gestió del risc en la activitat universitària
TRANSCRIPT
Tractament de riscs a la Universitat
Vicent Andreu Gabinet de Planificació i Prospectiva Tecnològica Barcelona, 3 de desembre de 2015
Una miqueta d’història...
Iniciativa Data
Certificació SGSI ISO/IEC 270001:2007 Març 2010
Renovació certificació SGSI ISO/IEC 270001:2007 Març 2013
Pla d’adequació a l’ENS partint de la base del SGSI 2011-2014
I Auditoria de compliment de les mesures de l’annex II Desembre 2012
II Auditoria de compliment de les mesures de l’annex II Desembre 2014
Auditoria de seguiment SGSI (adaptació a ISO/IEC 270001:2014) Març 2015
Evolució de la gestió de la seguretat TI a la UJI des de 2010
És l’estudi del dany potencial que poden patir els sistemes, xarxes, dades
i, en general, activitats i processos de la Universitat com a conseqüència
de la materialització d’un esdeveniment negatiu.
Amenaça Impacte
Què és l’anàlisi de riscs?
Tot aquell
esdeveniment que
pot causar un
efecte negatiu
sobre l’activitat de
la Universitat
La conseqüència
que té per a la
Universitat la
materialització del
fet negatiu
ISO/IEC 27005 • Establir el context de l’anàlisi de riscs
(polítiques i criteris relevants per a la gestió del risc a la Universitat).
• Identificació, anàlisi I avaluació dels riscs prenent en consideració actius, amenaces, controls existents, vulnerabilitats i impacte.
• Gestió del risc: modificació (mesures de seguretat), acceptació, evitació o compartició (externalització).
• Informació als afectats. • Monitorització i revisió periòdica
Referències
RD 3/2010 (nivell mitjà)
S'haurà de realitzar una anàlisi semi-formal, usant un llenguatge específic, amb un catàleg d’amenaces i una semàntica definida. És a dir, una presentació amb taules que descriga els següents aspectes: a) Identificar i valorar qualitativament els actius més valuosos del sistema. b) Identificar i valorar les amenaces més probables. c) Identificar i valorar les salvaguardes que protegeixen d’eixes amenaces. d) Identificar i valorar el risc residual.
Quin és l’objectiu?
L’anàlisi formal del risc (producte de la probabilitat que es concrete una
amenaça per l’impacte o degradació que pot causar en un actiu) té dos
objectius fonamentals:
Establir contramesures que limiten la probabilitat o l’impacte
de les amenaces i justificar el seu cost.
Establir un llindar de risc “residual”, que no es pot o no convé
tractar, i que ha de ser assolit i aprovat formalment per qui té
competència per fer-ho.
Qui té responsabilitats en l’AARR?
Com es pot portar a terme?
El que fem a la UJI en la pràctica...
Tasca Seguretat TI Tècnics TI Direcció Usuaris (font
d’informació)
Revisió de l’inventari d’actius (capa de serveis) X X Ocasionalment
Valoració dels actius de la capa de serveis X Informació Periòdicament
Dependències entre els actius de la capa de serveis i de
la capa d'infraestructura
X
Estimació de la probabilitat de les amenaces X X
Estimació de l’impacte sobre els actius de la capa de
serveis X Periòdicament
Determinació del valor teòric del risc X
Establiment del llindar de risc assumible X Decisió
Valoració dels actius de la capa de servei
Servei Disponibilitat Integritat Confidencialitat Autenticitat Traçabilitat
Entorn C/S aplicacions de gestió Mitjà N/A N/A Mitjà Mitjà
Repositori documental Baix N/A N/A Mitjà Mitjà
Suport TI a la docència Mitjà N/A N/A N/A N/A
Servei d’atenció a l’usuari Mitjà N/A N/A Baix Baix
Dades Disponibilitat Integritat Confidencialitat Autenticitat Traçabilitat
BBDD institucional N/A Mitjà Mitjà N/A N/A
Repositori de codi N/A Mitjà Baix N/A N/A
Dades Google Apps N/A N/A Mitjà N/A N/A
Exemple d’actius de la capa de serveis
Serveis
Atenció a l’usuari
Repositori documental
Serveis multimèdia
Directori
Càlcul científic
Gestió documental
Connectivitat en mobilitat
UJINET
Serveis
Emmagatz. Departamental
Espais web cedits
Suite Google Apps
Suport al desenvolupament
Portal UJI
Aula virtual
Entorn C/S d’aplic. de gestió
Entorn web d’aplic. de gestió
Dades
BBDD institucional
BBDD autenticació
Logs de navegació i accés
Dades cursos aula virtual
Repositori de codi i
documentació d’aplicacions
Arxius multimèdia
Dades Google Apps
Dades Alfresco
Exemple d’actius de la capa d’infraestructura
Serveis interns
DHCP
DNS
LDAP
Còpies de seguretat
Servidor Web
Servei d’impressió
Single Sign-On
Certificació i firma digital
Equips
Cluster BBDD
SAN
Equipament auxiliar
Climatització
Personal
Personal CAU
Administrador càlcul científic
Instal·lacions
Sala màquines rectorat
Sala Ed.Escomeses
Subcontractació
CBUC Catàleg
Aplicacions
Oracle
Apache
DSpace
Comunicacions
Fortigate
Switchs troncal
Servidor de túnels
Dependències
per cadascun dels actius de la capa de servei...
Actiu de la capa de servei Dependència Actius de la capa d’infraestructura
Catàleg de Biblioteca
100% [SI] DNS
30% [PER] Administrador Millenium
100% [INF] UJInet
100% [INF] Accés a internet
10% [SI] DHCP intern
100% [SW] Millenium
100% [EXT] CBUC Catàleg
Estudi d’amenaces i impacte de les mateixes
Actiu: Dades BBDD institucional
Impacte
Amenaça Probabilitat D I C A T
[E.7] Deficiencias en la organización Molt Alta Mitjà N/A N/A Mitjà Mitjà
[E.21] Errores de mantenimiento /
actualización de programas (software) Molt Alta Baix N/A N/A Mitjà Mitjà
[A.18] Destrucción de la información Baixa Mitjà N/A N/A N/A N/A
[A.19] Revelación de información Baixa Mitjà N/A N/A Baix Baix
Les amenaces més comunes
les proporciona PILAR en
funció de la naturalesa de l’actiu
Es valoren els actius de la capa d’infrastructura i
les dades per obtindre un càlcul automàtic del risc
per als actius de la capa de servei
Valoració de les mesures ja aplicades
PILAR: Només ho fem per als actius de la capa de servei
Obtenció del risc residual
Actiu Amenaces Dimensió Risc
[SW.SW_Moodle] Moodle [E.20] Vulnerabilidades de los
programas (software) [D] {0,80}
[SW.SW-IAS_&_TOMCAT] IAS & TOMCAT [E.20] Vulnerabilidades de los
programas (software) [D] {0,80}
[SW.SW_Apache] Apache [E.20] Vulnerabilidades de los
programas (software) [D] {0,80}
[I_CPD ACO103CI] CPD Escomeses [N.*] Desastres naturales [I] {0,81}
[I_CPD ACO103CI] CPD Escomeses [I.1] Fuego [I] {0,81}
[I_CPD TD011AO] CPD Rectorat [I.1] Fuego [I] {0,81}
[I_CPD TD011AO] CPD Rectorat [N.*] Desastres naturales [I] {0,81}
I per a què hem fet tot açò? Recordem...
Establir contramesures que limiten la probabilitat o l’impacte
de les amenaces i justificar el seu cost.
Establir un llindar de risc “residual”, que no es pot o no convé
tractar, i que ha de ser assolit i aprovat formalment per qui té
competència per fer-ho.
Gestió del risc
Què li toca a cadascú?
Informe de l’AR per a la direcció:
• Establir el context
• Resum executiu amb una
proposta sobre un nombre
limitat de riscs
• Seleccionar riscs reals i
concrets i relacionar-los amb
situacions reals
• Tractar de no ser una barrera,
si no de fer conscients del
perill a qui pren les decisions
• Aprovar els riscs a tractar
• Assignar els recursos
necessaris
Implantar les mesures
corresponents
Què n’hem après?
Tasca Lliçons apreses
Revisió de l’inventari d’actius (capa de serveis)
• No és una cosa tan estable com puga semblar:
• Apareixen serveis nous en desapareixen d’antics
• Convé fusionar o separar alguns serveis per tractar-los
conjuntament
Valoració dels actius de la capa de serveis • Per fer-ho de manera objectiva, cal comptar amb els
propietaris/usuaris dels actius de la capa de servei
Dependències entre els actius de la capa de serveis i de la
capa d'infraestructura
• És una tasca molt complexa
• Cal mantindré un esquema senzill, amb pocs nivells
• Té un component de subjectivitat elevat
Estimació de la probabilitat de les amenaces
• Té un component de subjectivitat elevat
• El nombre d’incidents no acostuma a ser suficient per a que la
freqüència de concreció de les amenaces siga un ajut
Estimació de l’impacte sobre els actius de la capa de
serveis
• Té un component de subjectivitat elevat
• Cal comptar amb els propietaris/usuaris dels actius de la capa de
servei
Determinació del valor teòric del risc • És un valor tan bonic com inservible si no s’apliquen correccions
“manuals” o “lògiques”
Establiment del llindar de risc assumible • És la tasca més complexa, amb molta diferència
http://goo.gl/Gt07av
Crèdits de les imatges
http://goo.gl/Qjgam2
http://goo.gl/ScnCIk
http://goo.gl/MfeQc9
http://goo.gl/Qjgam2
http://goo.gl/vmPSS4
http://goo.gl/btd1Ao
https://goo.gl/lFjw98
http://goo.gl/JcF6hs
http://goo.gl/btd1Ao
http://goo.gl/lwretF
https://goo.gl/K6ybqF
Moltes gràcies per la seua atenció....