Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Análisis y gestión de riesgos - Parte 1 de 2

165 views

Published on

Primera de 2 presentaciones sobre Análisis y gestión de riesgos.

En esta primera presentación se desarrollan todos estos temas:
1. Análisis de Riesgos: Principios generales
2. ISO 31000:2009
3. Análisis de Riesgos: Elementos y sus relaciones
4. Análisis de Riesgos: Metodología MAGERIT v.3
5. Análisis de Riesgos: Desarrollo de las fases

Published in: Business
  • Be the first to comment

  • Be the first to like this

Análisis y gestión de riesgos - Parte 1 de 2

  1. 1. 1 ramirocid.com Ramiro Cid | @ramirocid Análisis y Gestión de Riesgos Primera parte
  2. 2. 2 ramirocid.com 2 Índice 1. Análisis de Riesgos: Principios generales Slide 3 2. ISO 31000:2009 Slide 29 3. Análisis de Riesgos: Elementos y sus relaciones Slide 43 4. Análisis de Riesgos: Metodología MAGERIT v.3 Slide 63 5. Análisis de Riesgos: Desarrollo de las fases Slide 69
  3. 3. 3 ramirocid.com 1. Análisis de Riesgos: Principios generales
  4. 4. 4 ramirocid.com Apetito al riesgo en una organización 4 Madurez en la gestión del riesgo IT + Cultura organizacional + Grado de alineamiento de IS con Negocio APETITO AL RIESGO Grado de madurez del “IT Governance”
  5. 5. 5 ramirocid.com Apetito al riesgo en una organización 5 Es una buena práctica en seguridad IT disminuir la superficie de ataque, es decir, lo que se muestra y ofrece a un atacante potencial Ejemplo: Evitar que nuestro móvil tenga activado, si no se utiliza el Bluetooth, Wi-Fi o NFC para evitar ataques como el del BlueBorne a través de Bluetooth.
  6. 6. 6 ramirocid.com Análisis de riesgos: Primer acercamiento “Corresponde al proceso de identificar los riesgos, desde el punto de vista de la seguridad, determinando su magnitud e identificando las áreas que requieren medidas de salvaguarda”.
  7. 7. 7 ramirocid.com ¿Qué es un Análisis de Riesgos? Una posible definición: “Es el estudio de las causas de las posibles amenazas que pueden afectar a nuestros activos y de los probables eventos no deseados y daños/consecuencias que éstas puedan producir con el fin de poder tomar decisiones”. El objetivo final del análisis de riesgos (conjuntamente con la gestión de los mismos) es el poder tomar deciciones efectivas y eficientes desde un punto de vista de inversión de los recursos necesarios (personas, tecnología, dinero, tiempo) instrumentados como controles para poder reducir el riesgo residual a márgenes acordes a la cultura organizacional y el apetito al riesgo de la misma.
  8. 8. 8 ramirocid.com Relación entre gasto controles y riesgo residual Los controles deben siempre buscar reducir el riesgo residual a márgenes acordes a la cultura organizacional y el apetito al riesgo de la misma. Un control no tiene sentido si el coste del mismo es mayor que el valor del activo al cual proteje.
  9. 9. 9 ramirocid.com Primeras preguntas a realizarse ¿qué hay que hacer para no verse afectado por ellas? ¿qué hay en el sistema? ¿qué amenazas le afectan? Riesgo Activos ¿qué vulnerabilidades posee? Amenazas
  10. 10. 10 ramirocid.com ¿Por qué realizarlo? 1. Facilita el poder justificar las inversiones adecuadas en seguridad informática (pudiendo ser parte de un business case), buscando siempre los medios más adecuados (efectivos) para conseguir a través de un uso adecuado de los mismos (eficiencia) la reducción del riesgo a valores residuales acordes a la cultura organizacional y su apetito al riesgo. 2. Permite identificar los riesgos de la seguridad de la información que podrían afectar en el desarrollo de las actividades de negocio.
  11. 11. 11 ramirocid.com ¿Por qué realizarlo? 3. Facilita la correcta selección de las medidas de seguridad a implantar. 4. Busca la creación de los planes de contingencias en previsión de las amenazas detectadas. 5. Necesario en el diseño, implantación y certificación de un sistema de gestión de la seguridad de la información (SGSI o ISMS en Inglés), siendo el primer paso en la implementación de un SGSI.
