Análisis de Riesgos
-
Upload
ramiro-cid -
Category
Technology
-
view
4.190 -
download
0
description
Transcript of Análisis de Riesgos
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Ramiro Cid | @ramirocid
1
Análisis de Riesgos
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
2
Índice
1. Análisis de riesgos: Primer acercamiento Pág. 3
2. Activos Pág. 22
3. Amenazas Pág. 28
4. Vulnerabilidades Pág. 41
5. Impacto Pág. 43
6. Gestión de Riesgos Pág. 47
7. Cálculo del Riesgo Pág. 55
8. Comparativa de metodologías de análisis de riesgos Pág. 62
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Análisis de riesgos: Primer acercamiento
� “Corresponde al proceso de identificar los riesgos, desde el punto de vista
de la seguridad, determinando su magnitud e identificando las áreas que
requieren medidas de salvaguarda”.
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Gestión global de Seguridad de un Sistema de Información
Fases:
Análisis y Gestión de Riesgos
Determinar Objetivos y Política de Seguridad
Establecer Planificaciónde Seguridad
Implantar Salvaguardas
Monitorización y gestión de Cambios en la
Seguridad
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
¿Qué es un Análisis de Riesgos?
¿qué hay que hacer para no verse
afectado por ellas?
? Documento donde se describe, para su posterior análisis y
ayuda a la toma de decisiones...
¿qué hay en el sistema?
¿qué amenazas le afectan?
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Plan Director de Seguridad
� Análisis de Riesgo (Problemas encontrados) [A.R.]
� Gestión de Riesgos (Propongo soluciones) [G.R.]
[A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Resumen del procedimiento de análisis
Gestión delriesgo
Identificación
y valoración de activos
Valoración de amenazas y vulnerabilidades
Análisis de Riesgos
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Evaluación de riesgos y gastos
Gestión del riesgo:
Proceso de equilibrar el coste de protección con el coste de exposición.
Coste de Equilibrio
Nivel de Seguridad
Decisiones:
� Aceptarlo
�Asignación a terceros
� Evitarlo
Riesgos Seguridad
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
¿Por qué realizarlo?
� Permite identificar los riesgos de la seguridad de la información que
podrían afectar en el desarrollo de las actividades de negocio
� Facilita la correcta selección de las medidas de seguridad a implantar
� Creación de los plantes de contingencias en previsión de las amenazas
detectadas
� Necesario en el diseño, implantación y certificación de un SGSI (es el
primer paso en la implementación de un SGSI)
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Tipos de Análisis
Hay dos tipos de análisis de riesgos según las cosas que tienen en cuenta:
� Intrínseco es aquel que se realiza sin tener en cuenta aquellas contramedidas que ya se están aplicando.� Da como resultado el Riesgo Intrínseco
� Residual es aquel que se realiza teniendo en cuenta las contramedidas ya aplicadas. � Da como resultado el Riesgo Residual
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Elementos del Análisis
� Activos: Los activos son todos aquellos elementos que forman parte del
Sistema de Información.
� Amenazas: Las amenazas son todas aquellas cosas que le pueden
suceder a los activos que se salen de la normalidad.
� Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por
las amenazas para dañar a un activo (son los agujeros de seguridad).
� Impacto: Consecuencia de la materialización de una amenaza sobre un
activo
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Elementos del Análisis (continuación)
� Controles: Son todos aquellos mecanismos que permiten reducir las
vulnerabilidades de los sistemas.
� Riesgos: Son el resultado del análisis de riesgo.
El riesgo es una ponderación del valor del activo, la probabilidad que
suceda una amenaza y el impacto que tendría sobre el sistema.
