SISTEMAS DE INFORMACIN Ing. Kramer Garay Gmez QU ES MAGERIT? Es la metodologa de anlisis y gestin de riesgos elaborada por el Consejo Superior de Administracin Electrnica, como respuesta a la percepcin de que la Administracin, y, en general, toda la sociedad, dependen de forma creciente de las tecnologas de la informacin para el cumplimiento de su misin. El anlisis y gestin de los riesgos es un aspecto clave del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica que tiene la finalidad de poder dar satisfaccin al principio de proporcionalidad en el cumplimiento de los principios bsicos y requisitos mnimos para la proteccin adecuada de la informacin. MAGERIT es un instrumento para facilitar la implantacin y aplicacin del Esquema Nacional de Seguridad. INTRODUCCIN Las organizaciones, pblicas o privadas, dependen de forma creciente de las tecnologas de la informacin para lograr sus objetivos de negocio. MAGERIT interesa a organizaciones que trabajan con informacin automatizada y sistemas informticos. Si dicha informacin y los servicios que se prestan son valiosos, MAGERIT permite saber cuanto valor esta en juego y ayudar a protegerlo.
INTRODUCCION Con MAGERIT se persigue una aproximacin metdica que no deje lugar a la improvisacin, ni dependa de la arbitrariedad de los analistas. Figura 1. ISO 31000 - Marco de trabajo para la gestin de riesgos
OBJETIVOS DE MAGERIT Directos: Concienciar a los responsables de las organizaciones de informacin de la existencia de riesgos y de la necesidad de gestionarlos Ofrecer un mtodo sistemtico para analizar los riesgos derivados del uso de tecnologas de la informacin y comunicaciones (TIC) Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos Preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso COMPONENTES LIBRO 1 Mtodo: describe las tareas a realizar para acometer proyectos de anlisis y gestin de riesgos aportando una gua para el desarrollo de anlisis de riesgos, aspectos prcticos y consejos para facilitar la tarea.
LIBRO 2 Catlogo de elementos: recoge el catlogo de elementos implicados en el anlisis de riesgos tales como: una categorizacin de activos, las dimensiones aplicables (DICAT), criterios para valoracin de activos como procesos de negocio o datos, catlogo de amenazas y un catlogo de medidas a implantar para mitigar los riesgos a los que estn expuestos los sistemas de informacin. Por ltimo indica cmo desarrollar un informe. LIBRO 3 Gua de tcnicas: proporciona tcnicas para el anlisis de riesgos tales como: Algoritmos de anlisis, rboles ataque, anlisis coste-beneficio, diagramas de flujo, tablas de procesos o tcnicas de trabajo. El uso de la herramienta asociada a esta metodologa PILAR implementa muchas de estas soluciones tcnicas. CMO DEFINE MAGERIT EL PROCESO DE ANLISIS DE RIESGOS? A la hora de llevar a cabo un proyecto de anlisis y gestin de riesgos de acuerdo con MAGERIT se proponen 3 etapas diferenciadas: 1. Planificacin del proyecto 2. Anlisis de riesgos 3. Gestin de riesgos
Proceso P1: Planificacin del proyecto de anlisis y gestin de riesgos Actividad A1.1: Estudio de oportunidad Tarea T1.1.1: Determinar la oportunidad Actividad A1.2: Determinacin del alcance del proyecto Tarea T1.2.1: Objetivos y restricciones generales Tarea T1.2.2: Determinacin del dominio y lmites Tarea T1.2.3: Identificacin del entorno Tarea T1.2.4: Estimacin de dimensiones y coste Actividad A.1.3: Planificacin del proyecto Tarea T1.3.1: Evaluar cargas y planificar entrevistas Tarea T1.3.2: Organizar a los participantes Tarea T1.3.3: Planificar el trabajo Actividad A1.4: Lanzamiento del