Dominio2

Programa Formativo para el EXAMEN CISM

Convocatoria 2005

Dominio 2
Dominio 2
Gestión de Riesgos
Gestión de Riesgos

© Fundación DINTEL DOMINIO 2 – Pág. 1 © Miguel A. Rego Fenández, 2005


Convocatoria 2005

Objeto del Dominio

Definir los elementos que facilitan la
identificación y gestión de los riesgos a los
sistemas de información.


El contenido de este área representa el 21% del examen CISM
(aproximadamente 42 preguntas).

Tareas :

•Desarrollar proceso de gestión de riesgos sistemático, analítico y continuo
•Asegurar que las actividades relacionadas con la identificación, análisis y
gestrión del riesgo se encuentran integradas en el ciclo de vida de los procesos
•Aplicar los métodos de análisis e identificación de riesgos
•Definir estrategías y priorizar acciones para mitigar los riesgos a los niveles que
sean aceptables por la compañía.


Convocatoria 2005

Objetivos de análisis y gestión de riesgos:
Identificar los riesgos que afectan a un sistema.
Recomendar y desarrollar medidas técnicas
que prevengan, impidan o controlen los riesgos
identificados.
Auditar el grado de seguridad del sistema y
adaptar los mecanismos de control según
avancen las técnicas o se descubran nuevos
riesgos.


La identificación y evaluación del riesgo conlleva:

•La identificación de la amenaza real
•Las posibles consecuencias de la realización de la amenaza
•La frecuencia probable de ocurrencia de la amenaza
•La posibilidad de que esa amenaza se lleve a cabo.

Se han diseñado diversas metodologías, que bajo distintas formulaciones
y procesos, ayudan a aportar cierto grado de certeza en la respuesta a
estas cuestiones.


Convocatoria 2005

Necesidad de metodología
Amplio rango de amenazas
El nivel de amenaza es difícil de identificar
Las vulnerabilidades son difíciles de
identificar
Amplio abanico de soluciones de seguridad
para diferentes negocios y entornos técnicos
Se necesita un balance entre aspectos
técnicos, físicos y procedimentales.


Beneficios de la utilización de una metodología en el Análisis de Riesgos
•Consistencia
•Flexibilidad
•Rigor
•Auditabilidad

•Existen herramientas de soporte:
•Magerit, CRAMM, RA,..etc
•Se debe conocer sus ventajas e
inconvenientes
•Transparencia en su ejecución


Convocatoria 2005

Beneficios
Facilita la justificación de inversiones en seguridad:
Ratio coste-valor para seguridad
Determina el R.O.I. en seguridad
Ratio impacto-coste en seguridad
Identifica los elementos mas críticos para el negocio
y permite una inversión proporcional en seguridad.
Identifica los elementos mas vulnerables de la
organización.


Uno de los objetivos de un análisis de riesgos es cuantificar el impacto de
las amenazas potenciales poniendo un precio al valor o al coste de la
perdida de funcionalidad del negocio.
Los dos principales resultados de un AR (la identificación de los riesgos y
la justificación coste/beneficio de las contramedidas) son de vital
importancia para la creación de una estrategia de mitigación (gestión ) del
riesgo.
Hay muchas ventajas derivadas de la realización de un AR:
•Se crea un ratio coste-valor para los elementos de protección
•Ayuda a focalizar la seguridad en los recursos mas importantes o mas
necesarios.
•Puede influir en la toma de decisiones relacionada con la elección de los
emplazamientos en que se ubicarán los sistemas de información que
soportan los procesos de negocio.


Convocatoria 2005

Beneficios

Cuantifica las beneficios que aporta cada
control en cada activo.
Sirve como base para el desarrollo de los
Planes de Seguridad.
Sirve como base para la elaboración de los
Planes de Continuidad del Negocio.


La identificación del nivel de riesgo es importante para una adecuada
selección de controles y salvaguardas de seguridad. El riesgo es una
función de la probabilidad de que un determinada amenaza, a través de
una determinada vulnerabilidad, provoque un evento (impacto) que afecta
al normal funcionamiento de la organización. Esta circunstancia puede
llevar a consecuencias no deseadas que afectan a la vida, a la salud, a
las propiedades o al entorno.


Convocatoria 2005

Preparación del Proyecto

Recabar el apoyo de la dirección
Seleccionar el equipo de trabajo
Establecer el alcance del AR
Identificar los actores a entrevistar


•Apoyo de la dirección
•Este es el elemento mas crítico, si la alta dirección no soporta el
proceso el proyecto este no concluirá con resultados fiables.
•Selección del equipo de trabajo
•El equipo será responsable del desarrollo del proyecto y de
analizar la información obtenida. Los miembros del equipo deben
tener conocimientos, experiencia y habilidades suficientes.
•Establecer adecuadamente el alcance
•Se deberán incluir las áreas operacionales mas importantes, pero
el alcance no debe ser demasiado grande. Si es demasiado
extenso el equipo del proyecto tendrá dificultades para poder
analizar toda la información. Si el ámbito de estudio es reducido,
los resultados obtenidos podrían no ser significativos.
•Identificar los actores
•Serán aquellos miembros de la organización a los que será
necesario entrevistar para facilitar la valoración de los activos, su
interrelación, y la evaluación de los impactos.


