Universidad de Buenos Aires

MAGERIT

Universidad de Buenos Aires

MAGERIT

“Análisis de Riesgo Tecnológico”

Lic. Raúl Castellanos, CISM

“Análisis de Riesgo Tecnológico”

Lic. Raúl Castellanos, CISM

Definiciones

El “The Institute of Internal Auditors” (The IIA) define al riesgo como:

“La Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto y probabilidad”

Definiciones

La “International Organization for Standarization ” (ISO) define al riesgo como:

“Combinación de la Probabilidad de un Evento y su Consecuencia”

ISO aclara que el término riesgo es generalmente usado siempre y cuando exista la posibilidad de pérdidas (resultado negativo)

Definiciones MAGERIT

Riesgo:“estimación del grado de exposición a que una amenaza se materialice sobre uno o más activoscausando daños o perjuicios a la Organización.”

Análisis de riesgos:proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización.

Gestión de riesgos:selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlarlos riesgos identificados.

Catalogo de

ElementosGuía Técnica

Método

MAGERIT

AGR

Método MAGERIT

Análisis de

Riesgo

Gestión de

Riesgo

EstructuraciónDel

Proyecto

Consejos y

Apéndices

Análisis de Riesgo

Análisis de Riesgo

�Identificación de Activos

�Identificación de Amenazas

�Medición de Impacto

�Determinación del Riesgo

�Salvaguardas

�Riesgo Residual

Activos de Información

Hardware

Software

Datos

Documentos

Proceso de Negocio

Hardware

Software

Datos

Documentos

Proceso de Negocio

Hardware

Software

Datos

Documentos

Proceso de Negocio

Amenazas

Definición:Todo fenómeno, acción o evento, intencional o accidental que produce un impacto negativo en los activos.

Valoración:Se valoran en función de la degradación que producen en los activos, la frecuencia con que pueden actuar y la intencionalidad.

Impacto

Definición:medida del daño sobre el activo derivado de la materialización de una amenaza

Tipos de impactoImpacto acumulado: calculado sobre un activo teniendo en cuenta su valor acumulado (el propio mas el acumulado de los activos que dependen de él)

Impacto repercutido: calculado sobre un activo teniendo en cuenta su valor propio y las amenazas a que están expuestos los activos de los que depende

Determinación del Riesgo

Definición:Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la frecuencia de ocurrencia.

Riesgo BrutoCorresponde al impacto y probabilidad de ocurrencia de una amenaza en un supuesto donde no existen controles ni salvaguardas implementadas.

Riesgo ResidualCorresponde al impacto y probabilidad de ocurrencia de una amenaza en donde existen controles y medidas de seguridad implementadas.

Gestión de Riesgo

�Interpretación del Riesgo

Residual

�Selección de salvaguardas

�Gestión de la Dirección –

Nivel de riesgo aceptable

Interpretación del Riesgo Residual

Impacto y riesgo residual son una medida del estado presente, entre la inseguridad potencial (sinsalvaguarda alguna) y las medidas adecuadas que reducen impacto y riesgo a valores despreciables.

Si la diferencia entre el riesgo bruto y el riesgo residual es nula, las salvaguardas existentes no cumplen ninguna función.

Es importante entender que un valor residual es sólo un número. Para su correcta interpretación debe venir acompañado de la relación de lo que se debería hacer y no se ha hecho.

Selección de Salvaguardas

Hay que planificar el conjunto de salvaguardas pertinentes para atajar tanto el impacto como el riesgo, reduciendo bien la degradación del activo (minimizando el daño), bien reduciendo la frecuencia de la amenaza (minimizando sus oportunidades).

salvaguardas técnicas : en aplicaciones, equipos y redes.salvaguardas físicas : protegiendo el entorno de trabajo de las personas y los equipos.medidas de organización : de prevención y gestión de las incidencias.política de personal : que, a fin de cuentas, es el eslabón imprescindible y más delicado.Es de sentido común que no se puede invertir en salvaguardas más allá del valor de los propios activos a proteger.

Gestión de la Dirección

La dirección de la Organización sometida al análisis de riesgos debe determinar el nivel de impacto y riesgo aceptable. Esta decisión no es técnica. Puede ser una decisión política o gerencial.

Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y acepta formalmente la Dirección.

Si el impacto y/o el riesgo están por encima de lo aceptable, se puede:

1. eliminar el activo; suena muy fuerte, pero a veces hay activos que, simplemente, no vale la pena mantener.

