Documente Academic
Documente Profesional
Documente Cultură
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ndice
1. Anlisis de riesgos: Primer acercamiento
Pg. 3
2. Activos
Pg. 22
3. Amenazas
Pg. 28
4. Vulnerabilidades
Pg. 41
5. Impacto
Pg. 43
6. Gestin de Riesgos
Pg. 47
Pg. 55
Pg. 62
2
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Fases:
Determinar Objetivos y
Poltica de Seguridad
Anlisis y Gestin de
Riesgos
Establecer Planificacin
de Seguridad
Implantar Salvaguardas
Monitorizacin y gestin
de Cambios en la
Seguridad
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Qu es un Anlisis de Riesgos?
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Identificacin
y valoracin de activos
Anlisis de Riesgos
Valoracin de amenazas
y vulnerabilidades
Gestin
del
riesgo
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Riesgos
Seguridad
Decisiones:
Coste de Equilibrio
Aceptarlo
Asignacin a terceros
Evitarlo
Nivel de Seguridad
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Por qu realizarlo?
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Tipos de Anlisis
Hay dos tipos de anlisis de riesgos segn las cosas que tienen en cuenta:
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Activos: Los activos son todos aquellos elementos que forman parte del
Sistema de Informacin.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Relaciones
Aprovechan las
Amenazas
Incrementan
Protegen contra
Vulnerabilidades
Incrementan
Riesgos
Controles
Exponen
Activos
Poseen
Generan
Generan
Incrementan
Requerimientos
de Seguridad
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Algunas Conclusiones
Una buena prctica utilizada para empresas grandes es aplicar primero NIST para filtrar los
riesgos altos, luego se realiza sobre estos Magerit o CRAMM sobre estos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Es una metodologa de
Anlisis y Gestin del
Riesgos de los sistemas de
informacin desarrolladas
por el Ministerio de
Administraciones Pblicas.
Solo se aplica en el mbito
espaol.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Fases de MAGERIT
Toma de datos.
Procesos de la
Informacin
Dimensionamiento.
Establecimiento de
Parmetros
Anlisis activos Y
salvaguardas
Establecimiento
impactos
Establecimiento
vulnerabilidades
Anlisis de
amenazas
Anlisis Riesgo
Intrnseco
Influencia de
salvaguardas
Evaluacin de
riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis Riesgos
efectivo
Anlisis de Riesgos
Objetivos:
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Establecimiento de parmetros
Parmetros para valorar los activos y salvaguardas: Se debe asignar una
valoracin econmica a los activos.
Valoracin real: valor que tiene para la empresa la reposicin del activo en
las condiciones anteriores a la accin de la amenaza
Valoracin estimada: medida subjetiva de la empresa que, considerando la
importancia del activo, le asigna un valor econmico.
Valoracin
Rango
Valor
Muy Alto
300.000
Alto
150.000
Medio
75.000
Bajo
30.000
Muy bajo
< 10.000
10.000
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Establecimiento de parmetros
Para la estimacin de la vulnerabilidad, hay que estimar la frecuencia de
ocurrencia de las amenazas en una escala de tiempos.
Vulnerabilidad
Rango
Valor
Extrema Frecuencia
1 vez al da
0,997
Alta Frecuencia
0,071
Frecuencia media
0,016
Baja Frecuencia
0,005
1 vez al ao
0,003
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Establecimiento de parmetros
Parmetros para la estimacin del impacto, hay que estimar el grado de dao
producido por la amenaza en los activos
Impacto
Valor
Muy alto
99%
Alto
75%
Medio
50%
Bajo
20%
Muy bajo
5%
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Establecimiento de parmetros
Parmetros para estimar la influencia de las salvaguardas: disminuyen el
riesgo calculado (probabilidad o impacto)
Variacin impacto/vulnerabilidad
Valor
Muy alto
95%
Alto
75%
Medio
50%
Bajo
30%
Muy Bajo
10%
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Definicin de activos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Forum de seguridad
Responsable de seguridad
Operador de Copia de Seguridad
...
