los activos físicos son aquellas cosas que forman parte de la empresa como material de ayuda a desempeñar una actividad. Ejemplo: Ordenador, Impresora, ... Activos lógicos: Software Los activos lógicos son aquellos programas o datos que forman parte del conocimiento de la empresa para desempeñar la actividad. Ejemplo: BD, Intranet Corporativa, ...
  24. 24. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Detección y Clasificación de activos Personal: Roles del Sistema Los roles del personal relacionados con la seguridad, son todas aquellas responsabilidades que hay que asumir en cuanto a la seguridad del sistema. Forum de seguridad Responsable de seguridad Operador de Copia de Seguridad ...
  25. 25. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Detección y Clasificación de activos Entorno Aire Acondicionado Sistema Eléctrico instalaciones adicionales Imagen Corporativa La fiabilidad, y la imagen de la empresa son uno de los activos más importantes a la hora que los clientes depositen en ella su confianza.
  26. 26. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Detección y Clasificación de activos Se clasifican según su: Confidencialidad (libre, restringida, protegida, confidencial, etc.) Autenticación (baja, normal, alta, crítica) Integridad (bajo, normal, alto, crítico) Disponibilidad (menos de una hora, menos de un día, menos de una semana, más de una semana)
  27. 27. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Valoración de activos VALORACIÓN: Coste TOTAL que tendría para la empresa su pérdida: Valor de reposición Valor de configuración, puesta a punto, etc. Valor de uso del activo Valor de pérdida de oportunidad
  28. 28. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos “Las amenazas son todas aquellas cosas que le pueden suceder a los activos que se salen de la normalidad” Definición de amenazas
  29. 29. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Tipo de amenazas Las amenazas normalmente dependen del negocio de la empresa y del tipo de sistema que se quiere proteger Ejemplos: Empresa de desarrollo de sistemas ISP Colegio Profesional Universidad
  30. 30. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Listado de amenazas Accidentes Errores Amenazas Intencionales Presenciales Amenazas Intencionales Remotas
  31. 31. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Amenazas - Accidentes Accidente físico Incendio, explosión, inundación por roturas, emisiones radioeléctricas, etc. Avería De origen físico o lógico, debida a un defecto de origen o durante el funcionamiento del sistema. Interrupción de Servicios esenciales Energía Agua Telecomunicación Accidente mecánico o electromagnético: Choque Caída Radiación
  32. 32. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Listado de amenazas Accidentes Errores Amenazas Intencionales Presenciales Amenazas Intencionales Remotas
  33. 33. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Amenazas - Errores Errores de utilización del sistema, provocados por un mal uso, ya sea intencionado o no Errores de diseño conceptuales que puedan llevar a un problema de seguridad Errores de desarrollo derivados de la implementación de alguna aplicación o de la implantación de un sistema en producción
  34. 34. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Amenazas - Errores Errores de actualización o parcheado de sistemas y aplicaciones Monitorización inadecuada Errores de compatibilidad entre aplicaciones o librerías Errores inesperados Virus Otros ¿?
