1
ramirocid.com
Ramiro Cid | @ramirocid
Análisis y Gestión de Riesgos
Segunda parte
2
ramirocid.com
2
Índice
5. Análisis de Riesgos: Desarrollo de las fases Slide 3
6. Análisis de Riesgos: Metodología NIST ...
3
ramirocid.com
5. Análisis de Riesgos:
Desarrollo de las fases
4
ramirocid.com
Fases de MAGERIT -> FASE 2
1. Determinar los
activos relevantes
para la organización
2. Determinar a que
a...
5
ramirocid.com
Esta fase consiste en determinar las amenazas que pueden afectar a cada
activo.
Las amenazas son “cosas qu...
6
ramirocid.com
Listado de amenazas
 De origen natural.
 Del entorno (de origen industrial).
 Defectos de las aplicacio...
7
ramirocid.com
Amenazas: De origen natural
Accidentes naturales
Terremotos, inundaciones, incendios, tornados, huracanes,...
8
ramirocid.com
Amenazas: Del Entorno (de origen industrial)
Desastres industriales
Contaminación, fallos eléctricos, radi...
9
ramirocid.com
 Errores de actualización o parcheado de sistemas y aplicaciones
 Monitorización inadecuada
 Errores de...
10
ramirocid.com
Amenazas: Defecto de las aplicaciones
Defectos en las aplicaciones
Hay problemas que nacen directamente e...
11
ramirocid.com
Amenazas: Defecto de las aplicaciones
Ejemplo:
OWASP(*): “Se habla en generalmente de que existen 5
vulne...
12
ramirocid.com
Amenazas: Causadas por las personas de
forma accidental
Las personas con acceso al sistema de información...
13
ramirocid.com
Amenazas: Causadas por las personas de
forma deliberada
Las personas con acceso al sistema de información...
14
ramirocid.com
Valoración de las amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus
dim...
15
ramirocid.com
Valoración de las amenazas
La degradación se suele caracterizar como una fracción del valor del activo y ...
16
ramirocid.com
Valoración de las amenazas
La probabilidad de ocurrencia es más compleja de determinar y de expresar.
A v...
17
ramirocid.com
Valoración de las amenazas
A veces se modela numéricamente como una frecuencia de ocurrencia.
Es habitual...
18
ramirocid.com
Valoración de la amenazas (NIST SP 800-30)
Probabilidad de la
amenaza
Impacto
Bajo (10) Medio (50) Alto (...
19
ramirocid.com
 Los activos se relacionan unos con otros, de forma que el efecto de
una amenaza en un activo tiene cons...
20
ramirocid.com
Amenazas. Análisis según OCTAVE
En OCTAVE se identifican las áreas de preocupación (se crean
escenarios q...
21
ramirocid.com
Fases de MAGERIT -> FASE 3
1. Determinar los
activos relevantes
para la organización
2. Determinar a que
...
22
ramirocid.com
En los pasos anteriores no se han tomado en consideración las
salvaguardas desplegadas.
Se miden, por tan...
23
ramirocid.com
En esta fase se analizan los activos agrupados dentro del alcance así
como las salvaguardas existentes y ...
24
ramirocid.com
Salvaguardas. Selección de las salvaguardas
Ante el amplio abanico de posibles salvaguardas a considerar,...
25
ramirocid.com
Salvaguardas. Selección de las salvaguardas
Es prudente establecer un principio de proporcionalidad y ten...
26
ramirocid.com
Salvaguardas. Efecto de las salvaguardas
Las salvaguardas entran en el cálculo del riesgo de dos formas:
...
27
ramirocid.com
Salvaguardas. Tipo de protección
La aproximación utilizada por MAGERIT v.3 a veces resulta un poco simpli...
28
ramirocid.com
Salvaguardas. Tipo de protección
2. Disuasión: Una salvaguarda es disuasoria cuando tiene un efecto tal s...
29
ramirocid.com
Salvaguardas. Tipo de protección
4. Minimización del impacto / limitación del impacto: Una salvaguarda mi...
30
ramirocid.com
Salvaguardas. Tipo de protección
6. Recuperación: Una salvaguarda ofrece recuperación cuando permite regr...
31
ramirocid.com
Salvaguardas. Tipo de protección
8. Detección: Una salvaguarda funciona detectando un ataque cuando infor...
32
ramirocid.com
Salvaguardas. Tipo de protección
10. Detección: Se refiere a las salvaguardas relacionadas con los compon...
33
ramirocid.com
Salvaguardas. Tipo de protección
Agrupadas por el efecto, este grupo de 10 tipos de salvaguardas se puede...
34
ramirocid.com
Salvaguardas. Valoración
El objetivo es determinar la eficacia de las salvaguardas pertinentes.
En esta t...
35
ramirocid.com
Salvaguardas. CRAMM
En el caso de la metodología CRAMM se realiza una selección y
recomendación de contra...
36
ramirocid.com
Salvaguardas. NIST SP 800-30
En el caso de la metodología NIST SP 800-30, se otorga gran importancia
a lo...
37
ramirocid.com
Fases de MAGERIT -> FASE 4
1. Determinar los
activos relevantes
para la organización
2. Determinar a que
...
38
ramirocid.com
Esta fase se caracteriza por la realización del análisis del impacto en caso de
producirse la amenaza rel...
39
ramirocid.com
 Se debe tener en consideración:
 Valor acumulado (el propio activo más el acumulado de los activos que...
40
ramirocid.com
 Puesto que los activos dependen unos de otros, la materialización de
amenazas en los activos inferiores...
41
ramirocid.com
 Se debe tener en consideración:
Su propio valor.
Las amenazas a que están expuestos los activos de los ...
42
ramirocid.com
 El impacto repercutido se calcula tomando en cuenta:
El valor propio del activo superior.
La degradació...
43
ramirocid.com
Impacto. Agregación de valores impactos
Los impactos individuales se pueden agrupar bajo las siguientes
c...
44
ramirocid.com
Impacto. Agregación de valores impactos
Los impactos individuales se pueden agrupar bajo las siguientes
c...
45
ramirocid.com
Fases de MAGERIT -> FASE 5
1. Determinar los
activos relevantes
para la organización
2. Determinar a que
...
46
ramirocid.com
Estimar el riesgo. Cálculo del Riesgo
El riesgo es una ponderación del valor del activo, la
probabilidad ...
47
ramirocid.com
Análisis de riesgo intrínseco:
En esta fase se hace un análisis intrínseco, es decir, se busca obtener el...
48
ramirocid.com
Dado un cierto conjunto de salvaguardas desplegadas y una medida de la
madurez de su proceso de gestión, ...
49
ramirocid.com
En esta fase, una vez realizado un análisis del efecto de la aplicación de
las salvaguardas (controles), ...
50
ramirocid.com
La magnitud de la degradación se toma en consideración en el
cálculo del impacto residual.
La magnitud de...
51
ramirocid.com
Estimar el riesgo.
Análisis cuantitativo de costes vs. beneficios
52
ramirocid.com
Estimar el riesgo. Riesgo efectivo (residual)
53
ramirocid.com
Estimar el riesgo. Evaluación de riesgos
Gestión del riesgo:
En esta fase se realiza el proceso de equili...
54
ramirocid.com
Estimar el riesgo. Riesgo
Probabilidad 1 2 3 4 5
Impacto 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 ...
55
ramirocid.com
Objetivos de esta tarea:
 Determinar el impacto potencial al que está sometido el sistema.
 Determinar ...
56
ramirocid.com
Estimar el riesgo (NIST SP 800-30)
Nivel de riesgo Acciones
Alto Aplica medidas para controlar el riesgo ...
