Anlisis y Gestin de Riesgos

Definicin
Seguridad de las redes y de la informacin:
La capacidad de las redes o de los sistemas de informacin de resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles REGULATION (EC) Not 460/2004 10 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of March 2004 establishing the European Network and Information Security Agency

Sistema de informacin
Los ordenadores y redes de comunicaciones electrnicas, as como los datos electrnicos almacenados, procesados, recuperados o transmitidos par su por los mismos a operacin, uso, proteccin y Los sistemas tienen una o dos misiones
1. custodiar datos para que puedan ser utilizados por quien debe 2. cuando servicios prestar quiera
administrativos comerciales industriales

Objetivos de la seguridad
Mantener la disponibilidad de los datos almacenados, as como su disposicin a ser compartidos contra la interrupcin del servicio Mantener la integridad de los datos ... contra las manipulaciones Mantener la confidencialidad de los datos almacenados, procesados y transmitidos contra las filtraciones Asegurar la identidad de origen y destino (autenticidad) frente a la suplantacin o engao Ser capaz de perseguir las violaciones y aprender de las experiencias trazabilidad

Amenazas
Son los eventos que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales
naturales
terremotos, inundaciones, rayos, ...

accidentales

industriales
electricidad, emanaciones, ...

humanas: errores y omisiones deliberadas (intencionales)

intercepcin pasiva o activa intrusin, espionaje, ... robo, fraude, ...

Consecuencias
Fallos de confidencialidad fugas de informacin no hay reparacin posible si se detecta, tenemos la opcin de perseguir (disuasorio) Fallos de integridad datos manipulados si se detecta, tenemos la opcin de recuperar [de otra fuente] Fallos de disponibilidad interrupcin del servicio medios alternativos restauracin de los medios habituales Autenticidad = integridad [de los meta-datos] Trazabilidad = integridad [de los registros de actividad]

Coste de la interrupcin
coste de [la interrupcin de la] disponibilidad
10 8 coste 6 4 2 15m 0 30m

1h

2h

6h

1d

2d

1s

2s

1m

2m

6m

1a

S1 total

duracin de la interrupcin

Video intypedia007es Creative Commons

intypedia 2011

Trminos
Impacto
evaluacin de las consecuencias de una amenaza

Riesgo
impacto, teniendo en cuenta la probabilidad de la amenaza

Anlisis
identificacin y valoracin

Evaluacin
cmo el impacto y el riesgo afectan al negocio

Gestin
organizarse y actuar

Estimacin tabular
impacto MA A M B MB alto medio bajo bajo muy bajo XS muy alto alto bajo bajo muy bajo S muy alto alto medio bajo muy bajo M muy alto alto medio medio muy bajo L muy alto alto medio medio bajo XL probabilidad

Video intypedia007es Creative Commons

intypedia 2011

Riesgo
Riesgo
el arte de vivir con sistemas razonablemente seguros

Anlisis de impacto
el arte de estimar las consecuencias de una amenaza potencial

Anlisis de riesgos
el arte de estimar las consecuencias recurrentes de la inseguridad residual

Anlisis de riesgos y anlisis de impacto

proporcionan informacin para tomar decisiones

Gestin de riesgos
Risk management involves managing to achieve an appropriate balance between realizing opportunities for gains while minimizing losses. [AS/NZS

4360:2004]
10

Gestin de riesgos
Determinar el contexto

Estudio de los riesgos Identificacin

Anlisis

Evaluacin Monitorizacin y revisin Comunicacin y consulta

Requieren atencin los riesgos? s Tratamiento de los riesgos

no

Video intypedia007es Creative Commons

intypedia 2011

11

Marco para la gestin del riesgo

rdenes y compromiso

disear un marco para la gestin del riesgo mejora continua

monitorizacin y revisin

ISO 31000:2009 Risk management Principles and guidelines

Video intypedia007es Creative Commons s intypedia 2011

12

Marco
Criterios para evaluar la informacin y los servicios
ej. clasificacin de la informacin ej. niveles de servicio

Metodologa para analizar los riesgos

e.g. ISO/IEC 27005:2008

Criterios para evaluar los riesgos Criterios para decidir el tratamiento de los riesgos
i

Madrid, Espaa, noviembre 2011

Video intypedia007es intypedia 2011 Creative Commons Video intypedia011es intypedia 2011 Creative Commons

13

Madrid, Espaa, mayo 2 2011

Roles
Responsable de la informacin
establece sus requisitos de seguridad

Responsable del servicio

establece sus requisitos de seguridad

Analista de riesgos
traslada los requisitos a los medios TIC selecciona y evala medidas de proteccin reporta sobre el riesgo residual

Propietario del riesgo

evala el riesgo en trminos de negocio toma decisiones de tratamiento del riesgo es la autoridad responsable de la gestin del riesgo
14

Gestin de riesgos
1. Analizar 2. Preparar una declaracin de aplicabilidad Gestionar para cumplimiento aplicar medidas hasta satisfacer los controles requeridos Para seguridad real [esttica] aplicar tratamientos hasta que el riesgo es aceptado Para seguridad real [dinmica] 1. analizar qu consecuencias implican los cambios en el sistema, en su entorno, las vulnerabilidades descubiertas y las intrusiones detectadas 2. reaccionar en consecuencia

15

Opciones de tratamiento
Evitar
eliminar informacin / servicios / activos

Mitigar
prevenir / reaccionar / recuperar

Transferir o compartir
en trminos cualitativos (externalizacin) en trminos cuantitativos (seguros)

Aceptar
o el riesgo es parte del negocio

16

Toma de decisiones
estudio de los riesgos revisin peridica

punto de decisin se estudia mejor se trata estudio coste / beneficio

se asume monitorizacin continua

mitigacin del riesgo: reduccin de la exposicin limitacin del impacto transferencia

Video intypedia007es Creative Commons s intypedia 2011

Anlisis (potencial)
estn expuestos a

activos
Interesan por su

amenazas valor
causan una cierta

degradacin impacto
con una cierta

probabilidad riesgo

Video intypedia007es Creative Commons s

intypedia 2011

18

Asegurar todos los tipos de activos

La informacin Los procesos Las aplicaciones El sistema operativo El hardware Las comunicaciones Los soportes de informacin Las instalaciones El personal

1 19

Anlisis (residual)
estn expuestos a

activos
Interesan por su

amenazas valor
causan una cierta

degradacin residual impacto residual

con una cierta

probabilidad residual riesgo residual

tipo de activo dimensin amenaza nivel de riesgo

salvaguardas

Video intypedia007es Creative Commons s

intypedia 2011

20

Madrid, Espaa, mayo 2 2011

Soporte en herramientas
activos amenazas impacto y riesgo potenciales evaluacin de salvaguardas

PILAR

progreso salvaguardas

programas de seguridad

impacto y riesgo residuales

costes & beneficios

Video intypedia007es Creative Commons

plan intypedia 2011 de seguridad

21

Madrid, Espaa, mayo 2 2011

La herramienta PILAR
EAR / PILAR
procedimiento informtico-lgico para el anlisis del riesgo entorno de anlisis de riesgos proyecto CNI A.L.H. J. Maas (2003) especificacin: CCN Ministerio de Defensa, Espaa comit validacin: CCN + MAP + FNMT parcialmente financiado por el CCN comercializado como producto independiente

Video intypedia007es Creative Commons

intypedia 2011

Madrid, Espaa, mayo 2 2011