Professional Documents
Culture Documents
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ndice
1. Anlisis de riesgos: Primer acercamiento 2. Activos 3. Amenazas 4. Vulnerabilidades 5. Impacto 6. Gestin de Riesgos 7. Clculo del Riesgo 8. Comparativa de metodologas de anlisis de riesgos Pg. 3 Pg. 22 Pg. 28 Pg. 41 Pg. 43 Pg. 47 Pg. 55 Pg. 62
2
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Anlisis de Riesgos
Corresponde al proceso de identificar los riesgos, desde el punto de vista de la seguridad, determinando su magnitud e identificando las reas que requieren medidas de salvaguarda.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Fases:
Anlisis y Gestin de Riesgos Determinar Objetivos y Poltica de Seguridad
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Qu es un Anlisis de Riesgos?
Documento donde se describe, para su posterior anlisis y ayuda a la toma de decisiones... qu hay en el sistema? qu amenazas le afectan?
qu hay que hacer para no verse afectado por ellas?
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Evaluacin de riesgos y gastos Gestin del riesgo: Proceso de equilibrar el coste de proteccin con el coste de exposicin.
Seguridad
Riesgos
Decisiones:
Coste de Equilibrio
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Por qu realizarlo?
Permite identificar los riesgos de la seguridad de la informacin que podran afectar en el desarrollo de las actividades de negocio Facilita la correcta seleccin de las medidas de seguridad a implantar Creacin de los plantes de contingencias en previsin de las amenazas detectadas Necesario en el diseo, implantacin y certificacin de un SGSI (es el primer paso en la implementacin de un SGSI)
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Tipos de Anlisis Hay dos tipos de anlisis de riesgos segn las cosas que tienen en cuenta:
Intrnseco es aquel que se realiza sin tener en cuenta aquellas contramedidas que ya se estn aplicando.
Da como resultado el Riesgo Intrnseco
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Elementos del Anlisis Activos: Los activos son todos aquellos elementos que forman parte del Sistema de Informacin. Amenazas: Las amenazas son todas aquellas cosas que le pueden suceder a los activos que se salen de la normalidad. Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por las amenazas para daar a un activo (son los agujeros de seguridad). Impacto: Consecuencia de la materializacin de una amenaza sobre un activo
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Elementos del Anlisis (continuacin) Controles: Son todos aquellos mecanismos que permiten reducir las vulnerabilidades de los sistemas. Riesgos: Son el resultado del anlisis de riesgo. El riesgo es una ponderacin del valor del activo, la probabilidad que suceda una amenaza y el impacto que tendra sobre el sistema.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Relaciones
Amenazas
Protegen contra
Vulnerabilidades
Exponen
Incrementan
Controles
Riesgos
Activos
Generan
Requerimientos de Seguridad
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Algunas Conclusiones
Lo que se pretende en la Gestin de riesgos es reducir la probabilidad y/o el impacto. La amenaza no se puede reducir, lo que se intenta es eliminar la vulnerabilidad para que con esto la probabilidad de ocurrencia de la amenaza disminuya o sino se trata de que el impacto en caso de ocurrencia sea menor Una buena prctica utilizada para empresas grandes es aplicar primero NIST para filtrar los riesgos altos, luego se realiza sobre estos Magerit o CRAMM sobre estos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Es una metodologa de Anlisis y Gestin del Riesgos de los sistemas de informacin desarrolladas por el Ministerio de Administraciones Pblicas. Solo se aplica en el mbito espaol.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Fases de MAGERIT
Anlisis de amenazas
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Objetivos:
Definir el rea de aplicacin del estudio (alcance) y el objetivo final del anlisis de riesgos. Tener una visin global del proceso de informacin en la organizacin. Establecer el grado de anlisis en unidades homogneas en todo el alcance (granularidad)
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Establecimiento de parmetros Parmetros para valorar los activos y salvaguardas: Se debe asignar una valoracin econmica a los activos.
Valoracin real: valor que tiene para la empresa la reposicin del activo en las condiciones anteriores a la accin de la amenaza Valoracin estimada: medida subjetiva de la empresa que, considerando la importancia del activo, le asigna un valor econmico.
Valoracin Muy Alto Alto Medio Bajo Muy bajo Rango Valor > 200.000 100.000< valor > 200.000 50.000< valor > 100.000 10.000< valor > 50.000 < 10.000 Valor 300.000 150.000 75.000 30.000 10.000
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Establecimiento de parmetros Para la estimacin de la vulnerabilidad, hay que estimar la frecuencia de ocurrencia de las amenazas en una escala de tiempos.
