SlideShare una empresa de Scribd logo

Gestió del risc en la activitat universitària

CSUC - Consorci de Serveis Universitaris de Catalunya
CSUC - Consorci de Serveis Universitaris de Catalunya

Presentació de Vicent Andreu Navarro, tècnic d'Innovació Tecnològica del Gabinet de Planificació i Prospectiva Tecnològica de la Universitat Jaume I, presentada a la Trobada dels Serveis Informàtics de les Universitats de Catalunya (TSIUC) celebrada el 3 de desembre a La Salle Campus Barcelona – Universitat Ramon Llull sota el lema “Gestió de riscos de les TIC”.

Tecnología
1 de 18
Descargar para leer sin conexión
Tractament de riscs a la Universitat Vicent Andreu Gabinet de Planificació i Prospectiva Tecnològica Barcelona, 3 de desembre de 2015
Una miqueta d’història... Iniciativa Data Certificació SGSI ISO/IEC 270001:2007 Març 2010 Renovació certificació SGSI ISO/IEC 270001:2007 Març 2013 Pla d’adequació a l’ENS partint de la base del SGSI 2011-2014 I Auditoria de compliment de les mesures de l’annex II Desembre 2012 II Auditoria de compliment de les mesures de l’annex II Desembre 2014 Auditoria de seguiment SGSI (adaptació a ISO/IEC 270001:2014) Març 2015 Evolució de la gestió de la seguretat TI a la UJI des de 2010
És l’estudi del dany potencial que poden patir els sistemes, xarxes, dades i, en general, activitats i processos de la Universitat com a conseqüència de la materialització d’un esdeveniment negatiu. Amenaça Impacte Què és l’anàlisi de riscs? Tot aquell esdeveniment que pot causar un efecte negatiu sobre l’activitat de la Universitat La conseqüència que té per a la Universitat la materialització del fet negatiu
ISO/IEC 27005 • Establir el context de l’anàlisi de riscs (polítiques i criteris relevants per a la gestió del risc a la Universitat). • Identificació, anàlisi I avaluació dels riscs prenent en consideració actius, amenaces, controls existents, vulnerabilitats i impacte. • Gestió del risc: modificació (mesures de seguretat), acceptació, evitació o compartició (externalització). • Informació als afectats. • Monitorització i revisió periòdica Referències RD 3/2010 (nivell mitjà) S'haurà de realitzar una anàlisi semi-formal, usant un llenguatge específic, amb un catàleg d’amenaces i una semàntica definida. És a dir, una presentació amb taules que descriga els següents aspectes: a) Identificar i valorar qualitativament els actius més valuosos del sistema. b) Identificar i valorar les amenaces més probables. c) Identificar i valorar les salvaguardes que protegeixen d’eixes amenaces. d) Identificar i valorar el risc residual.
Quin és l’objectiu? L’anàlisi formal del risc (producte de la probabilitat que es concrete una amenaça per l’impacte o degradació que pot causar en un actiu) té dos objectius fonamentals: Establir contramesures que limiten la probabilitat o l’impacte de les amenaces i justificar el seu cost. Establir un llindar de risc “residual”, que no es pot o no convé tractar, i que ha de ser assolit i aprovat formalment per qui té competència per fer-ho.
Qui té responsabilitats en l’AARR?
Com es pot portar a terme? El que fem a la UJI en la pràctica... Tasca Seguretat TI Tècnics TI Direcció Usuaris (font d’informació) Revisió de l’inventari d’actius (capa de serveis) X X Ocasionalment Valoració dels actius de la capa de serveis X Informació Periòdicament Dependències entre els actius de la capa de serveis i de la capa d'infraestructura X Estimació de la probabilitat de les amenaces X X Estimació de l’impacte sobre els actius de la capa de serveis X Periòdicament Determinació del valor teòric del risc X Establiment del llindar de risc assumible X Decisió
Valoració dels actius de la capa de servei Servei Disponibilitat Integritat Confidencialitat Autenticitat Traçabilitat Entorn C/S aplicacions de gestió Mitjà N/A N/A Mitjà Mitjà Repositori documental Baix N/A N/A Mitjà Mitjà Suport TI a la docència Mitjà N/A N/A N/A N/A Servei d’atenció a l’usuari Mitjà N/A N/A Baix Baix Dades Disponibilitat Integritat Confidencialitat Autenticitat Traçabilitat BBDD institucional N/A Mitjà Mitjà N/A N/A Repositori de codi N/A Mitjà Baix N/A N/A Dades Google Apps N/A N/A Mitjà N/A N/A
Exemple d’actius de la capa de serveis Serveis Atenció a l’usuari Repositori documental Serveis multimèdia Directori Càlcul científic Gestió documental Connectivitat en mobilitat UJINET Serveis Emmagatz. Departamental Espais web cedits Suite Google Apps Suport al desenvolupament Portal UJI Aula virtual Entorn C/S d’aplic. de gestió Entorn web d’aplic. de gestió Dades BBDD institucional BBDD autenticació Logs de navegació i accés Dades cursos aula virtual Repositori de codi i documentació d’aplicacions Arxius multimèdia Dades Google Apps Dades Alfresco
Exemple d’actius de la capa d’infraestructura Serveis interns DHCP DNS LDAP Còpies de seguretat Servidor Web Servei d’impressió Single Sign-On Certificació i firma digital Equips Cluster BBDD SAN Equipament auxiliar Climatització Personal Personal CAU Administrador càlcul científic Instal·lacions Sala màquines rectorat Sala Ed.Escomeses Subcontractació CBUC Catàleg Aplicacions Oracle Apache DSpace Comunicacions Fortigate Switchs troncal Servidor de túnels
Dependències per cadascun dels actius de la capa de servei... Actiu de la capa de servei Dependència Actius de la capa d’infraestructura Catàleg de Biblioteca 100% [SI] DNS 30% [PER] Administrador Millenium 100% [INF] UJInet 100% [INF] Accés a internet 10% [SI] DHCP intern 100% [SW] Millenium 100% [EXT] CBUC Catàleg
Estudi d’amenaces i impacte de les mateixes Actiu: Dades BBDD institucional Impacte Amenaça Probabilitat D I C A T [E.7] Deficiencias en la organización Molt Alta Mitjà N/A N/A Mitjà Mitjà [E.21] Errores de mantenimiento / actualización de programas (software) Molt Alta Baix N/A N/A Mitjà Mitjà [A.18] Destrucción de la información Baixa Mitjà N/A N/A N/A N/A [A.19] Revelación de información Baixa Mitjà N/A N/A Baix Baix Les amenaces més comunes les proporciona PILAR en funció de la naturalesa de l’actiu Es valoren els actius de la capa d’infrastructura i les dades per obtindre un càlcul automàtic del risc per als actius de la capa de servei
Valoració de les mesures ja aplicades PILAR: Només ho fem per als actius de la capa de servei
Obtenció del risc residual Actiu Amenaces Dimensió Risc [SW.SW_Moodle] Moodle [E.20] Vulnerabilidades de los programas (software) [D] {0,80} [SW.SW-IAS_&_TOMCAT] IAS & TOMCAT [E.20] Vulnerabilidades de los programas (software) [D] {0,80} [SW.SW_Apache] Apache [E.20] Vulnerabilidades de los programas (software) [D] {0,80} [I_CPD ACO103CI] CPD Escomeses [N.*] Desastres naturales [I] {0,81} [I_CPD ACO103CI] CPD Escomeses [I.1] Fuego [I] {0,81} [I_CPD TD011AO] CPD Rectorat [I.1] Fuego [I] {0,81} [I_CPD TD011AO] CPD Rectorat [N.*] Desastres naturales [I] {0,81}
I per a què hem fet tot açò? Recordem... Establir contramesures que limiten la probabilitat o l’impacte de les amenaces i justificar el seu cost. Establir un llindar de risc “residual”, que no es pot o no convé tractar, i que ha de ser assolit i aprovat formalment per qui té competència per fer-ho. Gestió del risc
Què li toca a cadascú? Informe de l’AR per a la direcció: • Establir el context • Resum executiu amb una proposta sobre un nombre limitat de riscs • Seleccionar riscs reals i concrets i relacionar-los amb situacions reals • Tractar de no ser una barrera, si no de fer conscients del perill a qui pren les decisions • Aprovar els riscs a tractar • Assignar els recursos necessaris Implantar les mesures corresponents
Què n’hem après? Tasca Lliçons apreses Revisió de l’inventari d’actius (capa de serveis) • No és una cosa tan estable com puga semblar: • Apareixen serveis nous en desapareixen d’antics • Convé fusionar o separar alguns serveis per tractar-los conjuntament Valoració dels actius de la capa de serveis • Per fer-ho de manera objectiva, cal comptar amb els propietaris/usuaris dels actius de la capa de servei Dependències entre els actius de la capa de serveis i de la capa d'infraestructura • És una tasca molt complexa • Cal mantindré un esquema senzill, amb pocs nivells • Té un component de subjectivitat elevat Estimació de la probabilitat de les amenaces • Té un component de subjectivitat elevat • El nombre d’incidents no acostuma a ser suficient per a que la freqüència de concreció de les amenaces siga un ajut Estimació de l’impacte sobre els actius de la capa de serveis • Té un component de subjectivitat elevat • Cal comptar amb els propietaris/usuaris dels actius de la capa de servei Determinació del valor teòric del risc • És un valor tan bonic com inservible si no s’apliquen correccions “manuals” o “lògiques” Establiment del llindar de risc assumible • És la tasca més complexa, amb molta diferència
http://goo.gl/Gt07av Crèdits de les imatges http://goo.gl/Qjgam2 http://goo.gl/ScnCIk http://goo.gl/MfeQc9 http://goo.gl/Qjgam2 http://goo.gl/vmPSS4 http://goo.gl/btd1Ao https://goo.gl/lFjw98 http://goo.gl/JcF6hs http://goo.gl/btd1Ao http://goo.gl/lwretF https://goo.gl/K6ybqF Moltes gràcies per la seua atenció.... andreuv@uji.es