  12. 12. 12 ramirocid.com Elementos del Análisis  Activos: Los activos son todos aquellos elementos que forman parte del Sistema de Información.  Amenazas: Las amenazas son todas aquellas cosas que le pueden suceder a los activos que se salen de la normalidad.  Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por las amenazas para dañar a un activo (son los agujeros de seguridad).  Impacto: Consecuencia de la materialización de una amenaza sobre un activo.
  13. 13. 13 ramirocid.com Elementos del Análisis  Controles: Son todos aquellos mecanismos que permiten reducir las vulnerabilidades de los sistemas o el impacto de una amenaza.  Riesgos: Son el resultado del análisis de riesgo. El riesgo es una ponderación del valor del activo, la probabilidad que suceda una amenaza y el impacto que tendría sobre el sistema. Riesgo = Valor Activo + Probabilidad + Impacto
  14. 14. 14 ramirocid.com Alcance del Análisis Algunos de ustedes tal vez hicieron algún análisis de riesgo en el pasado, y tal vez algunos otros realizan análisis de riesgos en forma regular. Algunas personas usan Magerit, CRAMM, OCTAVE, u otras metodologías de análisis de riesgo, pero... ¿Alguna vez has pensado si tienes un GAP en la forma en que usas la metodología para hacer tu análisis? ¿Alguna vez has pensado que puede haber una falta de visibilidad en la forma en que haces tu análisis?
  15. 15. 15 ramirocid.com Universo percibido y relevante Un observador (por ejemplo, una persona que está haciendo un análisis de riesgo) tiene una GRAN falta de visibilidad de la realidad que está haciendo el análisis. En general, nos encontramos con algo como esto: Los ÚNICOS datos presentes en el Análisis de Riesgo son que el Observador los considera "RELEVANTES" (área verde en el gráfico) Universo no percibido Universo percibido Universo relevante
  16. 16. 16 ramirocid.com Causas de la falta de visibilidad La falta de visión del observador que está haciendo el análisis tiene múltiples razones, podemos mencionar algunas causas habituales: 1) Falta de conocimiento del entorno bajo análisis. 2) Falta de tiempo para realizar un análisis de riesgo completo de la manera correcta. 3) Falta de conocimiento sobre las mejores prácticas en seguridad de TI. 4) Demasiado centrado en algunos aspectos / dominios del medio ambiente pero olvidando otros.
  17. 17. 17 ramirocid.com ¿Cuál es el orden correcto para realizar un análisis de riesgo? ¿En primer lugar revisar las vulnerabilidades y analizar más adelante las amenazas relacionadas? o ¿sería mejor crear diferentes escenarios y luego analizar las posibles amenazas y nuestras vulnerabilidades en relación a ellas? Como pudimos ver en slides anteriores, el análisis del observador es muy limitado, por lo que debemos tratar de abrir lo más posible nuestro análisis de riesgo para obtener un mejor resultado. Para no limitar nuestro análisis, la mejor opción es hacer ambos análisis. MUY IMPORTANTE: ¡No limitar nuestro análisis!
  18. 18. 18 ramirocid.com ¿Qué pasos tengo que seguir en mi análisis de riesgo? 1. Haga la lista de activos a analizar en nuestro alcance. 2. Complete la lista de amenazas en relación con cada activo. 3. Complete la lista de vulnerabilidades por cada amenaza. 4. Calcule el riesgo. ¡ El análisis completo: en ambos sentidos !
  19. 19. 19 ramirocid.com 5. Complete la lista de controles para mitigar el riesgo. 6. Estime el riesgo residual o "riesgo después de los controles" (riesgo después de aplicar los controles). 7. Cree diferentes escenarios que podrían tener un impacto en nuestros activos. 8. Revise las vulnerabilidades que tenemos en relación con ellas. 9. Estime el posible impacto. ¿Qué pasos tengo que seguir en mi análisis de riesgo? ¡ El análisis completo: en ambos sentidos !
  20. 20. 20 ramirocid.com Relaciones entre los elementos Incrementan PoseenGeneranGeneran Protegen contra Incrementan Incrementan Exponen Aprovechan las RiesgosControles Amenazas Vulnerabilidades Requerimientos de Seguridad Activos Valor de los activos e impactos potenciales
  21. 21. 21 ramirocid.com Resumen del procedimiento de análisis de riesgos Identificación y valoración de activos Valoración de amenazas y vulnerabilidades Análisis de Riesgos Gestión del riesgo
  22. 22. 22 ramirocid.com Tipos de Análisis Hay dos tipos de análisis de riesgos según la manera de medir: Cualitativo es aquel que se realiza sin tener en cuenta valores (ej. Euros) o escalas (ej. Alto, medio, bajo) -> Técnica de gestión de proyectos relacionada con el descubrimiento de la probabilidad de que se produzca un evento de riesgo y el impacto que tendrá el riesgo si se produce. Todos los riesgos tienen tanto probabilidad como impacto. Es más subjetivo. Cuantitativo es aquel que se realiza teniendo en cuenta valores o escalas -> Genera como resultado un riesgo más medible/cuantificable, aunque el factor subjetivo en la medición también se encuentra presente.
  23. 23. 23 ramirocid.com Tipos de Análisis Hay dos tipos de análisis de riesgos según las cosas que se tienen en cuenta: Intrínseco es aquel que se realiza sin tener en cuenta aquellas contramedidas que ya se están aplicando. -> Genera como resultado el Riesgo Intrínseco Residual es aquel que se realiza teniendo en cuenta las contramedidas ya aplicadas. -> Genera como resultado el Riesgo Residual
  24. 24. 24 ramirocid.com Contramedidas Según el riesgo: Realizar recomendaciones a la dirección la aplicación de una serie de contramedidas que pueden implementarse en el sistema para paliar el riesgo obtenido, ya sea intrínseco o residual. En última instancia la Dirección General es quien debe asumir el riesgo
  25. 25. 25 ramirocid.com Evaluación de riesgos y gastos  Es necesario conocer su COSTE (anual) / VALOR  Es necesario determinar claramente la RESPONSABILIDAD sobre cada activo  Es necesario conocer qué AUTORIDAD existe
  26. 26. 26 ramirocid.com Toma de datos de los procesos de la Información Objetivos: Definir el área de aplicación del estudio (alcance) y el objetivo final del análisis de riesgos. Tener una visión global del proceso de información en la organización. Establecer el grado de análisis en unidades homogéneas en todo el alcance (granularidad).
  27. 27. 27 ramirocid.com Algunas Conclusiones  Lo que se pretende en la Gestión de riesgos es reducir la probabilidad y/o el impacto. La amenaza no se puede reducir, lo que se intenta es eliminar la vulnerabilidad para que con esto la probabilidad de ocurrencia de la amenaza disminuya, adicionalmente, se trata de que el impacto en caso de ocurrencia sea menor.  Una buena práctica utilizada para grandes empresas es aplicar primero NIST para filtrar los riesgos altos, luego se aplica Magerit o CRAMM sobre estos.
  28. 28. 28 ramirocid.com Video: Análisis y valoración de riesgos https://www.youtube.com/watch?v=g7EPuzN5Awg
  29. 29. 29 ramirocid.com 2. ISO 31000:2009
  30. 30. 30 ramirocid.com 30 ISO 31000:2009 - Introducción El nombre completo de esta norma es: “ISO 31000:2009, Risk management - Principles and guidelines” Esta norma proporciona principios, marco y proceso para la gestión del riesgo. Puede ser utilizado por cualquier organización independientemente de su tamaño, actividad o sector. El uso de la ISO 31000 puede ayudar a las organizaciones a incrementar la probabilidad de alcanzar los objetivos, mejorar la identificación de oportunidades y amenazas y asignar y utilizar recursos efectivamente para el tratamiento del riesgo.
  31. 31. 31 ramirocid.com 31 ISO 31000:2009. Historia La norma ISO 31000 se publicó el 13 de noviembre de 2009 y proporciona un estándar sobre la implementación de la gestión de riesgos. Una guía ISO / IEC 73 revisada y armonizada fue publicada al mismo tiempo. El propósito de ISO 31000: 2009 es ser aplicable y adaptable para "cualquier empresa, asociación, grupo o individuo público, privado o comunitario”. En consecuencia, el alcance general de la norma ISO 31000 como una familia de estándares de gestión de riesgos no se desarrolla para un determinado grupo industrial, sistema de gestión o campo de la materia, sino para proporcionar una estructura y orientación de mejores prácticas a todas las operaciones relacionadas con la gestión de riesgos.
  32. 32. 32 ramirocid.com 32 ISO 31000:2009 Family – Normativa relacionada  ISO 31000:2009 - Principles and Guidelines on Implementation Es la norma principal. Principios y directrices, proporciona principios, marco y un proceso para la gestión del riesgo. Puede ser utilizado por cualquier organización independientemente de su tamaño, actividad o sector. ISO/IEC 31010:2009 - Risk Management - Risk Assessment Techniques Las técnicas de evaluación de riesgos se centran en la evaluación del riesgo. La evaluación del riesgo ayuda a los tomadores de decisiones a comprender los riesgos que podrían afectar el logro de los objetivos, así como la adecuación de los controles ya establecidos. Se centra en conceptos de evaluación de riesgos, procesos y la selección de técnicas de evaluación de riesgos. ISO Guide 73:2009 - Risk Management – Vocabulary El vocabulario complementa la ISO 31000 proporcionando una colección de términos y definiciones relacionados con la gestión del riesgo.
  33. 33. 33 ramirocid.com 33 ISO 31000:2009. Certificación La ISO 31000 no puede utilizarse con fines de certificación, sino que proporciona orientación para programas de auditoría interna o externa. Las organizaciones que lo utilizan pueden comparar sus prácticas de gestión de riesgos con un punto de referencia internacionalmente reconocido, proporcionando principios sólidos para una gestión y un gobierno corporativo eficientes. La ISO 31000 no ha sido desarrollado con la intención de obtener una certificación.
  34. 34. 34 ramirocid.com 34 ISO 31000:2009. Acreditación A partir de marzo de 2013, la acreditación y la certificación del Certificado Profesional Trainer & Consultant para ISO 31000 son organizadas y conferidas por la Academia de Certificación Profesional (APC, http://www.apc.org.hk) en Hong Kong. APC es un representante autorizado de ISO / TC262 para HKSAR Hong Kong. (2013)
  35. 35. 35 ramirocid.com 35 ISO 31000:2009. Principales conceptos Riesgo: "Efecto de la incertidumbre sobre los objetivos”  Consecuencias positivas y negativas.  Seguridad de las personas (safety), cumplimiento, estrategia, cualquier cosa bajo el Sol. Gestión de riesgos: “Actividades coordinadas de dirección y control y organización en materia de riesgo“.
  36. 36. 36 ramirocid.com 36 Marco de gestión del riesgo: “Conjunto de componentes que proporcionan las bases y los arreglos organizativos para diseñar, implementar, monitorear, revisar y mejorar (como PDCA) continuamente los procesos de gestión de riesgos en toda la organización". Proceso de gestión de riesgos: “Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las tareas de comunicación, consulta, establecimiento del contexto, identificación, análisis, evaluación, tratamiento, seguimiento y revisión de riesgos". ISO 31000:2009. Principales conceptos
  37. 37. 37 ramirocid.com 37 ISO 31000:2009. Alcance La ISO 31000: 2009 proporciona directrices genéricas para el diseño, implementación y mantenimiento de procesos de gestión de riesgos en toda la organización. Este enfoque para formalizar las prácticas de gestión de riesgos facilitará una adopción más amplia por las empresas que requieren un estándar de gestión de riesgos de la empresa que acomoda múltiples sistemas de gestión 'centrados en silos'. El alcance de este enfoque de la gestión de riesgos es permitir que todas las tareas estratégicas, de gestión y operativas de una organización a lo largo de proyectos, funciones y procesos se alineen con un conjunto común de objetivos de gestión de riesgos.
  38. 38. 38 ramirocid.com 38 ISO 31000:2009. Alcance En consecuencia, la ISO 31000:2009 está pensada para un amplio grupo de partes interesadas que incluyen: Stakeholders a nivel ejecutivo. Los titulares de citas (appointment holders) en el grupo de gestión de riesgos empresariales. Analistas de riesgos y gerentes. Gerentes de Línea y jefes de Proyectos. Cumplimiento y auditores internos. Profesionales independientes.
  39. 39. 39 ramirocid.com 39 ISO 31000:2009. Implementación La intención de la ISO 31000 es que se aplique dentro de los sistemas de gestión existentes para formalizar y mejorar los procesos de gestión de riesgos en lugar de sustituir al por mayor las prácticas de gestión heredadas. Posteriormente, al implementar la ISO 31000, se debe prestar atención a integrar los procesos existentes de gestión de riesgos en el nuevo paradigma abordado en la norma.
  40. 40. 40 ramirocid.com 40 ISO 31000:2009. Implementación El enfoque de muchos programas de "armonización" ISO 31000 se ha centrado en: Transferir las “brechas de rendición de cuentas” (accountability) en la gestión del riesgo empresarial. Alinear los objetivos de los marcos de gobernabilidad con la norma ISO 31000. Incorporar de mecanismos de informes del sistema de gestión. Crear de criterios de riesgo uniformes y métricas de evaluación.
  41. 41. 41 ramirocid.com 41 ISO 31000:2009. Implicaciones La mayoría de las implicaciones para la adopción de la nueva norma se refieren a la reingeniería de las prácticas de gestión existentes para ajustarse a la documentación, comunicación y socialización del nuevo paradigma operacional de gestión de riesgos; en oposición a la reorientación mayorista de la práctica de gestión en toda la organización. En consecuencia, la mayoría de los titulares de cargos de alto nivel en una organización de gestión de riesgos de la empresa tendrá que ser consciente de las implicaciones para la adopción de la norma y ser capaz de desarrollar estrategias eficaces para la aplicación de la norma a través de cadenas de suministro y operaciones comerciales.
  42. 42. 42 ramirocid.com 42 Ciertos aspectos de la rendición de cuentas de la alta dirección, la implementación de políticas estratégicas y los marcos de gobernabilidad eficaces requerirán mayor consideración por parte de las organizaciones que han utilizado anteriormente metodologías redundantes de gestión de riesgos. En algunos ámbitos que se refieren a la gestión de riesgos, en particular la seguridad y la responsabilidad social de las empresas, que pueden operar utilizando procesos de gestión del riesgo relativamente poco sofisticados, se requerirá un cambio material mayor, particularmente en relación con una política claramente articulada de gestión de riesgos y la adopción de programas de mejora continua. ISO 31000:2009. Implicaciones
  43. 43. 43 ramirocid.com 3. Análisis de Riesgos: Elementos y sus relaciones
  44. 44. 44 ramirocid.com “Los activos son todos aquellos elementos que forman parte del Sistema de Información”. Activos. Definición de activos Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos. [UNE 71504:2008] (AENOR)
  45. 45. 45 ramirocid.com Activos. Valoración de activos VALORACIÓN: Coste TOTAL que supondría recuperarse de una incidencia que destrozara el activo. Factores a tener en cuenta: Valor de reposición: adquisición e instalación. Valor de configuración, puesta a punto, etc. Valor de uso del activo. Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo. Lucro cesante: perdida de ingresos. Capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida de actividad o en peores condiciones económicas. Sanciones por incumplimiento de la ley u obligaciones contractuales. Daño a otros activos, propios o ajenos. Daño a personas. Daños medioambientales.
  46. 46. 46 ramirocid.com Activos. Clasificación de activos Activos físicos: Hardware Los activos físicos son aquellas cosas que forman parte de la empresa como material de ayuda a desempeñar una actividad. Ejemplo: Ordenador, Impresora, ... Activos lógicos: Software Los activos lógicos son aquellos programas o datos que forman parte del conocimiento de la empresa para desempeñar la actividad. Ejemplo: BD, Intranet Corporativa, ...
  47. 47. 47 ramirocid.com Personal: Roles del Sistema Los roles del personal relacionados con la seguridad, son todas aquellas responsabilidades que hay que asumir en cuanto a la seguridad del sistema. • Fórum de seguridad • Responsable de seguridad (CISO) • Operador de copia de seguridad • Etc. Activos. Clasificación de activos
  48. 48. 48 ramirocid.com Entorno Aire Acondicionado. Sistema Eléctrico. instalaciones adicionales. Imagen Corporativa La fiabilidad, y la imagen de la empresa son uno de los activos más importantes a la hora que los clientes depositen en ella su confianza. Activos. Clasificación de activos
  49. 49. 49 ramirocid.com Se clasifican según su:  Confidencialidad (libre, restringida, protegida, confidencial, etc.).  Integridad (bajo, normal, alto, crítico).  Disponibilidad (menos de una hora, menos de un día, menos de una semana, más de una semana). Activos. Clasificación de activos
  50. 50. 50 ramirocid.com “Las amenazas son todas aquellas cosas que le pueden suceder a los activos que se salen de la normalidad”. Amenazas. Definición de amenazas Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. [UNE 71504:2008] (AENOR)
  51. 51. 51 ramirocid.com Tipo de amenazas Las amenazas normalmente dependen del negocio de la empresa y del tipo de sistema que se quiere proteger Ejemplos: Empresa de desarrollo de sistemas Colegio Profesional Universidad
  52. 52. 52 ramirocid.com “Toda debilidad que puede ser aprovechada por una amenaza, o más detalladamente a las debilidades de los activos o de sus medidas de protección que facilitan el éxito de una amenaza potencial”. Vulnerabilidad. Definición de vulnerabilidad
  53. 53. 53 ramirocid.com Debilidad o agujero en la organización de la seguridad. Una vulnerabilidad en si misma no produce daños. ¡Es un condicionante para que una amenaza afecte a un activo!. Vulnerabilidad. Características
  54. 54. 54 ramirocid.com Vulnerabilidades. Relaciones con activos y amenazas El cruce de un activo sobre el que puede materializar una amenaza, da lugar a una vulnerabilidad. Activo Amenaza Vulnerabilidad Servidor Fallo del sistema eléctrico Dependiente de la corriente Acceso lógico no autorizado Accesibilidad al sistema
  55. 55. 55 ramirocid.com “Es la consecuencia de que una amenaza se materialice sobre un activo”. Impacto. Definición de impacto
  56. 56. 56 ramirocid.com Impacto. Valoración Identificación de impactos: Como el resultado de la agresión de una amenaza sobre un activo. El efecto sobre cada activo para poder agrupar los impactos en cadena según la relación de activos. El valor económico representativo de las pérdidas producidas en cada activo Las pérdidas pueden ser cuantitativas o cualitativas.
  57. 57. 57 ramirocid.com “Se definen los controles, salvaguardas o contra medidas como aquellos procedimientos o mecanismos tecnológicos (o no) que reducen el riesgo”. Controles. Definición de controles
  58. 58. 58 ramirocid.com Controles. Acción de las salvaguardas Se analiza el efecto de las salvaguardas sobre los impactos y/o las vulnerabilidades. Preventivas: Disminuyen la vulnerabilidad Nueva vulnerabilidad = (Vulnerabilidad - % disminución vulnerabilidad) Curativas: Disminuyen el impacto Nuevo impacto = (Impacto - disminución impacto)
  59. 59. 59 ramirocid.com Evaluación de riesgos Identifica el coste anual que supone la combinación de activo, amenaza, vulnerabilidad e impacto. Riesgo intrínseco: Valor activo * Vulnerabilidad * Impacto Riesgo efectivo: Valor efectivo * Nueva vulnerabilidad * Nuevo Impacto= Valor activo * (Vulnerabilidad - % Disminución Vulnerabilidad) * (Impacto - % Disminución Impacto)= Riesgo intrínseco * % Disminución Vulnerabilidad * % Disminución del Impacto
  60. 60. 60 ramirocid.com Gestión de riesgos Gestionar los riesgos identificados: Determinar si el riesgo es aceptable: • SI: Identificar y aceptar el riesgo residual. • NO: Decidir sobre la forma de gestionar el riesgo. Forma de gestionar el riesgo: (el riesgo nunca desaparece)  Evitarlo: suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad.  Transferido: cambiar un riesgo por otro: Outsourcing, seguros, etc.  Reducirlo: reducir la amenaza, vulnerabilidad, impacto.  Asumirlo: Detectar y aceptarlo y recuperarse en caso de impacto (Statu quo).  x
  61. 61. 61 ramirocid.com Gestión de riesgos Identificar requisitos de seguridad Identificar requisitos de seguridad ¿Hacemos algo? ¿Reducimos riesgos? Eliminar el origen del riesgo, o transferido Proceso de reducción de nivel de riesgo Selección de controles
  62. 62. 62 ramirocid.com Gestión de riesgos Una vez se tiene decidido que es lo que hay que hacer se elaborar el: PLAN DE ACCIÓN Establecer prioridades. Plantear un análisis de coste-beneficio. Hacer la selección definitiva de controles a implantar. Asignar responsabilidades. Desarrollar un plan de gestión de riesgos. Implantar los controles.