Riesgo = Valor Activo + Probabilidad + Impacto
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Relaciones
Incrementan
Poseen
GeneranGeneran
Protegen contraIncrementan
Incrementan Exponen
Aprovechan las
RiesgosControles
Amenazas Vulnerabilidades
Requerimientos de Seguridad
Activos
Valor de los activos e impactos potenciales
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Algunas Conclusiones
� Lo que se pretende en la Gestión de riesgos es reducir la probabilidad y/o el impacto. La
amenaza no se puede reducir, lo que se intenta es eliminar la vulnerabilidad para que con
esto la probabilidad de ocurrencia de la amenaza disminuya o sino se trata de que el impacto
en caso de ocurrencia sea menor
� Una buena práctica utilizada para empresas grandes es aplicar primero NIST para filtrar los
riesgos altos, luego se realiza sobre estos Magerit o CRAMM sobre estos
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Metodologías (I): MAGERIT
Es una metodología de
Análisis y Gestión del
Riesgos de los sistemas de
información desarrolladas
por el Ministerio de
Administraciones Públicas.
Solo se aplica en el ámbito
español.
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Fases de MAGERIT
Toma de datos. Procesos de la
Información
Dimensionamiento. Establecimiento de
Parámetros
Análisis activos Y salvaguardas
Establecimiento impactos
Establecimiento vulnerabilidades
Análisis de amenazas
Análisis Riesgo Intrínseco
Influencia de salvaguardas
Análisis Riesgos efectivo
Evaluación de riesgos
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Toma de datos y procesos de la información
� Objetivos:
� Definir el área de aplicación del estudio (alcance) y el objetivo final del análisis de riesgos.
� Tener una visión global del proceso de información en la organización.
� Establecer el grado de análisis en unidades homogéneas en todo el alcance (granularidad)
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Establecimiento de parámetros
Parámetros para valorar los activos y salvaguardas: Se debe asignar una
valoración económica a los activos.
� Valoración real: valor que tiene para la empresa la reposición del activo en las condiciones anteriores a la acción de la amenaza
� Valoración estimada: medida subjetiva de la empresa que, considerando la importancia del activo, le asigna un valor económico.
Valoración Rango Valor
Muy Alto Valor > 200.000€ 300.000€
Alto 100.000€< valor > 200.000€ 150.000€
Medio 50.000€< valor > 100.000€ 75.000€
Bajo 10.000€< valor > 50.000€ 30.000€
Muy bajo < 10.000€ 10.000€
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Establecimiento de parámetros
Para la estimación de la vulnerabilidad, hay que estimar la frecuencia de
ocurrencia de las amenazas en una escala de tiempos.
Vulnerabilidad Rango Valor
Extrema Frecuencia 1 vez al día 0,997
Alta Frecuencia 1 vez cada 2 semanas 0,071
Frecuencia media 1 vez cada 2 meses 0,016
Baja Frecuencia 1 vez cada 6 meses 0,005
Muy baja Frecuencia 1 vez al año 0,003
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Establecimiento de parámetros
Parámetros para la estimación del impacto, hay que estimar el grado de daño
producido por la amenaza en los activos
Impacto Valor
Muy alto 99%
Alto 75%
Medio 50%
Bajo 20%
Muy bajo 5%
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Establecimiento de parámetros
Parámetros para estimar la influencia de las salvaguardas: disminuyen el
riesgo calculado (probabilidad o impacto)
Variación impacto/vulnerabilidad Valor
Muy alto 95%
Alto 75%
Medio 50%
Bajo 30%
Muy Bajo 10%
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
“Los activos son todos aquellos elementos que
forman parte del Sistema de Información”.
Definición de activos
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Detección y Clasificación de activos
� Activos físicos: Hardware
� Los activos físicos son aquellas cosas que forman parte de la empresa como material de ayuda a desempeñar una actividad. Ejemplo: Ordenador, Impresora, ...
� Activos lógicos: Software
� Los activos lógicos son aquellos programas o datos que forman parte del conocimiento de la empresa para desempeñar la actividad. Ejemplo: BD, Intranet Corporativa, ...
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Detección y Clasificación de activos
� Personal: Roles del Sistema
� Los roles del personal relacionados con la seguridad, son todas aquellas responsabilidades que hay que asumir en cuanto a la seguridad del sistema.
� Forum de seguridad � Responsable de seguridad� Operador de Copia de Seguridad� ...