Convocatoria 2005

Obtención de Información

Cuestionarios
Entrevistas On-site
Revisión de la documentación
Herramientas automáticas de escaneo


Obtención de información:

Cuestionarios: Para la recogida de información relevante, el personal del
equipo de análisis de riesgos puede desarrollar cuestionarios que
permitan extraer información sobre como se han diseñado, implantado y
se están operando los controles que se están utilizando en los Sistemas
de Información. Los cuestionarios se utilizarán durante las visitas on-site y
las entrevistas.
Entrevistas On-site: Permiten la recogida de información útil sobre los
sistemas de información. Las visitan también permiten la observación y
recogida de información sobre los aspectos de seguridad relacionados
con el control de acceso físico, el entorno, y las practicas operacionales.
En sistemas que se encuentren en la fase de diseño posibilita de
evaluación del entorno físico en el que el sistema IT operará.
Revisión de la documentación: Las políticas, documentación del
sistema y la documentación relacionada con la seguridad del sistema
pueden aportar información relacionada con los controles de seguridad
previstos y los que realmente son usados. El análisis de impactos y la
valoración de activos aportará información relacionada con la criticidad y
sensibilidad de los datos.
Herramientas automáticas de escaneo: Pueden utilizarse para recoger
información de manera eficiente.


Convocatoria 2005

GESTIÓN DE LA SEGURIDAD

Política
Política
Análisis
Análisis Requisitos
Requisitos de
de
Principios
Principios de
de Legales
Legales Seguridad
Seguridad
y Objetivos
y Objetivos Riesgos
Riesgos Contractuales
Contractuales de la
de la
Información
Información

Seguridad
Seguridad


Requisitos y principios del negocio
Cumplimiento de las políticas y normas de seguridad
de la empresa
Cumplimiento de los estándares del sector
Outsourcing y contratos con terceros

Requisitos legales y contractuales
1. Protección de datos personales y privacidad
2. Derechos de Propiedad intelectual y Copyright
3. Prevención del mal uso del equipamiento de
tratamiento de la información
4. Regulación sobre criptografía
5. Contratos


Convocatoria 2005

PROCESO DE GESTIÓN DE SEGURIDAD
Política de
Política de Aspectos
Aspectos
Seguridad TI
Seguridad TI Organizativos
Organizativos

Análisis yyGestión
Análisis Gestión
de Riesgos
de Riesgos

Implantación
Implantación
Salvaguardas
Salvaguardas

Seguimiento
Seguimiento


Es un proceso continuo, que debe adaptarse a la situación cambiante de la
organización. El escenario de riesgos se modifica con la actividad de la
organización.


Convocatoria 2005

Fijar GESTIÓN DE LA
objetivos SEGURIDAD
Evaluar riesgos
Requisitos legales
Principios Definir
controles
Políticas
Organización
Tecnología Implantar controles


¿Cómo alcanzar un nivel de seguridad aceptable?

Implantando un conjunto de controles: políticas, prácticas, procedimientos, estructuras organizativas y medidas técnicas

Los controles deben establecerse para asegurar que se cumplen los objetivos específicos de seguridad (objetivos de

control) de la Organización.

La identificación de los controles que deben instalarse requiere una planificación cuidadosa. Son más baratos y

eficaces si se incorporan en las fases tempranas de diseño del sistema.

Fuentes para establecer los requisitos de Seguridad:

•la valoración de los riesgos de la Organización. Con ella se identifican las amenazas a los activos, se evalúa la vulnerabilidad y la

posibilidad de su ocurrencia y se estima su impacto potencial.

•los requerimientos legales, estatutarios y contractuales que debe satisfacer la Organización, sus socios comerciales, los

contratistas y los proveedores de servicios.

•los principios, objetivos y requerimientos para el proceso de la información que soportan las operaciones de la Organización.


Convocatoria 2005

El Análisis de Riesgos
El Análisis de Riesgos



Convocatoria 2005

1-Análisis de Riesgo

¿QUE RIESGO?

¿COMO
REDUCIRLO?

2-Gestión del Riesgo

Plan de Plan de
Continuidad Seguridad



Convocatoria 2005

4 sub-procesos

1-Identificación/valoración
de activos

2-Análisis 3-Análisis
Amenazas Vulnerabilidades

4-Identificación y valoración de Riesgos

Riesgos Asumibles Riesgos No Asumibles


Al final de este proceso se obtendrá, para activo, una valoración del nivel de
riesgo que tiene asociado. En función de que la Alta Dirección considere, o no,
ese nivel aceptable, se alcanzaría un “riesgo asumible” o bien (si el riesgo no
fuera asumible) habría que entrar en un proceso de gestión de riesgos.


Convocatoria 2005

Fases (NIST)

1. Identificar y valorar los activos, identificar las
dependencias

2. Identificar las de amenazas.

3. Identificar las vulnerabilidades.

4. Identificar controles ya implantados riesgo.



Convocatoria 2005

Fases (NIST)

5. Determinar la probabilidad.

6. Analizar los impactos

7. Determinar el nivel de riesgo .

8. Recomendar controles

9. Documentar.



Convocatoria 2005

Paso 1: Identificar y Valorar Activos

El resultado de esta fase será:
Identificar los activos que deberán ser evaluados
Visión completa del entorno IT
Definición de los límites del sistemas
Valorar los activos
Establecer sus relaciones.


El primer paso es delimitar el alcance, identificar los limites del S.I. y los
recursos y la información que comprende.