2. introducir nuevas salvaguardas o mejorar la eficacia de las presentes.

Estructuración del Proyecto

�Planificación�Modelo de Valor de los activos

�Identificación de amenazas�Evaluación de impacto potencial y residual

�Toma de decisiones para gestionar riesgo

�Elaboración Plan de Seguridad

Planificación

Participantes:– Comité de Dirección– Comité de Seguimiento– Equipo de Proyecto– Grupos de Interlocutores– Promotor– Director de Proyecto– Enlace Operacional

Planificación:– Se establecen las consideraciones necesarias para arrancar el

proyecto AGR.– Se investiga la oportunidad de realizarlo.– Se definen los objetivos que ha de cumplir y el dominio (ámbito) que

abarcará.– Se planifican los medios materiales y humanos para su realización.– Se procede al lanzamiento del proyecto.

Análisis de Riesgo

El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados:

1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación.

2. Determinar a qué amenazas están expuestos aquellos activos.

3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.

4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.

5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza.

Sobre todos los activos informáticos identificados, se realiza

una clasificación en base a la criticidad del activo para el

negocio, utilizando como medida a las tres componentes

principales de la Seguridad de la Información:

�Integridad

�Disponibilidad

�Confidencialidad

Modelo de Valor de los Activos

Clasificación de Activos Informáticos

Integridad:

Garantiza la exactitud y totalidad de la información y los procesos

Confidencialidad:

Garantiza que la información es accedida solo por personas autorizadas para ello.

Disponibilidad:

Garantiza que la información y los procesos estarán disponibles cuando así lo requiera la operación de la empresa.

La componente de integridad tiene la siguiente escala de valores:

En negocio no funciona si toma más de 3 horas restablecer la integridad.Crítico5

El negocio soporta hasta 24 horas para restablecer la integridad.Vital4

El negocio soporta hasta 48 horas para restablecer la integridad.Importante3

El negocio soporta hasta 1 semana para restablecer la integridad.Promedio2

El negocio no se ve afectado por la pérdida de la integridad.Bajo1

DescripciónRequerimientos de IntegridadValor

La componente de disponibilidad tiene la siguiente escala de valores:

En negocio no funciona sin el activo informático.Crítico5

El negocio soporta hasta 24 horas sin el activo informático.Vital4

El negocio soporta hasta 48 horas sin el activo informático.Importante3

El negocio soporta hasta 1 semana sin el activo informático.Promedio2

El negocio no se ve afectado por la pérdida del activo informático.Bajo1

DescripciónRequerimientos de DisponibilidadValor

La componente de confidencialidad tiene la siguiente escala de valores:

Incluye toda aquella información que puede presentar riesgos importantes para la Compañía.

Estrictamente Confidencial

5

Incluye toda aquella información que puede presentar riesgos para la compañía, y cuyo acceso debe ser expresamente autorizado por el responsable y restringido a un grupo reducido de usuarios que la necesite para el desarrollo de sus tareas habituales.

Confidencial

4

Incluye toda aquella información que se utiliza en las actividades laborales del día a día y que puede presentar riesgos mínimos para la compañía.

Interno3

Incluye toda aquella información que no representa riesgo significativo para la compañía.

Público1

DescripciónRequerimientos de ConfidencialidadValor

Sobre todos los activos informáticos identificados, se realiza

una clasificación en base a la criticidad del activo para el

negocio, utilizando como medida a las tres componentes

principales de la Seguridad de la Información, Confidencialidad,

Integridad y Disponibilidad:

Clasificación de Activos Informáticos

AmenazasAmenazas

Las amenazas pueden ser clasificadas en tres grandes grupos:

�Amenazas ambientales,

�Amenazas humanas: Internas, Externas, Estructuradas, No

estructuradas

�Amenazas tecnológicas.

Esta clasificación permite analizar, tomar medidas de seguridad e

implementar controles para tratar las amenazas en conjunto.

Identificación de Amenazas

Las amenazas ambientales tienen los siguientes riesgos

asociados:

Amenazas ambientales

Daño por erupción volcánicax

Daño sísmicox

Fuego Externox

Fuego Internox

Inundación externax

Inundación internaAmbientalesx

Riesgos AsociadosTipos de AmenazasINE

IE

ENE

EE

A

Las amenazas humanas tienen los siguientes riesgos

asociados:

Amenazas humanas

Modificación no autorizada de software / hardwarexxxx

Robo o acceso no autorizado de datosxxxx

Transferencia no autorizada de datosxxxx

Destrucción no autorizada de datos o softwarexxxx

Introducción de software malicioso, virus, etc.xxxx

Acceso físico no autorizadoxx

Uso de contraseñas débilesxx

Intrusión externaxx

Ataque de Denegación de servicio externox

Ataque de Denegación de servicio internox

Manejo inapropiado de datos sensiblesxxx

Errores de operación, falla u omisión de controlesxx

Uso no autorizado de recursosxxxx

Daños por alteración del orden publicoxxxx

Huelga de Empleadosxx

Terrorismo / Sabotajexx

Malversación de fondosxx

Abuso de confianzaxx

Hurto / Roboxxxx

Extorsión / SecuestroHumanasxx

Riesgos AsociadosTipos de AmenazasINE

IE

ENE

EE

A

Las amenazas tecnológicas tienen los siguientes riesgos

asociados:

Amenazas tecnológicas

Vulnerabilidades de softwarexxxx

Fallas en las conexiones con tercerosxxxx

Fallas en la red internaxx

Fallas en las aplicacionesxxxx

Fallas en los sistemas de basexx

Fallas en el hardwarex

Fallas en los sistemas de control ambientalxx

Cortes o alteraciones en el suministro eléctrico / UPSTécnicasxxxx

Riesgos AsociadosTipos de AmenazasINE

IE

ENE

EE

A

Evaluación de Riesgo Bruto y

Residual

Evaluación de Riesgo Bruto y

Residual

La matriz de impacto se define de acuerdo a las

características de la empresa:

Determinación de la Matriz de Impacto

Hay una pérdida sustancial en la participación de

mercado y en el valor de la marca y la reputación de la

organización, con publicidad adversa

prolongada; las alianzas estratégicas se desintegran

Suspensión de la autorización para operar

Impacto catastrófico en operaciones que afecta

seriamente la capacidad de la compañía para continuar con el negocio; mas de 48

horas sin servicio

Hay pérdida masiva de clientes; hay litigios contra las unidades de negocios

Más de $100 millonesCatastrófico

(5)

Hay una pérdida mayor en la participación de mercado y en el valor de la marca,

con publicidad adversa; las alianzas estratégicas están

amenazadas

El incumplimiento regulatorio resulta en

sanciones que pudieran afectar la capacidad de la organización para operar

Impacto mayor en operaciones que afecta

seriamente la capacidad de la compañía para atender a

sus clientes; hasta 48 horas sin servicio

Los reclamos de los clientes son masivos; hay

pérdida de carteraEntre $10 a $100 millones

Significativo (4)

Hay un impacto importante en el corto plazo en la

reputación y en el valor de la marca; difusión masiva y

corta

El incumplimiento regulatorio genera

sanciones que no afectan la capacidad de la

organización para operar

Impacto importante en operaciones, unidades de negocio sin servicio por

hasta 8 horas, pudiera ser percibido por el cliente

Los reclamos de los clientes son importantes;

hay pérdida menor de clientes

Entre $0,25 y $10 millonesModerado (3)

Hay un impacto menor en la reputación y en el valor de la marca; difusión leve

El incumplimiento regulatorio genera sanciones leves

Impacto menor en operaciones, no percibido

por el cliente. Las consecuencias pueden ser absorbidas dentro de las

operaciones normales

Los reclamos de los clientes son aislados

Entre $0,01 y $0,25 millones

Menor (2)

Sin impacto en el valor o reputación de la marca

El incumplimiento regulatorio no genera

sanciones

Sin impacto en las operaciones

Sin reclamo de clientesEntre $0 a $ 0,01 millonesInsignificante

(1)

Impacto en reputaciónImpacto RegulatorioImpacto en OperacionesImpacto en clientesImpacto en resultadosCategoría

La matriz de probabilidad de ocurrencia se define en base a

criterios establecidos por la empresa:

Determinación de la Matriz de Probabilidad

0,1Solo podría ocurrir en casos

excepcionalesCada diez años o mas

Improbable (1)

0,25No es muy probable que ocurra

Una vez cada 4 añosIncierto (2)

0,5Podría ocurrir algunas veces

Una vez cada 2 añosPosible (3)

0,75Probablemente ocurrirá en la mayoría

de las circunstanciasUna vez cada 1 año y 4 meses

Probable (4)

1

Se espera que ocurra en la mayoría de las circunstancias

Una vez al año o mas de una vez al año

Muy Probable (5)

Frecuencia anualizada

DescripciónProbabilidad

La matriz de riesgos se obtiene en base a la matriz de impacto

y a la matriz de probabilidad de ocurrencia:

Determinación de la Matriz de Riesgos

1000100100,2500,010

Impacto en

millones de USD

Catastrófico (5)Significativo (4)Moderado (3)Menor (2)Insignificante (1)Probabilidad Anualizada

Riesgo ExtremoRiesgo AltoRiesgo MedioRiesgo Bajo

Riesgo BajoImprobabl

e (1)0,01

Riesgo ExtremoRiesgo ExtremoRiesgo AltoRiesgo Medio

Riesgo BajoIncierto

(2)0,25

Riesgo ExtremoRiesgo ExtremoRiesgo AltoRiesgo Medio

Riesgo BajoPosible

(3)0,50

Riesgo ExtremoRiesgo ExtremoRiesgo AltoRiesgo Medio

Riesgo BajoProbable

(4)0,75

Riesgo ExtremoRiesgo ExtremoRiesgo ExtremoRiesgo

AltoRiesgo Medio

Muy Probable

(5)1,00

Riesgo Bruto y Riesgo Residual

No. Riesgos Asociados

Impa

cto

Pro

babi

lidad

de

ocur

renc

ia

Rie

sgo

Bru

to

Controles Existentes

Impa

cto

Pro

babi

lidad

de

ocur

renc

ia

Rie

sgo

Res

idua

l

Vulnerabilidades Conocidas

1

Extorsión / Secuestro 3 2 3,2 No hay controles 3 2 3,2

2 Hurto / Robo 4 2 4,2

Hay guardia en el edificio, alarma contra robo, acceso a oficinas con tarjeta magnética y los servidores están asegurados

4 1 4,1 La reposición de servidores toma 24 hs.

3

Abuso de confianza 3 4 3,4

Existen controles cruzados en la operación. Hay niveles de autorización por monto de transacción.

3 3 3,3 No hay procedimientos de chequeo al personal

4

Malversación de fondos 3 4 3,4

Existen controles cruzados en la operación. Hay niveles de autorización por monto de transacción. Solo el personal de Tesorería tiene acceso a la información de fondos.

3 3 3,3

No Hay monitoreo de crédito, bancario y de antecedentes del personal.

5

Terrorismo / Sabotaje 5 1 5,1 Hay guardias en el acceso al edificio. 5 1 5,1 El control en el

acceso es muy laxo

6

Huelga de Empleados 3 1 3,1 Hay un continuo monitoreo del clima laboral 3 1 3,1

Riesgos por amenazas humanas

Riesgos por Amenazas Ambientales

Riesgos por amenazas tecnológicas

Las medidas y controles de seguridad tienen como propósito:

�Eliminar el riesgo,

�Reducir el riesgo,

�Aceptar el riesgo,

�Trasladar / Transferir el riesgo,

�Incrementar el riesgo,

�Reducir el nivel de control o eliminar las respuestas a

riesgos.

Medidas y controles de Seguridad

Plan de Seguridad

� Se traducen las decisiones en acciones concretas.

� Se tomarán en consideración todos los escenarios de impacto y riesgo que se consideren críticos o graves.

� Se elaborará un conjunto de programas de seguridad que den respuesta a todos y cada uno de los escenarios analizados.

� Un programa de seguridad es una serie de tareas agrupadas para ganar eficiencia o por necesidades de interdependencia o por objetivos comunes. Cada programa debe detallar:

�Objetivo genérico

�Salvaguardas a implantar

�Relación de escenarios de riesgo que afronta

�Unidad responsable de su ejecución

�Recursos y costos

Consejos y Apéndices

�Consejos de valoración de activos y amenazas, selección de salvaguardas

�Apéndices•Glosario•Marco Legal•SGSI•Certificación•Herramientas

Activos• Tipos y ClasificaciónDimensiones de Valoración• Disponibilidad• Integridad• Confidencialidad• Autenticidad de los usuarios• Autenticidad de los datos• Trazabilidad del servicio• Trazabilidad de los datosCriterios de Valoración• Escalas estándar

Amenazas• Desastres naturales• De origen industrial• Errores y fallas no intencionales• Ataques intencionados• Correlación de errores y ataques

• Amenazas por tipo de activo

Salvaguardas• Para los servicios• Para los datos• Para el software• Para el hardware• Para las comunicaciones• Para el personal