  35. 35. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Listado de amenazas Accidentes Errores Amenazas Intencionales Presenciales Amenazas Intencionales Remotas
  36. 36. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Amenazas Intencionales Presenciales Acceso físico no autorizado Destrucción o sustracción Acceso lógico no autorizado Intercepción pasiva de la información Sustracción y/o alteración de la información en tránsito
  37. 37. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Amenazas Intencionales Presenciales Indisponibilidad de recursos Humanos: motivos de huelga, abandono, enfermedad, baja temporal, etc Técnicos: desvío del uso del sistema, bloqueo, etc Filtración de datos a terceros: apropiación indebida de datos, particularmente importante cuando los datos son de carácter personal (LOPD)
  38. 38. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Listado de amenazas Accidentes Errores Amenazas Intencionales Presenciales Amenazas Intencionales Remotas
  39. 39. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Amenazas Intencionales Remotas Acceso lógico no autorizado Acceso de un tercero no autorizado explotando una vulnerabilidad del sistema para utilizarlo en su beneficio. Suplantación del origen Intercepción de una comunicación escuchando y/o falseando los datos intercambiados
  40. 40. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Amenazas Intencionales Remotas Gusanos Virus que utilizan las capacidades de servidores y clientes de internet para transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las variantes. Denegación de servicio Contra el ancho de banda: Consumir todo el ancho de banda de la máquina que se quiere aislar Contra los recursos físicos del sistema: Consumir toda la memoria y los recursos que la máquina utiliza para ofrecer su servicio
  41. 41. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Debilidad o agujero en la organización de la seguridad ¡Una vulnerabilidad en si misma no produce daños. Es un condicionante para que una amenaza afecte a un activo! Definición de vulnerabilidad
  42. 42. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Vulnerabilidades El cruce de un activo sobre el que puede materializar una amenaza, da lugar a una vulnerabilidad Activo Amenaza Vulnerabilidad 01 - Servidor Fallo del sistema eléctrico Dependiente de la corriente Acceso lógico no autorizado Accesibilidad al sistema
  43. 43. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos “Es la consecuencia de que una amenaza se materialice sobre un activo” Definición de impacto
  44. 44. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Valoración de Impactos Identificación de impactos: Como el resultado de la agresión de una amenaza sobre un activo El efecto sobre cada activo para poder agrupar los impactos en cadena según la relación de activos El valor económico representativo de las pérdidas producidas en cada activo Las pérdidas pueden ser cuantitativas o cualitativas
  45. 45. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Acción de las salvaguardas Se analiza el efecto de las salvaguardas sobre los impactos y/o las vulnerabilidades Preventivas: Disminuyen la vulnerabilidad Nueva vulnerabilidad= (Vulnerabilidad+% disminución vulnerabilidad) Curativas: Disminuyen el impacto Nuevo impacto= (Impacto+disminución impacto)
  46. 46. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Evaluación de riesgos Identifica el coste anual que supone la combinación de activo, amenaza, vulnerabilidad e impacto. Riesgo intrínseco Valor activo * Vulnerabilidad * Impacto Riesgo efectivo Valor efectivo * Nueva vulnerabilidad * Nuevo Impacto= Valor activo * (Vulnerabilidad * % Disminución Vulnerabilidad) * (Impacto * % Disminución Impacto)= Riesgo intrínseco * % Disminución Vulnerabilidad * % Disminución del Impacto
  47. 47. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Gestión de Riesgos Gestionar los riesgos identificados: Determinar si el riesgo es aceptable SI: Identificar y aceptar el riesgo residual NO: Decidir sobre la forma de gestionar el riesgo Forma de gestionar el riesgo: Evitarlo: suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad Transferido: cambiar un riesgo por otro: Outsourcing, seguros, etc. Reducirlo: reducir la amenaza, vulnerabilidad, impacto Asumirlo: Detectar y recuperar (Statu quo). x