La definición de los límites permiten identificar las autoridades:
Operacionales
Acreditación
y delimitar el entorno:
hardware
software
conectividad

La proliferación de activos oscurece la interpretación del análisis:

•Solo incluir los activos que soportan un riesgo apreciable
•No se trata de modelar el universo al completo si no solo los activos de
peso, los significativos
•Si hay muchos elementos equivalentes es mejor tratarlos como colectivo
(portátiles)


Convocatoria 2005

Activos
Recursos del sistema, o relacionados con éste,
necesarios para que la Organización funcione
correctamente según los objetivos marcados por la
Dirección:
Entorno
Sistema de Información
Información
Procesos de la Organización
Otros activos


Un activo de información es un “Servicio de Negocio”:
Un conjunto de Información
Datos
Aplicación
Equipo(s)
Servicio(s)
Soporte(s)
Persona(s)
Agrupado de forma lógica
Modelo, Estructura, Relaciones
Negocio


Convocatoria 2005

AGRUPACIÓN
AGRUPACIÓN Dependencia
DE ACTIVOS
DE ACTIVOS
Información
Información

Según Jerarquía Sistema
Sistema
Efecto Edificación
Edificación

Virus Ordenadores
Virus Ordenadores
Según Amenaza ••PC1
PC1
••PC2
PC2
••Servidor
Servidor

Edificaciones
Control Edificaciones
Control ••Edificio1
Edificio1
accesos Edificio2
accesos ••Edificio2
Según Salvaguarda
••Despacho
Despacho

Los activos se encuentran interrelacionados entre sí de forma jerárquica, de modo
que el fallo o disfunción en uno puedo afectar a otros.
Es imprescindible identificar y establecer el mapa de relaciones entre activos para
que el resultado del análisis de riesgos represente el mapa de riesgos real.

Para cada proceso de negocio:
Tipo de información:
•Ordenador X con software Y
•Habitación Z en el edificio U
•Gente del grupo W


Convocatoria 2005

Dependencias
Activos
Entorno
Físico
Datos

Software
Hardware
Aplicación
Sistemas

Servicios de Redes de
infraestructura Comunicaciones

Empleados


Las relaciones de dependencias viene dada por la correlación entre los diferentes
activos.

Valor acumulado=
•Valor propio+Valor de los activos que dependen del activo
•Ponderado en función del grado de dependencia

Debe incluir:
Coste del activo
Coste del daño (en termino de negocio)
Coste de la recuperación

Debido a la dificultad de calculo (objetividad):
Definir y elegir una escala de valoración
Valores Tangibles (€) o Intangibles

VALORACIÓN DE
VALORACIÓN DE
ACTIVOS
ACTIVOS

Valoración estado Valoración intrínseca
de Seguridad del del Activo:
Activo (CID) Cualitativo: Valor de uso
Cuantitativo: Valor de
cambio


La valoración cuantitativa asigna valores numéricos a los activos y a las perdidas
potenciales.

Cuando todos los elementos (activo, impacto, frecuencia de la amenaza,
efectividad de las salvaguardas, costes de las salvaguardas y probabilidad ) son
medidos y valorados el proceso se considerado “completamente cuantitativo”.
Los resultados se expresan en términos económicos (euros).
Un análisis de riesgos completamente cuantitativo no es posible porque en el
proceso de elaboración siempre existen decisiones que deben basarse en
estimaciones cualitativas.

La diferencia entre el AR cualitativo y cuantitativo estriba en que el AR
cuantitativo utiliza valores numéricos (por ejemplo en euros) al valorar los
diferentes componentes del análisis de riesgos y de las perdidas potenciales,
mientras el AR cualitativo utiliza valores intangibles.

En la valoración cualitativa la importancia de las amenazas y la sensibilidad
relativa de los activos permiten asignarles un valoración gradual, un ranking de
importancia. La consecuencia es una valoración subjetiva con parámetros tales
como “alto”, “medio” o “bajo”, o una escala de 0 a 5.


Convocatoria 2005

Paso 2: Identificación de Amenazas
Amenazas: eventos que pueden desencadenar un incidente
en la Organización, produciendo daños materiales o pérdidas
inmateriales en sus activos.
La consecuencia de la materialización de una amenaza es
un incidente que modifica el estado de seguridad de los
activos.
Amenaza

Activo Activo
Estado i Estado f


El objetivo identificar las amenazas potenciales que pueden afectar al sistema de
información que está siendo evaluado.
Es importante considerar todas las amenazas potenciales que podrían dañar al
Sistema y a su entorno de procesamiento.

Por ejemplo, aunque una amenaza de inundación producida por causas naturales
pudiera no afectar a un determinado sistema, que se encuentra ubicado en un
emplazamiento en alto (una colina), por la baja probabilidad que se produzca ese
evento, existe la posibilidad de que por causas accidentales se produzca una
rotura en una tubería contra incendios, provocando daños a recursos y activos del
sistema.


Convocatoria 2005

AMENAZAS
Desastres Naturales Organización

• Incendio • Falta de políticas
• Inundación • Procedimientos inadecuados
• Terremotos

Tecnología Personas
• Averías en el hardware • Huelgas
• Fallos del software • Fraudes
• Líneas de comunicación • Sabotajes
• Fallos en las instalaciones • Errores y negligencias


No existe una forma única de clasificar amenazas.
Algunos criterios se basan en clasificarlas:
•Por grupos de activos
•Por impacto
•Por el agente causante.
•Por la propia naturaleza de la amenaza

Amenazas naturales: Inundaciones, terremotos, tornados,
deslizamientos de tierra, avalanchas, tormentas eléctricas, y otros.
Amenazas Humanas : Eventos que pueden ser propiciados o
producidos por los seres humanos pudiendo ser intencionados (ataques
remotos en red, carga de software malicioso, acceso no autorizado a
información confidencial) o no intencionados (entrada errores de datos,
errores en la operación)
Amenazas del Entorno: Fallos de alimentación eléctrica, polución, etc.