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Detección y Clasificación de activos
� Entorno
� Aire Acondicionado � Sistema Eléctrico� instalaciones adicionales
� Imagen Corporativa
� La fiabilidad, y la imagen de la empresa son uno de los activos más importantes a la hora que los clientes depositen en ella su confianza.
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Detección y Clasificación de activos
� Se clasifican según su:
� Confidencialidad (libre, restringida, protegida, confidencial, etc.)� Autenticación (baja, normal, alta, crítica)� Integridad (bajo, normal, alto, crítico)� Disponibilidad (menos de una hora, menos de un día, menos de una
semana, más de una semana)
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Valoración de activos
VALORACIÓN: Coste TOTAL que tendría para la empresa su pérdida:
� Valor de reposición� Valor de configuración, puesta a punto, etc.� Valor de uso del activo� Valor de pérdida de oportunidad
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
“Las amenazas son todas aquellas cosas que le pueden
suceder a los activos que se salen de la normalidad”
Definición de amenazas
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Tipo de amenazas
Las amenazas normalmente dependen del negocio de la empresa y del tipo de
sistema que se quiere proteger
Ejemplos:
� Empresa de desarrollo de sistemas
� ISP� Colegio Profesional
� Universidad
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Listado de amenazas
� Accidentes
� Errores
� Amenazas Intencionales Presenciales
� Amenazas Intencionales Remotas
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Amenazas - Accidentes
� Accidente físico
� Incendio, explosión, inundación por roturas, emisiones radioeléctricas, etc.
� Avería
� De origen físico o lógico, debida a un defecto de origen o durante el funcionamiento del sistema.
� Interrupción de Servicios esenciales
� Energía� Agua� Telecomunicación
� Accidente mecánico o electromagnético:
� Choque� Caída� Radiación
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Listado de amenazas
� Accidentes
� Errores
� Amenazas Intencionales Presenciales
� Amenazas Intencionales Remotas
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Amenazas - Errores
� Errores de utilización del sistema, provocados por un mal uso, ya sea
intencionado o no
� Errores de diseño conceptuales que puedan llevar a un problema de
seguridad
� Errores de desarrollo derivados de la implementación de alguna
aplicación o de la implantación de un sistema en producción
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Amenazas - Errores
� Errores de actualización o parcheado de sistemas y aplicaciones
� Monitorización inadecuada
� Errores de compatibilidad entre aplicaciones o librerías
� Errores inesperados
� Virus
� Otros ¿?
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Listado de amenazas
� Accidentes
� Errores
� Amenazas Intencionales Presenciales
� Amenazas Intencionales Remotas
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Amenazas Intencionales Presenciales
� Acceso físico no autorizado
� Destrucción o sustracción
� Acceso lógico no autorizado
� Intercepción pasiva de la información� Sustracción y/o alteración de la información en tránsito
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Amenazas Intencionales Presenciales
� Indisponibilidad de recursos
� Humanos: motivos de huelga, abandono, enfermedad, baja temporal, etc
� Técnicos: desvío del uso del sistema, bloqueo, etc
� Filtración de datos a terceros: apropiación indebida de datos,
particularmente importante cuando los datos son de carácter
personal (LOPD)
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Listado de amenazas
� Accidentes
� Errores
� Amenazas Intencionales Presenciales
� Amenazas Intencionales Remotas
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Amenazas Intencionales Remotas
� Acceso lógico no autorizado
Acceso de un tercero no autorizado explotando una vulnerabilidad del sistema para utilizarlo en su beneficio.
� Suplantación del origen
Intercepción de una comunicación escuchando y/o falseando los datos intercambiados
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Amenazas Intencionales Remotas
� Gusanos
� Virus que utilizan las capacidades de servidores y clientes de internet para transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las variantes.
� Denegación de servicio
� Contra el ancho de banda: Consumir todo el ancho de banda de la máquina que se quiere aislar
� Contra los recursos físicos del sistema: Consumir toda la memoria y los recursos que la máquina utiliza para ofrecer su servicio
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Debilidad o agujero en la organización de la seguridad
¡Una vulnerabilidad en si misma no produce daños.
