Espacio para logo

MF0486_3 de cliente o
icono/imagen
representativo de la
Unidad Didctica 3 temtica de la
presentacin
UD 3 Gestin de riesgos
 Contenidos
(1) Conceptos
(2) Aplicacin del proceso de anlisis y gestin de
riesgos y exposicin de las alternativas ms
frecuentes
(3) Metodologas comnmente aceptadas de
identificacin y anlisis de riesgos
(4) Aplicacin de controles y medidas de
salvaguarda para obtener una reduccin del riesgo
(5) Resumen
(1) Conceptos
 (1) Conceptos
Recursos del sistema
Son los activos a proteger del sistema
informtico de una organizacin:
Recursos hardware
Recursos software
Elementos de comunicaciones
Recursos varios
Etc.
 (1) Conceptos
Recursos hardware
Servidores y estaciones de trabajo
Ordenadores porttiles
Impresoras
Escneres
Otros perifricos
Etc.
 (1) Conceptos
Recursos software
Sistemas operativos
Herramientas ofimticas
Software de gestin
Herramientas de programacin
Aplicaciones desarrolladas a medida
Etc.
 (1) Conceptos
Elementos de comunicaciones
Dispositivos de conectividad (hubs, switches,
routers)
Armarios de conexin
Cableado
Puntos de acceso a la red
Lneas de comunicacin exterior
Etc.
 (1) Conceptos
Recursos varios
Informacin almacenada, procesada y distribuida
a travs del sistema (activo intangible)
Locales y oficinas de ubicacin de los recursos
fsicos
Personas y usuarios directo o indirectos del
sistema
Imagen y reputacin de la organizacin
 (1) Conceptos
Qu son las amenazas en seguridad
informtica?
Cmo se pueden clasificar dichas amenazas?
 (1) Conceptos
Amenazas
Cualquier evento accidental o intencionado
que pueda ocasionar daos en el sistema
informtico, provocando prdidas materiales,
financieras o de otro tipo a la organizacin
Niveles de ocurrencia de amenazas Escalas
cuantitativas o cualitativas
Muy baja, baja, media, alta y muy alta
 (1) Conceptos
Clasificacin de amenazas atendiendo a su origen
De agentes externos
De agentes internos
Clasificacin de amenazas atendiendo a MAGERIT
Desastres naturales
Desastres industriales
Errores y fallos no intencionados
Ataques malintencionadas
 (1) Conceptos
Algn ejemplo de amenazas de agentes externos
Algn ejemplo de amenazas de agentes internos
Algn ejemplo de amenazas de origen natural
Algn ejemplo de amenazas de origen industrial
Algn ejemplo de amenazas debidas a errores o
fallos o intencionados
Algn ejemplo de amenazas debidas a
actuaciones malintencionadas
 (1) Conceptos
Amenazas de agentes externos
Virus informticos
Ataques
Sabotajes terroristas
Disturbios
Intrusos en la red
Robos y estafas
Etc.
 (1) Conceptos
Amenazas de agentes internos
Empleados sin formacin, descuidados o
descontentos
Errores en la utilizacin de herramientas
Errores en la utilizacin de recursos del sistema
Virus
Ataques
Robos y estafas ...
 (1) Conceptos
Amenazas de origen natural
Inundacin
Incendio
Tormenta
Fallo elctrico
Explosin
Terremoto
Etc.
 (1) Conceptos
Amenazas de origen industrial
Incendios
Inundacin
Fallos elctricos
Etc.
 (1) Conceptos
Amenazas debidas a errores y fallos no
intencionados
Errores de utilizacin
Errores de explotacin
Errores de ejecucin
Errores de configuracin
Etc.
 (1) Conceptos
Amenazas debidas a actuaciones
malintencionadas
Robos
Fraudes
Sabotajes
Intentos de intrusin
Virus
Etc.
 (1) Conceptos
Qu son las vulnerabilidades en seguridad
informtica?
A qu pueden estar asociadas dichas
vulnerabilidades?
 (1) Conceptos
Vulnerabilidades
Son debilidades en el sistema informtico que
pueden permitir a las amenazas causar daos y
producir prdidas a la organizacin
Se corresponden con fallos en sistemas fsicos o
lgicos, defectos de ubicacin, instalacin o
configuracin de los sistemas
Nivel de vulnerabilidad Escalas cuantitativas o
cualitativas (baja, media, alta)
 (1) Conceptos
Vulnerabilidades pueden estar ligadas a
Aspectos organizativos
Ausencias de polticas de seguridad
Procedimientos mal definidos, etc.
Factor humano
Falta de formacin
Falta de sensibilizacin, etc.
 (1) Conceptos
Vulnerabilidades pueden estar ligadas a
Los equipos
Los programas y herramientas lgicas del
sistema
Locales y condiciones ambientales
 (1) Conceptos
Qu son los incidentes de seguridad?
 (1) Conceptos
Incidentes de seguridad
Cualquier evento que tenga o pueda tener como
resultado la interrupcin o degradacin* de los
servicios de un sistema informtico y/o posibles
prdidas fsicas, de activos, financieras o de otro
tipo
Es la materializacin de una amenaza

* Funcionamiento de los servicios por debajo de los niveles acordados

 (1) Conceptos
Impacto
Es la medicin y valoracin del dao que
podra producir a la organizacin un incidente
de seguridad
Su valoracin considerar
Daos tangibles
Daos intangibles
 (1) Conceptos
Impacto
Medicin del impacto del dao Escala
cuantitativa o cualitativa
Alto
Moderado
Bajo
 (1) Conceptos
Impacto
Alto - Prdida o inhabilitacin de recursos crticos
- Interrupcin de los procesos de negocio
- Daos en la imagen y reputacin de la organizacin
- Robo o revelacin de informacin confidencial
Moderado - Prdida o inhabilitacin de recursos crticos con respaldos
- Cada grave del rendimiento de los procesos de negocio
- Robo o revelacin de informacin interna
Bajo - Prdida o inhabilitacin de recursos no crticos
- Disminucin leve del rendimiento de los procesos de negocio
 (1) Conceptos
Riesgos
Es la probabilidad de que una amenaza se
materialize sobre una vulnerabilidad del sistema
informtico, causando un impacto en la organizacin
El nivel de riesgo depende de
Las vulnerabilidades del sistema
De las amenazas sobre el sistema
El impacto en el funcionamiento del sistema
 (1) Conceptos
Salvaguardas, defensas o medidas de seguridad
Cualquier medio utilizado para eliminar o reducir
un riesgo
Pretenden reducir:
Las vulnerabilidades de los activos
La probabilidad de ocurrencia de las amenazas
El nivel de impacto de los daos de amenazas
materializadas en una organizacin
 (1) Conceptos
Salvaguardas, defensas o medidas de seguridad
Salvaguarda activa
Medida para anular o reducir el riesgo de una amenaza
De prevencin (antes de producirse el incidente)
De deteccin (durante el incidente)
Salvaguarda pasiva
Medida empleada para reducir el impacto cuando se
produzca un incidente de seguridad
Tambin llamadas de correccin (despus del incidente)
 (1) Conceptos
Salvaguardas, defensas o medidas de seguridad
Salvaguarda fsicas
Controles de acceso fsico a recursos
Controles ambientales
Salvaguarda lgicas
Asociadas a tcnicas o herramientas informticas
Autenticacin de usuarios
Control de accesos a ficheros
Cifrado de datos ...
 (1) Conceptos

Activos
producen
explotan
Vulnerabilidades
reducir
Amenazas Impacto
Salvaguardas
reducir
Seleccin e implantacin genera

Nivel de riesgo
 (1) Conceptos
Anlisis y Gestin de Riesgos (AGR)
Dos elementos diferenciados

ANLISIS GESTIN
DE RIESGOS DE RIESGOS
(AR) (GR)

De qu se ocupa cada uno de estos mdulos?

 (1) Conceptos
Anlisis de los riesgos
Proceso sistemtico para estimar la magnitud de los
riesgos a los que est expuesta una organizacin
Gestin de los riesgos
Seleccin e implantacin de salvaguardas para
conocer, prevenir, impedir, reducir o controlar los
riesgos identificados

* Definiciones segn la metodologa MAGERIT

(2) Aplicacin del proceso de AGR y
alternativas ms frecuentes
 (2) Aplicacin del proceso de AGR y
alternativas ms frecuentes

(2.1) Objetivos del proceso de AGR

(2.2) Criterios de decisin de adopcin de
medidas frente a riesgos
(2.3) Detalle del anlisis de riesgos
(2.4) Detalle de la gestin de riesgos
 (2.1) Objetivos del proceso de AGR
Primero Mido los riesgos (identificacin)
Segundo Decido que hacer con los riesgos
(2.1.1) Mitigar el riesgo
(2.1.2) Evitar el riesgo
(2.1.3) Transferir el riesgo
(2.1.4) Aceptar el riesgo
 (2.1) Objetivos del proceso de AGR

