You are on page 1of 68

Anlisis de Riesgos

Anlisis de Riesgos

Ramiro Cid | @ramirocid

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

ndice
1. Anlisis de riesgos: Primer acercamiento 2. Activos 3. Amenazas 4. Vulnerabilidades 5. Impacto 6. Gestin de Riesgos 7. Clculo del Riesgo 8. Comparativa de metodologas de anlisis de riesgos Pg. 3 Pg. 22 Pg. 28 Pg. 41 Pg. 43 Pg. 47 Pg. 55 Pg. 62

2
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Anlisis de Riesgos

Anlisis de riesgos: Primer acercamiento

Corresponde al proceso de identificar los riesgos, desde el punto de vista de la seguridad, determinando su magnitud e identificando las reas que requieren medidas de salvaguarda.

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Gestin global de Seguridad de un Sistema de Informacin

Fases:
Anlisis y Gestin de Riesgos Determinar Objetivos y Poltica de Seguridad

Establecer Planificacin de Seguridad

Implantar Salvaguardas Monitorizacin y gestin de Cambios en la Seguridad

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Qu es un Anlisis de Riesgos?

Documento donde se describe, para su posterior anlisis y ayuda a la toma de decisiones... qu hay en el sistema? qu amenazas le afectan?
qu hay que hacer para no verse afectado por ellas?

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Plan Director de Seguridad


Anlisis de Riesgo (Problemas encontrados) [A.R.] Gestin de Riesgos (Propongo soluciones) [G.R.]

[A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Resumen del procedimiento de anlisis

Identificacin y valoracin de activos Anlisis de Riesgos Valoracin de amenazas y vulnerabilidades

Gestin del riesgo

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Evaluacin de riesgos y gastos Gestin del riesgo: Proceso de equilibrar el coste de proteccin con el coste de exposicin.
Seguridad

Riesgos

Decisiones:
Coste de Equilibrio

Aceptarlo Asignacin a terceros Evitarlo


Nivel de Seguridad

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Por qu realizarlo?

Permite identificar los riesgos de la seguridad de la informacin que podran afectar en el desarrollo de las actividades de negocio Facilita la correcta seleccin de las medidas de seguridad a implantar Creacin de los plantes de contingencias en previsin de las amenazas detectadas Necesario en el diseo, implantacin y certificacin de un SGSI (es el primer paso en la implementacin de un SGSI)

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Tipos de Anlisis Hay dos tipos de anlisis de riesgos segn las cosas que tienen en cuenta:
Intrnseco es aquel que se realiza sin tener en cuenta aquellas contramedidas que ya se estn aplicando.
Da como resultado el Riesgo Intrnseco

Residual es aquel que se realiza teniendo en cuenta las contramedidas ya aplicadas.


Da como resultado el Riesgo Residual

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Elementos del Anlisis Activos: Los activos son todos aquellos elementos que forman parte del Sistema de Informacin. Amenazas: Las amenazas son todas aquellas cosas que le pueden suceder a los activos que se salen de la normalidad. Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por las amenazas para daar a un activo (son los agujeros de seguridad). Impacto: Consecuencia de la materializacin de una amenaza sobre un activo

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Elementos del Anlisis (continuacin) Controles: Son todos aquellos mecanismos que permiten reducir las vulnerabilidades de los sistemas. Riesgos: Son el resultado del anlisis de riesgo. El riesgo es una ponderacin del valor del activo, la probabilidad que suceda una amenaza y el impacto que tendra sobre el sistema.