57
ramirocid.com
Ejemplos de Análisis de riesgos
1er Ejemplo:
2do Ejemplo:
Hoja de cálculo
de Microsoft Excel 97-200
Hoja ...
58
ramirocid.com
6. Análisis de Riesgos:
Metodología NIST SP 800-30
59
ramirocid.com
Metodologías: NIST SP 800-30
Metodología de origen estadounidense que se apoya en los siguientes pasos:
1...
60
ramirocid.com
Metodologías: NIST SP 800-30
Activo Vulnerabilidad Amenaza
Fuente Característica
Director
General
No cláu...
61
ramirocid.com
7. Análisis de Riesgos:
Metodología OCTAVE
62
ramirocid.com
Metodologías: Octave
Historia de las versiones:
63
ramirocid.com
Metodologías: Octave
Pasos de la metodología:
64
ramirocid.com
8. Análisis de Riesgos:
Metodología CRAMM
65
ramirocid.com
CRAMM: Pasos del análisis y gestión de riesgos
66
ramirocid.com
9. Análisis de Riesgos:
Comparativa de las metodologías
67
ramirocid.com
Comparativa de Metodologías
Activo Valoración Amenaza Vulnerabilidad
Probabilidad
que ocurra
Impacto Ries...
68
ramirocid.com
Comparativa de Metodologías
Magerit CRAMM NIST SP 800-30 Octave
Nombre de la
metodología
“Metodología de
...
69
ramirocid.com
Comparativa de Metodologías
Magerit CRAMM NIST SP 800-30 Octave
Última
Versión
V.3.0 (2012) V.5.3 (2003) ...
70
ramirocid.com
Comparativa de Metodologías
Magerit CRAMM NIST SP 800-30 Octave
Fases
1- Determinar los activos
relevante...
71
ramirocid.com
Comparativa de Metodologías
Magerit CRAMM NIST SP 800-30 Octave
Principales
Rasgos
Técnicas específicas
p...
72
ramirocid.com
Comparativa de Metodologías
Magerit CRAMM NIST SP 800-30 Octave
Aplicación
* Análisis de riesgos
* Gestió...
73
ramirocid.com
Comparativa de Metodologías
Magerit CRAMM NIST SP 800-30 Octave
Quien lleva a
cabo la
metodología
* Peque...
74
ramirocid.com
Comparativa de Metodologías (ventajas)
Magerit CRAMM NIST SP 800-30 Octave
Ventajas
Ámbito de
Aplicación
...
75
ramirocid.com
Comparativa de Metodologías (desventajas)
Magerit CRAMM NIST SP 800-30 Octave
Desventajas
Ámbito de
Aplic...
76
ramirocid.com
Uso de las metodologías
Aplicación de negocios:
Según un estudio publicado el 26/07/2017 por Wisegate (un...
77
ramirocid.com
Otras Metodologías de Análisis de Riesgos
Existen otras metodologías de Análisis de Riesgos:
 Citicus On...
78
ramirocid.com
10. Gestión de Riesgos:
Aspectos generales
79
ramirocid.com
79
ISO 31000:2009 da una lista en orden de preferencia sobre cómo lidiar con el riesgo:
1. Evitando el ri...
80
ramirocid.com
80
ISO 31000:2009 da una lista en orden de preferencia sobre cómo lidiar con el riesgo:
4. Cambiando la p...
81
ramirocid.com
81
Proceso de gestión de riesgos
82
ramirocid.com
Gestión de riesgos. Ejemplo
Resumen. Vulnerabilidad /Impacto y Riesgo
intrínseco22.502,
4 5 6
Personal de...
83
ramirocid.com
Gestión global de Seguridad de un Sistema de
Información
Fases:
Análisis y Gestión de Riesgos
Determinar ...
84
ramirocid.com
Video: Gestión de riesgos: Estándares de Gestión
de la Seguridad de la Información
https://www.youtube.co...
85
ramirocid.com
11. Gestión de Riesgos:
Plan Director de Seguridad
86
ramirocid.com
Plan Director de Seguridad. Definición
“Un Plan Director de Seguridad es una herramienta con la
que cuent...
87
ramirocid.com
Plan Director de Seguridad. Visión muy resumida
 Análisis de Riesgo (Problemas encontrados) [A.R.]
 Ges...
88
ramirocid.com
Plan Director de Seguridad. Aspectos generales
Cuando decidimos abordar la ciberseguridad es importante t...
89
ramirocid.com
Plan Director de Seguridad. Aspectos generales
Como cada organización tiene sus particularidades, tendrem...
90
ramirocid.com
Plan Director de Seguridad. Fases
Existen distintas maneras de desarrollar un Plan Director de Seguridad,...
91
ramirocid.com
Plan Director de Seguridad. Fases
Fase 1: Conocer la situación actual de la organización
La primera fase ...
92
ramirocid.com
Plan Director de Seguridad. Fases
1.1 Actividades previas:
a. Acotar y establecer el alcance: Es esencial...
93
ramirocid.com
Plan Director de Seguridad. Fases
1.2 Análisis técnico de seguridad:
a. Análisis técnico de seguridad: qu...
94
ramirocid.com
Plan Director de Seguridad. Fases
Fase 2: Conocer la estrategia de la organización
Esto implica considera...
95
ramirocid.com
Plan Director de Seguridad. Fases
Fase 3: Definición de proyectos e iniciativas
A partir de la informació...
96
ramirocid.com
Plan Director de Seguridad. Fases
Fase 4: Clasificar y priorizar los proyectos a realizar
Una vez identif...
97
ramirocid.com
Plan Director de Seguridad. Fases
Fase 5: Aprobar el Plan Director de Seguridad
La versión preliminar del...
98
ramirocid.com
Plan Director de Seguridad. Fases
Fase 6: Puesta en marcha
Una vez aprobado por la Dirección, el Plan Dir...
99
ramirocid.com
https://www.youtube.com/watch?v=WkqLTbf1mEw
Video: Plan Director de Seguridad
100
ramirocid.com
Referencias
Documentación para ampliar conocimientos:
BSI e ISO:
1. Normas BSI: http://www.bsi-global.co...
101
ramirocid.com
¿Preguntas?
¡Muchas gracias!
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL
ramiro@ramirocid.c...
Próxima SlideShare
Cargando en…5
×

Análisis y gestión de riesgos - Parte 2 de 2

50 visualizaciones

Publicado el

Segunda de 2 presentaciones sobre Análisis y gestión de riesgos.

En esta primera presentación se desarrollan todos estos temas:
1. Análisis de Riesgos: Desarrollo de las fases
2. Análisis de Riesgos: Metodología NIST SP 800-30
3. Análisis de Riesgos: Metodología OCTAVE
4. Análisis de Riesgos: Metodología CRAMM
5. Análisis de Riesgos: Comparativa de las metodologías
6. Gestión de Riesgos: Aspectos generales
7. Gestión de Riesgos: Plan Director de Seguridad

Publicado en: Empresariales
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Análisis y gestión de riesgos - Parte 2 de 2

  1. 1. 1 ramirocid.com Ramiro Cid | @ramirocid Análisis y Gestión de Riesgos Segunda parte
  2. 2. 2 ramirocid.com 2 Índice 5. Análisis de Riesgos: Desarrollo de las fases Slide 3 6. Análisis de Riesgos: Metodología NIST SP 800-30 Slide 58 7. Análisis de Riesgos: Metodología OCTAVE Slide 61 8. Análisis de Riesgos: Metodología CRAMM Slide 64 9. Análisis de Riesgos: Comparativa de las metodologías Slide 66 10. Gestión de Riesgos: Aspectos generales Slide 78 11. Gestión de Riesgos: Plan Director de Seguridad Slide 85
  3. 3. 3 ramirocid.com 5. Análisis de Riesgos: Desarrollo de las fases
  4. 4. 4 ramirocid.com Fases de MAGERIT -> FASE 2 1. Determinar los activos relevantes para la organización 2. Determinar a que amenazas están expuestos esos activos 3. Determinar las salvaguardas dispuestas 5. Estimar el riesgo 4. Estimar el impacto
  5. 5. 5 ramirocid.com Esta fase consiste en determinar las amenazas que pueden afectar a cada activo. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. Análisis de amenazas ¿qué hay que hacer para no verse afectado por ellas?Amenazas
  6. 6. 6 ramirocid.com Listado de amenazas  De origen natural.  Del entorno (de origen industrial).  Defectos de las aplicaciones.  Causadas por las personas en forma accidental.  Causadas por las personas en forma deliberada.
  7. 7. 7 ramirocid.com Amenazas: De origen natural Accidentes naturales Terremotos, inundaciones, incendios, tornados, huracanes, maremotos, volcanes, etc. Ante esos avatares el sistema de información es víctima pasiva, pero de todas formas tendremos en cuenta lo que puede suceder. De origen físico o lógico, debida a un defecto de origen o durante el funcionamiento del sistema.
  8. 8. 8 ramirocid.com Amenazas: Del Entorno (de origen industrial) Desastres industriales Contaminación, fallos eléctricos, radiación, corte en las comunicaciones, etc. ante los cuales el sistema de información es víctima pasiva; pero no por ser pasivos hay que permanecer indefensos.
  9. 9. 9 ramirocid.com  Errores de actualización o parcheado de sistemas y aplicaciones  Monitorización inadecuada  Errores de compatibilidad entre aplicaciones o librerías  Errores inesperados: Virus Cyberataques Otros Amenazas: Defecto de las aplicaciones
  10. 10. 10 ramirocid.com Amenazas: Defecto de las aplicaciones Defectos en las aplicaciones Hay problemas que nacen directamente en el equipamiento propio por defectos en su diseño o en su implementación, con consecuencias potencialmente negativas sobre el sistema. Frecuentemente se denominan vulnerabilidades técnicas o, simplemente, “vulnerabilidades”.  Errores de diseño conceptuales que puedan llevar a un problema de seguridad.  Errores de desarrollo derivados de la implementación de alguna aplicación o de la implantación de un sistema en producción.
  11. 11. 11 ramirocid.com Amenazas: Defecto de las aplicaciones Ejemplo: OWASP(*): “Se habla en generalmente de que existen 5 vulnerabilidades por cada 1000 líneas de código” -> De lo que se extrae que por ejemplo el Tesla Model S con 500 millones de líneas de código, posee unos 2,5 millones de vulnerabilidades dentro de este. (*) Open Web Application Security Project, una comunidad en línea, produce artículos, metodologías, documentación, herramientas y tecnologías de libre disponibilidad en el campo de la seguridad de las aplicaciones web.
  12. 12. 12 ramirocid.com Amenazas: Causadas por las personas de forma accidental Las personas con acceso al sistema de información pueden ser causa de problemas no intencionados, típicamente por error o por omisión.  Acceso físico no autorizado.  Acceso lógico no autorizado.  Borrado accidental de datos.  Filtración accidental de datos.  Daño a la imagen corporativa por comentarios de empleados en las Communities.
  13. 13. 13 ramirocid.com Amenazas: Causadas por las personas de forma deliberada Las personas con acceso al sistema de información pueden ser causa de problemas intencionados: ataques deliberados; bien con ánimo de beneficiarse indebidamente, bien con ánimo de causar daños y perjuicios a los legítimos propietarios. Indisponibilidad de recursos Humanos: motivos de huelga, abandono, enfermedad, baja temporal, etc. Técnicos: desvío del uso del sistema, bloqueo, etc. Filtración de datos a terceros Apropiación indebida de datos, particularmente importante cuando los datos son de carácter personal (LOPD y RGPD).
  14. 14. 14 ramirocid.com Valoración de las amenazas Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía. Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos: 1. Degradación: cuán perjudicado resultaría el valor del activo 2. Probabilidad: cuán probable o improbable es que se materialice la amenaza La degradación mide el daño causado por un incidente en el supuesto de que ocurriera.
  15. 15. 15 ramirocid.com Valoración de las amenazas La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”. Cuando las amenazas no son intencionales, probablemente baste conocer la fracción físicamente perjudicada de un activo para calcular la pérdida proporcional de valor que se pierde. Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el atacante puede causar muchísimo daño de forma selectiva.
  16. 16. 16 ramirocid.com Valoración de las amenazas La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela cualitativamente por medio de alguna escala nominal: MA Muy alta Casi seguro Fácil A Alta Muy alto Medio M Media Posible Difícil B Baja Probable Muy difícil MB Muy baja Muy raro Extremadamente difícil
  17. 17. 17 ramirocid.com Valoración de las amenazas A veces se modela numéricamente como una frecuencia de ocurrencia. Es habitual usar 1 año como referencia. Ejemplo de valores típicos: MA 100 Muy frecuente A diario A 10 Frecuente Mensualmente M 1 Normal Una vez al año B 1/10 Poco frecuente Cada varios años MB 1/100 Muy poco frecuente Siglos
  18. 18. 18 ramirocid.com Valoración de la amenazas (NIST SP 800-30) Probabilidad de la amenaza Impacto Bajo (10) Medio (50) Alto (100) Alto (1.0) Bajo Medio Alto Medio (0.5) Bajo Medio Medio Bajo (0.1) Bajo Bajo Bajo
  19. 19. 19 ramirocid.com  Los activos se relacionan unos con otros, de forma que el efecto de una amenaza en un activo tiene consecuencias indirectas en los activos que dependen del activo directamente dañado.  El impacto repercutido mide el daño en los activos superiores. Amenazas. Tipos de impactos. Repercutido 19
  20. 20. 20 ramirocid.com Amenazas. Análisis según OCTAVE En OCTAVE se identifican las áreas de preocupación (se crean escenarios que se estiman pueden llegar a ser reales). El desarrollo de esta lista de escenarios suele hacerse a través de técnicas de brainstorming. Adicionalmente se busca en un paso posterior identificar escenarios de amenaza a través del desarrollo de los detalles relacionados con los escenarios identificados en el paso anterior. Al final de este segundo paso se busca encontrar posibles amenazas que puedan haber surgido del desarrollo de los escenarios.
  21. 21. 21 ramirocid.com Fases de MAGERIT -> FASE 3 1. Determinar los activos relevantes para la organización 2. Determinar a que amenazas están expuestos esos activos 3. Determinar las salvaguardas dispuestas 5. Estimar el riesgo 4. Estimar el impacto
  22. 22. 22 ramirocid.com En los pasos anteriores no se han tomado en consideración las salvaguardas desplegadas. Se miden, por tanto, los impactos y riesgos a que estarían expuestos los activos si no se protegieran en absoluto. En la práctica no es frecuente encontrar sistemas desprotegidos: las medidas citadas indican lo que ocurriría si se retiraran las salvaguardas presentes. Salvaguardas. Dimensionamiento
  23. 23. 23 ramirocid.com En esta fase se analizan los activos agrupados dentro del alcance así como las salvaguardas existentes y la eficacia que tienen frente al riesgo. ¿qué controles relacionados posee?Activos ¿cuan eficaces son esos controles? Salvaguardas. Dimensionamiento
  24. 24. 24 ramirocid.com Salvaguardas. Selección de las salvaguardas Ante el amplio abanico de posibles salvaguardas a considerar, es necesario hacer una criba inicial para quedarnos con aquellas que son relevantes para lo que hay que proteger. En este filtrado se deben tener en cuenta los siguientes aspectos: 1. Tipo de activos a proteger, pues cada tipo se protege de una forma específica. 2. Dimensión o dimensiones de seguridad que requieren protección. 3. Amenazas de las que necesitamos protegernos. 4. Sí existen salvaguardas alternativas.
  25. 25. 25 ramirocid.com Salvaguardas. Selección de las salvaguardas Es prudente establecer un principio de proporcionalidad y tener en cuenta: 1. El mayor o menor valor propio o acumulado sobre un activo, centrándonos en lo más valioso y obviando lo irrelevante. 2. La mayor o menor probabilidad de que una amenaza ocurra, centrándonos en los riesgos más importantes (ver zonas de riesgo). 3. La cobertura del riesgo que proporcionan salvaguardas alternativas.
  26. 26. 26 ramirocid.com Salvaguardas. Efecto de las salvaguardas Las salvaguardas entran en el cálculo del riesgo de dos formas:  Reduciendo la probabilidad de las amenazas: Se llaman salvaguardas preventivas. Las ideales llegan a impedir completamente que la amenaza se materialice.  Limitando el daño causado: Hay salvaguardas que directamente limitan la posible degradación, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradación avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperación del sistema cuando la amenaza lo destruye.
  27. 27. 27 ramirocid.com Salvaguardas. Tipo de protección La aproximación utilizada por MAGERIT v.3 a veces resulta un poco simplificadora debido a que es habitual hablar de diferentes tipos de protección prestados por las salvaguardas. Estos son los tipos de controles definidos: 1. Prevención: Una salvaguarda es preventiva cuando reduce las oportunidades de que un incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son los mismos. Ejemplos: autorización previa de los usuarios, gestión de privilegios, planificación de capacidades, metodología segura de desarrollo de software, pruebas en preproducción, segregación de tareas, etc.
  28. 28. 28 ramirocid.com Salvaguardas. Tipo de protección 2. Disuasión: Una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes que estos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas que actúan antes del incidente, reduciendo las probabilidades de que ocurra; pero que no tienen influencia sobre los daños causados caso de que el atacante realmente se atreva. Ejemplos: Vallas elevadas, guardias de seguridad, avisos sobre la persecución del delito. 3. Eliminación: Una salvaguarda elimina un incidente cuando impide que éste tenga lugar. Son salvaguardas que actúan antes de que el incidente se haya producido. No reducen los daños caso de que la salvaguarda no sea perfecta y el incidente llegue a ocurrir. Ejemplos: Eliminación de cuentas estándar, de cuentas sin contraseña, de servicios innecesarios, cifrado de la información, armarios ignífugos, etc.
  29. 29. 29 ramirocid.com Salvaguardas. Tipo de protección 4. Minimización del impacto / limitación del impacto: Una salvaguarda minimiza o limita el impacto cuando acota las consecuencias de un incidente. Ejemplos: desconexión de redes o equipos en caso de ataque, detención de servicios en caso de ataque, seguros de cobertura, cumplimiento de la legislación vigente. 5. Corrección: Una salvaguarda es correctiva cuando, habiéndose producido un daño, lo repara. Son salvaguardas que actúan después de que el incidente se haya producido y por tanto reducen los daños. Ejemplos: Gestión de incidentes, líneas de comunicación alternativas, fuentes de alimentación redundantes, etc.
  30. 30. 30 ramirocid.com Salvaguardas. Tipo de protección 6. Recuperación: Una salvaguarda ofrece recuperación cuando permite regresar al estado anterior al incidente. Son salvaguardas que no reducen las probabilidades del incidente, pero acotan los daños a un periodo de tiempo. Ejemplos: Copias de seguridad (backup). 7. Monitorización: Son las salvaguardas que trabajan monitorizando lo que está ocurriendo o lo que ha ocurrido. Si se detectan cosas en tiempo real, podemos reaccionar atajando el incidente para limitar el impacto; si se detectan cosas a posteriori, podemos aprender del incidente y me-orar el sistema de salvaguardas de cara al futuro. Ejemplos: Registros de actividad, registro de descargas de web, IPS, etc.
  31. 31. 31 ramirocid.com Salvaguardas. Tipo de protección 8. Detección: Una salvaguarda funciona detectando un ataque cuando informa de que el ataque está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación otras medidas que atajen la progresión del ataque, minimizando daños. Ejemplos: Antivirus, IDS, detectores de incendio, etc. 9. Concienciación: Son las actividades de formación de las personas anexas al sistema que pueden tener una influencia sobre él. La formación reduce los errores de los usuarios, lo cual tiene un efecto preventivo. También mejora las salvaguardas de todo tipo pues los que las operan lo hacen con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo por una mala operación. Ejemplos: Cursos de concientización (concienciación) de IT Security, cursos de formación.
  32. 32. 32 ramirocid.com Salvaguardas. Tipo de protección 10. Detección: Se refiere a las salvaguardas relacionadas con los componentes de seguridad del sistema. Una buena administración evita el desconocimiento de lo que hay y por tanto impide que hayan puertas desconocidas por las que pudiera tener éxito un ataque. En general pueden considerarse medidas de tipo preventivo. Ejemplos: Inventario de activos, análisis de riesgos, plan de continuidad de negocio (BCP), Planes de desastres (DRP, etc.).
  33. 33. 33 ramirocid.com Salvaguardas. Tipo de protección Agrupadas por el efecto, este grupo de 10 tipos de salvaguardas se pueden agrupar de la siguiente manera: Reducen la probabilidad Reducen el impacto Reducen probabilidad e impacto (en forma indirecta)
  34. 34. 34 ramirocid.com Salvaguardas. Valoración El objetivo es determinar la eficacia de las salvaguardas pertinentes. En esta tarea se valora la efectividad de las salvaguardas identificadas en la tarea anterior, tomando en consideración: La idoneidad de la salvaguarda para el fin perseguido. La calidad de la implantación. La formación de los responsables de su configuración y operación. La formación de los usuarios, si tienen un papel activo. La existencia de controles de medida de su efectividad. La existencia de procedimientos de revisión regular. Para cada salvaguarda conviene registrar la siguiente información: Estimación de su eficacia para afrontar aquellas amenazas. Explicación de la estimación de eficacia. Entrevistas realizadas de las que se ha deducido la anterior estimación.
  35. 35. 35 ramirocid.com Salvaguardas. CRAMM En el caso de la metodología CRAMM se realiza una selección y recomendación de contramedidas. CRAMM contiene una gran librería de más de:  3500 contramedidas Organizadas en:  70 grupos
  36. 36. 36 ramirocid.com Salvaguardas. NIST SP 800-30 En el caso de la metodología NIST SP 800-30, se otorga gran importancia a los controles, estando los mismos presentes en las 4 primeras fases del análisis de riesgo desarrollado por esta metodología: 1- Categorización de los controles. 2- Selección de los controles (desarrollo o adquisición). 3- Implementación de los activos de seguridad. 4- Evaluación de los controles para encontrar las vulnerabilidades.
  37. 37. 37 ramirocid.com Fases de MAGERIT -> FASE 4 1. Determinar los activos relevantes para la organización 2. Determinar a que amenazas están expuestos esos activos 3. Determinar las salvaguardas dispuestas 5. Estimar el riesgo 4. Estimar el impacto
  38. 38. 38 ramirocid.com Esta fase se caracteriza por la realización del análisis del impacto en caso de producirse la amenaza relacionada con cada activo. Es importante recordar que algunos controles sirven para reducir el impacto (ej. seguros de siniestro). Establecimiento de impactos
  39. 39. 39 ramirocid.com  Se debe tener en consideración:  Valor acumulado (el propio activo más el acumulado de los activos que dependen de él).  Las amenazas a las que está expuesto.  El impacto acumulado se calcula para cada activo, por cada amenaza y en cada dimensión de valoración.  El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre un activo.  El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado. Tipos impactos. Acumulado 39
  40. 40. 40 ramirocid.com  Puesto que los activos dependen unos de otros, la materialización de amenazas en los activos inferiores causa un daño directo sobre éstos y un daño indirecto sobre los activos superiores.  El impacto acumulado es el impacto evaluado en los activos inferiores.  El impacto acumulado se calcula tomando en cuenta  El valor acumulado.  La degradación causada por la amenaza. Impacto acumulado = Valor acumulado * Degradación Tipos impactos. Acumulado 40
  41. 41. 41 ramirocid.com  Se debe tener en consideración: Su propio valor. Las amenazas a que están expuestos los activos de los depende.  El impacto repercutido se calcula para cada activo, por cada amenaza y en cada dimensión de valoración. El impacto es tanto mayor cuanto mayor es el valor propio de un activo. El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado. El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado. Tipos de impactos. Repercutido 41
  42. 42. 42 ramirocid.com  El impacto repercutido se calcula tomando en cuenta: El valor propio del activo superior. La degradación causada por la amenaza en el activo inferior. El grado de dependencia del activo superior del activo inferior.  Básicamente, la degradación del activo inferior repercute sobre el activo superior en la medida indicada por el grado de dependencia: Impacto repercutido = Valor * Degradación * Grado Tipos de impactos. Repercutido 42
  43. 43. 43 ramirocid.com Impacto. Agregación de valores impactos Los impactos individuales se pueden agrupar bajo las siguientes características:  Puede agregarse el impacto repercutido sobre diferentes activos.  Puede agregarse el impacto acumulado sobre activos que no sean dependientes entre sí, y no hereden valor de un activo superior común.  No debe agregarse el impacto acumulado sobre activos que no sean independientes, pues ello supondría sobre ponderar el impacto al incluir varias veces el valor acumulado de activos superiores.
  44. 44. 44 ramirocid.com Impacto. Agregación de valores impactos Los impactos individuales se pueden agrupar bajo las siguientes características: (continuación)  Puede agregarse el impacto de diferentes amenazas sobre un mismo activo, aunque conviene considerar en qué medida las diferentes amenazas son independientes y pueden ser concurrentes.  Puede agregarse el impacto de una amenaza en diferentes dimensiones.
  45. 45. 45 ramirocid.com Fases de MAGERIT -> FASE 5 1. Determinar los activos relevantes para la organización 2. Determinar a que amenazas están expuestos esos activos 3. Determinar las salvaguardas dispuestas 5. Estimar el riesgo 4. Estimar el impacto
  46. 46. 46 ramirocid.com Estimar el riesgo. Cálculo del Riesgo El riesgo es una ponderación del valor del activo, la probabilidad que suceda y el impacto que tendría sobre el sistema. Valor (+) probabilidad (+) impacto
  47. 47. 47 ramirocid.com Análisis de riesgo intrínseco: En esta fase se hace un análisis intrínseco, es decir, se busca obtener el riesgo relacionado con cada amenaza que puede afectar a cada activo sin tener en cuenta aquellas contramedidas que ya se están aplicando. Con esto se obtiene el riesgo “puro” sin tener en cuenta la afectación (reducción) del riesgo ocasionado por los controles aplicados sobre los activos. Influencia de las salvaguardas: Se busca en esta fase analizar la afectación en el riesgo de la aplicación de los activos, es decir, se parte de los riesgos intrínsecos (o “puros”) para llegar a un riesgo menor fruto de la aplicación de los activos. Estimar el riesgo
  48. 48. 48 ramirocid.com Dado un cierto conjunto de salvaguardas desplegadas y una medida de la madurez de su proceso de gestión, el sistema queda en una situación de riesgo que se denomina residual. Se dice que hemos modificado el riesgo, desde un valor potencial a un valor residual. El cálculo del riesgo residual es sencillo. Como no han cambiado los activos, ni sus dependencias, sino solamente la magnitud de la degradación y la probabilidad de las amenazas, se repiten los cálculos de riesgo usando el impacto residual y la probabilidad residual de ocurrencia. Estimar el riesgo. Análisis de riesgo residual
  49. 49. 49 ramirocid.com En esta fase, una vez realizado un análisis del efecto de la aplicación de las salvaguardas (controles), se obtiene el riesgo efectivo (mejor conocido como “riesgo residual”) que es el riesgo intrínseco luego de los controles aplicados o dicho de otra manera: Estimar el riesgo. Análisis de riesgo residual Riesgo residual (o efectivo) = Riesgo intrínseco - Controles
  50. 50. 50 ramirocid.com La magnitud de la degradación se toma en consideración en el cálculo del impacto residual. La magnitud de la probabilidad residual tomando en cuenta la eficacia de las salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia real. El riesgo residual puede calcularse acumulado sobre los activos inferiores, o repercutido sobre los activos superiores (ej. Información que se maneja, servicios prestados). Estimar el riesgo. Análisis de riesgo residual
  51. 51. 51 ramirocid.com Estimar el riesgo. Análisis cuantitativo de costes vs. beneficios
  52. 52. 52 ramirocid.com Estimar el riesgo. Riesgo efectivo (residual)
  53. 53. 53 ramirocid.com Estimar el riesgo. Evaluación de riesgos Gestión del riesgo: En esta fase se realiza el proceso de equilibrar el coste de protección con el coste de exposición. Coste de Equilibrio Nivel de Seguridad Decisiones:  Aceptarlo  Asignación a terceros  Evitarlo Riesgos Seguridad
  54. 54. 54 ramirocid.com Estimar el riesgo. Riesgo Probabilidad 1 2 3 4 5 Impacto 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 Valor 1 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 2 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 3 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 4 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14 5 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14 11 12 13 14 15 de 3 a 7 No es necesario control de 8 a 10 Control recomendado de 11 a 15 Control obligatorio
  55. 55. 55 ramirocid.com Objetivos de esta tarea:  Determinar el impacto potencial al que está sometido el sistema.  Determinar el impacto residual al que está sometido el sistema. En esta tarea se estima el impacto al que están expuestos los activos del sistema: El impacto potencial, al que está expuesto el sistema teniendo en cuenta el valor de los activos y la valoración de las amenazas; pero no las salvaguardas actualmente desplegadas. El impacto residual, al que está expuesto el sistema teniendo en cuenta el valor de los activos y la valoración de las amenazas, así como la eficacia de las salvaguardas actualmente desplegadas. Estimar el riesgo. Estimación del impacto
  56. 56. 56 ramirocid.com Estimar el riesgo (NIST SP 800-30) Nivel de riesgo Acciones Alto Aplica medidas para controlar el riesgo de forma inmediata Medio Aplica medidas para controlar el riesgo en un periodo de tiempo razonable Bajo Analizar si aceptar el riesgo o aplicar medidas de control
  57. 57. 57 ramirocid.com Ejemplos de Análisis de riesgos 1er Ejemplo: 2do Ejemplo: Hoja de cálculo de Microsoft Excel 97-200 Hoja de cálculo de Microsoft Excel 97-200
  58. 58. 58 ramirocid.com 6. Análisis de Riesgos: Metodología NIST SP 800-30
  59. 59. 59 ramirocid.com Metodologías: NIST SP 800-30 Metodología de origen estadounidense que se apoya en los siguientes pasos: 1- Categorización de los controles 2- Selección de controles 3- Implementación de los activos de seguridad 4- Evaluación de los controles para encontrar las vulnerabilidades 5- Autorización: Evaluación del riesgo 6- Monitorización de la organización
  60. 60. 60 ramirocid.com Metodologías: NIST SP 800-30 Activo Vulnerabilidad Amenaza Fuente Característica Director General No cláusula de exclusividad Oferta competencia X X X 0,5 100 Medio Base Datos Cliente Mala configuración Publicación de datos privados X X 0,1 100 Bajo Imagen Política firewall inadecuada Cambio contenido Web X X 0,1 100 Bajo Natural Humana Entorno Disponibilidad Confidencialidad Integridad Probabilidad Impacto Riesgo
  61. 61. 61 ramirocid.com 7. Análisis de Riesgos: Metodología OCTAVE
  62. 62. 62 ramirocid.com Metodologías: Octave Historia de las versiones:
  63. 63. 63 ramirocid.com Metodologías: Octave Pasos de la metodología:
  64. 64. 64 ramirocid.com 8. Análisis de Riesgos: Metodología CRAMM
  65. 65. 65 ramirocid.com CRAMM: Pasos del análisis y gestión de riesgos
  66. 66. 66 ramirocid.com 9. Análisis de Riesgos: Comparativa de las metodologías
  67. 67. 67 ramirocid.com Comparativa de Metodologías Activo Valoración Amenaza Vulnerabilidad Probabilidad que ocurra Impacto Riesgo Magerit Activo X Valor del Activo (medido en € o en forma ordinal) Amenaza Y No lo requiere en el cálculo Frecuencia Z % del valor del activo que se pierde sí el impacto se produce Valor de la perdida diaria que resulta de la multiplicación del valor del activo con la probabilidad de ocurrencia de la amenaza CRAMM Activo X [1-5] Amenaza Y Vulnerabilidad W Frecuencia Z [1-5] [1-5] Escala [3 a 15] NIST SP 800- 30 Activo X Alto-Medio- Bajo Amenaza Y Vulnerabilidad W Frecuencia Z Alto-Medio- Bajo Alto-Medio-Bajo Alto, medio y bajo Octave Allegro Activo X Busca el riesgo más alto. Es un árbol de decisión Amenaza Y Vulnerabilidad W Frecuencia Z Alto-Medio-Bajo (aunque luego los ordena por un score numérico de 1 a 12) Busca el riesgo más alto es un árbol de decisión
  68. 68. 68 ramirocid.com Comparativa de Metodologías Magerit CRAMM NIST SP 800-30 Octave Nombre de la metodología “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información” “CRAMM: CCTA Risk Assessment and Management Methodology” “Risk Management Guide for Information Technology Systems” “OCTAVE: Operationally Critical Threat, Asset and Vulnerability Evaluation” País que la creo España Reino Unido Estados Unidos Estados Unidos Responsable del Producto Ministerio de Hacienda y Administraciones Públicas ERG que reemplazó a la Office of Government Commerce (OGC) que reemplazó a la CCTA National Institute of Standards and Technology (NIST) CERT Division of the Software Engineering Institute (SEI) y Carnegie Mellon University WebSite https://administracionelectro nica.gob.es/pae_Home/pae_D ocumentacion/pae_Metodolo g/pae_Magerit.html#.Wd4jY2i 0PIV ? (antes www.cramm.com) http://www.csrc.nist.gov/ Publicaciones: https://csrc.nist.gov/publications http://www.cert.org/octave/
  69. 69. 69 ramirocid.com Comparativa de Metodologías Magerit CRAMM NIST SP 800-30 Octave Última Versión V.3.0 (2012) V.5.3 (2003) 800-30 Rev.1 (2012) OCTAVE Allegro v1.0 (2007) Herramienta para aplicar la metodología Gratuitas: PILAR Comerciales: GxSGSI, R-Box, SECITOR Un gran número de herramientas (ejemplo: CRAMM tool, CRAMM express) Según lo investigado, la norma no especifica un producto en concreto para el análisis Según lo investigado, la norma no especifica un producto en concreto para el análisis, habla genéricamente de 'Vulnerability Evaluation Tools' Principales Conceptos Activos, amenazas, vulnerabilidades, impactos, riesgos y salvaguardas Activos, amenazas, vulnerabilidades, riesgos, salvaguardas Amenazas, impactos, vulnerabilidades, riesgos, controles Activos, amenazas, vulnerabilidades, riesgos
  70. 70. 70 ramirocid.com Comparativa de Metodologías Magerit CRAMM NIST SP 800-30 Octave Fases 1- Determinar los activos relevantes para la organización 2- Determinar a que amenazas están expuestos esos activos 3- Determinar las salvaguardas dispuestas 4- Estimar el impacto 5- Estimar el riesgo 1- Establecimiento del alcance (a través de la identificación y valoración de activos) 2- Valoración de las amenazas y vulnerabilidades 3- Selección y recomendación de contramedidas (CRAMM contiene una gran librería de más de 3500 contramedidas organizadas en 70 grupos) 1- Categorización de los controles 2- Selección de los controles (desarrollo o adquisición) 3- Implementación de los activos de seguridad 4- Evaluación de los controles para encontrar las vulnerabilidades 5- Autorización: Evaluación del riesgo para poder tomar decisiones 6- Monitorización: Al hacerlo se obtienen resultados para actualizar la estrategia de gestión de riesgos 1- Establecer Criterios de Medición del Riesgo 2- Desarrollar un perfil de activos de información 3-Identificar contenedores de activos de información 4- Identificar las áreas de preocupación 5- Identificar escenarios de Amenaza 6- Identificar Riesgos 7- Analizar Riesgos 8- Seleccionar el acercamiento a la mitigación
  71. 71. 71 ramirocid.com Comparativa de Metodologías Magerit CRAMM NIST SP 800-30 Octave Principales Rasgos Técnicas específicas para el análisis de riesgos: * Análisis mediante tablas * Análisis algorítmico * Árboles de ataque Técnicas generales: * Técnicas gráficas * Sesiones de trabajo: Entrevistas, reuniones y presentaciones * Valoración Delphi > 400 tipos de activos 38 tipos de amenazas > 25 tipos de impactos 7 medidas de riesgo > 3500 controles Otorga gran importancia a los controles Habla de perfiles claves dentro de la organización respecto a la responsabilidad de la administración del riesgo La ventaja clave que OCTAVE Allegro proporciona una organización es la flexibilidad para implementarlo por partes. Como es de desarrollo progresivo, las organizaciones seleccionan la implementación de porciones que hace que el sentido más comercial de la organización.
  72. 72. 72 ramirocid.com Comparativa de Metodologías Magerit CRAMM NIST SP 800-30 Octave Aplicación * Análisis de riesgos * Gestión del riesgos * Plan Director de Seguridad * Análisis de riesgos * Gestión del riesgos * Plan Director de Seguridad * Análisis de riesgos * Gestión del riesgos * Plan Director de Seguridad * Análisis de riesgos * Gestión del riesgos * Plan Director de Seguridad Coste * No tiene coste, ya que es una normativa de libre aplicación * Plantea un análisis de costo beneficio La versión 4 costaba por año: * Para una compañía comercial: £2800 + £850 al año de mantenimiento * Para agencias y departamentos del estado británico: £1600 + £850 al año de mantenimiento * Habla de coste relacionado con el beneficio, otorgando una condición relativa al coste de un plan director de seguridad, siempre que el coste sea menor al coste del riesgo analizado y solventado, el coste será bajo * Uso Interno: Gratuito * Uso Externo: Se debe comprar la licencia al SEI si se quiere implementar la metodología a un tercero
  73. 73. 73 ramirocid.com Comparativa de Metodologías Magerit CRAMM NIST SP 800-30 Octave Quien lleva a cabo la metodología * Pequeño grupo interdisciplinario conformado por empleados de la misma empresa * Pequeño grupo interdisciplinario conformado por empleados de la misma empresa o agencia estatal * Pequeño grupo interdiciplinario conformado por empleados de la misma empresa * Pequeño grupo interdiciplinario conformado por empleados de la misma empresa Resultado del análisis (outputs) Resultados ordinales y cardinales * Tabla de valoración del riesgo sobre los activos (escala de 1 a 10) * Lista de controles recomendados * Resultados de la documentación * Reporte de análisis de riesgos Fase 1: Activos Críticos, requerimientos críticos para activos críticos, vulnerabilidades de activos críticos, lista de practicas de seguridad actuales, lista de vulnerabilidades actuales de la organización Fase 2: Componentes clave, vulnerabilidades tecnológicas actuales Fase 3: Riesgos de los activos críticos, métricas del riesgo, estrategia de protección, planes de mitigación del riesgo
  74. 74. 74 ramirocid.com Comparativa de Metodologías (ventajas) Magerit CRAMM NIST SP 800-30 Octave Ventajas Ámbito de Aplicación N/A Se puede aplicar a nivel internacional (CRAMM v.5.1 ha sido usado en 23 países) Internacional Internacional Derecho de Utilización Su utilización no requiere autorización previa del Ministerio de Hacienda y Administraciones Públicas N/A N/A Uso interno: Ilimitado Herramienta para aplicar la metodología PILAR. Gratuita pero limitada. Se puede solicitar una versión ampliada Una gran cantidad de herramientas de aplicación de la metodología. N/A N/A Certificación Facilita la certificación: ISO 27001 Facilita la certificación: ISO 27001 Facilita la certificación: ISO 27001 Facilita la certificación: ISO 27001
  75. 75. 75 ramirocid.com Comparativa de Metodologías (desventajas) Magerit CRAMM NIST SP 800-30 Octave Desventajas Ámbito de Aplicación * Solo de puede aplicar en España por lo que no se está certificado internacionalmente * No se puede aplicar en empresas multinacionales que precisen aplicar una única metodología de análisis de riesgo para todos los países N/A N/A N/A Derecho de Utilización N/A * Hay que pagar el costo de la licencia (más allá del costo de la implementación del análisis y del mantenimiento) * Hay que pagar el costo de la licencia (más allá del costo de la implementación del análisis y del mantenimiento) * Uso externo: Limitado al pago de la licencia para su utilización
  76. 76. 76 ramirocid.com Uso de las metodologías Aplicación de negocios: Según un estudio publicado el 26/07/2017 por Wisegate (un servicio de conocimientos de expertos en TI) en el cual se entrevistó a CISO’s sobre el uso de las metodologías de seguridad utilizadas en su organización.
  77. 77. 77 ramirocid.com Otras Metodologías de Análisis de Riesgos Existen otras metodologías de Análisis de Riesgos:  Citicus One  ISO/IEC 27005  Mehari  AS/NZS  COSO  RiskIT (ISACA)  …
  78. 78. 78 ramirocid.com 10. Gestión de Riesgos: Aspectos generales
  79. 79. 79 ramirocid.com 79 ISO 31000:2009 da una lista en orden de preferencia sobre cómo lidiar con el riesgo: 1. Evitando el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo. 2. Aceptando o aumentando el riesgo para poder aprovechar una oportunidad. 3. Eliminando de la fuente de riesgo. Gestión de riesgos. ISO 31000:2009
  80. 80. 80 ramirocid.com 80 ISO 31000:2009 da una lista en orden de preferencia sobre cómo lidiar con el riesgo: 4. Cambiando la probabilidad 5. Cambiando las consecuencias 6. Compartiendo el riesgo con otra parte o partes (incluyendo contratos y financiamiento de riesgo) 7. Reteniendo el riesgo por decisión informada Gestión de riesgos. ISO 31000:2009
  81. 81. 81 ramirocid.com 81 Proceso de gestión de riesgos
  82. 82. 82 ramirocid.com Gestión de riesgos. Ejemplo Resumen. Vulnerabilidad /Impacto y Riesgo intrínseco22.502, 4 5 6 Personal de desarrollo de SW y HW PC's desarrollo PC's hardware PC's entorno de pruebas DIA AÑO EN-003 SI-001 SI-002 SI-003 Nº Código Nombre 50000 10000 10000 2500 1 A1-001 Incendio en oficinas 0,003 50% 0,003 50% 0,003 50% - 13,70 13,70 3,42 30,82 11.249,3 3 A2-001 Avería hardware 0,005 50% 0,005 50% 0,005 50% - 27,40 27,40 6,85 61,65 22.502,2 5 P1-001 Acceso físico a oficinas 0,003 5% 0,003 5% 0,003 5% - 1,37 1,37 0,34 3,08 1.124,2 6 P2-001 Acceso lógico interno a los sistemas 0,005 50% 0,005 50% 0,005 50% - 27,40 27,40 6,85 61,65 22.502,2 8 P5-002 No disponibilidad de personal 0,00274 50% 68,49 - - - 68,49 24.998,8 Riesgo intrínseco anual por activo 24.998,8 € 25.502, € 25.502 € 6.372,9 € --- 82.376,7 €
  83. 83. 83 ramirocid.com Gestión global de Seguridad de un Sistema de Información Fases: Análisis y Gestión de Riesgos Determinar Objetivos y Política de Seguridad Establecer Planificación de Seguridad Implantar Salvaguardas Monitorización y gestión de Cambios en la Seguridad
  84. 84. 84 ramirocid.com Video: Gestión de riesgos: Estándares de Gestión de la Seguridad de la Información https://www.youtube.com/watch?v=vWAV0bdWvtI
  85. 85. 85 ramirocid.com 11. Gestión de Riesgos: Plan Director de Seguridad
  86. 86. 86 ramirocid.com Plan Director de Seguridad. Definición “Un Plan Director de Seguridad es una herramienta con la que cuentan las organizaciones que permite establecer una guía corporativa para una implantación coordinada de las medidas de las medidas de seguridad asociadas a la reducción de riesgos”. (*) El Plan Director de Seguridad (algunas veces por sus siglas PDS) se debe realizar una vez concluido el análisis de riesgo. (*) FUENTE: secureit.es
  87. 87. 87 ramirocid.com Plan Director de Seguridad. Visión muy resumida  Análisis de Riesgo (Problemas encontrados) [A.R.]  Gestión de Riesgos (Propongo soluciones) [G.R.] [A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]
  88. 88. 88 ramirocid.com Plan Director de Seguridad. Aspectos generales Cuando decidimos abordar la ciberseguridad es importante tener una planificación de las actividades a realizar que cuente con el compromiso de la dirección. Este plan va a marcar las prioridades, los responsables y los recursos que se van a emplear para mejorar nuestro nivel seguridad en el mundo digital. A esta planificación la llamaremos PDE. Contendrá los proyectos que vamos a abordar tanto técnicos como de contenido legal y organizativos.
  89. 89. 89 ramirocid.com Plan Director de Seguridad. Aspectos generales Como cada organización tiene sus particularidades, tendremos que calcular nuestro particular nivel de seguridad que será nuestro punto de partida y fijarnos un objetivo de dónde queremos estar. Este objetivo y los proyectos a aplicar siempre tendrán que estar alineados con las estrategias de negocio. Fijaremos el punto de partida evaluando el riesgo que nos afecta y el que podemos tolerar. Para el resto pondremos medidas a través de los proyectos, a nuestro ritmo, pero siempre midiendo el progreso en nuestro Plan Director de Seguridad.
  90. 90. 90 ramirocid.com Plan Director de Seguridad. Fases Existen distintas maneras de desarrollar un Plan Director de Seguridad, en nuestro caso desarrollaremos el recomendado por INCIBE. (*) INCIBE recomienda desarrollar el Plan Director de Seguridad en 6 fases: 1. Conocer la situación actual de la organización. 2. Conocer la estrategia de la organización. 3. Definición de proyectos e iniciativas. 4. Clasificar y priorizar los proyectos a realizar. 5. Aprobar el Plan Director de Seguridad. 6. Puesta en marcha. (*) Instituto Nacional de Ciberseguridad
  91. 91. 91 ramirocid.com Plan Director de Seguridad. Fases Fase 1: Conocer la situación actual de la organización La primera fase consiste en conocer la situación actual de nuestra empresa en materia de ciberseguridad. Para ello debemos llevar a cabo distintos análisis considerando aspectos técnicos, organizativos, regulatorios y normativos, entre otros. Esta es la fase más importante y compleja. Es fundamental contar con el apoyo de la Dirección.
  92. 92. 92 ramirocid.com Plan Director de Seguridad. Fases 1.1 Actividades previas: a. Acotar y establecer el alcance: Es esencial definir claramente el alcance sobre el que vamos a desarrollar. b. Responsables de la gestión de los activos: Definir las responsabilidades sobre los activos de la organización. c. Valoración inicial: Valoración preliminar de la situación actual de la organización para determinar los controles y requisitos que son de aplicación. d. Análisis de cumplimiento: i. Realizar reuniones con el personal de los distintos departamentos. ii. Inspección in-situ de las instalaciones (debido a estándares y normas internacionales). iii. Registrar todos los problemas y evidencias (en relación a los requisitos de seguridad). iv. Analizar los resultados y situar el cumplimiento de cada control en una escala. e. Establecer los objetivos: A cumplir en materia de ciberseguridad de la empresa.
  93. 93. 93 ramirocid.com Plan Director de Seguridad. Fases 1.2 Análisis técnico de seguridad: a. Análisis técnico de seguridad: queda cubierto mediante la valoración del grado de implantación y madurez de los controles más relacionados con los sistemas de información empleados por la organización para almacenar y gestionar su información. 1.3 Análisis de riesgos: Es necesario que realicemos un análisis de riesgos a los que está expuesta nuestra organización. a. Nivel de riesgo aceptable: Tras la identificación de los riesgos debemos establecer y documentar el nivel de riesgo aceptable: el valor umbral que determina los riesgos que deben ser tratados y los riesgos que son asumibles.
  94. 94. 94 ramirocid.com Plan Director de Seguridad. Fases Fase 2: Conocer la estrategia de la organización Esto implica considerar los proyectos en curso y futuros, previsiones de crecimiento, cambios en la organización debido a reorganizaciones, etc. También es importante tener en cuenta si nuestra organización opta por una estrategia de centralización de servicios, por la externalización de los servicios TIC, si forma parte de un grupo empresarial mayor o si va a iniciar la actividad en algún sector distinto del actual que pueda generar requisitos legales adicionales.
  95. 95. 95 ramirocid.com Plan Director de Seguridad. Fases Fase 3: Definición de proyectos e iniciativas A partir de la información recabada hasta este momento, debemos definir las acciones, iniciativas y proyectos necesarios para alcanzar el nivel de seguridad que nuestra organización requiere. 1. En primer lugar se definen las iniciativas dirigidas a mejorar los métodos de trabajo actuales, para que contemplen los controles establecidos por el marco normativo y regulatorio. 2. En segundo lugar, se pone en marcha un conjunto de acciones relacionadas con los controles técnicos y físicos cuya ausencia o insuficiencia hemos detectado. 3. En tercer lugar, definir la estrategia a seguir así como los proyectos más adecuados para gestionar los riesgos por encima de nuestro riesgo aceptable.
  96. 96. 96 ramirocid.com Plan Director de Seguridad. Fases Fase 4: Clasificar y priorizar los proyectos a realizar Una vez identificadas las acciones, iniciativas y proyectos, debemos clasificarlas y priorizarlas. A la hora de clasificar las iniciativas podemos considerar como criterio el origen de las mismas (es decir, derivadas de la evaluación del cumplimiento normativo y regulatorio, análisis técnico o análisis de riesgos); el tipo de acción (técnica, organizativa, regulatoria, etc.). Es conveniente organizar los proyectos atendiendo al esfuerzo que requieren y a su coste temporal. De este modo se establecen proyectos a corto, medio y largo plazo (sin olvidar crear un grupo que reúna aquellos proyectos cuya consecución requiere poco esfuerzo pero su resultado produce mejoras sustanciales en la seguridad (“quick wins”).
  97. 97. 97 ramirocid.com Plan Director de Seguridad. Fases Fase 5: Aprobar el Plan Director de Seguridad La versión preliminar del Plan Director de Seguridad debe ser revisado y aprobado por la Dirección. En casa de que haya que modificar su alcance o duración del Plan Director de Seguridad o incluso la prioridad de algunos proyectos. Si fuera preciso, el proceso de revisión se repetirá cíclicamente hasta disponer de una versión final aprobada formalmente por la Dirección. Una vez disponible la versión final aprobada por la Dirección, es conveniente que ésta traslade a todos los empleados de la organización (siempre remarcando desde dirección el soporte y la importancia a esta iniciativa).
  98. 98. 98 ramirocid.com Plan Director de Seguridad. Fases Fase 6: Puesta en marcha Una vez aprobado por la Dirección, el Plan Director de Seguridad marca el camino a seguir para alcanzar el nivel de seguridad que nuestra organización necesita. Cada organización puede emplear la metodología de gestión de proyectos que considere oportuno para llevarlo a cabo. Para buscar el éxito del proyecto es importante: 1. Al inicio hacer una presentación general del proyecto a las personas implicadas. 2. Asignar responsables y coordinadores (incluso con un comité que supervise). 3. Establecer la periodicidad del seguimiento individual de los proyectos y del PDS 4. Al conseguir los hitos, confirmar los GAPs provenientes de auditorías o de los análisis de riesgos han sido subsanadas.
  99. 99. 99 ramirocid.com https://www.youtube.com/watch?v=WkqLTbf1mEw Video: Plan Director de Seguridad
  100. 100. 100 ramirocid.com Referencias Documentación para ampliar conocimientos: BSI e ISO: 1. Normas BSI: http://www.bsi-global.com/ 2. Web oficial de la ISO: http://www.iso.org/ 3. Wikipedia (ISO 27001): https://es.wikipedia.org/wiki/ISO/IEC_27001 4. Wikipedia (ISO): http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n Metodologías de Análisis de riesgos: 1. Web de AENOR (Asociación Española de Normalización y Certificación): http://www.aenor.es/ 2. Buscador de normas AENOR: http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp 3. Análisis de riesgos en 6 pasos: https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 4. Magerit: Web PAe - CTT - General - MAGERIT versión 3: https://administracionelectronica.gob.es/ctt/magerit 5. NIST SP 800-30: Web oficial de la NIST: http://www.csrc.nist.gov/ 6. NIST SP 800-30: Publicaciones de la NIST: http://www.csrc.nist.gov/publications/ 7. Octave: http://www.cert.org/octave/
  101. 101. 101 ramirocid.com ¿Preguntas? ¡Muchas gracias! Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL ramiro@ramirocid.com @ramirocid http://www.linkedin.com/in/ramirocid http://ramirocid.com http://es.slideshare.net/ramirocid http://www.youtube.com/user/cidramiro

×