Recomendados

Herramientas para el análisis (reactivo y proactivo) en Seguridad Clinica
Herramientas para el análisis (reactivo y proactivo) en Seguridad ClinicaHerramientas para el análisis (reactivo y proactivo) en Seguridad Clinica
Herramientas para el análisis (reactivo y proactivo) en Seguridad ClinicaAlexander Córdova
 
Gestión de riesgos en proyectos TIC. Alineando PMBOK y CMMI
Gestión de riesgos en proyectos TIC. Alineando PMBOK y CMMIGestión de riesgos en proyectos TIC. Alineando PMBOK y CMMI
Gestión de riesgos en proyectos TIC. Alineando PMBOK y CMMIMiguel Montesinos
 
Integrando ITIL v3 y PMBoK v4
Integrando ITIL v3 y PMBoK v4Integrando ITIL v3 y PMBoK v4
Integrando ITIL v3 y PMBoK v4Jorge Victoria, PMP
 
Project risk management - Methodology and application
Project risk management - Methodology and applicationProject risk management - Methodology and application
Project risk management - Methodology and applicationMarco De Santis, PMP, CFPP
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgosrevistadigital
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosITM Platform
 
GestióN De Proyectos Riesgos
GestióN De Proyectos RiesgosGestióN De Proyectos Riesgos
GestióN De Proyectos RiesgosMaría Jesús Salido Rojo
 
GESTION DEL RIESGO
GESTION DEL RIESGOGESTION DEL RIESGO
GESTION DEL RIESGOLuis Enrique Castillo Leon
 

Recomendados

Herramientas para el análisis (reactivo y proactivo) en Seguridad Clinica
Herramientas para el análisis (reactivo y proactivo) en Seguridad ClinicaHerramientas para el análisis (reactivo y proactivo) en Seguridad Clinica
Herramientas para el análisis (reactivo y proactivo) en Seguridad ClinicaAlexander Córdova
 
Gestión de riesgos en proyectos TIC. Alineando PMBOK y CMMI
Gestión de riesgos en proyectos TIC. Alineando PMBOK y CMMIGestión de riesgos en proyectos TIC. Alineando PMBOK y CMMI
Gestión de riesgos en proyectos TIC. Alineando PMBOK y CMMIMiguel Montesinos
 
Integrando ITIL v3 y PMBoK v4
Integrando ITIL v3 y PMBoK v4Integrando ITIL v3 y PMBoK v4
Integrando ITIL v3 y PMBoK v4Jorge Victoria, PMP
 
Project risk management - Methodology and application
Project risk management - Methodology and applicationProject risk management - Methodology and application
Project risk management - Methodology and applicationMarco De Santis, PMP, CFPP
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgosrevistadigital
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosITM Platform
 
GestióN De Proyectos Riesgos
GestióN De Proyectos RiesgosGestióN De Proyectos Riesgos
GestióN De Proyectos RiesgosMaría Jesús Salido Rojo
 
GESTION DEL RIESGO
GESTION DEL RIESGOGESTION DEL RIESGO
GESTION DEL RIESGOLuis Enrique Castillo Leon
 
CGD2021 - "Canvi cultural, agilitat, qualitat i sostenibilitat del desenvolup...
CGD2021 - "Canvi cultural, agilitat, qualitat i sostenibilitat del desenvolup...CGD2021 - "Canvi cultural, agilitat, qualitat i sostenibilitat del desenvolup...
CGD2021 - "Canvi cultural, agilitat, qualitat i sostenibilitat del desenvolup...Congrés Govern Digital
 
TIC.cat. Formació i certificacions: claus per competir
TIC.cat. Formació i certificacions: claus per competirTIC.cat. Formació i certificacions: claus per competir
TIC.cat. Formació i certificacions: claus per competirTIC.cat
 
Cloud/treball en xarxa (La Salle)
Cloud/treball en xarxa (La Salle)Cloud/treball en xarxa (La Salle)
Cloud/treball en xarxa (La Salle)Fernando Blanco
 
De què parlem quan parlem de serveis al núvol?
De què parlem quan parlem de serveis al núvol?De què parlem quan parlem de serveis al núvol?
De què parlem quan parlem de serveis al núvol?Ricard de la Vega
 