Catalogo de Elementos

Informes• Modelo de valor• Mapa de riesgos• Evaluación de salvaguarda• Estado de riesgo• Informe de insuficiencias• Plan de seguridad

Análisis mediante tablas

• Modelo Cualitativo• Modelo Cuantitativo• Modelo escalonado

Árboles de Ataque

• Salvaguardas• Riesgo Residual

Técnicas Generales

• Análisis Coste-Beneficio• Diagramas flujo de datos• Diagramas de procesos• Planificación y diagramas GANTT, PERT, Pareto

• Valoracion Delphi

Guías Técnicas

Ejemplo Árbol de Ataque

Veamos un ejemplo ilustrativo sobre como usar fraudulentamente (sin pagar) un servicio de pago:1. Objetivo : usar sin pagar (OR)

1. suplantar la identidad de un usuario legítimo2. soslayar la identificación de acceso al servicio3. abusar del contrato (AND)

1. ser un usuario legítimo2. conseguir que no se facture el servicio (OR)

1. que no queden trazas de uso2. que se destruyan las trazas antes de facturación (OR)

1. las destruyo yo2. engaño al operador para que las borre3. manipulo del sw para que no las sume

3. repudiar las trazas4. dar datos de cargo falsos

EjercicioEjercicio

Los activos informáticos pertenecen a una industria de alimentos

La componente de integridad posee la siguiente valoración:

Valor Requerimientos de Disponibilidad Descripción

1 Bajo El negocio no se ve afectado por la pérdida de la integridad. 2 Promedio El negocio soporta hasta 1 semana para restablecer la integridad. 3 Importante El negocio soporta hasta 48 horas para restablecer la integridad. 4 Vital El negocio soporta hasta 24 horas para restablecer la integridad. 5 Crítico En negocio no funciona si toma más de 3 horas restablecer la integridad.

La componente de disponibilidad posee la siguiente valoración:

Valor Requerimientos de Disponibilidad Descripción

1 Bajo El negocio no se ve afectado por la pérdida del activo informático. 2 Promedio El negocio soporta hasta 1 semana sin el activo informático. 3 Importante El negocio soporta hasta 48 horas sin el activo informático. 4 Vital El negocio soporta hasta 24 horas sin el activo informático. 5 Crítico En negocio no funciona sin el activo informático.

La componente de confidencialidad posee la siguiente valoración:

Valor Requerimientos de Confidencialidad Descripción

1 Público Incluye toda aquella información que no representa riesgo significativo para la compañía.

3 Interno Incluye toda aquella información que se utiliza en las actividades laborales del día

a día y que puede presentar riesgos mínimos para la compañía.

4

Confidencial Incluye toda aquella información que puede presentar riesgos para la compañía, y cuyo acceso debe ser expresamente autorizado por el responsable y restringido a un grupo reducido de usuarios que la necesite para el desarrollo de sus tareas habituales.

5 Estrictamente Confidencial

Incluye toda aquella información que puede presentar riesgos importantes para la Compañía.

1. Clasifique los siguientes activos informáticos u tilizando las

escalas propuestas

Activo Informático Centro de Cómputos Plataforma Soportada I D C Total Sistema de Manejo de Personal Principal

WINDOWS

ERP - SAP Principal

UNIX

Proveedores Principal

UNIX

Consultas automáticas de Clientes por Teléfono Principal

UNIX

Correo Electrónico Principal

WINDOWS

Intranet Principal

WINDOWS

Ejercicio Riesgos asociados con Amenazas Ambientale s Indique qué salvaguardas, controles o medidas de protección implementaría para reducir la probabilidad en las amenazas 1, 2 y 3, y qué salvaguardas, controles o medidas de protección implementaría para reducir el impacto de las amenazas 4, 5 y 6, indicando el riesgo residual resultante.

No. Riesgos Asociados

Impa

cto

Pro

babi

lidad

de

ocur

renc

ia

Rie

sgo

Bru

to

Controles Existentes

Impa

cto

Pro

babi

lidad

de

ocur

renc

ia

Rie

sgo

Res

idua

l

Vulnerabilidades Conocidas

1

Inundación interna 5 3 5,3

2

Inundación externa 4 2 4,2

3

Fuego Interno 5 4 5,4

4

Fuego Externo 5 3 5,3

5

Falta de suministro eléctrico

5 3 5,3

6

Daño por erupción volcánica

4 3 4,3