magerit

“ Gestión de RiesgosAnálisis y Tratamiento

Magerit 2 | PILAR ””

José A. Mañas

Dep. de Ingeniería de Sistemas InformáticosUniversidad Politécnica de Madrid

dit-upm

Gestión de RiesgosAnálisis y Tratamiento

Magerit 2 | PILAR

José A. Mañas <http://www.dit.upm.es/~pepe/>Dep. de Ingeniería de Sistemas Informáticos

Universidad Politécnica de Madrid

Marzo, 2006

gestión de riesgos 2 / 47

dit Objetivos

1. Gestión de riesgosAnálisis

Tratamiento

2. MAGERITMetodología de Análisis y Gestión de Riesgos

3. PILAR | EARProcedimiento Informático y Lógico para el Análisis de RiesgosEntorno de Análisis de Riesgos

Desarrollado con el Centro Criptológico Nacional (CCN)del Centro Nacional de Inteligencia (CNI)


dit Informática

Antesla informática era cosa de unos pocos profesionales

los sistemas eran complejos y muy suyos

la seguridad no era un problema

La redlo cambia todo

no hay equipos aislados

los malos saben lo mismo que los buenos


dit Generaciones de sistemas

G.1 G.2 G.3

tecnología host cliente / servidor en red

sistema manejable complejo incierto

objetivo técnico eficiencia eficacia del

sistemaeficacia para los usuarios

calidad funciona predecible controlable

objetivo de negocio

manejar volumen organizar mejorar la

productividad

información herramienta estrategia recurso

amenazas naturales accidentales deliberadas


dit Métodos de aseguramiento

Primera Generación (198x) checklists (auditoría del estado de seguridad de un S.I.)

Segunda Generación (199x)métodos específicos (análisis de riesgos, coste-beneficio)

Tercera Generación (200x)modelos de seguridad conectados a otros métodos (desarrollo …)

nuevas técnicas (gestión, comunicaciones, ...)

SGSI: sistemas de gestión de la seguridad de la información


dit Objetivos de la seguridad

Mantener la disponibilidad de los datos almacenados, así como su disposición a ser compartidos

contra la interrupción del servicio

Mantener la integridad de los datos ...contra las manipulaciones

Mantener la confidencialidad de los datos almacenados, procesados y transmitidos

contra las filtraciones

Asegurar la identidad de origen y destinofrente a la suplantación o engaño


dit Asegurar todos los niveles

El personal

Los documentos

Los procesos

Las comunicaciones

Las aplicaciones

El sistema operativo

El hardware


dit Madurez

tratamiento informal: buenas prácticastratamiento informal: buenas prácticas

bien definida: normas, procesos y prácticasbien definida: normas, procesos y prácticas

mejora continuamejora continua

control cuantitativo: métricas control cuantitativo: métricas

planificado y gestionadoplanificado y gestionado

tiempo

segu

ridad

International Systems Security Engineering Association


dit Common Criteria - ISO 15408

abusan de y/o pueden dañar

dan pie a incrementan

sobre

sobre

valoran

desean minimizarpara reducir

que puedentenerreducidas por

conscientes de

explotan

llevan a

atacantes

propietarios

salvaguardas

vulnerabilidades

amenazas activos

riesgo

imponen


dit Definiciones

Seguridad de las redes y de la información:

la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles

Riesgo:

estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización


dit Gestión del riesgo

Análisis de riesgos

proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización

Evaluación de los riesgos

proceso en el que se coteja el riesgo estimado contra los criterios de la organización para determinar la importancia del riesgo

Tratamiento de riesgos

selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados


dit Magerit : análisis

activosactivos

amenazasamenazas

frecuenciafrecuencia

impactoimpacto

valorvalor

riesgoriesgo

Interesan por su

degradación

están expuestos a

degradacióncausan una cierta

con una cierta


dit Magerit : tratamiento

activosactivos

amenazasamenazas

frecuenciaresidual

frecuenciaresidual

impactoresidual

impactoresidual

valorvalor

riesgoresidualriesgo

residual

Interesan por su

degradaciónresidual

están expuestos a

degradaciónresidual

causan una cierta

con una cierta

tipo de activodimensiónamenaza

nivel de riesgosalvaguardassalvaguardas


dit

3. gestión de riesgos3. gestión de riesgos

1. planificación del proyecto de análisis y gestión de riesgos1. planificación del proyecto de análisis y gestión de riesgos

2. análisis de riesgos2. análisis de riesgos

.1 oportunidad.1 oportunidad .2 alcance.2 alcance .3 planificación.3 planificación .4 lanzamiento.4 lanzamiento

.1 activos.1 activos .2 amenazas.2 amenazas .3 salvaguardas.3 salvaguardas .4 estado de riesgo.4 estado de riesgo

.1 toma de decisiones.1 toma de decisiones .2 plan de seguridad.2 plan de seguridad .3 ejecución del plan.3 ejecución del plan

Magerit v2

El problema es la complejidaddemasiados activos, amenazas, contra medidas, ...

La solución : una aproximación metódica


dit Activos

Mageritson los recursos del sistema de información, o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección

GMITS: ISO/IEC 13335-1 (2004)Asset: anything that has value to the organization


dit ¿Qué cosas son activos?

Sin duda alguna

Información (datos funcionales)

Las aplicaciones (sw)

Los equipos (hw)

Las comunicaciones

Los locales

Puede Vd. opinar

Intangibles

Serviciosa usuario final (ext)

internos (int)

contratados (cont)

Las personasusuarios

operadores

administradores

desarrolladores


dit Unos activos dependen de otros

serviciosservicios

información (datos)información (datos)

aplicacionesaplicacionessoftware de basesoftware de base

equipamiento (hw)equipamiento (hw)

personalpersonallocaleslocales


dit Dependencia

Un servicio deja de estar disponible [D]¿por qué? si ocurre que ... a ...

Un dato puede ser manipulado [I] ¿cómo? por medio de ...

¿dónde? estando en ...

Un dato puede ser revelado [C]¿cómo? por medio de ...

¿dónde? estando en ...


dit Valoración

Coste que supondría la ocurrencia de una amenazavalor de reposición

valor de reconstrucción

horas perdidas de trabajo

lucro cesante

daños y perjuicios

No sólo importa lo que cuesta; importa [más] para qué valePara un estudio comparativo basta alguna escala sencilla:

0, 1, 2, ..., 10

es más importante saber el valor relativo que el absoluto

Para un estudio de costes se requiere una estimación ajustada


dit Dimensiones de valoración

D disponibilidad¿Qué importancia tendría que el activo no estuviera disponible?

I integridad¿Qué importancia tendría que el activo fuera modificado fuera de control?

C confidencialidad¿Qué importancia tendría que el activo fuera conocido por personas no

autorizadas?

A autenticidad¿Qué importancia tendría que quien accede al activo no sea realmente

quien se cree?

T trazabilidad (accountability)¿Qué importancia tendría que no quedara constancia del uso del activo?


dit ¿Qué activos valoramos?

Los datos (información)sin duda

Los servicios finalesprobablemente SÍ:

es lo que entiende la Dirección

Los demás activosprobablemente NO:

sólo tienen valor en función de los datos que manejan y los servicios que habilitan

¿sólo?


dit Valoración cualitativa

Criterios homogéneos que permitanrelativizar entre dimensiones

compartir / combinar análisis realizados por separado

uniformidad de conocimiento

9

7

6

4

1

8 alto

5 medio

3

2 bajo

despreciable0

10 muy alto


dit Aspectos de valoración

seguridad de las personas

información de carácter personal

obligaciones derivadas de la ley, del marco regulatorio, de contratos, etc.

capacidad para la persecución de delitos

intereses comerciales y económicos

pérdidas financieras

interrupción del servicio

orden público

política corporativa

otros valores intangibles


dit Valoración cuantitativa (euros)

B1 = beneficios_1 – gastos_1si no ocurre nada

B2 = beneficios_2 – gastos_2si se materializa la amenaza

IMPACTO = B1 – B2(beneficios_1 – beneficios_2) + (gastos_2 – gastos_1)

euros0.0

b1g1b2g2


dit Otras calificaciones

Carácter personal

Alto

Medio

Bajo-Medio

Bajo

Clasificación de seguridad

Secreto

Confidencial

Reservado

Difusión limitada

Sin clasificar

Puede haber normativa específica• legal• sectorial• contractual• estratégica de la organización

Puede haber normativa específica• legal• sectorial• contractual• estratégica de la organización


dit Amenazas

Son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales

accidentales

deliberadas(intencionales)

naturalesterremotos, inundaciones, rayos, ...

industrialeselectricidad, emanaciones, ...

humanas: errores y omisiones

intercepción pasiva o activaintrusión, espionaje, ...robo, fraude, ...


dit Cuantificación de las amenazas

Se trata de estimar la vulnerabilidad de los activosfrente a las amenazas

Las amenazas se cuantifican por su efecto sobre los activos afectados

frecuencia de ocurrencia¿cuántas veces por año?

ARO = annual rate of occurrence

degradacióndaño causado

porcentaje del valor del activo que costará ...


dit Impacto

Consecuencia que sobre un activo tiene la materialización de una amenaza

pérdida posible

activo Aactivo A

activo B amenaza Z

activo Aactivo A

activo Bactivo B amenaza Z

acumulado repercutido


dit Riesgo

Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización

pérdida probable

Valoracióncualitativa / subjetiva

irrelevante … grave … intolerable

cuantitativa / económicacoste dinerario

Métodoscualitativos: tabulares

cuantitativos: impacto × frecuencia


dit Estimación tabular

[10] alto muy alto

muy alto

muy alto

muy alto

[7] medio alto alto alto alto

[5] bajo bajo medio medio medio

[3] bajo bajo bajo medio medio

[1] muy bajo

muy bajo

muy bajo

muy bajo bajo

muybaja baja media alta muy

alta

impa

cto

vulnerabilidad


dit Riesgo

Consecuencia que sobre un activo tiene la materialización de una amenaza modulada por la frecuencia o vulnerabilidad

pérdida probable

activo Aactivo A

activo B amenaza Z

activo Aactivo A

activo Bactivo B amenaza Z

acumulado repercutido


dit Salvaguardas

MAGERITprocedimiento o mecanismo tecnológico que reduce el riesgo.

sinónimos: contra medidas, controles

ISOsafeguard: a practice, procedure or mechanism that reduces risk

baseline controls: a minimum set of safeguards established for a system of organization

synonyms: countermeasures, controls


dit Tratamiento del riesgo

1. Si se puede, se evita

2. Si no, hay que plantear una estrategia1. hay que tener medidas preventivas

2. hay que tener un plan de emergencia

3. hay que tener un plan de recuperación

• Ninguna estrategia es completa

• Sólo la combinación equilibrada puedellevar a una seguridad aceptable

• Ninguna estrategia es completa



dit Aspectos

¿Cómo se enfoca la respuesta al riesgo?

[PR] Procedimientos

[PER] Política de personal

Soluciones técnicas[SW] Programas (soluciones software)

[COM] Securización de las comunicaciones

[HW] Equipamiento (soluciones hardware)

[PHY] Seguridad física

SIEMPRE

siempre

frecuentemente

casi siempre

• Ningún aspecto es completo


• Ningún aspecto es completo



dit ¿Cómo seleccionar salvaguardas?

Expertossistemas expertos

Catálogos de salvaguardaschecklists

libros

leyes

reglamentos

normativa sectorial

...


dit Listas de salvaguardas

Magerit

Criterios de Seguridad, Normalización y Conservación

Information Technology Baseline Protection Manual

GMITS: ISO/IEC 13335Guidelines for the management of IT security

UNE & ISO/IEC 17799Code of Practice for Information Security Management

Common criteria: ISO/IEC 15408

Recommended Security Controls for Federal Information Systemshttp://csrc.nist.gov/publications/drafts/draft-SP800-53.pdf

PILAR


dit Efectividad de las salvaguardas

Tiene queser adecuada al peligro que conjura

estar instalada

estar mantenida, actualizada

estar monitorizada

el personal instruido: usuarios, operadores y administradores

existir procedimientos

De lo contrariono vale de nada

o, al menos, no sabemos de qué vale


dit Incumplimientos

Relación de aquellas salvaguardas quedeberían estar ...

desplegadas, mantenidas, monitorizadas

deberían adecuarse al peligro

Que es lo que recomienda el catálogopersonalizado a nuestro mapa de riesgos


dit Impacto y riesgo residuales

Impactoconsecuencia que sobre un activo tiene la materialización de una amenaza

Riesgolo que probablemente ocurra (el impacto anualizado)

Impacto y riesgo residualeslo que queda tras contabilizar las salvaguardas


dit

3. gestión de riesgos3. gestión de riesgos

1. planificación del proyecto de análisis y gestión de riesgos1. planificación del proyecto de análisis y gestión de riesgos

2. análisis de riesgos2. análisis de riesgos

.1 oportunidad.1 oportunidad .2 alcance.2 alcance .3 planificación.3 planificación .4 lanzamiento.4 lanzamiento

.1 activos.1 activos .2 amenazas.2 amenazas .3 salvaguardas.3 salvaguardas .4 estado de riesgo.4 estado de riesgo

.1 toma de decisiones.1 toma de decisiones .2 plan de seguridad.2 plan de seguridad .3 ejecución del plan.3 ejecución del plan

Magerit v2


dit Valoración técnica → de servicio

Teniendo en cuenta:

la gravedad del impacto y/o del riesgo

obligaciones por ley, reglamentos sectoriales o contratos

intangibles:imagen pública de cara a la Sociedad

política interna

relaciones con los proveedores

relaciones con los usuarios

relaciones con otras organizaciones

nuevas oportunidades

acceso a sellos o calificaciones reconocidas de seguridad

...


dit T3.1 : Calificación de los riesgos

1. es críticoen el sentido de que requiere atención urgente

2. es graveen el sentido de que requiere atención

3. es apreciableen el sentido de que pueda ser objeto de estudio para su tratamiento

4. es asumibleen el sentido de que no se van a tomar acciones para atajarlo


dit Plan de seguridad

Si el impacto residual no es aceptable ...

Si el riesgo residual no es aceptable ...

Si las salvaguardas debidas no tienen una efectividad aceptable ...

... hay que hacer un plan para corregir la situacióndesplegando nuevas salvaguardas

mejorando la efectividad de las salvaguardas presentes


dit

planificaciónplanificaciónPlan

monitorizacióny evaluación

monitorizacióny evaluación

Check

implementacióny operación

implementacióny operación

Do

mantenimientoy mejora

mantenimientoy mejora

Act

Una actividad continuaSistema de Gestión de la Seguridad de la Información


dit Interés de un análisis del riesgo

Conciencia a [los miembros de] la organizacióna la dirección y a los empleados

Identifica activos, amenazas y controlesmodelo de valor de la organización

mapa de riesgos

estado de riesgo

Base razonada para tomar decisionesjuicio sobre la eficacia de los controles, actuales y futuros

Justificación del gasto en seguridad


dit ¿Cuándo?

El análisis de riesgo muestra su máxima eficacia cuando se realiza antes del despliegue de un sistema

y las salvaguardas se incorporan al diseño de la solución

Es necesario cuandoun sistema se hace cargo de nuevas o más importantes misiones que aquellas para las que fue diseñado

morir de éxito

cambia el perfil de vulnerabilidadej. exposición a Internet


ditLa guerra es un asunto de importancia vital para el Estado; un asunto de vida o muerte, el camino hacia la supervivencia o la destrucción. Por lo tanto, es imperativo estudiarla profundamente.

Hay que valorarla en términos de cinco factores fundamentales, y hacer comparaciones entre diversas condiciones de los bandos antagonistas, de cara a determinar el resultado de la contienda.

El primero de estos factores es la política; el segundo, el clima; el tercero, el terreno; el cuarto, el comandante; y el quinto, la doctrina.

Mediante todo esto, uno puede adivinar el resultado final de la batalla.

El Arte de la Guerra, Capítulo 1: Estimaciones,

Sun Tzu, 2.000 a.C.

magerit

Documents