Vulnerabilidad Extrema Frecuencia Alta Frecuencia Frecuencia media Baja Frecuencia Muy baja Frecuencia
Rango 1 vez al da 1 vez cada 2 semanas 1 vez cada 2 meses 1 vez cada 6 meses 1 vez al ao
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Establecimiento de parmetros Parmetros para la estimacin del impacto, hay que estimar el grado de dao producido por la amenaza en los activos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Establecimiento de parmetros Parmetros para estimar la influencia de las salvaguardas: disminuyen el riesgo calculado (probabilidad o impacto)
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Definicin de activos
Los activos son todos aquellos elementos que forman parte del Sistema de Informacin.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Activos fsicos: Hardware Los activos fsicos son aquellas cosas que forman parte de la empresa como material de ayuda a desempear una actividad. Ejemplo: Ordenador, Impresora, ... Activos lgicos: Software Los activos lgicos son aquellos programas o datos que forman parte del conocimiento de la empresa para desempear la actividad. Ejemplo: BD, Intranet Corporativa, ...
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Entorno
Aire Acondicionado Sistema Elctrico instalaciones adicionales
Imagen Corporativa
La fiabilidad, y la imagen de la empresa son uno de los activos ms importantes a la hora que los clientes depositen en ella su confianza.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Confidencialidad (libre, restringida, protegida, confidencial, etc.) Autenticacin (baja, normal, alta, crtica) Integridad (bajo, normal, alto, crtico) Disponibilidad (menos de una hora, menos de un da, menos de una semana, ms de una semana)
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Valoracin de activos VALORACIN: Coste TOTAL que tendra para la empresa su prdida:
Valor de reposicin Valor de configuracin, puesta a punto, etc. Valor de uso del activo Valor de prdida de oportunidad
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Definicin de amenazas
Las amenazas son todas aquellas cosas que le pueden suceder a los activos que se salen de la normalidad
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Tipo de amenazas
Las amenazas normalmente dependen del negocio de la empresa y del tipo de sistema que se quiere proteger
Ejemplos:
Empresa de desarrollo de sistemas ISP Colegio Profesional Universidad
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Listado de amenazas
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Amenazas - Accidentes
Accidente fsico
Incendio, explosin, inundacin por roturas, emisiones radioelctricas, etc.
Avera
De origen fsico o lgico, debida a un defecto de origen o durante el funcionamiento del sistema.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Listado de amenazas
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Amenazas - Errores Errores de utilizacin del sistema, provocados por un mal uso, ya sea intencionado o no Errores de diseo conceptuales que puedan llevar a un problema de seguridad Errores de desarrollo derivados de la implementacin de alguna aplicacin o de la implantacin de un sistema en produccin
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Amenazas - Errores
Errores de actualizacin o parcheado de sistemas y aplicaciones Monitorizacin inadecuada Errores de compatibilidad entre aplicaciones o libreras Errores inesperados
Virus Otros ?
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Listado de amenazas
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Indisponibilidad de recursos
Humanos: motivos de huelga, abandono, enfermedad, baja temporal, etc Tcnicos: desvo del uso del sistema, bloqueo, etc
Filtracin de datos a terceros: apropiacin indebida de datos, particularmente importante cuando los datos son de carcter personal (LOPD)
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Listado de amenazas
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Gusanos
Virus que utilizan las capacidades de servidores y clientes de internet para transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las variantes.
Denegacin de servicio
Contra el ancho de banda: Consumir todo el ancho de banda de la mquina que se quiere aislar Contra los recursos fsicos del sistema: Consumir toda la memoria y los recursos que la mquina utiliza para ofrecer su servicio
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Definicin de vulnerabilidad
Debilidad o agujero en la organizacin de la seguridad Una vulnerabilidad en si misma no produce daos. Es un condicionante para que una amenaza afecte a un activo!
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Vulnerabilidades El cruce de un activo sobre el que puede materializar una amenaza, da lugar a una vulnerabilidad
Activo 01 - Servidor
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Definicin de impacto
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Accin de las salvaguardas Se analiza el efecto de las salvaguardas sobre los impactos y/o las vulnerabilidades Preventivas:
Disminuyen la vulnerabilidad Nueva vulnerabilidad= (Vulnerabilidad+% disminucin vulnerabilidad)
Curativas:
Disminuyen el impacto Nuevo impacto= (Impacto+disminucin impacto)
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Evaluacin de riesgos Identifica el coste anual que supone la combinacin de activo, amenaza, vulnerabilidad e impacto.
Riesgo intrnseco
Valor activo * Vulnerabilidad * Impacto
Riesgo efectivo
Valor efectivo * Nueva vulnerabilidad * Nuevo Impacto= Valor activo * (Vulnerabilidad * % Disminucin Vulnerabilidad) * (Impacto * % Disminucin Impacto)= Riesgo intrnseco * % Disminucin Vulnerabilidad * % Disminucin del Impacto
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Gestin de Riesgos
Hacemos algo?
Reducimos riesgos?
Seleccin de controles
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Gestin de riesgos Una vez se tiene decidido que es lo que hay que hacer se elaborar el: PLAN DE ACCIN
Establecer prioridades Plantear un anlisis de coste-beneficio Hacer la seleccin definitiva de controles a implantar Asignar responsabilidades Desarrollar un plan de gestin de riesgos Implantar los controles
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
4 Personal de desarrollo de SW y HW Resumen. Vulnerabilidad /Impacto y Riesgo intrnseco22.502, N Cdigo Nombre EN-003 50000 SI-001 10000 0,003 Incendio en oficinas 1 A1-001 0,005 Avera hardware 3 A2-001 0,003 Acceso fsico a oficinas 5 P1-001 Acceso lgico interno a los sistemas 6 P2-001 0,00274 No disponibilidad de personal 8 P5-002 Riesgo intrnseco anual por activo 68,49 24.998,8 25.502,
PC's entorno de PC's desarrollo PC's hardware SI-002 10000 50% 0,003 50% 0,003 pruebas SI-003 2500 50% DIA AO
3,42 50%
30,82
11.249,3
27,40 5% 0,003
27,40 5% 0,003
6,85 5%
61,65
22.502,2
0,005
0,34 50%
3,08
1.124,2
50%
27,40
27,40
6,85
61,65
22.502,2
25.502
6.372,9
68,49
24.998,8 82.376,7
Anlisis de Riesgos
Metodologas: NIST ST 800-30 Metodologa de origen Americano que se apoya en los siguientes pasos:
Determinacin del sistema Identificacin de vulnerabilidades Identificacin de amenazas Estudio de las salvaguardas Determinacin de la probabilidad Anlisis del impacto Determinacin del Riesgo
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Probabilidad de la amenaza Alto (1.0) Medio (0.5) Bajo (0.1) Bajo (10) Bajo Bajo Bajo
Impacto Medio (50) Medio Medio Bajo Alto (100) Alto Medio Bajo
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Acciones Aplica medidas para controlar el riesgo de forma inmediata Aplica medidas para controlar el riesgo en un periodo de tiempo razonable Analizar si aceptar el riesgo o aplicar medidas de control
Medio
Bajo
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Activo
Vulnerabilidad Amenaza
Caracterstica
Confidencialidad Disponibilidad
Integridad
Impacto
Riesgo
No clusula de exclusividad
X X
0,5
100
Medio
Mala configuracin
0,1
100
Bajo
Imagen
0,1
100
Bajo
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
El riesgo es una ponderacin del valor del activo, la probabilidad que suceda y el impacto que tendra sobre el sistema.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Riesgo
1 1 3 4 5 6 7 2 4 5 6 7 8 3 4 5
2 1 4 5 6 7 8 2 3 4 5
3 1 2 3 4 5 9 10 11 12 13
4 1 2 3 4 9 10 11 12 13 5 10 11 12 13 14
5 1 2 3 4 5 11 12 13 14 15
5 6 7 6 7 8 7 8 9 8 9 10 9 10 11
5 6 7 8 6 7 8 9 7 8 9 10 8 9 10 11 9 10 11 12
5 6 7 8 6 7 8 9 7 8 9 10 8 9 10 11 9 10 11 12
6 7 8 7 8 9 8 9 10 9 10 11 10 11 12
7 8 9 10 8 9 10 11 9 10 11 12 10 11 12 13 11 12 13 14
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
10
10
7 10
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Los empleados comenten errores durante la realizacin de las diferentes tareas que pueden provocar la destruccin o modificacin de las informaciones
11
12
12
11
10
Anlisis de Riesgos
Recomendaciones a la direccin una serie de contramedidas que pueden aplicar a su sistema para paliar el riesgo obtenido, ya sea intrnseco o residual
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Es necesario conocer su COSTE (anual) / VALOR Es necesario determinar claramente la RESPONSABILIDAD sobre cada activo Es necesario conocer qu AUTORIDAD existe
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
06 Referencias
Documentacin para ampliar conocimientos:
BSI e ISO: 1. Normas BSI: http://www.bsi-global.com 2. Web oficial de la ISO: http://www.iso.org/ 3. Wikipedia (ISO 17799): http://es.wikipedia.org/wiki/ISO/IEC_17799 4. Wikipedia (ISO): http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n Metodologas de Anlisis de riesgos: 1. Web de AENOR (Asociacin Espaola de Normalizacin y Certificacin) http://www.aenor.es/ 2. Buscador de normas AENOR http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp 3. Magerit: Web del Consejo Superior de Administracin Electrnica http://www.csi.map.es/ 4. CRAMM: http://www.cramm.com/ 5. NIST SP 800-30: Web oficial de la Nist: http://www.csrc.nist.gov/index.html 6. NIST SP 800-30: Publicaciones de la Nist: http://www.csrc.nist.gov/publications/nistpubs/ 7. Octave: http://www.cert.org/octave/
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Magerit
Valor de la perdida diaria que % del valor del activo que resulta de la multiplicacion Frecuencia se pierde s el impacto se del valor del activo con la Z produce probabilidad de ocurrencia de la amenaza
CRAMM
Activo X
[1-5]
Amenaza Y Vulnerabilidad W
[1-5]
Escala [3 a 15]
Alto-Medio-Bajo
Octave
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Comparativa de Metodologas:
Puntos a Destacar Pas que la creo Magerit Espaa CRAMM Reino Unido NIST SP 800-30 Estados Unidos Octave Estados Unidos Software Engineering Institute (SEI) y Carnegie Mellon University (CMU)
Cramm. El cual pertenece a National Institute of Standards and Siemens Technology (NIST)
WebSite
Versiones
Versin 1: http://www.csi.map.es/csi/pg5m http://www.csrc.nist.gov/index.html 22.htm Publicaciones: http://www.cramm.com/ http://www.cert.org/octave/ Versin 2: http://www.csrc.nist.gov/publication http://www.csi.map.es/csi/pg5m s/nistpubs/ 20.htm Versin 1 (1997) Ultima versin: CRAMM NATO OCTAVESM Method Version Publicacin 800-30 (2002) Versin 2 (2006) V5.3 2.0
Un gran numero de herramientas de analisis y Segn lo investigado, la norma no especifica un producto en concreto gestin de la informacin resultante de estas (ejemplo: para el analisis CRAMM Express)
Segn lo investigado, la norma no especifica un producto en concreto para el analisis, habla genericamente de 'Vulnerability Evaluation Tools'
Principales Conceptos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Comparativa de Metodologas:
Puntos a Destacar Magerit CRAMM NIST SP 800-30 Octave
Fases
1- Iniciacin (identificar riesgos es usado 1- Planificacin del Proyecto de Riesgos 1- Identificacin y valoracin de para soportar el desarrollo de los (como consideraciones iniciales para activos (se identifican los activos requerimientos del sistema) arrancar el proyecto de Anlisis y fsicos, software, y los activos de 2- Desarrollo o adquisicin (El sistema IT es 1- Construccin de las vulnerabilidades Gestin de Riesgos) datos que conforman los sistemas de basadas en los activos (visin diseado, expresado y propuesto o 2- Anlisis de riesgos (Se identifican y informacin) organizacional) construido) valoran las diversas entidades, 2- Valoracin de las amenazas y 3- Implementacin (los activos de seguridad 2- Identificacin de las vulnerabilidades obteniendo una evaluacin del riesgo, vulnerabilidades (determinar cul es la del sistema son configurados, habilitados, de la infraestructura (visin tecnolgica) as como una estimacin del umbral de probabilidad de que esos problemas 3- Desarrollo de estrategia de testeados y verificados riesgo deseable) ocurran) seguridad y planes de mitigacin de las 4- Operacin o mantenimiento (las 3- Gestin de riesgos (Se identifican las 3- Seleccin y recomendacin de vulnerabilidades (estrategia y plan de actividades de mantenimiento para la funciones y servicios de salvaguarda contramedidas (CRAMM contiene una reduccin del riesgo son realizadas) desarrollo) reductoras del riesgo) gran librera de ms de 3000 5- Disposicin (las actividades de 4- Seleccin de salvaguardas (plan de contramedidas organizadas en 70 administracin de riesgos son realizadas en implantacin de los mecanismos de grupos) los componentes del sistema) salvaguarda elegidos) * Posee 'Self-Direction'. Una pequeo equipo del personal de la misma organizacin es involucrado en los procesos de implementacin de la metodologa (personal de IT y de otros departamentos) * Creacin de un pequeo equipo interdiciplinario de analisis de la * Otorga gran importancia a los controles informacin * Habla de perfiles claves dentro de la * Acercamiento basado en workshop organizacin respecto a la responsabilidad donde personas de distintos niveles de de la administracin del riesgo la organizacin trabajan para identificar las vulnerabilidades basandose en los activos * Catalogos de la informacin: Catalogos de practicas, Perfil de activos, catalogo de vulnerabilidades * Habla de un balance entre 3 aspectos: Tecnologa, Riesgo Operacional y Prcticas de seguridad
* Habla de anlisis algortmico con 3 modelos: cualitativo, cuantitativo y Principales escalonado Caractersticas * En la versin 2 posee 3 documentos: Catalogo, Metodo y Tecnicas
* > 400 tipos de activos * 38 tipos de amenazas * > 25 tipos de impactos * 7 medidas de riesgo * > 3500 controles
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Comparativa de Metodologas:
Puntos a Destacar Aplicacin Magerit CRAMM NIST SP 800-30 * Analisis de riesgos * Gestin del riesgos * Plan Director de Seguridad Octave * Analisis de riesgos * Gestin del riesgos * Plan Director de Seguridad
* Analisis de riesgos * Analisis de riesgos * Gestin del riesgos * Gestin del riesgos * Plan Director de Seguridad * Plan Director de Seguridad * Pequeo grupo * Pequeo grupo interdiciplinario Quien lleva a interdiciplinario conformado conformado por empleados de la cabo la por empleados de la misma misma empresa metodologa empresa La versin 4 costaba por el ao * No tiene costo, ya que es una 2001: normativa de libre aplicacin * Para una compaa comercial: * Plantea un analisis de costo 2800 + 850 al ao de Costo beneficio, expresa una formula mantenimiento de ROI (Retorno de la * Para agencias y departamentos inversin) del estado britanico: 1600 + 850 al ao de mantenimiento
* Pequeo grupo interdiciplinario * Pequeo grupo interdiciplinario conformado por empleados de la conformado por empleados de misma empresa la misma empresa * Habla de costo relacionado con el beneficio, otorgando una condicin * Uso Interno: Gratuito relativa al costo de un plan director * Uso Externo: Se debe comprar de seguridad, siempre que el costo la licencia al SEI si se quiere sea menor al costo del riesgo implementar la metodologa a un analizado y solventado, el costo tercero ser bajo
Fase 1: Activos Critivos, requerimientos criticos para activos criticos, vulnerabilidades de activos criticos, lista de practicas de seguridad actuales, lista de vulnerabilidades * Tabla de valorazin del riesgo * Lista de controles recomendados actuales de la organizacin sobre los activos (escala de 1 a * Resultados de la documentacin Fase 2: Componentes clave, 10) vulnerabilidades tecnologicas actuales Fase 3: Riesgos de los activos crticos, metricas del riesgo, estrategia de proteccin, planes de mitigacin del riesgo
ramiro@ramirocid.com Twitter: @ramirocid
ramirocid.com
Anlisis de Riesgos
N/A
Se puede aplicar a nivel internacional (CRAMM v.5.1 ha Internacional sido usado en 23 pases) N/A N/A
Internacional
Su utilizacin no requiere autorizacin Derecho de previa del Ministerio Ventajas Utilizacin de Administraciones Pblicas
Una gran cantidad Herramienta Gratuita pero limitada. de herramientas de N/A N/A para aplicar laSe puede solicitar una aplicacin de la versin ampliada metodologa metodologa. Facilita la Facilitar la Facilita la Facilita la certificacin: ISO certificacin de BS certificacin: certificacin: ISO Certificacin 17999 7799 e ISO 17999 ISO 17999 17999
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
* Solo de puede aplicar a nivel nacional (slo en Espaa) por lo que no se est certificado internacionalmente Ambito de * No se puede aplicar en Aplicacin empresas multinacionales que precisen aplicar una unica metodologa de analisis de riesgo para todos los pases Desventajas
N/A
N/A
N/A
Derecho de Utilizacin
N/A
* Hay que pagar * Hay que pagar el el costo de la costo de la licencia * Uso externo: licencia (ms alla (ms alla del costo Limitado al pago del costo de la de la de la licencia para implementacin implementacin su utilizacin del analisis y del del analisis y del mantenimiento) mantenimiento)
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Dudas? preguntas?
Muchas gracias !!
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid