Professional Documents
Culture Documents
Análisis y Tratamiento
Magerit 2 | PILAR ”
José A. Mañas
Gestión de Riesgos
Análisis y Tratamiento
Magerit 2 | PILAR
Marzo, 2006
Objetivos
dit
1. Gestión de riesgos
Análisis
Tratamiento
2. MAGERIT
Metodología de Análisis y Gestión de Riesgos
3. PILAR | EAR
Procedimiento Informático y Lógico para el Análisis de Riesgos
Entorno de Análisis de Riesgos
Desarrollado con el Centro Criptológico Nacional (CCN)
del Centro Nacional de Inteligencia (CNI)
gestión de riesgos 2 / 47
Informática
dit
Antes
la informática era cosa de unos pocos profesionales
los sistemas eran complejos y muy suyos
la seguridad no era un problema
La red
lo cambia todo
no hay equipos aislados
los malos saben lo mismo que los buenos
gestión de riesgos 3 / 47
Generaciones de sistemas
dit
G.1 G.2 G.3
gestión de riesgos 4 / 47
Métodos de aseguramiento
dit
Primera Generación (198x)
checklists (auditoría del estado de seguridad de un S.I.)
gestión de riesgos 5 / 47
Objetivos de la seguridad
dit
Mantener la disponibilidad de los datos almacenados, así como
su disposición a ser compartidos
contra la interrupción del servicio
Mantener la integridad de los datos ...
contra las manipulaciones
Mantener la confidencialidad de los datos almacenados,
procesados y transmitidos
contra las filtraciones
Asegurar la identidad de origen y destino
frente a la suplantación o engaño
gestión de riesgos 6 / 47
Asegurar todos los niveles
dit
El personal
Los documentos
Los procesos
Las comunicaciones
Las aplicaciones
El sistema operativo
El hardware
gestión de riesgos 7 / 47
Madurez
dit
International Systems Security Engineering Association
seguridad
mejora
mejoracontinua
continua
control
controlcuantitativo:
cuantitativo:métricas
métricas
bien
biendefinida:
definida:normas,
normas,procesos
procesosyyprácticas
prácticas
planificado
planificadoyygestionado
gestionado
tratamiento
tratamientoinformal:
informal:buenas
buenasprácticas
prácticas
tiempo
gestión de riesgos 8 / 47
Common Criteria - ISO 15408
dit
valoran
propietarios
desean minimizar
imponen
para reducir
salvaguardas que pueden
reducidas por tener
vulnerabilidades
conscientes de
llevan a
riesgo
atacantes
sobre
explotan
dan pie a incrementan
amenazas activos
sobre
abusan de y/o pueden dañar
gestión de riesgos 9 / 47
Definiciones
dit
Seguridad de las redes y de la información:
la capacidad de las redes o de los sistemas de información de resistir,
con un determinado nivel de confianza, los accidentes o acciones ilícitas
o malintencionadas que comprometan la disponibilidad, autenticidad,
integridad y confidencialidad de los datos almacenados o transmitidos y
de los servicios que dichas redes y sistemas ofrecen o hacen accesibles
Riesgo:
estimación del grado de exposición a que una amenaza se materialice
sobre uno o más activos causando daños o perjuicios a la organización
gestión de riesgos 10 / 47
Gestión del riesgo
dit
Análisis de riesgos
proceso sistemático para estimar la magnitud de los riesgos a que
está expuesta una organización
Evaluación de los riesgos
proceso en el que se coteja el riesgo estimado contra los criterios
de la organización para determinar la importancia del riesgo
Tratamiento de riesgos
selección e implantación de salvaguardas para conocer, prevenir,
impedir, reducir o controlar los riesgos identificados
gestión de riesgos 11 / 47
Magerit : análisis
dit
están expuestos a
activos
activos
Interesan por su
amenazas
amenazas
valor
valor
riesgo
riesgo
gestión de riesgos 12 / 47
Magerit : tratamiento
dit
están expuestos a
activos
activos
Interesan por su
amenazas
amenazas
valor
valor
2. análisis de riesgos
.1.1activos .2.2amenazas .3.3salvaguardas .4.4estado
activos amenazas salvaguardas estadode
deriesgo
riesgo
3. gestión de riesgos
.1.1toma
tomade
dedecisiones .2.2plan
plande
deseguridad .3.3ejecución
decisiones seguridad ejecucióndel
delplan
plan
gestión de riesgos 14 / 47
Activos
dit
Magerit
son los recursos del sistema de información, o relacionados con
éste, necesarios para que la organización funcione correctamente y
alcance los objetivos propuestos por su dirección
GMITS: ISO/IEC 13335-1 (2004)
Asset: anything that has value to the organization
gestión de riesgos 15 / 47
¿Qué cosas son activos?