Es un condicionante para que una amenaza afecte a un activo!
Definición de vulnerabilidad
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Vulnerabilidades
El cruce de un activo sobre el que puede materializar una amenaza, da lugar
a una vulnerabilidad
Activo Amenaza Vulnerabilidad
01 - Servidor Fallo del sistema
eléctrico
Dependiente de la
corriente
Acceso lógico no
autorizado
Accesibilidad al
sistema
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
“Es la consecuencia de que una amenaza se materialice
sobre un activo”
Definición de impacto
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Valoración de Impactos
Identificación de impactos:
� Como el resultado de la agresión de una amenaza sobre un activo� El efecto sobre cada activo para poder agrupar los impactos en cadena según
la relación de activos� El valor económico representativo de las pérdidas producidas en cada activo� Las pérdidas pueden ser cuantitativas o cualitativas
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Acción de las salvaguardas
Se analiza el efecto de las salvaguardas sobre los impactos y/o las
vulnerabilidades
Preventivas:
� Disminuyen la vulnerabilidad� Nueva vulnerabilidad= (Vulnerabilidad+% disminución vulnerabilidad)
Curativas:
� Disminuyen el impacto� Nuevo impacto= (Impacto+disminución impacto)
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Evaluación de riesgos
Identifica el coste anual que supone la combinación de activo, amenaza,
vulnerabilidad e impacto.
Riesgo intrínseco
� Valor activo * Vulnerabilidad * Impacto
Riesgo efectivo
� Valor efectivo * Nueva vulnerabilidad * Nuevo Impacto= Valor activo * (Vulnerabilidad * % Disminución Vulnerabilidad) * (Impacto * % Disminución Impacto)= Riesgo intrínseco * % Disminución Vulnerabilidad * % Disminución del Impacto
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Gestión de Riesgos
Gestionar los riesgos identificados:
� Determinar si el riesgo es aceptable� SI: Identificar y aceptar el riesgo residual� NO: Decidir sobre la forma de gestionar el riesgo
Forma de gestionar el riesgo:
� Evitarlo: suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad� Transferido: cambiar un riesgo por otro: Outsourcing, seguros, etc.� Reducirlo: reducir la amenaza, vulnerabilidad, impacto� Asumirlo: Detectar y recuperar (Statu quo).
����
x
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Gestión de Riesgos
Identificar requisitos de seguridad
Identificar requisitos de seguridad
¿Hacemos algo?
¿Reducimos riesgos?
Eliminar el origen del riesgo, o transferido
Proceso de reducción de nivel de riesgo
Selección de controles
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Gestión de riesgos
Una vez se tiene decidido que es lo que hay que hacer se elaborar el:
PLAN DE ACCIÓN
� Establecer prioridades� Plantear un análisis de coste-beneficio� Hacer la selección definitiva de controles a implantar� Asignar responsabilidades� Desarrollar un plan de gestión de riesgos� Implantar los controles
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Resumen. Vulnerabilidad /Impacto y Riesgo
intrínseco22.502,
4 5 6
Personal de
desarrollo de SW
y HW PC's desarrollo PC's hardware
PC's entorno de
pruebas DIA AÑO
EN-003 SI-001 SI-002 SI-003
Nº Código Nombre 50000 10000 10000 2500
1 A1-001
Incendio en oficinas
0,003 50% 0,003 50% 0,003 50%
- 13,70 13,70 3,42 30,82 11.249,3
3 A2-001
Avería hardware
0,005 50% 0,005 50% 0,005 50%
- 27,40 27,40 6,85 61,65 22.502,2
5 P1-001
Acceso físico a oficinas
0,003 5% 0,003 5% 0,003 5%
- 1,37 1,37 0,34 3,08 1.124,2
6 P2-001
Acceso lógico interno a los
sistemas
0,005 50% 0,005 50% 0,005 50%
- 27,40 27,40 6,85 61,65 22.502,2
8 P5-002
No disponibilidad de personal
0,00274 50%
68,49 - - - 68,49 24.998,8
Riesgo intrínseco anual por activo 24.998,8 € 25.502, € 25.502 € 6.372,9 €
---82.376,7
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Metodologías: NIST ST 800-30
Metodología de origen Americano que se apoya en los siguientes pasos:
Determinación del sistema
Identificación de vulnerabilidades
Identificación de amenazas
Estudio de las salvaguardas
Determinación de la probabilidad
Determinación del Riesgo
Análisis del impacto
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Metodologías: NIST ST 800-30
Probabilidad de la
amenaza
Impacto
Bajo (10) Medio (50) Alto (100)
Alto (1.0) Bajo Medio Alto
Medio (0.5) Bajo Medio Medio
Bajo (0.1) Bajo Bajo Bajo
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Metodologías: NIST ST 800-30
Nivel de
riesgoAcciones
AltoAplica medidas para controlar el riesgo de forma
inmediata
MedioAplica medidas para controlar el riesgo en un
periodo de tiempo razonable
BajoAnalizar si aceptar el riesgo o aplicar medidas de
control
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Metodologías: NIST ST 800-30
Activo Vulnerabilidad Amenaza Fuente Característica
Director
General
No cláusula de
exclusividad
Oferta
competenciaX X X 0,5 100 Medio
Base
Datos
Cliente
Mala
configuración
Publicación
de datos
privados
X X 0,1 100 Bajo
ImagenPolítica firewall
inadecuada
Cambio
contenido
Web
X X 0,1 100 Bajo
Natural
Hum
ana
Entorno
Disponibilidad
Confidencialidad
Integridad
Probabilidad
Impacto
Riesgo
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Cálculo del Riesgo
El riesgo es una ponderación del valor del activo, la probabilidad que suceda
y el impacto que tendría sobre el sistema.
Valor (+) probabilidad (+) impactoValor (+) probabilidad (+) impactoValor (+) probabilidad (+) impactoValor (+) probabilidad (+) impacto
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Riesgo
Probabilidad 1 2 3 4 5
Impacto 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5Valor
1 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 112 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 123 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 134 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 145 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14 11 12 13 14 15
de 3 a 7 No es necesario controlde 8 a 10 Control recomendadode 11 a 15 Control obligatorio
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Ejemplo de Análisis de riesgos
Internet
Explorer (6.0;
5.5; 5.0; 4.01)
3 E01 - Errores de utilización Susceptible a errores humanos de
utilización
1 1 5
3 E02 - Errores de diseño,
integración y explotación
Susceptible a errores humanos en los
procesos de diseño, integración y/o
explotación
3 3 9
3 E04 - Inadecuación de
monitorización, trazabilidad,
registro del tráfico de información
Existencia de una falta de revisión de
logs, o de un proceso inadecuado de
dicha revisión
3 1 7
3 E07 - Errores de actualización Susceptible de no estar correctamente
actualizado
3 2 8
3 AP03 - Acceso lógico no autorizado
con alteración o sustracción de la
información, en tránsito o de
configuración
Debilidad en el control de acceso
lógico al S.O.
4 3 10
Uso descuidado de los sistemas por
parte de los trabajadores, dejando sus
terminales accesibles
2 3 8
3 AT02 - Acceso lógico no autorizado
con corrupción o destrucción de
información en tránsito o de
configuración
Debilidad en el control de acceso
lógico al S.O.
4 3 10
Debilidad en el sistema antivirus 1 3 7
3 AT03 - Acceso lógico no autorizado
con modificación (inserción y/o
repetición) de información en
tránsito
Debilidad en el control de acceso
lógico al S.O.
4 3 10
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Cálculos
técnicos (de
simulacione
s
4 E01- Errores de utilización Los empleados comenten errores durante
la realización de las diferentes tareas que
pueden provocar la destrucción o
modificación de las informaciones
1 2 7
4 E05 - Errores relacionados con
la formación y la concienciación
del personal
Uso descuidado de la información en papel
por parte de los trabajadores, dejando
información confidencial accesible
4 3 11
4 AP06 - Robo y sabotaje Uso descuidado o inadecuado de los
controles de acceso físico al edificio
3 5 12
Posibilidad de enviar información a través
del correo electrónico sin ningún control
de direcciones, tanto de remitente como de
recepción
3 5 12
No está controlada la destrucción de los
soportes en los que se guarda la
información (destructora de papel, borrado
seguro de las informaciones, etc.)
2 5 11
4 AT01 - Acceso lógico no
autorizado con sustracción
Las informaciones enviadas no viajan
encriptadas con los que podría ser posible
interceptar y obtener dichas informaciones
2 4 10
4 AT03 - Acceso lógico no
autorizado con modificación de
información en tránsito
Las informaciones enviadas no viajan
encriptadas ni firmados con los que podría
ser posible interceptar y modificar dichas
informaciones
2 3 9
Ejemplo de Análisis de riesgos
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Contramedidas
Según el riesgo
� Recomendaciones a la dirección una serie de contramedidas que pueden aplicar a su sistema para paliar el riesgo obtenido, ya sea intrínseco o residual
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Evaluación de riesgos y gastos
� Es necesario conocer su COSTE (anual) / VALOR
� Es necesario determinar claramente la RESPONSABILIDAD sobre cada
activo
� Es necesario conocer qué AUTORIDAD existe
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Referencias06
Documentación para ampliar conocimientos:
BSI e ISO:
1. Normas BSI: http://www.bsi-global.com
2. Web oficial de la ISO: http://www.iso.org/
3. Wikipedia (ISO 17799): http://es.wikipedia.org/wiki/ISO/IEC_17799
4. Wikipedia (ISO): http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n
Metodologías de Análisis de riesgos:
1. Web de AENOR (Asociación Española de Normalización y Certificación) http://www.aenor.es/
2. Buscador de normas AENOR http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp
3. Magerit: Web del Consejo Superior de Administración Electrónica http://www.csi.map.es/
4. CRAMM: http://www.cramm.com/
5. NIST SP 800-30: Web oficial de la Nist: http://www.csrc.nist.gov/index.html
6. NIST SP 800-30: Publicaciones de la Nist: http://www.csrc.nist.gov/publications/nistpubs/
7. Octave: http://www.cert.org/octave/
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Comparativa de Metodologías – Valoración de los elementos de análisis:
Activo Valoracion Amenaza VulnerabilidadProbabilida
d que ocurra
Impacto Riesgo
Magerit Activo XValor del
Activo (medido en €)
Amenaza Y No lo requiereFrecuencia
Z
% del valor del activo que se pierde sí el impacto se
produce
Valor de la perdida diaria que resulta de la multiplicacion del valor del activo con laprobabilidad de ocurrencia
de la amenaza
CRAMM Activo X [1-5] Amenaza Y Vulnerabilidad WFrecuencia
Z [1-5][1-5] Escala [3 a 15]
NIST SP 800-30
Activo XAlto-Medio-
BajoAmenaza Y Vulnerabilidad W
Frecuencia Z Alto-
Medio-BajoAlto-Medio-Bajo Alto, medio y bajo
Octave Activo X
Busca el riesgo más alto es un árbol de desición
Amenaza Y Vulnerabilidad WFrecuencia
ZBusca el riesgo más alto es
un árbol de desición
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Comparativa de Metodologías:
Puntos a Destacar
Magerit CRAMM NIST SP 800-30 Octave
País que la creo
España Reino Unido Estados Unidos Estados Unidos
Responsable del Producto
Secretaría de Estado para la Administración Pública
Cramm. El cual pertenece a Siemens
National Institute of Standards and Technology (NIST)
Software Engineering Institute (SEI) y Carnegie Mellon
University (CMU)
WebSite
Versión 1: http://www.csi.map.es/csi/pg5m
22.htmVersión 2:
http://www.csi.map.es/csi/pg5m20.htm
http://www.cramm.com/
http://www.csrc.nist.gov/index.htmlPublicaciones:
http://www.csrc.nist.gov/publications/nistpubs/
http://www.cert.org/octave/
VersionesVersión 1 (1997)Versión 2 (2006)
Ultima versión: CRAMM NATO V5.3
Publicación 800-30 (2002)OCTAVESM Method Version
2.0
Herramienta para aplicar la metodología
Herramientas:* PILAR
* CHINCHON
Un gran numero de herramientas de analisis y gestión de la información
resultante de estas (ejemplo: CRAMM Express)
Según lo investigado, la norma no especifica un producto en concreto
para el analisis
Según lo investigado, la norma no especifica un producto en
concreto para el analisis, habla genericamente de 'Vulnerability
Evaluation Tools'
Principales Conceptos
Activos, amenazas, vulnerabilidades, impactos,
riesgos y salvaguardas
Activos, amenazas, vulnerabilidades, riesgos,
salvaguardas (contramedidas)
Amenazas, vulnerabilidades, riesgos, controles
Activos, amenazas, vulnerabilidades, riesgos
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Comparativa de Metodologías:
Puntos a Destacar
Magerit CRAMM NIST SP 800-30 Octave
Fases
1- Planificación del Proyecto de Riesgos (como consideraciones iniciales para
arrancar el proyecto de Análisis y Gestión de Riesgos)
2- Análisis de riesgos (Se identifican y valoran las diversas entidades,
obteniendo una evaluación del riesgo, así como una estimación del umbral de
riesgo deseable)3- Gestión de riesgos (Se identifican las
funciones y servicios de salvaguarda reductoras del riesgo)
4- Selección de salvaguardas (plan de implantación de los mecanismos de
salvaguarda elegidos)
1- Identificación y valoración de activos (se identifican los activos físicos, software, y los activos de
datos que conforman los sistemas de información)
2- Valoración de las amenazas y vulnerabilidades (determinar cuál es la probabilidad de que esos problemas
ocurran)3- Selección y recomendación de
contramedidas (CRAMM contiene una gran librería de más de 3000
contramedidas organizadas en 70grupos)
1- Iniciación (identificar riesgos es usado para soportar el desarrollo de los
requerimientos del sistema)2- Desarrollo o adquisición (El sistema IT es
diseñado, expresado y propuesto o construido)
3- Implementación (los activos de seguridad del sistema son configurados, habilitados,
testeados y verificados4- Operación o mantenimiento (las
actividades de mantenimiento para la reducción del riesgo son realizadas)
5- Disposición (las actividades de administración de riesgos son realizadas en
los componentes del sistema)
1- Construcción de las vulnerabilidades basadas en los activos (visión
organizacional)2- Identificación de las vulnerabilidades de la infraestructura (visión tecnológica)
3- Desarrollo de estrategia de seguridad y planes de mitigación de las vulnerabilidades (estrategia y plan de
desarrollo)
Principales Características
* Habla de análisis algorítmico con 3 modelos: cualitativo, cuantitativo y
escalonado* En la versión 2 posee 3 documentos:
Catalogo, Metodo y Tecnicas
* > 400 tipos de activos* 38 tipos de amenazas* > 25 tipos de impactos* 7 medidas de riesgo
* > 3500 controles
* Otorga gran importancia a los controles* Habla de perfiles claves dentro de la
organización respecto a la responsabilidad de la administración del riesgo
* Posee 'Self-Direction'. Una pequeño equipo del personal de la misma
organización es involucrado en los procesos de implementación de la
metodología (personal de IT y de otros departamentos)
* Creación de un pequeño equipo interdiciplinario de analisis de la
información* Acercamiento basado en workshop
donde personas de distintos niveles de la organización trabajan para identificar las vulnerabilidades basandose en los
activos* Catalogos de la información:
Catalogos de practicas, Perfil de activos, catalogo de vulnerabilidades
* Habla de un balance entre 3 aspectos: Tecnología, Riesgo Operacional y
Prácticas de seguridad
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Comparativa de Metodologías:
Puntos a Destacar
Magerit CRAMM NIST SP 800-30 Octave
Aplicación* Analisis de riesgos* Gestión del riesgos
* Plan Director de Seguridad
* Analisis de riesgos* Gestión del riesgos