  48. 48. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Gestión de Riesgos Identificar requisitos de seguridad Identificar requisitos de seguridad ¿Hacemos algo? ¿Reducimos riesgos? Eliminar el origen del riesgo, o transferido Proceso de reducción de nivel de riesgo Selección de controles
  49. 49. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Gestión de riesgos Una vez se tiene decidido que es lo que hay que hacer se elaborar el: PLAN DE ACCIÓN Establecer prioridades Plantear un análisis de coste-beneficio Hacer la selección definitiva de controles a implantar Asignar responsabilidades Desarrollar un plan de gestión de riesgos Implantar los controles
  50. 50. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Resumen. Vulnerabilidad /Impacto y Riesgo intrínseco22.502, 4 5 6 Personal de desarrollo de SW y HW PC's desarrollo PC's hardware PC's entorno de pruebas DIA AÑO EN-003 SI-001 SI-002 SI-003 Nº Código Nombre 50000 10000 10000 2500 1 A1-001 Incendio en oficinas 0,003 50% 0,003 50% 0,003 50% - 13,70 13,70 3,42 30,82 11.249,3 3 A2-001 Avería hardware 0,005 50% 0,005 50% 0,005 50% - 27,40 27,40 6,85 61,65 22.502,2 5 P1-001 Acceso físico a oficinas 0,003 5% 0,003 5% 0,003 5% - 1,37 1,37 0,34 3,08 1.124,2 6 P2-001 Acceso lógico interno a los sistemas 0,005 50% 0,005 50% 0,005 50% - 27,40 27,40 6,85 61,65 22.502,2 8 P5-002 No disponibilidad de personal 0,00274 50% 68,49 - - - 68,49 24.998,8 Riesgo intrínseco anual por activo 24.998,8 € 25.502, € 25.502 € 6.372,9 € --- 82.376,7
  51. 51. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Metodologías: NIST ST 800-30 Metodología de origen Americano que se apoya en los siguientes pasos: Determinación del sistema Identificación de vulnerabilidades Identificación de amenazas Estudio de las salvaguardas Determinación de la probabilidad Determinación del Riesgo Análisis del impacto
  52. 52. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Metodologías: NIST ST 800-30 Probabilidad de la amenaza Impacto Bajo (10) Medio (50) Alto (100) Alto (1.0) Bajo Medio Alto Medio (0.5) Bajo Medio Medio Bajo (0.1) Bajo Bajo Bajo
  53. 53. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Metodologías: NIST ST 800-30 Nivel de riesgo Acciones Alto Aplica medidas para controlar el riesgo de forma inmediata Medio Aplica medidas para controlar el riesgo en un periodo de tiempo razonable Bajo Analizar si aceptar el riesgo o aplicar medidas de control
  54. 54. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Metodologías: NIST ST 800-30 Activo Vulnerabilidad Amenaza Fuente Característica Director General No cláusula de exclusividad Oferta competencia X X X 0,5 100 Medio Base Datos Cliente Mala configuración Publicación de datos privados X X 0,1 100 Bajo Imagen Política firewall inadecuada Cambio contenido Web X X 0,1 100 Bajo Natural Humana Entorno Disponibilidad Confidencialidad Integridad Probabilidad Impacto Riesgo
  55. 55. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Cálculo del Riesgo El riesgo es una ponderación del valor del activo, la probabilidad que suceda y el impacto que tendría sobre el sistema. Valor (+) probabilidad (+) impactoValor (+) probabilidad (+) impactoValor (+) probabilidad (+) impactoValor (+) probabilidad (+) impacto
  56. 56. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Riesgo Probabilidad 1 2 3 4 5 Impacto 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 Valor 1 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 2 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 3 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 4 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14 5 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14 11 12 13 14 15 de 3 a 7 No es necesario control de 8 a 10 Control recomendado de 11 a 15 Control obligatorio