dit
Sin duda alguna Puede Vd. opinar
Información Intangibles
(datos funcionales) Servicios
Las aplicaciones (sw) a usuario final (ext)
Los equipos (hw) internos (int)
gestión de riesgos 16 / 47
Unos activos dependen de otros
dit
servicios
servicios
información
información(datos)
(datos)
software
softwarede
debase
base aplicaciones
aplicaciones
equipamiento
equipamiento(hw)
(hw)
locales
locales personal
personal
gestión de riesgos 17 / 47
Dependencia
dit
Un servicio deja de estar disponible [D]
¿por qué? si ocurre que ... a ...
Un dato puede ser manipulado [I]
¿cómo? por medio de ...
¿dónde? estando en ...
Un dato puede ser revelado [C]
¿cómo? por medio de ...
¿dónde? estando en ...
gestión de riesgos 18 / 47
Valoración
dit
Coste que supondría la ocurrencia de una amenaza
valor de reposición
valor de reconstrucción
horas perdidas de trabajo
lucro cesante
daños y perjuicios
gestión de riesgos 19 / 47
Dimensiones de valoración
dit
D disponibilidad
¿Qué importancia tendría que el activo no estuviera disponible?
I integridad
¿Qué importancia tendría que el activo fuera modificado fuera de control?
C confidencialidad
¿Qué importancia tendría que el activo fuera conocido por personas no
autorizadas?
A autenticidad
¿Qué importancia tendría que quien accede al activo no sea realmente
quien se cree?
T trazabilidad (accountability)
¿Qué importancia tendría que no quedara constancia del uso del activo?
gestión de riesgos 20 / 47
¿Qué activos valoramos?
dit
Los datos (información)
sin duda
Los servicios finales
probablemente SÍ:
es lo que entiende la Dirección
Los demás activos
probablemente NO:
sólo tienen valor en función de los datos que manejan y los servicios
que habilitan
¿sólo?
gestión de riesgos 21 / 47
Valoración cualitativa
dit
Criterios homogéneos que permitan
relativizar entre dimensiones 10 muy alto
gestión de riesgos 22 / 47
Aspectos de valoración
dit
seguridad de las personas
información de carácter personal
obligaciones derivadas de la ley, del marco regulatorio, de
contratos, etc.
capacidad para la persecución de delitos
intereses comerciales y económicos
pérdidas financieras
interrupción del servicio
orden público
política corporativa
otros valores intangibles
gestión de riesgos 23 / 47
Valoración cuantitativa (euros)
dit
B1 = beneficios_1 – gastos_1
si no ocurre nada
B2 = beneficios_2 – gastos_2
si se materializa la amenaza
IMPACTO = B1 – B2
(beneficios_1 – beneficios_2) + (gastos_2 – gastos_1)
0.0 euros
b1
g1
b2
g2
gestión de riesgos 24 / 47
Otras calificaciones
dit
Carácter personal Clasificación de seguridad
Alto Secreto
Medio Confidencial
Bajo-Medio Reservado
Bajo Difusión limitada
Sin clasificar
Puede
Puede haber
haber normativa
normativa específica
específica
•• legal
legal
•• sectorial
sectorial
•• contractual
contractual
•• estratégica
estratégica dede lala organización
organización
gestión de riesgos 25 / 47
Amenazas
dit
Son los eventos que pueden desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas
inmateriales
naturales
terremotos, inundaciones, rayos, ...