  63. 63. 63 ramirocid.com 4. Análisis de Riesgos: Metodología MAGERIT v.3
  64. 64. 64 ramirocid.com Metodologías: MAGERIT v.3
  65. 65. 65 ramirocid.com Marco de trabajo en MAGERIT
  66. 66. 66 ramirocid.com 1. Determinar los activos relevantes para la organización 2. Determinar a que amenazas están expuestos esos activos 3. Determinar las salvaguardas dispuestas 5. Estimar el riesgo 4. Estimar el impacto Fases de MAGERIT
  67. 67. 67 ramirocid.com Tareas dentro del análisis de riesgo de MAGERIT
  68. 68. 68 ramirocid.com Elementos del análisis de riesgos potenciales
  69. 69. 69 ramirocid.com 5. Análisis de Riesgos: Desarrollo de las fases
  70. 70. 70 ramirocid.com Fases de MAGERIT -> FASE 1 1. Determinar los activos relevantes para la organización 2. Determinar a que amenazas están expuestos esos activos 3. Determinar las salvaguardas dispuestas 5. Estimar el riesgo 4. Estimar el impacto
  71. 71. 71 ramirocid.com Activos. Identificación El objetivo es identificar los activos que componen el sistema, determinando sus características, atributos y clasificación en los tipos determinados:
  72. 72. 72 ramirocid.com Activos. Identificación Productos de salida: • Relación de activos a considerar. • Caracterización de los activos: valor propio y acumulado. • Relaciones entre activos.
  73. 73. 73 ramirocid.com Activos. Identificación (CRAMM) En el caso de la metodología CRAMM, se comienza con el establecimiento del alcance (a través de la identificación y valoración de activos), pero no son estos el centro del análisis, pasan a ser un medio más que un fin del análisis.
  74. 74. 74 ramirocid.com Activos. Identificación (OCTAVE) En el caso de la metodología OCTAVE, se desarrolla un perfil de activos de información y posteriormente se lleva a cabo una identificación de los contenedores de activos de información.
  75. 75. 75 ramirocid.com Activos. Dependencias En un sistema de información hay 2 propiedades de los llamados “activos esenciales” o “activos superiores” (pero que dependen de los inferiores):  La información que manejan.  Los servicios que prestan. Estos activos esenciales marcan los requisitos de seguridad para todos los demás componentes del sistema.
  76. 76. 76 ramirocid.com Activos. Dependencias Subordinados a dicha esencia se pueden identificar otros activos relevantes (denominados como “activos inferiores”). De estos dependen los “superiores”:  Datos que materializan la información.  Servicios auxiliares que se necesitan para poder organizar el sistema.  Las aplicaciones informáticas (software) que permiten manejar los datos.  Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios.
  77. 77. 77 ramirocid.com Activos. Dependencias Más “activos inferiores”: (continuación)  Los soportes de información que son dispositivos de almacenamiento de datos.  El equipamiento auxiliar que complementa el material informático.  Las redes de comunicaciones que permiten intercambiar datos.  Las instalaciones que acogen equipos informáticos y de comunicaciones.  Las personas que explotan u operan todos los elementos anteriormente citados.
  78. 78. 78 ramirocid.com Activos. Dependencias Los activos esenciales son la información y los servicios prestados; pero estos activos dependen de otros activos como pueden ser los equipos, las comunicaciones, las instalaciones y las frecuentemente olvidadas personas que trabajan con aquellos. De manera que los activos vienen a formar árboles o grafos de dependencias donde la seguridad de los activos que se encuentran más arriba en la estructura o ‘superiores’ depende de los activos que se encuentran más abajo o ‘inferiores’. Estas estructuras reflejan de arriba hacia abajo las dependencias, mientas que de abajo hacia arriba la propagación del daño caso de materializarse las amenazas.
  79. 79. 79 ramirocid.com Activos. Dependencias Hay que adaptarse a la Organización analizada, con frecuencia se puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las inferiores:  Activos esenciales Información que se maneja Servicios prestados  Servicios internos Que estructuran ordenadamente el sistema de información  El equipamiento informático Aplicaciones (software) Equipos informáticos (hardware) Comunicaciones Soportes de información: discos, cintas, etc.
  80. 80. 80 ramirocid.com Activos. Dependencias  El entorno: activos que se precisan para garantizar las siguientes capas:  Equipamiento y suministros: energía, climatización, etc.  Mobiliario  Los servicios subcontratados a terceros  Las instalaciones físicas  El personal:  Usuarios  Operadores y administradores  Desarrolladores
  81. 81. 81 ramirocid.com  La valoración es la determinación del coste que supondría recuperarse de una incidencia que destrozara el activo.  Factores a considerar:  Coste de reposición: adquisición e instalación.  Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo.  Lucro cesante: perdida de ingresos.  Capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida de actividad o en peores condiciones económicas.  Sanciones por incumplimiento de la ley u obligaciones contractuales.  Daño a otros activos, propios o ajenos.  Daño a personas.  Daños medioambientales. Activos. Valoración 81
  82. 82. 82 ramirocid.com La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna escala de niveles). Los criterios más importantes a respetar son:  La homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, así como poder determinar si es más grave el daño en una dimensión o en otra.  La relatividad: es importante poder relativizar el valor de un activo en comparación con otros activos. Activos. Tipo de valoración 82
  83. 83. 83 ramirocid.com Ambos criterios se satisfacen con valoraciones económicas (coste dinerario requerido para “curar” el activo) y es frecuente la tentación de ponerle precio a todo. Si se consigue, excelente. Incluso es fácil ponerle precio a los aspectos más tangibles (equipamiento, horas de trabajo, etc.); pero al entrar en valoraciones más abstractas (intangibles como la credibilidad de la organización) la valoración económica exacta puede ser escurridiza y motivo de agrias disputas entre expertos. Activos. Tipo de valoración 83
  84. 84. 84 ramirocid.com Las escalas cualitativas permiten avanzar con rapidez, posicionando el valor de cada activo en un orden relativo respecto de los demás. Es frecuente plantear estas escalas como “órdenes de magnitud” y, en consecuencia, derivar estimaciones del orden de magnitud del riesgo. La limitación de las valoraciones cualitativas es que no permiten comparar valores más allá de su orden relativo. No se pueden sumar valores. La "Guía de Técnicas" presenta un modelo de análisis basado en valoraciones cualitativas. Activos. Valoración cualitativa 84
  85. 85. 85 ramirocid.com Las valoraciones numéricas absolutas cuestan mucho esfuerzo; pero permiten sumar valores numéricos de forma absolutamente “natural”. La interpretación de las sumas no es nunca motivo de controversia. Si la valoración es dineraria, además se pueden hacer estudios económicos comparando lo que se arriesga con lo que cuesta la solución respondiendo a las preguntas: ¿Vale la pena invertir tanto dinero en esta salvaguarda? ¿Qué conjunto de salvaguardas optimizan la inversión? ¿En qué plazo de tiempo se recupera la inversión? ¿Cuánto es razonable que cueste la prima de un seguro? Activos. Valoración cuantitativa 85
  86. 86. 86 ramirocid.com Activos. Dimensiones de los activos De un activo puede interesar calibrar diferentes dimensiones: Confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es típica en el caso de los datos. Integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos. Disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es típica de los servicios.
  87. 87. 87 ramirocid.com Activos. Dimensiones de los activos En sistemas dedicados a servicios de la sociedad de la información (ej. sistemas de administración electrónica o comercio electrónico), el conocimiento de los actores es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse, por lo cual es útil valorar: Autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa?. Trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? o ¿quién hace qué y cuándo?. Trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y qué hace con ellos?.
  88. 88. 88 ramirocid.com Una vez conocidos los activos incluidos dentro de nuestro análisis y habiendo revisado las amenazas asociadas a los mismos, es momento de analizar las vulnerabilidades inherentes a nuestros activos para conocer cuales son las falencias que pueden provocarnos un impacto en caso de manifestarse las amenazas relacionadas a los activos. Activos. Establecimiento de vulnerabilidades
  89. 89. 89 ramirocid.com ¿Preguntas? ¡Muchas gracias! Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL ramiro@ramirocid.com @ramirocid http://www.linkedin.com/in/ramirocid http://ramirocid.com http://es.slideshare.net/ramirocid http://www.youtube.com/user/cidramiro

×