* Plan Director de Seguridad
* Analisis de riesgos* Gestión del riesgos
* Plan Director de Seguridad
* Analisis de riesgos* Gestión del riesgos
* Plan Director de Seguridad
Quien lleva a cabo la
metodología
* Pequeño grupo interdiciplinario conformado por empleados de la misma
empresa
* Pequeño grupo interdiciplinario conformado por empleados de la
misma empresa
* Pequeño grupo interdiciplinario conformado por empleados de la
misma empresa
* Pequeño grupo interdiciplinario conformado por empleados de
la misma empresa
Costo
* No tiene costo, ya que es una normativa de libre aplicación* Plantea un analisis de costo beneficio, expresa una formula
de ROI (Retorno de la inversión)
La versión 4 costaba por el año 2001:
* Para una compañía comercial: £2800 + £850 al año de
mantenimiento* Para agencias y departamentos
del estado britanico: £1600 + £850 al año de mantenimiento
* Habla de costo relacionado con el beneficio, otorgando una condición relativa al costo de un plan director de seguridad, siempre que el costo
sea menor al costo del riesgo analizado y solventado, el costo
será bajo
* Uso Interno: Gratuito* Uso Externo: Se debe comprar
la licencia al SEI si se quiere implementar la metodología a un
tercero
Resultado del analisis (outputs)
Resultados ordinales y cardinales
* Tabla de valorazión del riesgo sobre los activos (escala de 1 a
10)
* Lista de controles recomendados* Resultados de la documentación
Fase 1: Activos Critivos, requerimientos criticos para
activos criticos, vulnerabilidades de activos criticos, lista de
practicas de seguridad actuales, lista de vulnerabilidades
actuales de la organizaciónFase 2: Componentes clave, vulnerabilidades tecnologicas
actualesFase 3: Riesgos de los activos
críticos, metricas del riesgo, estrategia de protección, planes
de mitigación del riesgo
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Comparativa de Metodologías – Ventajas:
Puntos a Destacar
Magerit CRAMMNIST SP 800-30
Octave
Ventajas
Ambito de Aplicación
N/A
Se puede aplicar a nivel internacional (CRAMM v.5.1 ha sido usado en 23
países)
Internacional Internacional
Derecho de Utilización
Su utilización no requiere autorización previa del Ministerio de Administraciones
Públicas
N/A N/A* Uso interno:
Ilimitado
Herramienta para aplicar la metodología
Gratuita pero limitada. Se puede solicitar una
versión ampliada
Una gran cantidad de herramientas de
aplicación de la metodología.
N/A N/A
CertificaciónFacilita la
certificación: ISO 17999
Facilitar la certificación de BS 7799 e ISO 17999
Facilita la certificación: ISO 17999
Facilita la certificación: ISO
17999
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
Comparativa de Metodologías – Desventajas:
Puntos a Destacar
Magerit CRAMM NIST SP 800-30 Octave
Desventajas
Ambito de Aplicación
* Solo de puede aplicar a nivel nacional (sólo en España) por lo
que no se está certificado internacionalmente
* No se puede aplicar en empresas multinacionales que
precisen aplicar una unica metodología de analisis de
riesgo para todos los países
N/A N/A N/A
Derecho de Utilización
N/A
* Hay que pagar el costo de la
licencia (más alla del costo de la
implementación del analisis y del mantenimiento)
* Hay que pagar el costo de la licencia (más alla del costo
de la implementación del analisis y del mantenimiento)
* Uso externo: Limitado al pago
de la licencia para su utilización
ramirocid.com [email protected] Twitter: @ramirocid
Análisis de Riesgos
¿Dudas? ¿preguntas?
¡¡ Muchas Gracias !!
@ramirocid
http://www.linkedin.com/in/ramirocid
http://ramirocid.com http://es.slideshare.net/ramirocid
http://www.youtube.com/user/cidramiro
Ramiro CidCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL