magerit
Post on 27-Jun-2015
298 Views
Preview:
TRANSCRIPT
“ Gestión de RiesgosAnálisis y Tratamiento
Magerit 2 | PILAR ””
José A. Mañas
Dep. de Ingeniería de Sistemas InformáticosUniversidad Politécnica de Madrid
dit-upm
Gestión de RiesgosAnálisis y Tratamiento
Magerit 2 | PILAR
José A. Mañas <http://www.dit.upm.es/~pepe/>Dep. de Ingeniería de Sistemas Informáticos
Universidad Politécnica de Madrid
Marzo, 2006
gestión de riesgos 2 / 47
dit Objetivos
1. Gestión de riesgosAnálisis
Tratamiento
2. MAGERITMetodología de Análisis y Gestión de Riesgos
3. PILAR | EARProcedimiento Informático y Lógico para el Análisis de RiesgosEntorno de Análisis de Riesgos
Desarrollado con el Centro Criptológico Nacional (CCN)del Centro Nacional de Inteligencia (CNI)
gestión de riesgos 3 / 47
dit Informática
Antesla informática era cosa de unos pocos profesionales
los sistemas eran complejos y muy suyos
la seguridad no era un problema
La redlo cambia todo
no hay equipos aislados
los malos saben lo mismo que los buenos
gestión de riesgos 4 / 47
dit Generaciones de sistemas
G.1 G.2 G.3
tecnología host cliente / servidor en red
sistema manejable complejo incierto
objetivo técnico eficiencia eficacia del
sistemaeficacia para los usuarios
calidad funciona predecible controlable
objetivo de negocio
manejar volumen organizar mejorar la
productividad
información herramienta estrategia recurso
amenazas naturales accidentales deliberadas
gestión de riesgos 5 / 47
dit Métodos de aseguramiento
Primera Generación (198x) checklists (auditoría del estado de seguridad de un S.I.)
Segunda Generación (199x)métodos específicos (análisis de riesgos, coste-beneficio)
Tercera Generación (200x)modelos de seguridad conectados a otros métodos (desarrollo …)
nuevas técnicas (gestión, comunicaciones, ...)
SGSI: sistemas de gestión de la seguridad de la información
gestión de riesgos 6 / 47
dit Objetivos de la seguridad
Mantener la disponibilidad de los datos almacenados, así como su disposición a ser compartidos
contra la interrupción del servicio
Mantener la integridad de los datos ...contra las manipulaciones
Mantener la confidencialidad de los datos almacenados, procesados y transmitidos
contra las filtraciones
Asegurar la identidad de origen y destinofrente a la suplantación o engaño
gestión de riesgos 7 / 47
dit Asegurar todos los niveles
El personal
Los documentos
Los procesos
Las comunicaciones
Las aplicaciones
El sistema operativo
El hardware
gestión de riesgos 8 / 47
dit Madurez
tratamiento informal: buenas prácticastratamiento informal: buenas prácticas
bien definida: normas, procesos y prácticasbien definida: normas, procesos y prácticas
mejora continuamejora continua
control cuantitativo: métricas control cuantitativo: métricas
planificado y gestionadoplanificado y gestionado
tiempo
segu
ridad
International Systems Security Engineering Association
gestión de riesgos 9 / 47
dit Common Criteria - ISO 15408
abusan de y/o pueden dañar
dan pie a incrementan
sobre
sobre
valoran
desean minimizarpara reducir
que puedentenerreducidas por
conscientes de
explotan
llevan a
atacantes
propietarios
salvaguardas
vulnerabilidades
amenazas activos
riesgo
imponen
gestión de riesgos 10 / 47
dit Definiciones
Seguridad de las redes y de la información:
la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles
Riesgo:
estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización
gestión de riesgos 11 / 47
dit Gestión del riesgo
Análisis de riesgos
proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización
Evaluación de los riesgos
proceso en el que se coteja el riesgo estimado contra los criterios de la organización para determinar la importancia del riesgo
Tratamiento de riesgos
selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados
gestión de riesgos 12 / 47
dit Magerit : análisis
activosactivos
amenazasamenazas
frecuenciafrecuencia
impactoimpacto
valorvalor
riesgoriesgo
Interesan por su
degradación
están expuestos a
degradacióncausan una cierta
con una cierta
gestión de riesgos 13 / 47
dit Magerit : tratamiento
activosactivos
amenazasamenazas
frecuenciaresidual
frecuenciaresidual
impactoresidual
impactoresidual
valorvalor
riesgoresidualriesgo
residual
Interesan por su
degradaciónresidual
están expuestos a
degradaciónresidual
causan una cierta
con una cierta
tipo de activodimensiónamenaza
nivel de riesgosalvaguardassalvaguardas
gestión de riesgos 14 / 47
dit
3. gestión de riesgos3. gestión de riesgos
1. planificación del proyecto de análisis y gestión de riesgos1. planificación del proyecto de análisis y gestión de riesgos
2. análisis de riesgos2. análisis de riesgos
.1 oportunidad.1 oportunidad .2 alcance.2 alcance .3 planificación.3 planificación .4 lanzamiento.4 lanzamiento
.1 activos.1 activos .2 amenazas.2 amenazas .3 salvaguardas.3 salvaguardas .4 estado de riesgo.4 estado de riesgo
.1 toma de decisiones.1 toma de decisiones .2 plan de seguridad.2 plan de seguridad .3 ejecución del plan.3 ejecución del plan
Magerit v2
El problema es la complejidaddemasiados activos, amenazas, contra medidas, ...
La solución : una aproximación metódica
gestión de riesgos 15 / 47
dit Activos
Mageritson los recursos del sistema de información, o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección
GMITS: ISO/IEC 13335-1 (2004)Asset: anything that has value to the organization
gestión de riesgos 16 / 47
dit ¿Qué cosas son activos?
Sin duda alguna
Información (datos funcionales)
Las aplicaciones (sw)
Los equipos (hw)
Las comunicaciones
Los locales
Puede Vd. opinar
Intangibles
Serviciosa usuario final (ext)
internos (int)
contratados (cont)
Las personasusuarios
operadores
administradores
desarrolladores
gestión de riesgos 17 / 47
dit Unos activos dependen de otros
serviciosservicios
información (datos)información (datos)
aplicacionesaplicacionessoftware de basesoftware de base
equipamiento (hw)equipamiento (hw)
personalpersonallocaleslocales
gestión de riesgos 18 / 47
dit Dependencia
Un servicio deja de estar disponible [D]¿por qué? si ocurre que ... a ...
Un dato puede ser manipulado [I] ¿cómo? por medio de ...
¿dónde? estando en ...
Un dato puede ser revelado [C]¿cómo? por medio de ...
¿dónde? estando en ...
gestión de riesgos 19 / 47
dit Valoración
Coste que supondría la ocurrencia de una amenazavalor de reposición
valor de reconstrucción
horas perdidas de trabajo
lucro cesante
daños y perjuicios
No sólo importa lo que cuesta; importa [más] para qué valePara un estudio comparativo basta alguna escala sencilla:
0, 1, 2, ..., 10
es más importante saber el valor relativo que el absoluto
Para un estudio de costes se requiere una estimación ajustada
gestión de riesgos 20 / 47
dit Dimensiones de valoración
D disponibilidad¿Qué importancia tendría que el activo no estuviera disponible?
I integridad¿Qué importancia tendría que el activo fuera modificado fuera de control?
C confidencialidad¿Qué importancia tendría que el activo fuera conocido por personas no
autorizadas?
A autenticidad¿Qué importancia tendría que quien accede al activo no sea realmente
quien se cree?
T trazabilidad (accountability)¿Qué importancia tendría que no quedara constancia del uso del activo?
gestión de riesgos 21 / 47
dit ¿Qué activos valoramos?
Los datos (información)sin duda
Los servicios finalesprobablemente SÍ:
es lo que entiende la Dirección
Los demás activosprobablemente NO:
sólo tienen valor en función de los datos que manejan y los servicios que habilitan
¿sólo?
gestión de riesgos 22 / 47
dit Valoración cualitativa
Criterios homogéneos que permitanrelativizar entre dimensiones
compartir / combinar análisis realizados por separado
uniformidad de conocimiento
9
7
6
4
1
8 alto
5 medio
3
2 bajo
despreciable0
10 muy alto
gestión de riesgos 23 / 47
dit Aspectos de valoración
seguridad de las personas
información de carácter personal
obligaciones derivadas de la ley, del marco regulatorio, de contratos, etc.
capacidad para la persecución de delitos
intereses comerciales y económicos
pérdidas financieras
interrupción del servicio
orden público
política corporativa
otros valores intangibles
gestión de riesgos 24 / 47
dit Valoración cuantitativa (euros)
B1 = beneficios_1 – gastos_1si no ocurre nada
B2 = beneficios_2 – gastos_2si se materializa la amenaza
IMPACTO = B1 – B2(beneficios_1 – beneficios_2) + (gastos_2 – gastos_1)
euros0.0
b1g1b2g2
gestión de riesgos 25 / 47
dit Otras calificaciones
Carácter personal
Alto
Medio
Bajo-Medio
Bajo
Clasificación de seguridad
Secreto
Confidencial
Reservado
Difusión limitada
Sin clasificar
Puede haber normativa específica• legal• sectorial• contractual• estratégica de la organización
Puede haber normativa específica• legal• sectorial• contractual• estratégica de la organización
gestión de riesgos 26 / 47
dit Amenazas
Son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales
accidentales
deliberadas(intencionales)
naturalesterremotos, inundaciones, rayos, ...
industrialeselectricidad, emanaciones, ...
humanas: errores y omisiones
intercepción pasiva o activaintrusión, espionaje, ...robo, fraude, ...
gestión de riesgos 27 / 47
dit Cuantificación de las amenazas
Se trata de estimar la vulnerabilidad de los activosfrente a las amenazas
Las amenazas se cuantifican por su efecto sobre los activos afectados
frecuencia de ocurrencia¿cuántas veces por año?
ARO = annual rate of occurrence
degradacióndaño causado
porcentaje del valor del activo que costará ...
gestión de riesgos 28 / 47
dit Impacto
Consecuencia que sobre un activo tiene la materialización de una amenaza
pérdida posible
activo Aactivo A
activo B amenaza Z
activo Aactivo A
activo Bactivo B amenaza Z
acumulado repercutido
gestión de riesgos 29 / 47
dit Riesgo
Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización
pérdida probable
Valoracióncualitativa / subjetiva
irrelevante … grave … intolerable
cuantitativa / económicacoste dinerario
Métodoscualitativos: tabulares
cuantitativos: impacto × frecuencia
gestión de riesgos 30 / 47
dit Estimación tabular
[10] alto muy alto
muy alto
muy alto
muy alto
[7] medio alto alto alto alto
[5] bajo bajo medio medio medio
[3] bajo bajo bajo medio medio
[1] muy bajo
muy bajo
muy bajo
muy bajo bajo
muybaja baja media alta muy
alta
impa
cto
vulnerabilidad
gestión de riesgos 31 / 47
dit Riesgo
Consecuencia que sobre un activo tiene la materialización de una amenaza modulada por la frecuencia o vulnerabilidad
pérdida probable
activo Aactivo A
activo B amenaza Z
activo Aactivo A
activo Bactivo B amenaza Z
acumulado repercutido
gestión de riesgos 32 / 47
dit Salvaguardas
MAGERITprocedimiento o mecanismo tecnológico que reduce el riesgo.
sinónimos: contra medidas, controles
ISOsafeguard: a practice, procedure or mechanism that reduces risk
baseline controls: a minimum set of safeguards established for a system of organization
synonyms: countermeasures, controls
gestión de riesgos 33 / 47
dit Tratamiento del riesgo
1. Si se puede, se evita
2. Si no, hay que plantear una estrategia1. hay que tener medidas preventivas
2. hay que tener un plan de emergencia
3. hay que tener un plan de recuperación
• Ninguna estrategia es completa
• Sólo la combinación equilibrada puedellevar a una seguridad aceptable
• Ninguna estrategia es completa
• Sólo la combinación equilibrada puedellevar a una seguridad aceptable
gestión de riesgos 34 / 47
dit Aspectos
¿Cómo se enfoca la respuesta al riesgo?
[PR] Procedimientos
[PER] Política de personal
Soluciones técnicas[SW] Programas (soluciones software)
[COM] Securización de las comunicaciones
[HW] Equipamiento (soluciones hardware)
[PHY] Seguridad física
SIEMPRE
siempre
frecuentemente
casi siempre
• Ningún aspecto es completo
• Sólo la combinación equilibrada puedellevar a una seguridad aceptable
• Ningún aspecto es completo
• Sólo la combinación equilibrada puedellevar a una seguridad aceptable
gestión de riesgos 35 / 47
dit ¿Cómo seleccionar salvaguardas?
Expertossistemas expertos
Catálogos de salvaguardaschecklists
libros
leyes
reglamentos
normativa sectorial
...
gestión de riesgos 36 / 47
dit Listas de salvaguardas
Magerit
Criterios de Seguridad, Normalización y Conservación
Information Technology Baseline Protection Manual
GMITS: ISO/IEC 13335Guidelines for the management of IT security
UNE & ISO/IEC 17799Code of Practice for Information Security Management
Common criteria: ISO/IEC 15408
Recommended Security Controls for Federal Information Systemshttp://csrc.nist.gov/publications/drafts/draft-SP800-53.pdf
PILAR
gestión de riesgos 37 / 47
dit Efectividad de las salvaguardas
Tiene queser adecuada al peligro que conjura
estar instalada
estar mantenida, actualizada
estar monitorizada
el personal instruido: usuarios, operadores y administradores
existir procedimientos
De lo contrariono vale de nada
o, al menos, no sabemos de qué vale
gestión de riesgos 38 / 47
dit Incumplimientos
Relación de aquellas salvaguardas quedeberían estar ...
desplegadas, mantenidas, monitorizadas
deberían adecuarse al peligro
Que es lo que recomienda el catálogopersonalizado a nuestro mapa de riesgos
gestión de riesgos 39 / 47
dit Impacto y riesgo residuales
Impactoconsecuencia que sobre un activo tiene la materialización de una amenaza
Riesgolo que probablemente ocurra (el impacto anualizado)
Impacto y riesgo residualeslo que queda tras contabilizar las salvaguardas
gestión de riesgos 40 / 47
dit
3. gestión de riesgos3. gestión de riesgos
1. planificación del proyecto de análisis y gestión de riesgos1. planificación del proyecto de análisis y gestión de riesgos
2. análisis de riesgos2. análisis de riesgos
.1 oportunidad.1 oportunidad .2 alcance.2 alcance .3 planificación.3 planificación .4 lanzamiento.4 lanzamiento
.1 activos.1 activos .2 amenazas.2 amenazas .3 salvaguardas.3 salvaguardas .4 estado de riesgo.4 estado de riesgo
.1 toma de decisiones.1 toma de decisiones .2 plan de seguridad.2 plan de seguridad .3 ejecución del plan.3 ejecución del plan
Magerit v2
gestión de riesgos 41 / 47
dit Valoración técnica → de servicio
Teniendo en cuenta:
la gravedad del impacto y/o del riesgo
obligaciones por ley, reglamentos sectoriales o contratos
intangibles:imagen pública de cara a la Sociedad
política interna
relaciones con los proveedores
relaciones con los usuarios
relaciones con otras organizaciones
nuevas oportunidades
acceso a sellos o calificaciones reconocidas de seguridad
...
gestión de riesgos 42 / 47
dit T3.1 : Calificación de los riesgos
1. es críticoen el sentido de que requiere atención urgente
2. es graveen el sentido de que requiere atención
3. es apreciableen el sentido de que pueda ser objeto de estudio para su tratamiento
4. es asumibleen el sentido de que no se van a tomar acciones para atajarlo
gestión de riesgos 43 / 47
dit Plan de seguridad
Si el impacto residual no es aceptable ...
Si el riesgo residual no es aceptable ...
Si las salvaguardas debidas no tienen una efectividad aceptable ...
... hay que hacer un plan para corregir la situacióndesplegando nuevas salvaguardas
mejorando la efectividad de las salvaguardas presentes
gestión de riesgos 44 / 47
dit
planificaciónplanificaciónPlan
monitorizacióny evaluación
monitorizacióny evaluación
Check
implementacióny operación
implementacióny operación
Do
mantenimientoy mejora
mantenimientoy mejora
Act
Una actividad continuaSistema de Gestión de la Seguridad de la Información
gestión de riesgos 45 / 47
dit Interés de un análisis del riesgo
Conciencia a [los miembros de] la organizacióna la dirección y a los empleados
Identifica activos, amenazas y controlesmodelo de valor de la organización
mapa de riesgos
estado de riesgo
Base razonada para tomar decisionesjuicio sobre la eficacia de los controles, actuales y futuros
Justificación del gasto en seguridad
gestión de riesgos 46 / 47
dit ¿Cuándo?
El análisis de riesgo muestra su máxima eficacia cuando se realiza antes del despliegue de un sistema
y las salvaguardas se incorporan al diseño de la solución
Es necesario cuandoun sistema se hace cargo de nuevas o más importantes misiones que aquellas para las que fue diseñado
morir de éxito
cambia el perfil de vulnerabilidadej. exposición a Internet
gestión de riesgos 47 / 47
ditLa guerra es un asunto de importancia vital para el Estado; un asunto de vida o muerte, el camino hacia la supervivencia o la destrucción. Por lo tanto, es imperativo estudiarla profundamente.
Hay que valorarla en términos de cinco factores fundamentales, y hacer comparaciones entre diversas condiciones de los bandos antagonistas, de cara a determinar el resultado de la contienda.
El primero de estos factores es la política; el segundo, el clima; el tercero, el terreno; el cuarto, el comandante; y el quinto, la doctrina.
Mediante todo esto, uno puede adivinar el resultado final de la batalla.
El Arte de la Guerra, Capítulo 1: Estimaciones,
Sun Tzu, 2.000 a.C.
top related