Convocatoria 2005

Valoración de amenazas
Las amenazas se valoran por su efecto
sobre los activos afectados
Frecuencia de ocurrencia
Degradación
Elaboración de árboles de ataques:
Conjunción de desastres para que se
de una amenaza: AND
Amenaza provocada por diversas vías:
OR


Factores que afectan a la probabilidad de la materialización de una
amenaza:

•Experiencia previa
•Tendencias generales
•Motivación ( ataques deliberados)
•Condiciones de trabajo (amenazas deliberadas e intencionales )

Frecuencia de ocurrencia:
•Cuantas veces sucede (ARO)
Degradación:
•Daño causado
•Porcentaje del valor del activo que costará devolverlo al estado previo.


Convocatoria 2005

Paso 3: Identificación vulnerabilidades
La Vulnerabilidad de un Activo es la posibilidad
(≠ probabilidad) de ocurrencia de la materialización de una
Amenaza sobre el Activo.
Amenaza

Vulnerabilidad

Activo Agresión


El análisis de amenazas que afectan a un sistema debe incluir el análisis de las
vulnerabilidades asociadas con el entorno del sistema. El objetivo de es
desarrollar una lista de las vulnerabilidades del sistema (defectos o debilidades)
que pueden ser explotadas por las fuentes de amenazas potenciales.


Convocatoria 2005


Pruebas de Seguridad en el Sistema
Herramientas de análisis de vulnerabilidades
Evaluación y Pruebas de Seguridad (Security
Test and Evaluation-ST&E)
Tests de Penetración


Pruebas de Seguridad
Métodos proactivos que pueden ser utilizados para identificar de forma eficiente las
vulnerabilidades. Se pueden realizar de forma recurrente en función de la criticidad del sistema y
de la disponibilidad de recursos.
Estas pruebas pueden ser:
•Herramientas de análisis de vulnerabilidades: Se emplean típicamente para
escanear un grupo de hosts, o de redes, en busca de vulnerabilidades en los
servicios (por ejemplo el sistema permite realizar FTP anónimos, o reencamina
sendmail). Alguna de las vulnerabilidades potenciales que se hayan localizado
podrían no representar vulnerabilidades reales en el contexto de funcionamiento
del sistema, produciendo lo que se conoce como “falsos positivos”.
•Evaluación y Pruebas de Seguridad (ST&E) ST&E es otra técnica que puede
ser utilizada por identificar vulnerabilidades en el sistema durante el proceso de
análisis de riesgos. Incluyen el desarrollo y la ejecución de planes de prueba. El
objetivo es verificar la efectividad de los controles de seguridad de un sistema
dentro de un entorno de explotación determinado, asegurando que los controles
aplicados cumplen las políticas de la organización y reúnen los estándares de la
industria.
•Tests de Penetración Se usan para complementar las revisiones de los
controles con objeto de determinar si los sistemas son seguros siguiendo una
aproximación similar a la que seguida por usuarios externos. Con estas pruebas
se puede evaluar el sistema desde el punto de vista del origen o fuente de las
amenazas, determinando el grado de dificultad real que supondría la
materialización de una amenaza.


Convocatoria 2005


Desarrollo de listas de comprobación de
requisitos de seguridad
Gestión
Operaciones
Áreas Técnicas


Desarrollo de listas de comprobación de requisitos de seguridad

Una lista de comprobación de seguridad contiene los elementos y parámetros
básicos que deben ser usados para identificar vulnerabilidades en los activos, en
los procedimientos manuales, en los procesos, y en las transferencias de
información que afectan a un sistema dentro de las áreas de:

•Gestión
•Operaciones
•Técnicas

Se determinará si los requisitos de seguridad establecidos para el sistema durante
la fase de diseño se están alcanzando por los actuales controles de seguridad, o
por los que están planificados.

El resultado de esta fase será la obtención de una lista de vulnerabilidades del
sistema relacionadas con las potenciales amenazas que pudieran hacer uso de
ellas.


Convocatoria 2005

Paso 4: Análisis de Controles

El objetivo es analizar los controles
implantados, o previstos, y la forma en que
actúan minimizando o eliminando la
probabilidad de ocurrencias de amenazas
sobre las vulnerabilidades detectadas.


Controles
Los controles de seguridad pueden apoyarse en métodos técnicos o no técnicos.
Los controles técnicos son salvaguardas que se incorporan en el hardware, software, o firmware
(por ejemplo, mecanismos de control de acceso, de identificación, de autenticación, métodos de
cifrado, software de detección de intrusos).
Los controles no técnicos son controles operacionales, o de gestión, tales como: políticas de
seguridad, procedimientos operacionales, procedimientos de seguridad física, de las personas o
del entorno.

Clasificación de los Controles
Controles Preventivos. Inhiben los intentos de violar la política de seguridad. Incluyen controles de
control de acceso, cifrado y autenticación.
Controles Detectivos. Notifican las violaciones, o los intentos de violación de la política de
seguridad. Están comprendidos en este apartados los métodos de detección de intrusos y las
pistas de auditoria.
La implantación de los controles durante el proceso de Gestión de Riesgos es el resultado de la
identificación de deficiencias en los controles actuales o planificados (por ejemplo, controles que
no se han activados o no se han implantado correctamente)
El desarrollo de un lista de comprobación de seguridad facilitará que el análisis de los controles se
realice de forma sistemática y eficiente. Esta lista puede ser empleada para validar el
cumplimiento o no cumplimiento, por lo que debe estar actualizada reflejando los cambios que se
hayan producido en el entorno de controles (por ejemplo, cambios en la política de seguridad,
métodos y requisitos).
Como resultado de esta fase se debe obtener una lista de de los controles que realmente están
siendo utilizados en la organización.


Convocatoria 2005

Paso 5: Determinación de la Probabilidad

Cálculo de la probabilidad de que una
vulnerabilidad potencial pueda ser utilizada
por una amenaza.


Se deberán considerar los siguientes factores:
•Capacidad y nivel de motivación de la fuente de amenaza
•Naturaleza de la vulnerabilidad
•Existencia y efectividad de los controles actuales

La probabilidad de que una vulnerabilidad potencial pueda ser aprovechada por
una fuente de amenazas determinada puede ser descrita cualitativamente como
alta, media o baja.


Convocatoria 2005

Paso 6: Análisis del Impacto

Impacto es la consecuencia sobre un
Activo de la materialización de una
Amenaza. Activo
Amenaza
Estado i

Agresión
Impacto

Activo
Estado f

Para hacer un análisis del impacto es necesario obtener los siguientes datos:
•Misión del sistema (por ejemplo, los procesos asociados con el sistema
de información)
•Criticidad del sistema y de los datos (por ejemplo, el valor o importancia
del sistema para la organización)
Ej.: Interrupción del servicio, responsabilidades legales, pérdida económica, y de
imagen


Convocatoria 2005

Estimación Potencial de Perdidas

Para estimar las perdidas potenciales
incurridas por una amenaza se debe valorar
los activos mediante cualquiera de las
técnicas de valoración posibles.
Este proceso da como resultado la
posibilidad de asignar a cada activo un valor
financiero para el calculo del EF y el SLE.



Convocatoria 2005

EF

Exposure factor (EF) representa el
porcentaje de perdida que una amenaza
provocará sobre un activo concreto.
Es necesario para el cálculo del Single Loss
Expectancy (SLE), que es necesario para el
cálculo del Annualized Loss Expectancy
(ALE).


EF puede dar un valor, en porcentaje, pequeño como podría ser el efecto de la
perdida de un elemento hardware específico, o podría dar una valor de porcentaje
alto como la perdida catastrófica de todos los recursos de computación de un
CPD.


Convocatoria 2005

SLE

Single Loss Expectancy (SLE) es la
valoración económica expresa en dólares
(euros) que se asigna a un determinado
evento.Representa la perdida originada por
ese evento.
Se calcula a partir de la fórmula:

SLE= Asset Value ($) × Exposure Factor (EF)


Por ejemplo, un activo valorado en $100,000 sometido a un factor de
exposición EF del 30 por ciento tendría un SLE de $30,000.
Aunque este valor es calculado para identificar el Annualized Loss
Expectancy (ALE), podría ser también utilizado para calcular el impacto
producido por un evento en los cálculos realizados para obtener un
Business Impact Assessment (BIA).


Convocatoria 2005

ARO

Annualized Rate of Occurrence (ARO)
representa la frecuencia estimada por el que
que puede ocurrir una amenaza.
Este parámetro solo considera la posibilidad
de que suceda el evento, no tiene en cuenta
las perdidas que se puedan originar como
consecuencia.


Por ejemplo, el hecho de que una meteorito dañe el Centro de Proceso de
Datos es de una vez cada 100,000 años, el ARO será de 0.00001.
A su vez 100 accesos al sistema, se estima que al menos seis
constituirán intentos de acceso no autorizados, siendo el valor del ARO
de 600.


Convocatoria 2005

ALE

Annualized Loss Expectancy (ALE) es un
valor económico expresado en dólares
(euros) calculado a partir de la formula:

ALE = Single Loss Expectancy (SLE) ×
Annualized Rate of Occurrence (ARO)



Convocatoria 2005

Paso 7: Determinación del Riesgo

Activo
Activo Amenaza
Amenaza
Tien sa
e Cau Frecuencia de
Afectado materialización
Impacto
Impacto Vulnerabilidad
Vulnerabilidad

Contribuye

Riesgo
Riesgo


Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o
en toda la Organización.

El Riesgo calculado es un indicador ligado a los valores calculados de la Vulnerabilidad y el
Impacto, ambos derivados de la relación entre el Activo y la Amenaza a las que el Riesgo
calculado se refiere.

El objetivo de este paso es determinar el valor de riesgo del sistema.
La determinación del riesgo asociada a una determinada amenaza/vulnerabilidad puede ser
expresada en función de los siguientes factores:

•La probabilidad de que una fuente de amenaza actúe sobre una determinada
vulnerabilidad
•La magnitud del impacto producido por una amenaza a través de una vulnerabilidad
•La eficiencia de los controles planeados o existentes para reducir o eliminar un riesgo
determinado.

Con objeto de hacer una valoración del nivel de riesgo es necesario desarrollar una escala, o una
matriz, de niveles de riesgo.
Las determinación final del riesgo se obtendrá mediante el producto de la probabilidad de una
amenaza por el calculo del impacto o perdida producida.


Convocatoria 2005

Tipos:
Riesgo calculado intrínseco:
se define o calcula antes de aplicar salvaguardas.
Riesgo calculado efectivo:
se define o calcula después de aplicar salvaguardas.
Umbral de riesgo:
valor establecido como base para decidir por
comparación si el Riesgo calculado es asumible o
aceptable.
Riesgo calculado residual:
el que finalmente es asumido.