accidentales industriales
electricidad, emanaciones, ...
humanas: errores y omisiones
gestión de riesgos 26 / 47
Cuantificación de las amenazas
dit
Se trata de estimar la vulnerabilidad de los activos
frente a las amenazas
Las amenazas se cuantifican por su efecto sobre los activos
afectados
frecuencia de ocurrencia
¿cuántas veces por año?
ARO = annual rate of occurrence
degradación
daño causado
porcentaje del valor del activo que costará ...
gestión de riesgos 27 / 47
Impacto
dit
Consecuencia que sobre un activo tiene la materialización de una
amenaza
pérdida posible
acumulado repercutido
activo
activoAA activo
activoAA
gestión de riesgos 28 / 47
Riesgo
dit
Estimación del grado de exposición a que una amenaza se
materialice sobre uno o más activos causando daños o perjuicios
a la organización
pérdida probable
Valoración
cualitativa / subjetiva
irrelevante … grave … intolerable
cuantitativa / económica
coste dinerario
Métodos
cualitativos: tabulares
cuantitativos: impacto × frecuencia
gestión de riesgos 29 / 47
Estimación tabular
dit
impacto muy muy muy muy
[10] alto
alto alto alto alto
gestión de riesgos 30 / 47
Riesgo
dit
Consecuencia que sobre un activo tiene la materialización de una
amenaza modulada por la frecuencia o vulnerabilidad
pérdida probable
acumulado repercutido
activo
activoAA activo
activoAA
gestión de riesgos 31 / 47
Salvaguardas
dit
MAGERIT
procedimiento o mecanismo tecnológico que reduce el riesgo.
sinónimos: contra medidas, controles
ISO
safeguard: a practice, procedure or mechanism that reduces risk
baseline controls: a minimum set of safeguards established for a
system of organization
synonyms: countermeasures, controls
gestión de riesgos 32 / 47
Tratamiento del riesgo
dit
1. Si se puede, se evita
2. Si no, hay que plantear una estrategia
1. hay que tener medidas preventivas
••Ninguna
Ningunaestrategia
estrategiaes
escompleta
completa
••Sólo
Sólolalacombinación
combinaciónequilibrada
equilibradapuede
puede
llevar
llevaraauna
unaseguridad
seguridadaceptable
aceptable
gestión de riesgos 33 / 47
Aspectos
dit
¿Cómo se enfoca la respuesta al riesgo?
[PR] Procedimientos SIEMPRE
[PER] Política de personal siempre
Soluciones técnicas frecuentemente
[SW] Programas (soluciones software)
[COM] Securización de las comunicaciones
[HW] Equipamiento (soluciones hardware)
[PHY] Seguridad física casi siempre
••Ningún
Ningúnaspecto
aspectoes
escompleto
completo
••Sólo
Sólolalacombinación
combinaciónequilibrada
equilibradapuede
puede
llevar
llevaraauna
unaseguridad
seguridadaceptable
aceptable
gestión de riesgos 34 / 47
¿Cómo seleccionar salvaguardas?
dit
Expertos
sistemas expertos
Catálogos de salvaguardas
checklists
libros
leyes
reglamentos
normativa sectorial
...
gestión de riesgos 35 / 47
Listas de salvaguardas
dit
Magerit
Criterios de Seguridad, Normalización y Conservación
Information Technology Baseline Protection Manual
GMITS: ISO/IEC 13335
Guidelines for the management of IT security
UNE & ISO/IEC 17799
Code of Practice for Information Security Management
Common criteria: ISO/IEC 15408
Recommended Security Controls for Federal Information
Systems
http://csrc.nist.gov/publications/drafts/draft-SP800-53.pdf
PILAR
gestión de riesgos 36 / 47
Efectividad de las salvaguardas
dit
Tiene que
ser adecuada al peligro que conjura
estar instalada
estar mantenida, actualizada
estar monitorizada
el personal instruido: usuarios, operadores y administradores
existir procedimientos
De lo contrario
no vale de nada
o, al menos, no sabemos de qué vale
gestión de riesgos 37 / 47
Incumplimientos
dit
Relación de aquellas salvaguardas que
deberían estar ...
desplegadas, mantenidas, monitorizadas
deberían adecuarse al peligro
gestión de riesgos 38 / 47
Impacto y riesgo residuales
dit
Impacto
consecuencia que sobre un activo tiene la materialización de una
amenaza
Riesgo
lo que probablemente ocurra (el impacto anualizado)
Impacto y riesgo residuales
lo que queda tras contabilizar las salvaguardas
gestión de riesgos 39 / 47
Magerit v2
dit
1. planificación del proyecto de análisis y gestión de riesgos
.1.1oportunidad .2.2alcance .3.3planificación .4.4lanzamiento
oportunidad alcance planificación lanzamiento
2. análisis de riesgos
.1.1activos .2.2amenazas .3.3salvaguardas .4.4estado
activos amenazas salvaguardas estadode
deriesgo
riesgo
3. gestión de riesgos
.1.1toma
tomade
dedecisiones .2.2plan
plande
deseguridad .3.3ejecución
decisiones seguridad ejecucióndel
delplan
plan
gestión de riesgos 40 / 47
Valoración técnica → de servicio
dit
Teniendo en cuenta:
la gravedad del impacto y/o del riesgo
obligaciones por ley, reglamentos sectoriales o contratos
intangibles:
imagen pública de cara a la Sociedad
política interna
relaciones con los proveedores
relaciones con los usuarios
relaciones con otras organizaciones
nuevas oportunidades
acceso a sellos o calificaciones reconocidas de seguridad
...
gestión de riesgos 41 / 47
T3.1 : Calificación de los riesgos
dit
1. es crítico
en el sentido de que requiere atención urgente
2. es grave
en el sentido de que requiere atención
3. es apreciable
en el sentido de que pueda ser objeto de estudio para su
tratamiento
4. es asumible
en el sentido de que no se van a tomar acciones para atajarlo
gestión de riesgos 42 / 47
Plan de seguridad
dit
Si el impacto residual no es aceptable ...
Si el riesgo residual no es aceptable ...
Si las salvaguardas debidas no tienen una efectividad aceptable
...
gestión de riesgos 43 / 47
Una actividad continua
dit Sistema de Gestión de la Seguridad de la Información
Plan
planificación
planificación
Act Do
mantenimiento
mantenimiento implementación
implementación
yymejora
mejora yyoperación
operación
Check
monitorización
monitorización
yyevaluación
evaluación
gestión de riesgos 44 / 47
Interés de un análisis del riesgo
dit
Conciencia a [los miembros de] la organización
a la dirección y a los empleados
Identifica activos, amenazas y controles
modelo de valor de la organización
mapa de riesgos
estado de riesgo
Base razonada para tomar decisiones
juicio sobre la eficacia de los controles, actuales y futuros
Justificación del gasto en seguridad
gestión de riesgos 45 / 47
¿Cuándo?
dit
El análisis de riesgo muestra su máxima eficacia cuando se
realiza antes del despliegue de un sistema
y las salvaguardas se incorporan al diseño de la solución
Es necesario cuando
un sistema se hace cargo de nuevas o más importantes misiones
que aquellas para las que fue diseñado
morir de éxito
cambia el perfil de vulnerabilidad
ej. exposición a Internet
gestión de riesgos 46 / 47
dit
La guerra es un asunto de importancia vital para el Estado; un asunto
de vida o muerte, el camino hacia la supervivencia o la destrucción.
Por lo tanto, es imperativo estudiarla profundamente.