proyecto Tarea T1.4.1: Adaptar los cuestionarios Tarea T1.4.2: Criterios de evaluacin Tarea T1.4.3: Recursos necesarios Tarea T1.4.4: Sensibilizacin Proceso P2: Anlisis de Riesgos Actividad A2.1: Caracterizacin de los activos Tarea T2.1.1: Identificacin de los activos Tarea T2.1.2: Dependencia entre activos Tarea T2.1.3: Valoracin de los activos Actividad A2.2: Caracterizacin de las amenazas Tarea T2.2.1: Identificacin de las amenazas Tarea T2.2.2: Valoracin de las amenazas Actividad A2.3. Caracterizacin de las salvaguardas Tarea T2.3.1: Identificacin de las salvaguardas existentes Tarea T2.3.2: Valoracin de las salvaguardas existentes Actividad A2.4: Estimacin del estado de riesgos Tarea T2.4.1: Estimacin del impacto Tarea T2.4.2: Estimacin del riesgo Tarea T2.4.3: Interpretacin de los resultados Proceso P3: Gestin de riesgos Actividad A3.1: Toma de decisiones Tarea T3.1.1: Calificacin de los riesgos Actividad A3.2: Plan de seguridad Tarea T3.2.1: Programa de seguridad Tarea T3.2.2: Plan de ejecucin Actividad A3.3: Ejecucin del Plan Tarea T3.3: Ejecucin de cada programa de seguridad ESCENARIO DE ANLISIS DE RIESGOS
PILAR Es una herramienta que implementa la metodologa MAGERIT de anlisis y gestin de riesgos, desarrollada por el Centro Criptolgico Nacional (CCN) y de amplia utilizacin en la administracin pblica espaola
http://www.pilar-tools.com/es/
TERMINOLOGA Activo: Recursos del sistema de informacin o relacionados con ste, necesarios para que la Organizacin funcione correctamente Amenazas: Eventos que pueden desencadenar un incidente en la Organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Impacto: Si estimamos la frecuencia con que se materializan las amenazas, podemos deducir el riesgo al que est expuesto el sistema. Degradacin y frecuencia califican la vulnerabilidad del sistema.
TERMINOLOGA Riesgo: Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la Organizacin. Salvaguarda: Procedimiento o mecanismo tecnolgico que reduce el riesgo. Riesgo Residual: Riesgo remanente en el sistema tras la implantacin de las salvaguardas determinadas en el plan de seguridad de la informacin.
Conceptos Importantes RIESGO La probabilidad de que una amenaza en particular explote una vulnerabilidad causando un impacto negativo sobre mis negocios AMENAZA Un evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Informacin. VULNERABILIDAD Una debilidad que facilita la materializacin de una amenaza CONTROL Cualquier medida de proteccin orientada a asegurar la Confidencialidad, Integridad o Disponibilidad de los Activos de Informacin. ROBO PUERTAS Y VENTANAS ABIERTAS ALARMA Ej: METODOLOGAS CRAMM OCTAVE MEHARI SP800-30
TAREA PARA LA SEMANA: Previo a un Anlisis de Riesgos Ud., como Oficial de Seguridad necesita hacer un inventario de los Activos de Informacin de su Empresa/Organizacin (establezca Ud. la lnea de negocio).
Utilizando: a. Bienes de Informacin (documentos) b. Bienes Fsicos c. Bienes de Software d. Personas e. Servicios f. Intangibles
Determine 02 activos por cada clasificacin. Determine 03 vulnerabilidades y 03 amenazas correspondientes por cada activo. Establezca pesos de acuerdo a la probabilidad de ocurrencia de cada amenaza (Alto=3, Medio=2, Bajo=1)
TAREA PARA LA SEMANA (cont): Utilice el siguiente cuadro como ejemplo:
Activo Vulnerabilidades Amenazas Probabilidad de Ocurrencia Activo 1 V1 A1 M V2 A2 A V3 A3 B Activo 2 V4 A4 M V2 A2 M V5 A5 B Qu pudo observar al momento de listar las Vulnerabilidades y Amenazas?hay repeticiones? Cules considera que son los activos ms crticos de su lista?. Justifique su respuesta.