(2.1.1) Mitigar el riesgo

Aplicacin de salvaguardas que reduzcan el
impacto de un incidente
Aplicacin de salvaguardas para reducir la
probabilidad de una amenaza
reducir reducir
Amenazas Salvaguardas Impacto
 (2.1) Objetivos del proceso de AGR

(2.1.2) Evitar el riesgo

Eliminando los activos bajo riesgo
(2.1.3) Transferir el riesgo
Compartiendo los activos con otras empresas
Subcontratando los activos a un tercero
 (2.1) Objetivos del proceso de AGR

(2.2.4) Aceptar el riesgo

No hacer nada
El analista de riesgos presenta un informe,
pero la aceptacin del mismo debe ser
autorizado por la Direccin de la empresa
(2.2) Criterios de decisin de adopcin
de medidas frente a riesgos
Requisitos legales
Siempre deben cumplirse
Requisitos operacionales
Propios de una organizacin
Objetivos estratgicos de la empresa
Propios de una organizacin
Rentabilidad de la accin
(Coste) vs (beneficio o dao que se evita)
 (2.3) Detalle del anlisis de riesgos
(AR)
Identificacin de
Activos y relaciones de dependencia
Vulnerabilidades de los activos
Amenazas sobre los activos

Amenaza

Activo

Vulnerabilidad
 (2.3) Detalle del anlisis de riesgos
(AR)
Estimacin del
Impacto (dao posible) y probabilidad del mismo
Del nivel de riesgo de la ocurrencia de la amenaza
Del coste de mitigacin del riesgo
(2.4) Detalle de la gestin de riesgos
(GR)
(1) Punto de partida Riesgos del AR
(2) Determinar
Si el riesgo calculado en el AR es aceptable o
Si debe mitigarse
(3) Identificar las medidas de seguridad
necesarias y evaluar la reduccin del riesgo al
aplicarlas
(2.4) Detalle de la gestin de riesgos
(GR)
(4) Seleccionar las medidas a implementar
(5) Estimar el riesgo residual
(6) Aplicar las medidas a implementar
(7) Evaluar la efectividad de las medidas
(8) Volver iniciar el proceso de AR
 Ejercicio prctico (1)
Proponer soluciones que mitiguen, eviten o
transfieran riesgos de
Inundacin de un CPD
Corte suministro elctrico en un CPD
Robo de informacin de un porttil
 Ejercicio prctico (1) Soluciones
Inundacin de un CPD
Correcta ubicacin (ni en el stano ni en el ltimo
piso)
Ausencia de caeras o bajantes
Sensores de humedad en techo y suelos
Presencia de sumideros
Vigilancia de aires acondicionados
...
 Ejercicio prctico (1) Soluciones
Corte suministro elctrico en un CPD
Doble entrada de suministro elctrico (acometidas
independientes)
Instalacin de sistemas de emergencia
Instalacin de SAIs (Sistemas de Alimentacin
Ininterrumpida) y grupo electrgeno correctamente
dimensionados
...
 Ejercicio prctico (1) Soluciones
Robo de informacin de un porttil
Utilizacin de medidas disuasorias (candado)
Uso de mecanismo de control de acceso
(usuario/contrasea, mecanismos biomtricos)
Encripacin de datos
Securizacin del sistema
...
(3) Metodologas de identificacin y
anlisis de riesgos
(3) Metodologas de identificacin y
anlisis de riesgos
(3.1) MAGERIT
(3.2) UNE* 71504:2008
(3.3) ISO/IEC** 27005:2011
(3.4) OCTAVE
(3.5) CRAMM
* UNE Una Norma Espaola (AENOR)
** ISO International Organization for Standarization
** IEC International Electrotechnical Commission
 (3.1) MAGERIT
Metodologa de Anlisis y Gestin de Riesgos
de los Sistemas de la Informacin (IT)
Publicada por el Consejo Superior de
Administracin Electrnica (1997) Ministerio
de Administraciones Pblicas
ltima versin: 3
 (3.1) MAGERIT
Objetivos
Concienciar a los responsables de los SI de la
existencia de riesgos y de la necesidad de
adopcin de medidas para mitigar su impacto
Ofrecer un mtodo sistemtico para analizar
riesgos
Planificar medidas para el control de los riesgos
Facilitar la evaluacin, auditora, certificacin
 (3.1) MAGERIT
Organizacin
Libro I: Mtodo
Libro II: Catlogo de elementos
Libro III: Guas tcnicas

https://www.ccn-cert.cni.es/herramientas-de-
ciberseguridad/ear-pilar/metodologia.html
 (3.1) MAGERIT
Herramienta PILAR
Significa Procedimiento Informtico-Lgico para el
Anlisis de Riesgos
Es una herramienta que facilita el anlisis y la gestin
del riesgo (implementa MAGERIT)
Centro Criptolgico Nacional (Ministerio de Defensa) ha
patrocinado el desarrollo de la herramienta comercial
Es muy utilizada en las administraciones pblicas
espaolas
 (3.1) MAGERIT
Herramienta PILAR
 (3.1) MAGERIT
Herramienta PILAR
 (3.1) MAGERIT
Fases
Definir un proyecto
Identificacin de los activos propios del proyecto
Valoracin de los activos propios del proyecto
Valoracin de las amenazas propias del proyecto
Identificacin de las salvaguardas tiles en el
proyecto
 (3.1) MAGERIT
PILAR - Fases
Examinar los niveles de riesgo
Verificar si se satisfacen los perfiles de
seguridad que interesan
Volver a empezar hasta estar satisfecho con
los resultados obtenidos
 (3.1) MAGERIT
Descarga herramienta PILAR
https://www.ccn-cert.cni.es/herramientas-de-
ciberseguridad/ear-pilar/pilar.html
 Ejercicio prctico (2)
Herramienta PILAR
Instalacin de la herramienta
Configuracin de la herramienta en modo
presentacin
 Ejercicio prctico (2)
Herramienta PILAR
Requisitos previos
Entorno de ejecucin de JAVA (mnimo v7)
http://java.com/
 Ejercicio prctico (2) - Solucin
Instalacin de la herramienta PILAR
Descargar el ejecutable: pilar_548_es.exe
Lanzar el ejecutable anterior y seguir las
instrucciones de instalacin
 Ejercicio prctico (2) - Solucin
Instalacin de la herramienta PILAR
 Ejercicio prctico (2) - Solucin
Instalacin de la herramienta PILAR
 Ejercicio prctico (2) - Solucin
Instalacin de la herramienta PILAR
 Ejercicio prctico (2) - Solucin
Instalacin de la herramienta PILAR
 Ejercicio prctico (2) - Solucin
Instalacin de la herramienta PILAR
 Ejercicio prctico (2) - Solucin
Instalacin de la herramienta PILAR
 Ejercicio prctico (2) - Solucin
Instalacin de la herramienta PILAR
 Ejercicio prctico (2) - Solucin
Instalacin de la herramienta PILAR
 Ejercicio prctico (2) - Solucin
Instalacin de la herramienta PILAR
 Ejercicio prctico (2) - Solucin
Configuracin en modo presentacin
 Ejercicio prctico (3)
Funcionamiento de la herramienta Pilar
Anlisis cuantitativo
Abrir el proyecto ejemplo
Ver el anlisis de riesgos
Ver el tratamiento de los riesgos
Ver los informes
Ejercicio prctico (3) - Solucin
Ejercicio prctico (3) - Solucin
Ejercicio prctico (3) - Solucin
Ejercicio prctico (3) - Solucin
Ejercicio prctico (3) - Solucin
 (3.2) UNE 71504:2008
Metodologa de anlisis y gestin de riesgos para
los sistemas de la informacin
Publicada por AENOR (Asociacin Espaola de
Normalizacin y Certificacin)
Consta de:
Mtodo de anlisis
Evaluacin de riesgos
Tratamiento de riesgos
Administracin de la gestin de seguridad
 (3.3) ISO/IEC 27005:2011
Information technology Security techniques
- Information security risk management
Normativa internacional
Integrante de la serie ISO 27000, dedicadas a
la seguridad de la informacin
La gestin de riesgos se recoge en 6 clusulas
 (3.4) OCTAVE
Operationally Critical Threat, Asset and
Vulnerability Evaluation
http://www.cert.org/resilience/products-
services/octave/
Desarrollado por la universidad de Carnegie Mellon
OCTAVE-Allegro, ltima versin, basado en versiones
anteriores:
OCTAVE original
OCTAVE-s
 (3.5) CRAMM
CCTA Risk Analysis and Management Method
De la Agencia Central de Cmputo y
Telecomunicaciones
Reino Unido
(4) Aplicaciones de controles y medidas
de salvaguarda para reducir el riesgo
El Anlisis de riesgos (AR) da:
El riesgo en ausencia de salvaguardas
Es decir, el riesgo mximo terico que es posible
encontrar
La Gestin de Riesgos (GR) quiere reducir el
riesgo mediante salvaguardas:
Seleccin de controles apropiados
Implementacin de los mismos
Control y mantenimiento de los controles implantados
(4) Aplicaciones de controles y medidas
de salvaguarda para reducir el riesgo
Las salvaguardas
O bien reducen la degradacin que produce una
amenaza, reduciendo su impacto Limitan el
dao causado
O bien reducen la frecuencia de las amenazas,
reduciendo el riesgo Reducen la frecuencia de
las amenazas
O bien reducen las vulnerabilidades de los activos
Sistemas menos vulnerables
(4) Aplicaciones de controles y medidas
de salvaguarda para reducir el riesgo

Activos Amenazas

Vulnerabilidad

Salvaguardas
Valor

Impacto Degradacin

Riesgo Frecuencia
(4) Aplicaciones de controles y medidas
de salvaguarda para reducir el riesgo
(4) Aplicaciones de controles y medidas
de salvaguarda para reducir el riesgo
Tres opciones
Limitacin del dao sobre los activos
Reduccin de la frecuencia de las amenazas
Reduccin de las vulnerabilidades de los activos
(4) Aplicaciones de controles y medidas
de salvaguarda para reducir el riesgo
Limitacin del dao
Aplicacin: Cuando la amenaza se ha
materializado
Objetivo: Limitacin de consecuencias
Ejemplos:
???
(4) Aplicaciones de controles y medidas
de salvaguarda para reducir el riesgo
Limitacin del dao
Ejemplos:
Copias de seguridad
Plan de respuesta ante incidentes
Plan de continuidad de negocio
Etc.
(4) Aplicaciones de controles y medidas
de salvaguarda para reducir el riesgo
Reduccin de la frecuencia de las amenazas
Aplicacin: Antes de que la amenaza se
materialice
Objetivo: Idealmente, buscan la no
materializacin de la amenaza
Ejemplos:
???
(4) Aplicaciones de controles y medidas
de salvaguarda para reducir el riesgo
Reduccin de la frecuencia de las amenazas
Ejemplos:
Autenticacin de usuarios
Cifrado de datos sensibles
Formacin a usuarios,
Etc.
(4) Aplicaciones de controles y medidas
de salvaguarda para reducir el riesgo
Reduccin de vulnerabilidades de los activos
Aplicacin: Antes de que la amenaza se
materialice
Objetivo: Idealmente, que las amenazas no
puedan materializarse
Ejemplos:
???
(4) Aplicaciones de controles y medidas
de salvaguarda para reducir el riesgo
Reduccin de vulnerabilidades de los activos
Ejemplos:
SO correctamente parcheados
Aplicaciones correctamente configuradas
Correcta actualizacin de los sistemas
Etc.
(5) Resumen
 (5) Resumen
Recursos del sistema
HW, SW, elementos de comunicacin, informacin,
locales, personas
Concepto de amenazas
Segn origen
Naturales, agentes externos o internos
Segn intencionalidad
Accidentes, errores, malintencionadas
 (5) Resumen
Concepto de incidente de seguridad
Materializacin de una amenaza
Concepto de impacto
Medicin y valoracin del dao de un incidente de
seguridad
Concepto de riesgo
Es la probabilidad de que una amenaza se
materialize sobre una vulnerabilidad del sistema
informtico, causando un impacto en la organizacin
 (5) Resumen
Concepto de salvaguardas
Cualquier medio utilizado para eliminar o reducir un
riesgo
Concepto de anlisis de riesgos
Mido los riesgos
Concepto de gestin de riesgos
Decido qu hacer con los riesgos
 (5) Resumen
Metodologas de AGR
MAGERIT
UNE 71504:2008
ISO/IEC 27005:2011
OCTAVE
CRAMM
 (5) Resumen
Reduccin de riesgos
Limitando el dao
Reduciendo la frecuencia de las amenazas
Reduciendo las vulnerabilidades
(5) Resumen

FIN
Preguntas?