  57. 57. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Ejemplo de Análisis de riesgos Internet Explorer (6.0; 5.5; 5.0; 4.01) 3 E01 - Errores de utilización Susceptible a errores humanos de utilización 1 1 5 3 E02 - Errores de diseño, integración y explotación Susceptible a errores humanos en los procesos de diseño, integración y/o explotación 3 3 9 3 E04 - Inadecuación de monitorización, trazabilidad, registro del tráfico de información Existencia de una falta de revisión de logs, o de un proceso inadecuado de dicha revisión 3 1 7 3 E07 - Errores de actualización Susceptible de no estar correctamente actualizado 3 2 8 3 AP03 - Acceso lógico no autorizado con alteración o sustracción de la información, en tránsito o de configuración Debilidad en el control de acceso lógico al S.O. 4 3 10 Uso descuidado de los sistemas por parte de los trabajadores, dejando sus terminales accesibles 2 3 8 3 AT02 - Acceso lógico no autorizado con corrupción o destrucción de información en tránsito o de configuración Debilidad en el control de acceso lógico al S.O. 4 3 10 Debilidad en el sistema antivirus 1 3 7 3 AT03 - Acceso lógico no autorizado con modificación (inserción y/o repetición) de información en tránsito Debilidad en el control de acceso lógico al S.O. 4 3 10
  58. 58. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Cálculos técnicos (de simulacione s 4 E01- Errores de utilización Los empleados comenten errores durante la realización de las diferentes tareas que pueden provocar la destrucción o modificación de las informaciones 1 2 7 4 E05 - Errores relacionados con la formación y la concienciación del personal Uso descuidado de la información en papel por parte de los trabajadores, dejando información confidencial accesible 4 3 11 4 AP06 - Robo y sabotaje Uso descuidado o inadecuado de los controles de acceso físico al edificio 3 5 12 Posibilidad de enviar información a través del correo electrónico sin ningún control de direcciones, tanto de remitente como de recepción 3 5 12 No está controlada la destrucción de los soportes en los que se guarda la información (destructora de papel, borrado seguro de las informaciones, etc.) 2 5 11 4 AT01 - Acceso lógico no autorizado con sustracción Las informaciones enviadas no viajan encriptadas con los que podría ser posible interceptar y obtener dichas informaciones 2 4 10 4 AT03 - Acceso lógico no autorizado con modificación de información en tránsito Las informaciones enviadas no viajan encriptadas ni firmados con los que podría ser posible interceptar y modificar dichas informaciones 2 3 9 Ejemplo de Análisis de riesgos
  59. 59. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Contramedidas Según el riesgo Recomendaciones a la dirección una serie de contramedidas que pueden aplicar a su sistema para paliar el riesgo obtenido, ya sea intrínseco o residual
  60. 60. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Evaluación de riesgos y gastos Es necesario conocer su COSTE (anual) / VALOR Es necesario determinar claramente la RESPONSABILIDAD sobre cada activo Es necesario conocer qué AUTORIDAD existe
  61. 61. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Referencias06 Documentación para ampliar conocimientos: BSI e ISO: 1. Normas BSI: http://www.bsi-global.com 2. Web oficial de la ISO: http://www.iso.org/ 3. Wikipedia (ISO 17799): http://es.wikipedia.org/wiki/ISO/IEC_17799 4. Wikipedia (ISO): http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n Metodologías de Análisis de riesgos: 1. Web de AENOR (Asociación Española de Normalización y Certificación) http://www.aenor.es/ 2. Buscador de normas AENOR http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp 3. Magerit: Web del Consejo Superior de Administración Electrónica http://www.csi.map.es/ 4. CRAMM: http://www.cramm.com/ 5. NIST SP 800-30: Web oficial de la Nist: http://www.csrc.nist.gov/index.html 6. NIST SP 800-30: Publicaciones de la Nist: http://www.csrc.nist.gov/publications/nistpubs/ 7. Octave: http://www.cert.org/octave/
  62. 62. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Comparativa de Metodologías – Valoración de los elementos de análisis: Activo Valoracion Amenaza Vulnerabilidad Probabilida d que ocurra Impacto Riesgo Magerit Activo X Valor del Activo (medido en €) Amenaza Y No lo requiere Frecuencia Z % del valor del activo que se pierde sí el impacto se produce Valor de la perdida diaria que resulta de la multiplicacion del valor del activo con la probabilidad de ocurrencia de la amenaza CRAMM Activo X [1-5] Amenaza Y Vulnerabilidad W Frecuencia Z [1-5] [1-5] Escala [3 a 15] NIST SP 800- 30 Activo X Alto-Medio- Bajo Amenaza Y Vulnerabilidad W Frecuencia Z Alto- Medio-Bajo Alto-Medio-Bajo Alto, medio y bajo Octave Activo X Busca el riesgo más alto es un árbol de desición Amenaza Y Vulnerabilidad W Frecuencia Z Busca el riesgo más alto es un árbol de desición