QRadar Iniciativa TIC 2016
QRadar Iniciativa TIC 2016QRadar Iniciativa TIC 2016
QRadar Iniciativa TIC 2016Festibity
 
De què parlem quan parlem de serveis al núvol?
De què parlem quan parlem de serveis al núvol?De què parlem quan parlem de serveis al núvol?
De què parlem quan parlem de serveis al núvol?CSUC - Consorci de Serveis Universitaris de Catalunya
 
Seguretat
SeguretatSeguretat
SeguretatFèlix Sacristan Solano
 
Plamillora2009
Plamillora2009Plamillora2009
Plamillora2009Dídac López
 
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...Consorci Administració Oberta de Catalunya
 
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...Fòrum Català d’Informació i Salut
 
Coneixent el tràfic per defensar-nos millor (1a part)
Coneixent el tràfic per defensar-nos millor (1a part)Coneixent el tràfic per defensar-nos millor (1a part)
Coneixent el tràfic per defensar-nos millor (1a part)CSUC - Consorci de Serveis Universitaris de Catalunya
 
PresentacioBI-JaumeBalcells-Praktics
PresentacioBI-JaumeBalcells-PrakticsPresentacioBI-JaumeBalcells-Praktics
PresentacioBI-JaumeBalcells-PrakticsFundació CATIC
 
Estalvi i millora de la productivitat mitjançant eines TIC
Estalvi i millora de la productivitat mitjançant eines TICEstalvi i millora de la productivitat mitjançant eines TIC
Estalvi i millora de la productivitat mitjançant eines TICNexica
 
La gestió documental: el futur (és) ara!
La gestió documental: el futur (és) ara!La gestió documental: el futur (és) ara!
La gestió documental: el futur (és) ara!Jordi Serra Serra
 
Jordi Batlle
Jordi BatlleJordi Batlle
Jordi BatlleJSe
 
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALRafael Alcón Díaz [LION]
 
Qüestionaris interactius i signatura
Qüestionaris interactius i signaturaQüestionaris interactius i signatura
Qüestionaris interactius i signaturaLocalret
 
Dali Cast Info - Soluciones de Monitorización CastInfo
Dali Cast Info - Soluciones de Monitorización CastInfoDali Cast Info - Soluciones de Monitorización CastInfo
Dali Cast Info - Soluciones de Monitorización CastInfoCast Info
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJordi Garcia Castillon
 
Cloud computing
Cloud computingCloud computing
Cloud computingTere Torras
 
Tendencias en herramientas de monitorización de redes y modelo de madurez en ...
Tendencias en herramientas de monitorización de redes y modelo de madurez en ...Tendencias en herramientas de monitorización de redes y modelo de madurez en ...
Tendencias en herramientas de monitorización de redes y modelo de madurez en ...CSUC - Consorci de Serveis Universitaris de Catalunya
 
Quantum Computing Master Class 2024 (Quantum Day)
Quantum Computing Master Class 2024 (Quantum Day)Quantum Computing Master Class 2024 (Quantum Day)
Quantum Computing Master Class 2024 (Quantum Day)CSUC - Consorci de Serveis Universitaris de Catalunya
 

Más contenido relacionado

Similar a Gestió del risc en la activitat universitària

CGD2021 - "Canvi cultural, agilitat, qualitat i sostenibilitat del desenvolup...
CGD2021 - "Canvi cultural, agilitat, qualitat i sostenibilitat del desenvolup...CGD2021 - "Canvi cultural, agilitat, qualitat i sostenibilitat del desenvolup...
CGD2021 - "Canvi cultural, agilitat, qualitat i sostenibilitat del desenvolup...Congrés Govern Digital
 
TIC.cat. Formació i certificacions: claus per competir
TIC.cat. Formació i certificacions: claus per competirTIC.cat. Formació i certificacions: claus per competir
TIC.cat. Formació i certificacions: claus per competirTIC.cat
 
Cloud/treball en xarxa (La Salle)
Cloud/treball en xarxa (La Salle)Cloud/treball en xarxa (La Salle)
Cloud/treball en xarxa (La Salle)Fernando Blanco
 
De què parlem quan parlem de serveis al núvol?
De què parlem quan parlem de serveis al núvol?De què parlem quan parlem de serveis al núvol?
De què parlem quan parlem de serveis al núvol?Ricard de la Vega
 
QRadar Iniciativa TIC 2016
QRadar Iniciativa TIC 2016QRadar Iniciativa TIC 2016
QRadar Iniciativa TIC 2016Festibity
 
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...Consorci Administració Oberta de Catalunya
 
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...Fòrum Català d’Informació i Salut
 
PresentacioBI-JaumeBalcells-Praktics
PresentacioBI-JaumeBalcells-PrakticsPresentacioBI-JaumeBalcells-Praktics
PresentacioBI-JaumeBalcells-PrakticsFundació CATIC
 
