“ Gestión de Riesgos

Análisis y Tratamiento
Magerit 2 | PILAR ”

José A. Mañas

Dep. de Ingeniería de Sistemas Informáticos

Universidad Politécnica de Madrid
dit-upm

Gestión de Riesgos
Análisis y Tratamiento
Magerit 2 | PILAR

José A. Mañas <http://www.dit.upm.es/~pepe/>

Dep. de Ingeniería de Sistemas Informáticos
Universidad Politécnica de Madrid

Marzo, 2006
 Objetivos
dit
1. Gestión de riesgos
Análisis
Tratamiento
2. MAGERIT
Metodología de Análisis y Gestión de Riesgos
3. PILAR | EAR
Procedimiento Informático y Lógico para el Análisis de Riesgos
Entorno de Análisis de Riesgos
Desarrollado con el Centro Criptológico Nacional (CCN)
del Centro Nacional de Inteligencia (CNI)

gestión de riesgos 2 / 47
 Informática
dit
Antes
la informática era cosa de unos pocos profesionales
los sistemas eran complejos y muy suyos
la seguridad no era un problema
La red
lo cambia todo
no hay equipos aislados
los malos saben lo mismo que los buenos

gestión de riesgos 3 / 47
 Generaciones de sistemas
dit
G.1 G.2 G.3

tecnología host cliente / servidor en red

sistema manejable complejo incierto

objetivo eficacia del eficacia para
eficiencia
técnico sistema los usuarios
calidad funciona predecible controlable
objetivo de manejar mejorar la
organizar
negocio volumen productividad
información herramienta estrategia recurso

amenazas naturales accidentales deliberadas

gestión de riesgos 4 / 47
 Métodos de aseguramiento
dit
Primera Generación (198x)
checklists (auditoría del estado de seguridad de un S.I.)

Segunda Generación (199x)

métodos específicos (análisis de riesgos, coste-beneficio)

Tercera Generación (200x)

modelos de seguridad conectados a otros métodos (desarrollo …)
nuevas técnicas (gestión, comunicaciones, ...)
SGSI: sistemas de gestión de la seguridad de la información

gestión de riesgos 5 / 47
 Objetivos de la seguridad
dit
Mantener la disponibilidad de los datos almacenados, así como
su disposición a ser compartidos
contra la interrupción del servicio
Mantener la integridad de los datos ...
contra las manipulaciones
Mantener la confidencialidad de los datos almacenados,
procesados y transmitidos
contra las filtraciones
Asegurar la identidad de origen y destino
frente a la suplantación o engaño

gestión de riesgos 6 / 47
 Asegurar todos los niveles
dit
El personal
Los documentos
Los procesos
Las comunicaciones
Las aplicaciones
El sistema operativo
El hardware

gestión de riesgos 7 / 47
 Madurez
dit
International Systems Security Engineering Association
seguridad

mejora
mejoracontinua
continua

control
controlcuantitativo:
cuantitativo:métricas
métricas

bien
biendefinida:
definida:normas,
normas,procesos
procesosyyprácticas
prácticas

planificado
planificadoyygestionado
gestionado

tratamiento
tratamientoinformal:
informal:buenas
buenasprácticas
prácticas

tiempo
gestión de riesgos 8 / 47
 Common Criteria - ISO 15408
dit
valoran
propietarios
desean minimizar
imponen
para reducir
salvaguardas que pueden
reducidas por tener

vulnerabilidades
conscientes de
llevan a
riesgo
atacantes
sobre
explotan
dan pie a incrementan
amenazas activos
sobre
abusan de y/o pueden dañar

gestión de riesgos 9 / 47
 Definiciones
dit
Seguridad de las redes y de la información:
la capacidad de las redes o de los sistemas de información de resistir,
con un determinado nivel de confianza, los accidentes o acciones ilícitas
o malintencionadas que comprometan la disponibilidad, autenticidad,
integridad y confidencialidad de los datos almacenados o transmitidos y
de los servicios que dichas redes y sistemas ofrecen o hacen accesibles
Riesgo:
estimación del grado de exposición a que una amenaza se materialice
sobre uno o más activos causando daños o perjuicios a la organización