  63. 63. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Comparativa de Metodologías: Puntos a Destacar Magerit CRAMM NIST SP 800-30 Octave País que la creo España Reino Unido Estados Unidos Estados Unidos Responsable del Producto Secretaría de Estado para la Administración Pública Cramm. El cual pertenece a Siemens National Institute of Standards and Technology (NIST) Software Engineering Institute (SEI) y Carnegie Mellon University (CMU) WebSite Versión 1: http://www.csi.map.es/csi/pg5m 22.htm Versión 2: http://www.csi.map.es/csi/pg5m 20.htm http://www.cramm.com/ http://www.csrc.nist.gov/index.html Publicaciones: http://www.csrc.nist.gov/publication s/nistpubs/ http://www.cert.org/octave/ Versiones Versión 1 (1997) Versión 2 (2006) Ultima versión: CRAMM NATO V5.3 Publicación 800-30 (2002) OCTAVESM Method Version 2.0 Herramienta para aplicar la metodología Herramientas: * PILAR * CHINCHON Un gran numero de herramientas de analisis y gestión de la información resultante de estas (ejemplo: CRAMM Express) Según lo investigado, la norma no especifica un producto en concreto para el analisis Según lo investigado, la norma no especifica un producto en concreto para el analisis, habla genericamente de 'Vulnerability Evaluation Tools' Principales Conceptos Activos, amenazas, vulnerabilidades, impactos, riesgos y salvaguardas Activos, amenazas, vulnerabilidades, riesgos, salvaguardas (contramedidas) Amenazas, vulnerabilidades, riesgos, controles Activos, amenazas, vulnerabilidades, riesgos
  64. 64. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Comparativa de Metodologías: Puntos a Destacar Magerit CRAMM NIST SP 800-30 Octave Fases 1- Planificación del Proyecto de Riesgos (como consideraciones iniciales para arrancar el proyecto de Análisis y Gestión de Riesgos) 2- Análisis de riesgos (Se identifican y valoran las diversas entidades, obteniendo una evaluación del riesgo, así como una estimación del umbral de riesgo deseable) 3- Gestión de riesgos (Se identifican las funciones y servicios de salvaguarda reductoras del riesgo) 4- Selección de salvaguardas (plan de implantación de los mecanismos de salvaguarda elegidos) 1- Identificación y valoración de activos (se identifican los activos físicos, software, y los activos de datos que conforman los sistemas de información) 2- Valoración de las amenazas y vulnerabilidades (determinar cuál es la probabilidad de que esos problemas ocurran) 3- Selección y recomendación de contramedidas (CRAMM contiene una gran librería de más de 3000 contramedidas organizadas en 70 grupos) 1- Iniciación (identificar riesgos es usado para soportar el desarrollo de los requerimientos del sistema) 2- Desarrollo o adquisición (El sistema IT es diseñado, expresado y propuesto o construido) 3- Implementación (los activos de seguridad del sistema son configurados, habilitados, testeados y verificados 4- Operación o mantenimiento (las actividades de mantenimiento para la reducción del riesgo son realizadas) 5- Disposición (las actividades de administración de riesgos son realizadas en los componentes del sistema) 1- Construcción de las vulnerabilidades basadas en los activos (visión organizacional) 2- Identificación de las vulnerabilidades de la infraestructura (visión tecnológica) 3- Desarrollo de estrategia de seguridad y planes de mitigación de las vulnerabilidades (estrategia y plan de desarrollo) Principales Características * Habla de análisis algorítmico con 3 modelos: cualitativo, cuantitativo y escalonado * En la versión 2 posee 3 documentos: Catalogo, Metodo y Tecnicas * > 400 tipos de activos * 38 tipos de amenazas * > 25 tipos de impactos * 7 medidas de riesgo * > 3500 controles * Otorga gran importancia a los controles * Habla de perfiles claves dentro de la organización respecto a la responsabilidad de la administración del riesgo * Posee 'Self-Direction'. Una pequeño equipo del personal de la misma organización es involucrado en los procesos de implementación de la metodología (personal de IT y de otros departamentos) * Creación de un pequeño equipo interdiciplinario de analisis de la información * Acercamiento basado en workshop donde personas de distintos niveles de la organización trabajan para identificar las vulnerabilidades basandose en los activos * Catalogos de la información: Catalogos de practicas, Perfil de activos, catalogo de vulnerabilidades * Habla de un balance entre 3 aspectos: Tecnología, Riesgo Operacional y Prácticas de seguridad