Estalvi i millora de la productivitat mitjançant eines TIC
Estalvi i millora de la productivitat mitjançant eines TICEstalvi i millora de la productivitat mitjançant eines TIC
Estalvi i millora de la productivitat mitjançant eines TICNexica
 
La gestió documental: el futur (és) ara!
La gestió documental: el futur (és) ara!La gestió documental: el futur (és) ara!
La gestió documental: el futur (és) ara!Jordi Serra Serra
 
Jordi Batlle
Jordi BatlleJordi Batlle
Jordi BatlleJSe
 
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALRafael Alcón Díaz [LION]
 
Qüestionaris interactius i signatura
Qüestionaris interactius i signaturaQüestionaris interactius i signatura
Qüestionaris interactius i signaturaLocalret
 
Dali Cast Info - Soluciones de Monitorización CastInfo
Dali Cast Info - Soluciones de Monitorización CastInfoDali Cast Info - Soluciones de Monitorización CastInfo
Dali Cast Info - Soluciones de Monitorización CastInfoCast Info
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJordi Garcia Castillon
 

Similar a Gestió del risc en la activitat universitària (20)

CGD2021 - "Canvi cultural, agilitat, qualitat i sostenibilitat del desenvolup...
CGD2021 - "Canvi cultural, agilitat, qualitat i sostenibilitat del desenvolup...CGD2021 - "Canvi cultural, agilitat, qualitat i sostenibilitat del desenvolup...
CGD2021 - "Canvi cultural, agilitat, qualitat i sostenibilitat del desenvolup...
 
TIC.cat. Formació i certificacions: claus per competir
TIC.cat. Formació i certificacions: claus per competirTIC.cat. Formació i certificacions: claus per competir
TIC.cat. Formació i certificacions: claus per competir
 
Cloud/treball en xarxa (La Salle)
Cloud/treball en xarxa (La Salle)Cloud/treball en xarxa (La Salle)
Cloud/treball en xarxa (La Salle)
 
De què parlem quan parlem de serveis al núvol?
De què parlem quan parlem de serveis al núvol?De què parlem quan parlem de serveis al núvol?
De què parlem quan parlem de serveis al núvol?
 
QRadar Iniciativa TIC 2016
QRadar Iniciativa TIC 2016QRadar Iniciativa TIC 2016
QRadar Iniciativa TIC 2016
 
De què parlem quan parlem de serveis al núvol?
De què parlem quan parlem de serveis al núvol?De què parlem quan parlem de serveis al núvol?
De què parlem quan parlem de serveis al núvol?
 
Seguretat
SeguretatSeguretat
Seguretat
 
Plamillora2009
Plamillora2009Plamillora2009
Plamillora2009
 
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...
 
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
 
Coneixent el tràfic per defensar-nos millor (1a part)
Coneixent el tràfic per defensar-nos millor (1a part)Coneixent el tràfic per defensar-nos millor (1a part)
Coneixent el tràfic per defensar-nos millor (1a part)
 
PresentacioBI-JaumeBalcells-Praktics
PresentacioBI-JaumeBalcells-PrakticsPresentacioBI-JaumeBalcells-Praktics
PresentacioBI-JaumeBalcells-Praktics
 
Estalvi i millora de la productivitat mitjançant eines TIC
Estalvi i millora de la productivitat mitjançant eines TICEstalvi i millora de la productivitat mitjançant eines TIC
Estalvi i millora de la productivitat mitjançant eines TIC
 
La gestió documental: el futur (és) ara!
La gestió documental: el futur (és) ara!La gestió documental: el futur (és) ara!
La gestió documental: el futur (és) ara!
 
Jordi Batlle
Jordi BatlleJordi Batlle
Jordi Batlle
 
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
 
Qüestionaris interactius i signatura
Qüestionaris interactius i signaturaQüestionaris interactius i signatura
Qüestionaris interactius i signatura
 
Dali Cast Info - Soluciones de Monitorización CastInfo
Dali Cast Info - Soluciones de Monitorización CastInfoDali Cast Info - Soluciones de Monitorización CastInfo
Dali Cast Info - Soluciones de Monitorización CastInfo
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH cat
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 

Más de CSUC - Consorci de Serveis Universitaris de Catalunya

Más de CSUC - Consorci de Serveis Universitaris de Catalunya (20)

Tendencias en herramientas de monitorización de redes y modelo de madurez en ...
Tendencias en herramientas de monitorización de redes y modelo de madurez en ...Tendencias en herramientas de monitorización de redes y modelo de madurez en ...
Tendencias en herramientas de monitorización de redes y modelo de madurez en ...
 
Quantum Computing Master Class 2024 (Quantum Day)
Quantum Computing Master Class 2024 (Quantum Day)Quantum Computing Master Class 2024 (Quantum Day)
Quantum Computing Master Class 2024 (Quantum Day)
 
Publicar dades de recerca amb el Repositori de Dades de Recerca
Publicar dades de recerca amb el Repositori de Dades de RecercaPublicar dades de recerca amb el Repositori de Dades de Recerca
Publicar dades de recerca amb el Repositori de Dades de Recerca
 
In sharing we trust. Taking advantage of a diverse consortium to build a tran...
In sharing we trust. Taking advantage of a diverse consortium to build a tran...In sharing we trust. Taking advantage of a diverse consortium to build a tran...
In sharing we trust. Taking advantage of a diverse consortium to build a tran...
 
Formació RDM: com fer un pla de gestió de dades amb l’eiNa DMP?
Formació RDM: com fer un pla de gestió de dades amb l’eiNa DMP?Formació RDM: com fer un pla de gestió de dades amb l’eiNa DMP?
Formació RDM: com fer un pla de gestió de dades amb l’eiNa DMP?
 
Com pot ajudar la gestió de les dades de recerca a posar en pràctica la ciènc...
Com pot ajudar la gestió de les dades de recerca a posar en pràctica la ciènc...Com pot ajudar la gestió de les dades de recerca a posar en pràctica la ciènc...
Com pot ajudar la gestió de les dades de recerca a posar en pràctica la ciènc...
 
Security Human Factor Sustainable Outputs: The Network eAcademy
Security Human Factor Sustainable Outputs: The Network eAcademySecurity Human Factor Sustainable Outputs: The Network eAcademy
Security Human Factor Sustainable Outputs: The Network eAcademy
 
The Research Portal of Catalonia: Growing more (information) & more (services)
The Research Portal of Catalonia: Growing more (information) & more (services)The Research Portal of Catalonia: Growing more (information) & more (services)
The Research Portal of Catalonia: Growing more (information) & more (services)
 
Facilitar la gestión, visibilidad y reutilización de los datos de investigaci...
Facilitar la gestión, visibilidad y reutilización de los datos de investigaci...Facilitar la gestión, visibilidad y reutilización de los datos de investigaci...
Facilitar la gestión, visibilidad y reutilización de los datos de investigaci...
 
La gestión de datos de investigación en las bibliotecas universitarias españolas
La gestión de datos de investigación en las bibliotecas universitarias españolasLa gestión de datos de investigación en las bibliotecas universitarias españolas
La gestión de datos de investigación en las bibliotecas universitarias españolas
 
Disposes de recursos il·limitats? Prioritza estratègicament els teus projecte...
Disposes de recursos il·limitats? Prioritza estratègicament els teus projecte...Disposes de recursos il·limitats? Prioritza estratègicament els teus projecte...
Disposes de recursos il·limitats? Prioritza estratègicament els teus projecte...
 
Les persones i les seves capacitats en el nucli de la transformació digital. ...
Les persones i les seves capacitats en el nucli de la transformació digital. ...Les persones i les seves capacitats en el nucli de la transformació digital. ...
Les persones i les seves capacitats en el nucli de la transformació digital. ...
 
Enginyeria Informàtica: una cursa de fons
Enginyeria Informàtica: una cursa de fonsEnginyeria Informàtica: una cursa de fons
Enginyeria Informàtica: una cursa de fons
 
Transformació de rols i habilitats en un món ple d'IA
Transformació de rols i habilitats en un món ple d'IATransformació de rols i habilitats en un món ple d'IA
Transformació de rols i habilitats en un món ple d'IA
 
Difusió del coneixement a l'Il·lustre Col·legi de l'Advocacia de Barcelona
Difusió del coneixement a l'Il·lustre Col·legi de l'Advocacia de BarcelonaDifusió del coneixement a l'Il·lustre Col·legi de l'Advocacia de Barcelona
Difusió del coneixement a l'Il·lustre Col·legi de l'Advocacia de Barcelona
 
Fons de discos perforats de cartró
Fons de discos perforats de cartróFons de discos perforats de cartró
Fons de discos perforats de cartró
 
Biblioteca Digital Gencat
Biblioteca Digital GencatBiblioteca Digital Gencat
Biblioteca Digital Gencat
 
El fons Enrique Tierno Galván: recepció, tractament i difusió
El fons Enrique Tierno Galván: recepció, tractament i difusióEl fons Enrique Tierno Galván: recepció, tractament i difusió
El fons Enrique Tierno Galván: recepció, tractament i difusió
 
El CIDMA: més enllà dels espais físics
El CIDMA: més enllà dels espais físicsEl CIDMA: més enllà dels espais físics
El CIDMA: més enllà dels espais físics
 
Els serveis del CSUC per a la comunitat CCUC
Els serveis del CSUC per a la comunitat CCUCEls serveis del CSUC per a la comunitat CCUC
Els serveis del CSUC per a la comunitat CCUC
 