gestión de riesgos 10 / 47
 Gestión del riesgo
dit
Análisis de riesgos
proceso sistemático para estimar la magnitud de los riesgos a que
está expuesta una organización
Evaluación de los riesgos
proceso en el que se coteja el riesgo estimado contra los criterios
de la organización para determinar la importancia del riesgo
Tratamiento de riesgos
selección e implantación de salvaguardas para conocer, prevenir,
impedir, reducir o controlar los riesgos identificados

gestión de riesgos 11 / 47
 Magerit : análisis
dit
están expuestos a
activos
activos
Interesan por su

amenazas
amenazas
valor
valor

causan una cierta

degradación
degradación
impacto
impacto
con una cierta
frecuencia
frecuencia

riesgo
riesgo

gestión de riesgos 12 / 47
 Magerit : tratamiento
dit
están expuestos a
activos
activos
Interesan por su

amenazas
amenazas
valor
valor

causan una cierta degradación

degradación
residual
residual
impacto
impacto
residual
residual
con una cierta frecuencia
frecuencia
residual
residual
riesgo
tipo de activo riesgo
residual
residual
dimensión
salvaguardas
amenaza salvaguardas
nivel de riesgo
gestión de riesgos 13 / 47
 Magerit v2
dit
El problema es la complejidad
demasiados activos, amenazas, contra medidas, ...
La solución : una aproximación metódica

1. planificación del proyecto de análisis y gestión de riesgos

.1.1oportunidad .2.2alcance .3.3planificación .4.4lanzamiento
oportunidad alcance planificación lanzamiento

2. análisis de riesgos
.1.1activos .2.2amenazas .3.3salvaguardas .4.4estado
activos amenazas salvaguardas estadode
deriesgo
riesgo

3. gestión de riesgos
.1.1toma
tomade
dedecisiones .2.2plan
plande
deseguridad .3.3ejecución
decisiones seguridad ejecucióndel
delplan
plan

gestión de riesgos 14 / 47
 Activos
dit
Magerit
son los recursos del sistema de información, o relacionados con
éste, necesarios para que la organización funcione correctamente y
alcance los objetivos propuestos por su dirección
GMITS: ISO/IEC 13335-1 (2004)
Asset: anything that has value to the organization

gestión de riesgos 15 / 47
 ¿Qué cosas son activos?
dit
Sin duda alguna Puede Vd. opinar
Información Intangibles
(datos funcionales) Servicios
Las aplicaciones (sw) a usuario final (ext)
Los equipos (hw) internos (int)

Las comunicaciones contratados (cont)

Los locales Las personas

usuarios
operadores
administradores
desarrolladores

gestión de riesgos 16 / 47
 Unos activos dependen de otros
dit
servicios
servicios

información
información(datos)
(datos)

software
softwarede
debase
base aplicaciones
aplicaciones

equipamiento
equipamiento(hw)
(hw)

locales
locales personal
personal

gestión de riesgos 17 / 47
 Dependencia
dit
Un servicio deja de estar disponible [D]
¿por qué? si ocurre que ... a ...
Un dato puede ser manipulado [I]
¿cómo? por medio de ...
¿dónde? estando en ...
Un dato puede ser revelado [C]
¿cómo? por medio de ...
¿dónde? estando en ...

gestión de riesgos 18 / 47
 Valoración
dit
Coste que supondría la ocurrencia de una amenaza
valor de reposición
valor de reconstrucción
horas perdidas de trabajo
lucro cesante
daños y perjuicios

No sólo importa lo que cuesta;

importa [más] para qué vale
Para un estudio comparativo basta alguna escala sencilla:
0, 1, 2, ..., 10
es más importante saber el valor relativo que el absoluto
Para un estudio de costes se requiere una estimación ajustada

gestión de riesgos 19 / 47
 Dimensiones de valoración
dit
D disponibilidad
¿Qué importancia tendría que el activo no estuviera disponible?
I integridad
¿Qué importancia tendría que el activo fuera modificado fuera de control?
C confidencialidad
¿Qué importancia tendría que el activo fuera conocido por personas no
autorizadas?
A autenticidad
¿Qué importancia tendría que quien accede al activo no sea realmente
quien se cree?
T trazabilidad (accountability)
¿Qué importancia tendría que no quedara constancia del uso del activo?

gestión de riesgos 20 / 47
 ¿Qué activos valoramos?
dit
Los datos (información)
sin duda
Los servicios finales
probablemente SÍ:
es lo que entiende la Dirección
Los demás activos
probablemente NO:
sólo tienen valor en función de los datos que manejan y los servicios
que habilitan
¿sólo?

gestión de riesgos 21 / 47
 Valoración cualitativa
dit
Criterios homogéneos que permitan
relativizar entre dimensiones 10 muy alto

compartir / combinar análisis 9

realizados por separado 8 alto

7
uniformidad de conocimiento
6
5 medio
4
3
2 bajo
1
0 despreciable

gestión de riesgos 22 / 47
 Aspectos de valoración
dit
seguridad de las personas
información de carácter personal
obligaciones derivadas de la ley, del marco regulatorio, de
contratos, etc.
capacidad para la persecución de delitos
intereses comerciales y económicos
pérdidas financieras
interrupción del servicio
orden público
política corporativa
otros valores intangibles

gestión de riesgos 23 / 47
 Valoración cuantitativa (euros)
dit
B1 = beneficios_1 – gastos_1
si no ocurre nada
B2 = beneficios_2 – gastos_2
si se materializa la amenaza
IMPACTO = B1 – B2
(beneficios_1 – beneficios_2) + (gastos_2 – gastos_1)

0.0 euros
b1
g1
b2
g2

gestión de riesgos 24 / 47
 Otras calificaciones
dit
Carácter personal Clasificación de seguridad
Alto Secreto
Medio Confidencial
Bajo-Medio Reservado
Bajo Difusión limitada
Sin clasificar

Puede
Puede haber
haber normativa
normativa específica
específica
•• legal
legal
•• sectorial
sectorial
•• contractual
contractual
•• estratégica
estratégica dede lala organización
organización

gestión de riesgos 25 / 47
 Amenazas
dit
Son los eventos que pueden desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas
inmateriales

naturales
terremotos, inundaciones, rayos, ...
accidentales industriales
electricidad, emanaciones, ...
humanas: errores y omisiones

intercepción pasiva o activa

deliberadas
intrusión, espionaje, ...
(intencionales) robo, fraude, ...

gestión de riesgos 26 / 47
 Cuantificación de las amenazas
dit
Se trata de estimar la vulnerabilidad de los activos
frente a las amenazas
Las amenazas se cuantifican por su efecto sobre los activos
afectados
frecuencia de ocurrencia
¿cuántas veces por año?
ARO = annual rate of occurrence
degradación
daño causado
porcentaje del valor del activo que costará ...

gestión de riesgos 27 / 47
 Impacto
dit
Consecuencia que sobre un activo tiene la materialización de una
amenaza
pérdida posible

acumulado repercutido

activo
activoAA activo
activoAA

activo B amenaza Z activo

activoBB amenaza Z

gestión de riesgos 28 / 47
 Riesgo
dit
Estimación del grado de exposición a que una amenaza se
materialice sobre uno o más activos causando daños o perjuicios
a la organización
pérdida probable
Valoración
cualitativa / subjetiva
irrelevante … grave … intolerable
cuantitativa / económica
coste dinerario

Métodos
cualitativos: tabulares
cuantitativos: impacto × frecuencia

gestión de riesgos 29 / 47
 Estimación tabular
dit
impacto muy muy muy muy
[10] alto
alto alto alto alto

[7] medio alto alto alto alto

[5] bajo bajo medio medio medio

[3] bajo bajo bajo medio medio

muy muy muy muy

[1] bajo
bajo bajo bajo bajo
muy muy
baja media alta
baja alta
vulnerabilidad

gestión de riesgos 30 / 47
 Riesgo
dit
Consecuencia que sobre un activo tiene la materialización de una
amenaza modulada por la frecuencia o vulnerabilidad
pérdida probable

acumulado repercutido

activo
activoAA activo
activoAA

activo B amenaza Z activo

activoBB amenaza Z

gestión de riesgos 31 / 47
 Salvaguardas
dit
MAGERIT
procedimiento o mecanismo tecnológico que reduce el riesgo.
sinónimos: contra medidas, controles
ISO
safeguard: a practice, procedure or mechanism that reduces risk
baseline controls: a minimum set of safeguards established for a
system of organization
synonyms: countermeasures, controls

gestión de riesgos 32 / 47
 Tratamiento del riesgo
dit
1. Si se puede, se evita
2. Si no, hay que plantear una estrategia
1. hay que tener medidas preventivas

2. hay que tener un plan de emergencia

3. hay que tener un plan de recuperación

••Ninguna
Ningunaestrategia
estrategiaes
escompleta
completa
••Sólo
Sólolalacombinación
combinaciónequilibrada
equilibradapuede
puede
llevar
llevaraauna
unaseguridad
seguridadaceptable
aceptable

gestión de riesgos 33 / 47
 Aspectos
dit
¿Cómo se enfoca la respuesta al riesgo?
[PR] Procedimientos SIEMPRE
[PER] Política de personal siempre
Soluciones técnicas frecuentemente
[SW] Programas (soluciones software)
[COM] Securización de las comunicaciones
[HW] Equipamiento (soluciones hardware)
[PHY] Seguridad física casi siempre

••Ningún
Ningúnaspecto
aspectoes
escompleto
completo
••Sólo
Sólolalacombinación
combinaciónequilibrada
equilibradapuede
puede
llevar
llevaraauna
unaseguridad
seguridadaceptable
aceptable

gestión de riesgos 34 / 47
 ¿Cómo seleccionar salvaguardas?
dit
Expertos
sistemas expertos
Catálogos de salvaguardas
checklists
libros
leyes
reglamentos
normativa sectorial
...

gestión de riesgos 35 / 47
 Listas de salvaguardas
dit
Magerit
Criterios de Seguridad, Normalización y Conservación
Information Technology Baseline Protection Manual
GMITS: ISO/IEC 13335
Guidelines for the management of IT security
UNE & ISO/IEC 17799
Code of Practice for Information Security Management
Common criteria: ISO/IEC 15408
Recommended Security Controls for Federal Information
Systems
http://csrc.nist.gov/publications/drafts/draft-SP800-53.pdf
PILAR

gestión de riesgos 36 / 47
 Efectividad de las salvaguardas
dit
Tiene que
ser adecuada al peligro que conjura
estar instalada
estar mantenida, actualizada
estar monitorizada
el personal instruido: usuarios, operadores y administradores
existir procedimientos
De lo contrario
no vale de nada
o, al menos, no sabemos de qué vale

gestión de riesgos 37 / 47
 Incumplimientos
dit
Relación de aquellas salvaguardas que
deberían estar ...
desplegadas, mantenidas, monitorizadas
deberían adecuarse al peligro

Que es lo que recomienda el catálogo

personalizado a nuestro mapa de riesgos

gestión de riesgos 38 / 47
 Impacto y riesgo residuales
dit
Impacto
consecuencia que sobre un activo tiene la materialización de una
amenaza
Riesgo
lo que probablemente ocurra (el impacto anualizado)
Impacto y riesgo residuales
lo que queda tras contabilizar las salvaguardas

gestión de riesgos 39 / 47
 Magerit v2
dit
1. planificación del proyecto de análisis y gestión de riesgos
.1.1oportunidad .2.2alcance .3.3planificación .4.4lanzamiento
oportunidad alcance planificación lanzamiento

2. análisis de riesgos
.1.1activos .2.2amenazas .3.3salvaguardas .4.4estado
activos amenazas salvaguardas estadode
deriesgo
riesgo

3. gestión de riesgos
.1.1toma
tomade
dedecisiones .2.2plan
plande
deseguridad .3.3ejecución
decisiones seguridad ejecucióndel
delplan
plan

gestión de riesgos 40 / 47
 Valoración técnica → de servicio
dit
Teniendo en cuenta:
la gravedad del impacto y/o del riesgo
obligaciones por ley, reglamentos sectoriales o contratos
intangibles:
imagen pública de cara a la Sociedad
política interna
relaciones con los proveedores
relaciones con los usuarios
relaciones con otras organizaciones
nuevas oportunidades
acceso a sellos o calificaciones reconocidas de seguridad
...

gestión de riesgos 41 / 47
 T3.1 : Calificación de los riesgos
dit
1. es crítico
en el sentido de que requiere atención urgente
2. es grave
en el sentido de que requiere atención
3. es apreciable
en el sentido de que pueda ser objeto de estudio para su
tratamiento
4. es asumible
en el sentido de que no se van a tomar acciones para atajarlo

gestión de riesgos 42 / 47
 Plan de seguridad
dit
Si el impacto residual no es aceptable ...
Si el riesgo residual no es aceptable ...
Si las salvaguardas debidas no tienen una efectividad aceptable
...

... hay que hacer un plan para corregir la situación

desplegando nuevas salvaguardas
mejorando la efectividad de las salvaguardas presentes

gestión de riesgos 43 / 47
 Una actividad continua
dit Sistema de Gestión de la Seguridad de la Información

Plan
planificación
planificación

Act Do
mantenimiento
mantenimiento implementación
implementación
yymejora
mejora yyoperación
operación

Check
monitorización
monitorización
yyevaluación
evaluación

gestión de riesgos 44 / 47
 Interés de un análisis del riesgo
dit
Conciencia a [los miembros de] la organización
a la dirección y a los empleados
Identifica activos, amenazas y controles
modelo de valor de la organización
mapa de riesgos
estado de riesgo
Base razonada para tomar decisiones
juicio sobre la eficacia de los controles, actuales y futuros
Justificación del gasto en seguridad

gestión de riesgos 45 / 47
 ¿Cuándo?
dit
El análisis de riesgo muestra su máxima eficacia cuando se
realiza antes del despliegue de un sistema
y las salvaguardas se incorporan al diseño de la solución
Es necesario cuando
un sistema se hace cargo de nuevas o más importantes misiones
que aquellas para las que fue diseñado
morir de éxito
cambia el perfil de vulnerabilidad
ej. exposición a Internet

gestión de riesgos 46 / 47
dit
La guerra es un asunto de importancia vital para el Estado; un asunto
de vida o muerte, el camino hacia la supervivencia o la destrucción.
Por lo tanto, es imperativo estudiarla profundamente.

Hay que valorarla en términos de cinco factores fundamentales, y

hacer comparaciones entre diversas condiciones de los bandos
antagonistas, de cara a determinar el resultado de la contienda.

El primero de estos factores es la política; el segundo, el clima; el

tercero, el terreno; el cuarto, el comandante; y el quinto, la doctrina.

Mediante todo esto, uno puede adivinar el resultado final de la

batalla.
El Arte de la Guerra,
Capítulo 1: Estimaciones,
Sun Tzu, 2.000 a.C.
gestión de riesgos 47 / 47