Riesgo = Valor Activo + Probabilidad + Impacto

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Relaciones

Amenazas
Protegen contra

Aprovechan las Incrementan

Vulnerabilidades
Exponen

Incrementan

Controles

Riesgos

Activos

Generan

Poseen Generan Incrementan

Requerimientos de Seguridad

Valor de los activos e impactos potenciales

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Algunas Conclusiones

Lo que se pretende en la Gestin de riesgos es reducir la probabilidad y/o el impacto. La amenaza no se puede reducir, lo que se intenta es eliminar la vulnerabilidad para que con esto la probabilidad de ocurrencia de la amenaza disminuya o sino se trata de que el impacto en caso de ocurrencia sea menor Una buena prctica utilizada para empresas grandes es aplicar primero NIST para filtrar los riesgos altos, luego se realiza sobre estos Magerit o CRAMM sobre estos

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Metodologas (I): MAGERIT

Es una metodologa de Anlisis y Gestin del Riesgos de los sistemas de informacin desarrolladas por el Ministerio de Administraciones Pblicas. Solo se aplica en el mbito espaol.

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Fases de MAGERIT

Toma de datos. Procesos de la Informacin Establecimiento impactos

Dimensionamiento. Establecimiento de Parmetros Establecimiento vulnerabilidades

Anlisis activos Y salvaguardas

Anlisis de amenazas

Anlisis Riesgo Intrnseco

Influencia de salvaguardas Evaluacin de riesgos

Anlisis Riesgos efectivo

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Toma de datos y procesos de la informacin

Objetivos:

Definir el rea de aplicacin del estudio (alcance) y el objetivo final del anlisis de riesgos. Tener una visin global del proceso de informacin en la organizacin. Establecer el grado de anlisis en unidades homogneas en todo el alcance (granularidad)

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Establecimiento de parmetros Parmetros para valorar los activos y salvaguardas: Se debe asignar una valoracin econmica a los activos.
Valoracin real: valor que tiene para la empresa la reposicin del activo en las condiciones anteriores a la accin de la amenaza Valoracin estimada: medida subjetiva de la empresa que, considerando la importancia del activo, le asigna un valor econmico.
Valoracin Muy Alto Alto Medio Bajo Muy bajo Rango Valor > 200.000 100.000< valor > 200.000 50.000< valor > 100.000 10.000< valor > 50.000 < 10.000 Valor 300.000 150.000 75.000 30.000 10.000

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Establecimiento de parmetros Para la estimacin de la vulnerabilidad, hay que estimar la frecuencia de ocurrencia de las amenazas en una escala de tiempos.

Vulnerabilidad Extrema Frecuencia Alta Frecuencia Frecuencia media Baja Frecuencia Muy baja Frecuencia

Rango 1 vez al da 1 vez cada 2 semanas 1 vez cada 2 meses 1 vez cada 6 meses 1 vez al ao

Valor 0,997 0,071 0,016 0,005 0,003

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Establecimiento de parmetros Parmetros para la estimacin del impacto, hay que estimar el grado de dao producido por la amenaza en los activos

Impacto Muy alto Alto Medio Bajo Muy bajo

Valor 99% 75% 50% 20% 5%

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Establecimiento de parmetros Parmetros para estimar la influencia de las salvaguardas: disminuyen el riesgo calculado (probabilidad o impacto)

Variacin impacto/vulnerabilidad Muy alto Alto Medio Bajo Muy Bajo

Valor 95% 75% 50% 30% 10%

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Definicin de activos

Los activos son todos aquellos elementos que forman parte del Sistema de Informacin.

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Deteccin y Clasificacin de activos

Activos fsicos: Hardware Los activos fsicos son aquellas cosas que forman parte de la empresa como material de ayuda a desempear una actividad. Ejemplo: Ordenador, Impresora, ... Activos lgicos: Software Los activos lgicos son aquellos programas o datos que forman parte del conocimiento de la empresa para desempear la actividad. Ejemplo: BD, Intranet Corporativa, ...

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Deteccin y Clasificacin de activos

Personal: Roles del Sistema


Los roles del personal relacionados con la seguridad, son todas aquellas responsabilidades que hay que asumir en cuanto a la seguridad del sistema.
Forum de seguridad Responsable de seguridad Operador de Copia de Seguridad ...

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Deteccin y Clasificacin de activos

Entorno
Aire Acondicionado Sistema Elctrico instalaciones adicionales

Imagen Corporativa
La fiabilidad, y la imagen de la empresa son uno de los activos ms importantes a la hora que los clientes depositen en ella su confianza.