Gestió del risc en la activitat universitària

  • 1. Tractament de riscs a la Universitat Vicent Andreu Gabinet de Planificació i Prospectiva Tecnològica Barcelona, 3 de desembre de 2015
  • 2. Una miqueta d’història... Iniciativa Data Certificació SGSI ISO/IEC 270001:2007 Març 2010 Renovació certificació SGSI ISO/IEC 270001:2007 Març 2013 Pla d’adequació a l’ENS partint de la base del SGSI 2011-2014 I Auditoria de compliment de les mesures de l’annex II Desembre 2012 II Auditoria de compliment de les mesures de l’annex II Desembre 2014 Auditoria de seguiment SGSI (adaptació a ISO/IEC 270001:2014) Març 2015 Evolució de la gestió de la seguretat TI a la UJI des de 2010
  • 3. És l’estudi del dany potencial que poden patir els sistemes, xarxes, dades i, en general, activitats i processos de la Universitat com a conseqüència de la materialització d’un esdeveniment negatiu. Amenaça Impacte Què és l’anàlisi de riscs? Tot aquell esdeveniment que pot causar un efecte negatiu sobre l’activitat de la Universitat La conseqüència que té per a la Universitat la materialització del fet negatiu
  • 4. ISO/IEC 27005 • Establir el context de l’anàlisi de riscs (polítiques i criteris relevants per a la gestió del risc a la Universitat). • Identificació, anàlisi I avaluació dels riscs prenent en consideració actius, amenaces, controls existents, vulnerabilitats i impacte. • Gestió del risc: modificació (mesures de seguretat), acceptació, evitació o compartició (externalització). • Informació als afectats. • Monitorització i revisió periòdica Referències RD 3/2010 (nivell mitjà) S'haurà de realitzar una anàlisi semi-formal, usant un llenguatge específic, amb un catàleg d’amenaces i una semàntica definida. És a dir, una presentació amb taules que descriga els següents aspectes: a) Identificar i valorar qualitativament els actius més valuosos del sistema. b) Identificar i valorar les amenaces més probables. c) Identificar i valorar les salvaguardes que protegeixen d’eixes amenaces. d) Identificar i valorar el risc residual.
  • 5. Quin és l’objectiu? L’anàlisi formal del risc (producte de la probabilitat que es concrete una amenaça per l’impacte o degradació que pot causar en un actiu) té dos objectius fonamentals: Establir contramesures que limiten la probabilitat o l’impacte de les amenaces i justificar el seu cost. Establir un llindar de risc “residual”, que no es pot o no convé tractar, i que ha de ser assolit i aprovat formalment per qui té competència per fer-ho.
  • 7. Com es pot portar a terme? El que fem a la UJI en la pràctica... Tasca Seguretat TI Tècnics TI Direcció Usuaris (font d’informació) Revisió de l’inventari d’actius (capa de serveis) X X Ocasionalment Valoració dels actius de la capa de serveis X Informació Periòdicament Dependències entre els actius de la capa de serveis i de la capa d'infraestructura X Estimació de la probabilitat de les amenaces X X Estimació de l’impacte sobre els actius de la capa de serveis X Periòdicament Determinació del valor teòric del risc X Establiment del llindar de risc assumible X Decisió
  • 8. Valoració dels actius de la capa de servei Servei Disponibilitat Integritat Confidencialitat Autenticitat Traçabilitat Entorn C/S aplicacions de gestió Mitjà N/A N/A Mitjà Mitjà Repositori documental Baix N/A N/A Mitjà Mitjà Suport TI a la docència Mitjà N/A N/A N/A N/A Servei d’atenció a l’usuari Mitjà N/A N/A Baix Baix Dades Disponibilitat Integritat Confidencialitat Autenticitat Traçabilitat BBDD institucional N/A Mitjà Mitjà N/A N/A Repositori de codi N/A Mitjà Baix N/A N/A Dades Google Apps N/A N/A Mitjà N/A N/A
  • 9. Exemple d’actius de la capa de serveis Serveis Atenció a l’usuari Repositori documental Serveis multimèdia Directori Càlcul científic Gestió documental Connectivitat en mobilitat UJINET Serveis Emmagatz. Departamental Espais web cedits Suite Google Apps Suport al desenvolupament Portal UJI Aula virtual Entorn C/S d’aplic. de gestió Entorn web d’aplic. de gestió Dades BBDD institucional BBDD autenticació Logs de navegació i accés Dades cursos aula virtual Repositori de codi i documentació d’aplicacions Arxius multimèdia Dades Google Apps Dades Alfresco