Convocatoria 2005

Métodos de Valoración

METODOS: Matricial, Sumando, Multiplicando
Quien y como se valora (describir y entender las
variables, escalas y métodos)
No se busca un Valor ABSOLUTO, sino un valor
RELATIVO para poder clasificar y priorizar los
actuaciones
Nivel de SEGURIDAD a asegurar
Independiente de los resultados, reflexionar sobre:
Casos donde un Riesgo pueda resultar
infravalorado


Existen varios métodos de calculo del valor de los riesgos:
Riesgo = Función de Vact,Vame,Vul y del impacto en la
Confidencialidad, Integridad y Disponibilidad
Vac =Valor Activo ( Escala)
Impacto, Daño, Recuperación: Cualitativo, Cuantitativo
Vame= Nivel de la Amenaza (Escala)
Probabilidad para ocurrir
Vvul = Nivel de la Vulnerabilidad (Escala)
Facilidad en ser explotada por una amenaza

METODOS: Matricial, Sumando, Multiplicando
Quien y como se valora (describir y entender las variables,
escalas y métodos)
No se busca un Valor ABSOLUTO, sino un valor RELATIVO
para poder clasificar y priorizar los actuaciones
Nivel de SEGURIDAD a asegurar
Independiente de los resultados, reflexionar sobre:
Casos donde un Riesgo pueda resultar infravalorado!


Convocatoria 2005

Definición de escalas
Definición de escalas:
De forma clara, evitando ambigüedades
Completa
No sujeto a subjetividad
Sin decimales ( o valores intermedios)

Probabilidad ¿Definición ¿Definición Mala?
buena?

Alto 2 +2 veces al Muchas veces
año
Medio 1 1 vez al año Pocas veces

Bajo 0 Improbable Raras veces



Convocatoria 2005

Método: Matriz sencilla
Valor del Riesgo: de 0 a 4

Nivel Amenaza Bajo Alto

Nivel Bajo Alto Bajo Alto
Vulnerabilidad

Valor Bajo 0 1 2 3
Activo
Alto 1 2 3 4



Convocatoria 2005

Método: Matriz normal
Nivel Amenaza
Bajo Medio Alto
Nivel
Vulnerabilidad B M A B M A B M A
Valor 0 0 1 2 1 2 3 2 3 4
Activo
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8



Convocatoria 2005

Método: Por orden y medición del riesgo

Amenaza Impacto Probabilidad Medición Orden
Ocurrencia Riesgo

Ame. A 5 2 10 2

Ame. B 2 4 8 3

Ame. C 3 5 15 1

Ame. D 1 3 3 5

Ame. E 4 1 4 4

Ame. F 2 4 8 3



Convocatoria 2005

La Gestión de Riesgos
La Gestión de Riesgos



Convocatoria 2005

3 sub-procesos
Riesgos Riesgos
Gestión del Riesgo
asumibles NO asumibles

1-Reducción del riesgo

Riesgos Riesgos Negocio Legal
Residuales
Requisitos de Seguridad

2-Identificación y selección Controles
de controles Actuales

3-Aceptación del Riesgo residual



Convocatoria 2005

Reducción del riesgo

1-Evitar el riesgo

2-Transferir el riesgo

3-Reducir el riesgo

4-Asumir el riesgo


La forma de abordar el riesgo para su reducción depende de:
•Política de Seguridad
•Entorno y circunstancias del negocio
•Estado de la tecnología
•Definición del objetivo del control


Convocatoria 2005

Impacto
Vulnerabilidad

Riesgo
Riesgo
Reduce Reduce
Decisión

Curativo Control
Control Preventivo



Convocatoria 2005

Depende Depende
Activo
Activo Amenaza
Amenaza
Tien sa
e Cau Frecuencia de
Afectado materialización
Impacto
Vulnerabilidad

Contribuye

Riesgo
Riesgo
Reduce Reduce

Función/Servicio
Función/Servicio
Curativa
Curativa Preventiva
Preventiva
Protegido
Mecanismo
Mecanismo



Convocatoria 2005

CONTROLES

Control:
Cualquier actividad para prevenir o corregir
errores o irregularidades que pueden afectar al
funcionamiento de un S.I.
Completos
Simples
Fiables
Revisables
Rentables
Adecuados


•Controles en aplicaciones
•Entrada de Datos
•Tratamiento de Datos
•Salida de Datos
•Controles específicos de ciertas tecnologías
•Sistemas de Gestión de Bases de Datos
•Informática distribuida
•Ordenadores Personales
•Redes de Área Local


Convocatoria 2005

CONTROLES
Controles generales organizativos
Políticas
Planes
Controles de desarrollo, adquisición y
mantenimiento.
Metodología del ciclo de vida de desarrollo
Explotación y Mantenimiento
Controles de Explotación
Planificación y gestión de recursos
Uso efectivo de los recursos
Seguridad Física y Lógica


Identificar y seleccionar los controles
Identificar los requerimientos de Seguridad
las 3 fuentes de requerimientos
Empresariales
Reducción de riesgos
Legales
Identificar y seleccionar los controles de seguridad que aplican y
sus objetivos
Manual, automatizado, herramientas, etc...
MEDIDAS DE SEGURIDAD


Convocatoria 2005

CONTROLES
Control Características Ejemplos
Impedir problemas antes de que Empleo de personal cualificado
ocurran Segregación de funciones
Visualizar entradas y operaciones Control de accesos a las áreas de riesgo
Preventivos Procurar predecir potenciales Uso de documentos bien diseñados
problemas antes de que ocurran Procesos adecuados de autorización de las
Evitar errores, omisiones y actos transacciones
maliciosos Control informatizado de accesos al sistema
Detectan cuando se ha producido un Totales de control (hash totals)
error, una omisión o un acto indebido, e Puntos de control en tareas de producción.
informan de ello (Check points)
Detectivos Control de eco en las telecomunicaciones
Control duplicado de los cálculos
Funciones de auditoría interna
Minimizan el impacto de una amenaza Planes de contingencia
Remedian problemas identificados Procedimientos de copias de seguridad
mediante un control detectivo
Identifican la causa de un problema Procesos de re-ejecución (re-run)
Correctivos Corrigen errores surgidos como
consecuencia de un problema
Modifican los sistemas de proceso para
evitar futuras repeticiones del mismo
problema
© FAST



Convocatoria 2005

CONTROLES

Interrelación de controles:
Compensatorios
Solapados



Convocatoria 2005

Paso 8: Recomendación de Controles

El objetivo es reducir el nivel de riesgo hasta un nivel
aceptable.
Los siguientes factores deben considerarse al
recomendar controles para minimizar o eliminar
riesgos identificados:
Eficiencia de las opciones recomendadas (por ejemplo,
compatibilidad con el sistema)
Adecuación con la legislación y las normas de
aplicación.
La política organizativa
El impacto en la operación
Fiabilidad y seguridad


Las recomendación de controles es el resultado del proceso de valoración
de riesgos y constituye el punto de partida para el proceso de mitigación.
Durante ese proceso los controles se seguridad técnicos o
procedimentales son evaluados, priorizados e implantados.

No todos los controles pueden ser implantados para reducir el riesgo de
perdidas. Para seleccionar que controles van a ser realmente implantados
es necesario realizar una análisis coste /beneficio de forma que se
demuestre como el coste de un determinado control aporta beneficios en
relación a la reducción de riesgo que proporciona. Adicionalmente se
debería valorar el impacto operacional (el efecto sobre el rendimiento en
el sistema) y la viabilidad (los requisitos técnicos y el grado de aceptación
por los usuarios).

El resultado de este paso será una lista de controles recomendados de
reducción de riesgos.


Convocatoria 2005

Criterios de Selección

Objetivo:
Identificar los controles de seguridad
más adecuados para el negocio

Factores
Coste y esfuerzo
Disponibilidad tecnológica
Implementación y mantenimiento
Política de gestión del riesgo
¿Nivel de certificación UNE requerido?
Restricciones
Uso o mejora de los Controles existentes
Geografía, Infraestructura


El factor mas importante, entre los criterios de selección de controles, es el de eficiencia, calculado mediante un
proceso de análisis beneficio/coste.

Para determinar el coste total de las salvaguardas se necesitan considerar los siguientes aspectos:
•Los costes de adquisición, desarrollo o licenciamiento de la salvaguarda
•Los costes de instalación, y los derivados de las pruebas o de la interrupción del funcionamiento
normal del sistema durante estos procesos.
•Los costes de mantenimiento, o reparación, y de operación

La forma más sencilla de calcular el beneficio/coste de un control determinado sería:

Valor de la salvaguarda para la organización = (ALE antes de la implantación de la salvaguarda) - (ALE
después de la implantación de la salvaguarda) - (coste anual de la salvaguarda)

Por ejemplo si se ha determinado el ALE de una amenaza en $10,000, el ALE después de la
salvaguarda en $1,000, y el coste anual derivado de la operación de la salvaguarda en $500,
entonces el valor anual de la salvaguarda será de $8,500 anuales.

Esta cantidad se comparará contra los costes de instalación para determinar los benéficos o falta de
beneficios en relación con los costes.
Además de este valor calculado, estrictamente económico, es necesario tener en cuenta otros
factores al tomar la decisión sobre la implantación o no de un control. Por ejemplo los derivados del
incumplimiento un precepto legal.

Convocatoria 2005

RTOs para los Recursos

Se debe fijar cuales son los objetivos de
recuperación (Recovery Time Objective) como
paso previo a establecer una estrategía de
mitigación de riesgos.
Las necesidades del negocio y sus prioridades
son las que en cada caso fijarán el RTO


Determinación de los RTOs

Se deben establecer los objetivos de tiempo de recuperación (RTO) como parte
del proceso de evaluación y gestión del riesgo.

Las necesidades y objetivos del negocio deben ser los que fijen, en cada caso, el
valor el RTO, que puede ser definido como el máximo periodo de tiempo que un
determinado recurso puede permanecer no disponible.
La criticidad de los recursos, las prioridades en la recuperación, y las distintas
interdependencias entre dichos recursos, son parámetros que deben estudiarse y
establecerse como paso previo al establecimiento del RTO.

Convocatoria 2005

RTOs para los Recursos

Para el calculo del RTO se deben
considerar los siguientes sensibilidades:
Responsables que en su trabajo
utilicen un determinado recurso
de información.
Alta dirección


Los requisitos de disponibilidad se pueden basar en las necesidades de los
clientes, las expectativas de servicios, los acuerdos de nivel de servicio y los
cumplimientos legales.

A través del proceso de análisis de riesgos se ha determinado la criticidad de
determinados recursos de información y ahora es necesario incluir una
evaluación de RTO en cada uno de los procesos en que se soporta la
organización.
Existen dos perspectivas que deben ser consideradas:
•La primera es la perspectiva de que aquellos personas en cuyo trabajo habitual
deben utilizar la información.
•El otro punto de vista es el de la dirección de la organización.

Convocatoria 2005

RTO – Business Continuity Planning

Los RTOs son necesarios para desarrollar
estrategías de recuperación ante incidentes.
En general cuanto mas pequeño sea el
RTOs mayor será el coste de los
procedimientos de recuperación.
Se puede reducir el RTOs, pero existe un
coste significativo asociado


La determinación del RTO es necesaria para que una organización pueda
desarrollar e implantar un programa eficiente de continuidad del negocio. Una
vez establecido el RTO se podrán identificar y desarrollar estrategias de
contingencia que serán conformes a los requisitos de tiempo de recuperación de
los recursos.

Un factor crítico de este proceso es el coste del proceso de contingencia.
Generalmente cuanto mas corto sea el RTO mas costoso será el procedimiento
de contingencia asociado.
El coste de la recuperación será, por lo tanto, mas barato cuanto mayor sea el
RTO asociado a un recurso.

Existe un punto de ruptura en esta aproximación, cuando el impacto de una
interrupción sea mayor que el coste de recuperación. .


Convocatoria 2005

Nivel de Seguridad
Criterio para identificar los
riesgos que no pueden ser
aceptados por la organización
(Política de Seguridad)
3 características a definir:
Confidencialidad
Integridad
Disponibilidad de los Activos
Riesgo NO Aceptable
Objetivo:
Poder medir el nivel actual de seguridad
Criterio para priorizar las actuaciones
Valor Impacto/Activo ¡Los Recursos no son ilimitados!

Crítico
Severo
Nivel de Seguridad
Leve

Riesgo Aceptable
Conf. Integr. Disp.



Convocatoria 2005

Definición del Nivel de Seguridad

Nivel de Nivel Amenaza
Bajo Medio Alto
riesgo no
aceptable : Nivel
B M A B M A B M A
Vulnerabilidad
>=5
Valor 0 0 1 2 1 2 3 2 3 4
Activo
1 1 2 3 2 3 4 3 4 5

2 2 3 4 3 4 5 4 5 6

3 3 4 5 4 5 6 5 6 7

4 4 5 6 5 6 7 6 7 8



Convocatoria 2005

Aceptación del riesgo residual
Identificar el riesgo residual
después de la implementación del control
Identificado, reconocido y aceptado
Aceptable vs NO Aceptable

¿Por qué?:
Imposibilidad material y financiera de tener 100% de
seguridad
Un activo por el alto coste de los posibles controles o
el poco riesgo, se puede dejar “descubierto”
Si el riesgo es No aceptable, que presupuesto de
control se necesita para llegar a “Aceptable”



Convocatoria 2005

Paso 9: Documentación de Resultados

Una vez finalizado el análisis de riesgos (se
han identificado las fuentes de amenazas y
vulnerabilidades, se han valorado los riegos y
se han recomendado controles) los
resultados deben documentarse mediante un
informe .


Un informe del análisis de riesgos es un informe que ayuda a la dirección
de la compañía a tomar decisiones que afectan y pueden modificar la
política de seguridad, los procedimientos y los presupuestos e
inversiones.
A diferencia se los informes de auditoria que reflejan aspectos relativos a
“lo que está mal hecho”, el informe de análisis de riesgos no debería
presentarse con un estilo “acusatorio” sino con una una aproximación
analítica de forma que la dirección pueda comprender el nivel de riesgos
existente y como asignar recursos para reducir las perdidas potenciales
que pudiera suceder.

Convocatoria 2005

Which of the following is a key drawback
in the use of quantitative risk analysis?

A. It applies numeric measurements to qualitative
elements.
B. It attempts to assign numeric values to
exposures of assets.
C. It is based on a criticality analysis of information
assets.
D. It produces the results in numeric (percentage,
probability) form.


Suggested Answer: A

Convocatoria 2005

Acceptable risk is usually:

A. subjectively determined.
B. objectively determined.
C. less than residual risk.
D. based on loss expectancy.


Suggested answer: A

Convocatoria 2005

The cost of mitigating a risk should not
exceed the:

A. annual loss expectancy.
B. value of the physical asset.
C. expected benefit to be derived.
D. cost to the perpetrator to exploit the
weakness.


Suggested answer: C

Convocatoria 2005

Which of the following is the BEST
source for developing recovery time
objectives (RTO)?

A. Industry averages
B. Tape restore statistics
C. Business impact analysis
D. Previous recovery test results


Suggested answer: C

Convocatoria 2005

In providing risk reporting to management,
the MOST appropriate vehicle for the initial
reporting of a major security incident
would be to include it in a:

A. quarterly report.
B. special report.
C. monthly report.
D. weekly report.


Suggested answer: B


Convocatoria 2005

Lecturas Recomendadas

MAGERIT 1.0 Ministerio de Administraciones
Publicas
NIST SP 800-30 Risk Management Guide for
Information Technology Systems
ISO/IEC 13335-UNE 71501
Managing Information Security Risk- The
OCTAVE Approach- Alberts & Dorofee-
Editorial Addison Wesley



Convocatoria 2005

Lecturas Recomendadas

Justifiying Investment in Security, by Kamal Parmar,
Control vol 4 2003
Risk-aware Decision Making form New IT
Investments, by Georges Ataya Control vol 2 2003
Risk Assesment Tools By Tari Scherider
¿What is your Risk Appetite? The RISK IT Model, By
Shirley Booker, Control vol 2 2004
Managing the Risks of Outsourcing, by Nick
Benbenuto & David Brand, Control vol 5 2005


Dominio2

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Dominio2

Similar a Dominio2 (20)

Más de 1 2d

Más de 1 2d (20)

Último

Último (20)

Dominio2