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Deteccin y Clasificacin de activos Se clasifican segn su:

Confidencialidad (libre, restringida, protegida, confidencial, etc.) Autenticacin (baja, normal, alta, crtica) Integridad (bajo, normal, alto, crtico) Disponibilidad (menos de una hora, menos de un da, menos de una semana, ms de una semana)

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Valoracin de activos VALORACIN: Coste TOTAL que tendra para la empresa su prdida:
Valor de reposicin Valor de configuracin, puesta a punto, etc. Valor de uso del activo Valor de prdida de oportunidad

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Definicin de amenazas

Las amenazas son todas aquellas cosas que le pueden suceder a los activos que se salen de la normalidad

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Tipo de amenazas
Las amenazas normalmente dependen del negocio de la empresa y del tipo de sistema que se quiere proteger

Ejemplos:
Empresa de desarrollo de sistemas ISP Colegio Profesional Universidad

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Listado de amenazas

Accidentes Errores Amenazas Intencionales Presenciales Amenazas Intencionales Remotas

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Amenazas - Accidentes
Accidente fsico
Incendio, explosin, inundacin por roturas, emisiones radioelctricas, etc.

Avera
De origen fsico o lgico, debida a un defecto de origen o durante el funcionamiento del sistema.

Interrupcin de Servicios esenciales


Energa Agua Telecomunicacin

Accidente mecnico o electromagntico:


Choque Cada Radiacin

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Listado de amenazas

Accidentes Errores Amenazas Intencionales Presenciales Amenazas Intencionales Remotas

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Amenazas - Errores Errores de utilizacin del sistema, provocados por un mal uso, ya sea intencionado o no Errores de diseo conceptuales que puedan llevar a un problema de seguridad Errores de desarrollo derivados de la implementacin de alguna aplicacin o de la implantacin de un sistema en produccin

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Amenazas - Errores

Errores de actualizacin o parcheado de sistemas y aplicaciones Monitorizacin inadecuada Errores de compatibilidad entre aplicaciones o libreras Errores inesperados
Virus Otros ?

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Listado de amenazas

Accidentes Errores Amenazas Intencionales Presenciales Amenazas Intencionales Remotas

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Amenazas Intencionales Presenciales

Acceso fsico no autorizado


Destruccin o sustraccin

Acceso lgico no autorizado


Intercepcin pasiva de la informacin Sustraccin y/o alteracin de la informacin en trnsito

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Amenazas Intencionales Presenciales

Indisponibilidad de recursos
Humanos: motivos de huelga, abandono, enfermedad, baja temporal, etc Tcnicos: desvo del uso del sistema, bloqueo, etc

Filtracin de datos a terceros: apropiacin indebida de datos, particularmente importante cuando los datos son de carcter personal (LOPD)

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Listado de amenazas

Accidentes Errores Amenazas Intencionales Presenciales Amenazas Intencionales Remotas

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Amenazas Intencionales Remotas Acceso lgico no autorizado


Acceso de un tercero no autorizado explotando una vulnerabilidad del sistema para utilizarlo en su beneficio.

Suplantacin del origen


Intercepcin de una comunicacin escuchando y/o falseando los datos intercambiados

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Amenazas Intencionales Remotas

Gusanos
Virus que utilizan las capacidades de servidores y clientes de internet para transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las variantes.

Denegacin de servicio
Contra el ancho de banda: Consumir todo el ancho de banda de la mquina que se quiere aislar Contra los recursos fsicos del sistema: Consumir toda la memoria y los recursos que la mquina utiliza para ofrecer su servicio

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Definicin de vulnerabilidad

Debilidad o agujero en la organizacin de la seguridad Una vulnerabilidad en si misma no produce daos. Es un condicionante para que una amenaza afecte a un activo!

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Vulnerabilidades El cruce de un activo sobre el que puede materializar una amenaza, da lugar a una vulnerabilidad

Activo 01 - Servidor

Amenaza Fallo del sistema elctrico Acceso lgico no autorizado

Vulnerabilidad Dependiente de la corriente Accesibilidad al sistema

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Definicin de impacto

Es la consecuencia de que una amenaza se materialice sobre un activo

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Valoracin de Impactos Identificacin de impactos:


Como el resultado de la agresin de una amenaza sobre un activo El efecto sobre cada activo para poder agrupar los impactos en cadena segn la relacin de activos El valor econmico representativo de las prdidas producidas en cada activo Las prdidas pueden ser cuantitativas o cualitativas

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Accin de las salvaguardas Se analiza el efecto de las salvaguardas sobre los impactos y/o las vulnerabilidades Preventivas:
Disminuyen la vulnerabilidad Nueva vulnerabilidad= (Vulnerabilidad+% disminucin vulnerabilidad)

Curativas:
Disminuyen el impacto Nuevo impacto= (Impacto+disminucin impacto)

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Evaluacin de riesgos Identifica el coste anual que supone la combinacin de activo, amenaza, vulnerabilidad e impacto.

Riesgo intrnseco
Valor activo * Vulnerabilidad * Impacto

Riesgo efectivo
Valor efectivo * Nueva vulnerabilidad * Nuevo Impacto= Valor activo * (Vulnerabilidad * % Disminucin Vulnerabilidad) * (Impacto * % Disminucin Impacto)= Riesgo intrnseco * % Disminucin Vulnerabilidad * % Disminucin del Impacto

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Gestin de Riesgos Gestionar los riesgos identificados:


Determinar si el riesgo es aceptable
SI: Identificar y aceptar el riesgo residual NO: Decidir sobre la forma de gestionar el riesgo x

Forma de gestionar el riesgo:


Evitarlo: suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad Transferido: cambiar un riesgo por otro: Outsourcing, seguros, etc. Reducirlo: reducir la amenaza, vulnerabilidad, impacto Asumirlo: Detectar y recuperar (Statu quo).

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Gestin de Riesgos

Identificar requisitos de seguridad

Identificar requisitos de seguridad

Hacemos algo?

Eliminar el origen del riesgo, o transferido

Reducimos riesgos?

Proceso de reduccin de nivel de riesgo

Seleccin de controles

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Gestin de riesgos Una vez se tiene decidido que es lo que hay que hacer se elaborar el: PLAN DE ACCIN

Establecer prioridades Plantear un anlisis de coste-beneficio Hacer la seleccin definitiva de controles a implantar Asignar responsabilidades Desarrollar un plan de gestin de riesgos Implantar los controles

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos
4 Personal de desarrollo de SW y HW Resumen. Vulnerabilidad /Impacto y Riesgo intrnseco22.502, N Cdigo Nombre EN-003 50000 SI-001 10000 0,003 Incendio en oficinas 1 A1-001 0,005 Avera hardware 3 A2-001 0,003 Acceso fsico a oficinas 5 P1-001 Acceso lgico interno a los sistemas 6 P2-001 0,00274 No disponibilidad de personal 8 P5-002 Riesgo intrnseco anual por activo 68,49 24.998,8 25.502,

PC's entorno de PC's desarrollo PC's hardware SI-002 10000 50% 0,003 50% 0,003 pruebas SI-003 2500 50% DIA AO

13,70 50% 0,005

13,70 50% 0,005

3,42 50%

30,82

11.249,3

27,40 5% 0,003

27,40 5% 0,003

6,85 5%

61,65

22.502,2

0,005

1,37 50% 0,005

1,37 50% 0,005

0,34 50%

3,08

1.124,2

50%

27,40

27,40

6,85

61,65

22.502,2

25.502

6.372,9

68,49

24.998,8 82.376,7

--ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Anlisis de Riesgos

Metodologas: NIST ST 800-30 Metodologa de origen Americano que se apoya en los siguientes pasos:
Determinacin del sistema Identificacin de vulnerabilidades Identificacin de amenazas Estudio de las salvaguardas Determinacin de la probabilidad Anlisis del impacto Determinacin del Riesgo

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Metodologas: NIST ST 800-30

Probabilidad de la amenaza Alto (1.0) Medio (0.5) Bajo (0.1) Bajo (10) Bajo Bajo Bajo

Impacto Medio (50) Medio Medio Bajo Alto (100) Alto Medio Bajo

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Metodologas: NIST ST 800-30

Nivel de riesgo Alto

Acciones Aplica medidas para controlar el riesgo de forma inmediata Aplica medidas para controlar el riesgo en un periodo de tiempo razonable Analizar si aceptar el riesgo o aplicar medidas de control

Medio

Bajo

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Metodologas: NIST ST 800-30


Probabilidad

Activo

Vulnerabilidad Amenaza

Fuente Natural Humana Entorno

Caracterstica
Confidencialidad Disponibilidad
Integridad

Impacto

Riesgo

Director General Base Datos Cliente

No clusula de exclusividad

Oferta competencia Publicacin de datos privados Cambio contenido Web

X X

0,5

100

Medio

Mala configuracin

0,1

100

Bajo

Imagen

Poltica firewall inadecuada

0,1

100

Bajo

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Clculo del Riesgo

El riesgo es una ponderacin del valor del activo, la probabilidad que suceda y el impacto que tendra sobre el sistema.

Valor (+) probabilidad (+) impacto

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Riesgo

Probabilidad Impacto Valor 1 2 3 4 5 de 3 a 7 de 8 a 10 de 11 a 15

1 1 3 4 5 6 7 2 4 5 6 7 8 3 4 5

2 1 4 5 6 7 8 2 3 4 5

3 1 2 3 4 5 9 10 11 12 13

4 1 2 3 4 9 10 11 12 13 5 10 11 12 13 14

5 1 2 3 4 5 11 12 13 14 15

5 6 7 6 7 8 7 8 9 8 9 10 9 10 11

5 6 7 8 6 7 8 9 7 8 9 10 8 9 10 11 9 10 11 12

5 6 7 8 6 7 8 9 7 8 9 10 8 9 10 11 9 10 11 12

6 7 8 7 8 9 8 9 10 9 10 11 10 11 12

7 8 9 10 8 9 10 11 9 10 11 12 10 11 12 13 11 12 13 14

No es necesario control Control recomendado Control obligatorio

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Ejemplo de Anlisis de riesgos


Internet Explorer (6.0; 5.5; 5.0; 4.01) 3 E02 - Errores de diseo, integracin y explotacin 3 E01 - Errores de utilizacin Susceptible a errores humanos de utilizacin Susceptible a errores humanos en los procesos de diseo, integracin y/o explotacin 3 E04 - Inadecuacin de monitorizacin, trazabilidad, registro del trfico de informacin 3 E07 - Errores de actualizacin Existencia de una falta de revisin de logs, o de un proceso inadecuado de dicha revisin Susceptible de no estar correctamente actualizado 3 AP03 - Acceso lgico no autorizado con alteracin o sustraccin de la informacin, en trnsito o de configuracin Debilidad en el control de acceso lgico al S.O. Uso descuidado de los sistemas por parte de los trabajadores, dejando sus terminales accesibles 3 AT02 - Acceso lgico no autorizado con corrupcin o destruccin de informacin en trnsito o de configuracin 3 AT03 - Acceso lgico no autorizado con modificacin (insercin y/o repeticin) de informacin en trnsito Debilidad en el control de acceso lgico al S.O. Debilidad en el sistema antivirus Debilidad en el control de acceso lgico al S.O. 1 4 3 3 4 3 2 3 4 3 3 2 3 1 3 3 1 1

10

10

7 10

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Ejemplo de Anlisis de riesgos


Clculos tcnicos (de simulacione s 4 E05 - Errores relacionados con la formacin y la concienciacin del personal 4 AP06 - Robo y sabotaje Uso descuidado de la informacin en papel por parte de los trabajadores, dejando informacin confidencial accesible Uso descuidado o inadecuado de los controles de acceso fsico al edificio Posibilidad de enviar informacin a travs del correo electrnico sin ningn control de direcciones, tanto de remitente como de recepcin No est controlada la destruccin de los soportes en los que se guarda la informacin (destructora de papel, borrado seguro de las informaciones, etc.) 4 AT01 - Acceso lgico no autorizado con sustraccin Las informaciones enviadas no viajan encriptadas con los que podra ser posible interceptar y obtener dichas informaciones 4 AT03 - Acceso lgico no autorizado con modificacin de informacin en trnsito Las informaciones enviadas no viajan encriptadas ni firmados con los que podra ser posible interceptar y modificar dichas informaciones
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

E01- Errores de utilizacin

Los empleados comenten errores durante la realizacin de las diferentes tareas que pueden provocar la destruccin o modificacin de las informaciones

11

12

12

11

10

Anlisis de Riesgos

Contramedidas Segn el riesgo

Recomendaciones a la direccin una serie de contramedidas que pueden aplicar a su sistema para paliar el riesgo obtenido, ya sea intrnseco o residual

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Evaluacin de riesgos y gastos

Es necesario conocer su COSTE (anual) / VALOR Es necesario determinar claramente la RESPONSABILIDAD sobre cada activo Es necesario conocer qu AUTORIDAD existe

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

06 Referencias
Documentacin para ampliar conocimientos:
BSI e ISO: 1. Normas BSI: http://www.bsi-global.com 2. Web oficial de la ISO: http://www.iso.org/ 3. Wikipedia (ISO 17799): http://es.wikipedia.org/wiki/ISO/IEC_17799 4. Wikipedia (ISO): http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n Metodologas de Anlisis de riesgos: 1. Web de AENOR (Asociacin Espaola de Normalizacin y Certificacin) http://www.aenor.es/ 2. Buscador de normas AENOR http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp 3. Magerit: Web del Consejo Superior de Administracin Electrnica http://www.csi.map.es/ 4. CRAMM: http://www.cramm.com/ 5. NIST SP 800-30: Web oficial de la Nist: http://www.csrc.nist.gov/index.html 6. NIST SP 800-30: Publicaciones de la Nist: http://www.csrc.nist.gov/publications/nistpubs/ 7. Octave: http://www.cert.org/octave/

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Comparativa de Metodologas Valoracin de los elementos de anlisis:


Activo Valoracion Amenaza Probabilida d que Vulnerabilidad ocurra Impacto Riesgo

Magerit

Valor del Activo X Activo Amenaza Y No lo requiere (medido en )

Valor de la perdida diaria que % del valor del activo que resulta de la multiplicacion Frecuencia se pierde s el impacto se del valor del activo con la Z produce probabilidad de ocurrencia de la amenaza

CRAMM

Activo X

[1-5]

Amenaza Y Vulnerabilidad W

Frecuencia Z [1-5] Frecuencia Z AltoMedio-Bajo

[1-5]

Escala [3 a 15]

NIST SP 800Alto-MedioActivo X Amenaza Y Vulnerabilidad W 30 Bajo

Alto-Medio-Bajo

Alto, medio y bajo

Octave

Busca el riesgo ms Frecuencia Activo X alto es un Amenaza Y Vulnerabilidad W Z rbol de desicin

Busca el riesgo ms alto es un rbol de desicin

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Comparativa de Metodologas:
Puntos a Destacar Pas que la creo Magerit Espaa CRAMM Reino Unido NIST SP 800-30 Estados Unidos Octave Estados Unidos Software Engineering Institute (SEI) y Carnegie Mellon University (CMU)

Responsable Secretara de Estado para la Administracin Pblica del Producto

Cramm. El cual pertenece a National Institute of Standards and Siemens Technology (NIST)

WebSite

Versiones

Versin 1: http://www.csi.map.es/csi/pg5m http://www.csrc.nist.gov/index.html 22.htm Publicaciones: http://www.cramm.com/ http://www.cert.org/octave/ Versin 2: http://www.csrc.nist.gov/publication http://www.csi.map.es/csi/pg5m s/nistpubs/ 20.htm Versin 1 (1997) Ultima versin: CRAMM NATO OCTAVESM Method Version Publicacin 800-30 (2002) Versin 2 (2006) V5.3 2.0

Herramienta para aplicar la metodologa

Herramientas: * PILAR * CHINCHON

Un gran numero de herramientas de analisis y Segn lo investigado, la norma no especifica un producto en concreto gestin de la informacin resultante de estas (ejemplo: para el analisis CRAMM Express)

Segn lo investigado, la norma no especifica un producto en concreto para el analisis, habla genericamente de 'Vulnerability Evaluation Tools'

Principales Conceptos

Activos, amenazas, vulnerabilidades, impactos, riesgos y salvaguardas

Activos, amenazas, vulnerabilidades, riesgos, salvaguardas (contramedidas)

Amenazas, vulnerabilidades, riesgos, controles

Activos, amenazas, vulnerabilidades, riesgos

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Comparativa de Metodologas:
Puntos a Destacar Magerit CRAMM NIST SP 800-30 Octave

Fases

1- Iniciacin (identificar riesgos es usado 1- Planificacin del Proyecto de Riesgos 1- Identificacin y valoracin de para soportar el desarrollo de los (como consideraciones iniciales para activos (se identifican los activos requerimientos del sistema) arrancar el proyecto de Anlisis y fsicos, software, y los activos de 2- Desarrollo o adquisicin (El sistema IT es 1- Construccin de las vulnerabilidades Gestin de Riesgos) datos que conforman los sistemas de basadas en los activos (visin diseado, expresado y propuesto o 2- Anlisis de riesgos (Se identifican y informacin) organizacional) construido) valoran las diversas entidades, 2- Valoracin de las amenazas y 3- Implementacin (los activos de seguridad 2- Identificacin de las vulnerabilidades obteniendo una evaluacin del riesgo, vulnerabilidades (determinar cul es la del sistema son configurados, habilitados, de la infraestructura (visin tecnolgica) as como una estimacin del umbral de probabilidad de que esos problemas 3- Desarrollo de estrategia de testeados y verificados riesgo deseable) ocurran) seguridad y planes de mitigacin de las 4- Operacin o mantenimiento (las 3- Gestin de riesgos (Se identifican las 3- Seleccin y recomendacin de vulnerabilidades (estrategia y plan de actividades de mantenimiento para la funciones y servicios de salvaguarda contramedidas (CRAMM contiene una reduccin del riesgo son realizadas) desarrollo) reductoras del riesgo) gran librera de ms de 3000 5- Disposicin (las actividades de 4- Seleccin de salvaguardas (plan de contramedidas organizadas en 70 administracin de riesgos son realizadas en implantacin de los mecanismos de grupos) los componentes del sistema) salvaguarda elegidos) * Posee 'Self-Direction'. Una pequeo equipo del personal de la misma organizacin es involucrado en los procesos de implementacin de la metodologa (personal de IT y de otros departamentos) * Creacin de un pequeo equipo interdiciplinario de analisis de la * Otorga gran importancia a los controles informacin * Habla de perfiles claves dentro de la * Acercamiento basado en workshop organizacin respecto a la responsabilidad donde personas de distintos niveles de de la administracin del riesgo la organizacin trabajan para identificar las vulnerabilidades basandose en los activos * Catalogos de la informacin: Catalogos de practicas, Perfil de activos, catalogo de vulnerabilidades * Habla de un balance entre 3 aspectos: Tecnologa, Riesgo Operacional y Prcticas de seguridad

* Habla de anlisis algortmico con 3 modelos: cualitativo, cuantitativo y Principales escalonado Caractersticas * En la versin 2 posee 3 documentos: Catalogo, Metodo y Tecnicas

* > 400 tipos de activos * 38 tipos de amenazas * > 25 tipos de impactos * 7 medidas de riesgo * > 3500 controles

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Comparativa de Metodologas:
Puntos a Destacar Aplicacin Magerit CRAMM NIST SP 800-30 * Analisis de riesgos * Gestin del riesgos * Plan Director de Seguridad Octave * Analisis de riesgos * Gestin del riesgos * Plan Director de Seguridad

* Analisis de riesgos * Analisis de riesgos * Gestin del riesgos * Gestin del riesgos * Plan Director de Seguridad * Plan Director de Seguridad * Pequeo grupo * Pequeo grupo interdiciplinario Quien lleva a interdiciplinario conformado conformado por empleados de la cabo la por empleados de la misma misma empresa metodologa empresa La versin 4 costaba por el ao * No tiene costo, ya que es una 2001: normativa de libre aplicacin * Para una compaa comercial: * Plantea un analisis de costo 2800 + 850 al ao de Costo beneficio, expresa una formula mantenimiento de ROI (Retorno de la * Para agencias y departamentos inversin) del estado britanico: 1600 + 850 al ao de mantenimiento

* Pequeo grupo interdiciplinario * Pequeo grupo interdiciplinario conformado por empleados de la conformado por empleados de misma empresa la misma empresa * Habla de costo relacionado con el beneficio, otorgando una condicin * Uso Interno: Gratuito relativa al costo de un plan director * Uso Externo: Se debe comprar de seguridad, siempre que el costo la licencia al SEI si se quiere sea menor al costo del riesgo implementar la metodologa a un analizado y solventado, el costo tercero ser bajo

Resultado del analisis (outputs)

Resultados ordinales y cardinales

Fase 1: Activos Critivos, requerimientos criticos para activos criticos, vulnerabilidades de activos criticos, lista de practicas de seguridad actuales, lista de vulnerabilidades * Tabla de valorazin del riesgo * Lista de controles recomendados actuales de la organizacin sobre los activos (escala de 1 a * Resultados de la documentacin Fase 2: Componentes clave, 10) vulnerabilidades tecnologicas actuales Fase 3: Riesgos de los activos crticos, metricas del riesgo, estrategia de proteccin, planes de mitigacin del riesgo
ramiro@ramirocid.com Twitter: @ramirocid

ramirocid.com

Anlisis de Riesgos

Comparativa de Metodologas Ventajas:


Puntos a Destacar Ambito de Aplicacin Magerit CRAMM NIST SP 800-30 Octave

N/A

Se puede aplicar a nivel internacional (CRAMM v.5.1 ha Internacional sido usado en 23 pases) N/A N/A

Internacional

Su utilizacin no requiere autorizacin Derecho de previa del Ministerio Ventajas Utilizacin de Administraciones Pblicas

* Uso interno: Ilimitado

Una gran cantidad Herramienta Gratuita pero limitada. de herramientas de N/A N/A para aplicar laSe puede solicitar una aplicacin de la versin ampliada metodologa metodologa. Facilita la Facilitar la Facilita la Facilita la certificacin: ISO certificacin de BS certificacin: certificacin: ISO Certificacin 17999 7799 e ISO 17999 ISO 17999 17999

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Comparativa de Metodologas Desventajas:


Puntos a Destacar Magerit CRAMM NIST SP 800-30 Octave

* Solo de puede aplicar a nivel nacional (slo en Espaa) por lo que no se est certificado internacionalmente Ambito de * No se puede aplicar en Aplicacin empresas multinacionales que precisen aplicar una unica metodologa de analisis de riesgo para todos los pases Desventajas

N/A

N/A

N/A

Derecho de Utilizacin

N/A

* Hay que pagar * Hay que pagar el el costo de la costo de la licencia * Uso externo: licencia (ms alla (ms alla del costo Limitado al pago del costo de la de la de la licencia para implementacin implementacin su utilizacin del analisis y del del analisis y del mantenimiento) mantenimiento)

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

Anlisis de Riesgos

Dudas? preguntas?

Muchas gracias !!

ramirocid.com

ramiro@ramirocid.com

Twitter: @ramirocid

You might also like