  • 10. Exemple d’actius de la capa d’infraestructura Serveis interns DHCP DNS LDAP Còpies de seguretat Servidor Web Servei d’impressió Single Sign-On Certificació i firma digital Equips Cluster BBDD SAN Equipament auxiliar Climatització Personal Personal CAU Administrador càlcul científic Instal·lacions Sala màquines rectorat Sala Ed.Escomeses Subcontractació CBUC Catàleg Aplicacions Oracle Apache DSpace Comunicacions Fortigate Switchs troncal Servidor de túnels
  • 11. Dependències per cadascun dels actius de la capa de servei... Actiu de la capa de servei Dependència Actius de la capa d’infraestructura Catàleg de Biblioteca 100% [SI] DNS 30% [PER] Administrador Millenium 100% [INF] UJInet 100% [INF] Accés a internet 10% [SI] DHCP intern 100% [SW] Millenium 100% [EXT] CBUC Catàleg
  • 12. Estudi d’amenaces i impacte de les mateixes Actiu: Dades BBDD institucional Impacte Amenaça Probabilitat D I C A T [E.7] Deficiencias en la organización Molt Alta Mitjà N/A N/A Mitjà Mitjà [E.21] Errores de mantenimiento / actualización de programas (software) Molt Alta Baix N/A N/A Mitjà Mitjà [A.18] Destrucción de la información Baixa Mitjà N/A N/A N/A N/A [A.19] Revelación de información Baixa Mitjà N/A N/A Baix Baix Les amenaces més comunes les proporciona PILAR en funció de la naturalesa de l’actiu Es valoren els actius de la capa d’infrastructura i les dades per obtindre un càlcul automàtic del risc per als actius de la capa de servei
  • 13. Valoració de les mesures ja aplicades PILAR: Només ho fem per als actius de la capa de servei
  • 14. Obtenció del risc residual Actiu Amenaces Dimensió Risc [SW.SW_Moodle] Moodle [E.20] Vulnerabilidades de los programas (software) [D] {0,80} [SW.SW-IAS_&_TOMCAT] IAS & TOMCAT [E.20] Vulnerabilidades de los programas (software) [D] {0,80} [SW.SW_Apache] Apache [E.20] Vulnerabilidades de los programas (software) [D] {0,80} [I_CPD ACO103CI] CPD Escomeses [N.*] Desastres naturales [I] {0,81} [I_CPD ACO103CI] CPD Escomeses [I.1] Fuego [I] {0,81} [I_CPD TD011AO] CPD Rectorat [I.1] Fuego [I] {0,81} [I_CPD TD011AO] CPD Rectorat [N.*] Desastres naturales [I] {0,81}
  • 15. I per a què hem fet tot açò? Recordem... Establir contramesures que limiten la probabilitat o l’impacte de les amenaces i justificar el seu cost. Establir un llindar de risc “residual”, que no es pot o no convé tractar, i que ha de ser assolit i aprovat formalment per qui té competència per fer-ho. Gestió del risc
  • 16. Què li toca a cadascú? Informe de l’AR per a la direcció: • Establir el context • Resum executiu amb una proposta sobre un nombre limitat de riscs • Seleccionar riscs reals i concrets i relacionar-los amb situacions reals • Tractar de no ser una barrera, si no de fer conscients del perill a qui pren les decisions • Aprovar els riscs a tractar • Assignar els recursos necessaris Implantar les mesures corresponents
  • 17. Què n’hem après? Tasca Lliçons apreses Revisió de l’inventari d’actius (capa de serveis) • No és una cosa tan estable com puga semblar: • Apareixen serveis nous en desapareixen d’antics • Convé fusionar o separar alguns serveis per tractar-los conjuntament Valoració dels actius de la capa de serveis • Per fer-ho de manera objectiva, cal comptar amb els propietaris/usuaris dels actius de la capa de servei Dependències entre els actius de la capa de serveis i de la capa d'infraestructura • És una tasca molt complexa • Cal mantindré un esquema senzill, amb pocs nivells • Té un component de subjectivitat elevat Estimació de la probabilitat de les amenaces • Té un component de subjectivitat elevat • El nombre d’incidents no acostuma a ser suficient per a que la freqüència de concreció de les amenaces siga un ajut Estimació de l’impacte sobre els actius de la capa de serveis • Té un component de subjectivitat elevat • Cal comptar amb els propietaris/usuaris dels actius de la capa de servei Determinació del valor teòric del risc • És un valor tan bonic com inservible si no s’apliquen correccions “manuals” o “lògiques” Establiment del llindar de risc assumible • És la tasca més complexa, amb molta diferència
  • 18. http://goo.gl/Gt07av Crèdits de les imatges http://goo.gl/Qjgam2 http://goo.gl/ScnCIk http://goo.gl/MfeQc9 http://goo.gl/Qjgam2 http://goo.gl/vmPSS4 http://goo.gl/btd1Ao https://goo.gl/lFjw98 http://goo.gl/JcF6hs http://goo.gl/btd1Ao http://goo.gl/lwretF https://goo.gl/K6ybqF Moltes gràcies per la seua atenció.... andreuv@uji.es