  65. 65. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Comparativa de Metodologías: Puntos a Destacar Magerit CRAMM NIST SP 800-30 Octave Aplicación * Analisis de riesgos * Gestión del riesgos * Plan Director de Seguridad * Analisis de riesgos * Gestión del riesgos * Plan Director de Seguridad * Analisis de riesgos * Gestión del riesgos * Plan Director de Seguridad * Analisis de riesgos * Gestión del riesgos * Plan Director de Seguridad Quien lleva a cabo la metodología * Pequeño grupo interdiciplinario conformado por empleados de la misma empresa * Pequeño grupo interdiciplinario conformado por empleados de la misma empresa * Pequeño grupo interdiciplinario conformado por empleados de la misma empresa * Pequeño grupo interdiciplinario conformado por empleados de la misma empresa Costo * No tiene costo, ya que es una normativa de libre aplicación * Plantea un analisis de costo beneficio, expresa una formula de ROI (Retorno de la inversión) La versión 4 costaba por el año 2001: * Para una compañía comercial: £2800 + £850 al año de mantenimiento * Para agencias y departamentos del estado britanico: £1600 + £850 al año de mantenimiento * Habla de costo relacionado con el beneficio, otorgando una condición relativa al costo de un plan director de seguridad, siempre que el costo sea menor al costo del riesgo analizado y solventado, el costo será bajo * Uso Interno: Gratuito * Uso Externo: Se debe comprar la licencia al SEI si se quiere implementar la metodología a un tercero Resultado del analisis (outputs) Resultados ordinales y cardinales * Tabla de valorazión del riesgo sobre los activos (escala de 1 a 10) * Lista de controles recomendados * Resultados de la documentación Fase 1: Activos Critivos, requerimientos criticos para activos criticos, vulnerabilidades de activos criticos, lista de practicas de seguridad actuales, lista de vulnerabilidades actuales de la organización Fase 2: Componentes clave, vulnerabilidades tecnologicas actuales Fase 3: Riesgos de los activos críticos, metricas del riesgo, estrategia de protección, planes de mitigación del riesgo
  66. 66. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Comparativa de Metodologías – Ventajas: Puntos a Destacar Magerit CRAMM NIST SP 800-30 Octave Ventajas Ambito de Aplicación N/A Se puede aplicar a nivel internacional (CRAMM v.5.1 ha sido usado en 23 países) Internacional Internacional Derecho de Utilización Su utilización no requiere autorización previa del Ministerio de Administraciones Públicas N/A N/A * Uso interno: Ilimitado Herramienta para aplicar la metodología Gratuita pero limitada. Se puede solicitar una versión ampliada Una gran cantidad de herramientas de aplicación de la metodología. N/A N/A Certificación Facilita la certificación: ISO 17999 Facilitar la certificación de BS 7799 e ISO 17999 Facilita la certificación: ISO 17999 Facilita la certificación: ISO 17999
  67. 67. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos Comparativa de Metodologías – Desventajas: Puntos a Destacar Magerit CRAMM NIST SP 800-30 Octave Desventajas Ambito de Aplicación * Solo de puede aplicar a nivel nacional (sólo en España) por lo que no se está certificado internacionalmente * No se puede aplicar en empresas multinacionales que precisen aplicar una unica metodología de analisis de riesgo para todos los países N/A N/A N/A Derecho de Utilización N/A * Hay que pagar el costo de la licencia (más alla del costo de la implementación del analisis y del mantenimiento) * Hay que pagar el costo de la licencia (más alla del costo de la implementación del analisis y del mantenimiento) * Uso externo: Limitado al pago de la licencia para su utilización
  68. 68. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Análisis de Riesgos ¿Dudas? ¿preguntas? ¡¡ Muchas Gracias !! ramiro@ramirocid.com @ramirocid http://www.linkedin.com/in/ramirocid http://ramirocid.com http://es.slideshare.net/ramirocid http://www.youtube.com/user/cidramiro Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

×