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Entorno
Aire Acondicionado
Sistema Elctrico
instalaciones adicionales
Imagen Corporativa
La fiabilidad, y la imagen de la empresa son uno de los activos ms
importantes a la hora que los clientes depositen en ella su confianza.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Valoracin de activos
VALORACIN: Coste TOTAL que tendra para la empresa su prdida:
Valor de reposicin
Valor de configuracin, puesta a punto, etc.
Valor de uso del activo
Valor de prdida de oportunidad
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Definicin de amenazas
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Tipo de amenazas
Las amenazas normalmente dependen del negocio de la empresa y del tipo de
sistema que se quiere proteger
Ejemplos:
Empresa de desarrollo de
sistemas
ISP
Colegio Profesional
Universidad
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Listado de amenazas
Accidentes
Errores
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Amenazas - Accidentes
Accidente fsico
Incendio, explosin, inundacin por roturas, emisiones radioelctricas,
etc.
Avera
De origen fsico o lgico, debida a un defecto de origen o durante el
funcionamiento del sistema.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Listado de amenazas
Accidentes
Errores
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Amenazas - Errores
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Amenazas - Errores
Monitorizacin inadecuada
Errores inesperados
Virus
Otros
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Listado de amenazas
Accidentes
Errores
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Indisponibilidad de recursos
Humanos: motivos de huelga, abandono, enfermedad,
baja temporal, etc
Tcnicos: desvo del uso del sistema, bloqueo, etc
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Listado de amenazas
Accidentes
Errores
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Gusanos
Virus que utilizan las capacidades de servidores y clientes de internet para
transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las
variantes.
Denegacin de servicio
Contra el ancho de banda: Consumir todo el ancho de banda de la mquina
que se quiere aislar
Contra los recursos fsicos del sistema: Consumir toda la memoria y los
recursos que la mquina utiliza para ofrecer su servicio
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Definicin de vulnerabilidad
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Vulnerabilidades
El cruce de un activo sobre el que puede materializar una amenaza, da lugar
a una vulnerabilidad
Activo
01 - Servidor
ramirocid.com
Amenaza
Vulnerabilidad
Dependiente de la
elctrico
corriente
Acceso lgico no
Accesibilidad al
autorizado
sistema
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Definicin de impacto
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Valoracin de Impactos
Identificacin de impactos:
Como el resultado de la agresin de una amenaza sobre un activo
El efecto sobre cada activo para poder agrupar los impactos en cadena segn
la relacin de activos
El valor econmico representativo de las prdidas producidas en cada activo
Las prdidas pueden ser cuantitativas o cualitativas
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Curativas:
Disminuyen el impacto
Nuevo impacto= (Impacto+disminucin impacto)
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Evaluacin de riesgos
Identifica el coste anual que supone la combinacin de activo, amenaza,
vulnerabilidad e impacto.
Riesgo intrnseco
Valor activo * Vulnerabilidad * Impacto
Riesgo efectivo
Valor efectivo * Nueva vulnerabilidad * Nuevo Impacto= Valor activo *
(Vulnerabilidad * % Disminucin Vulnerabilidad) * (Impacto * % Disminucin
Impacto)= Riesgo intrnseco * % Disminucin Vulnerabilidad * % Disminucin
del Impacto
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Gestin de Riesgos
Gestionar los riesgos identificados:
Determinar si el riesgo es aceptable
SI: Identificar y aceptar el riesgo residual
NO: Decidir sobre la forma de gestionar el riesgo x
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Gestin de Riesgos
Identificar requisitos de
seguridad
Identificar requisitos de
seguridad
Hacemos
algo?
Reducimos
riesgos?
Proceso de reduccin de
nivel de riesgo
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Seleccin de controles
Anlisis de Riesgos
Gestin de riesgos
Una vez se tiene decidido que es lo que hay que hacer se elaborar el:
PLAN DE ACCIN
Establecer prioridades
Plantear un anlisis de coste-beneficio
Hacer la seleccin definitiva de controles a implantar
Asignar responsabilidades
Desarrollar un plan de gestin de riesgos
Implantar los controles
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
4
Personal de
PC's entorno de
desarrollo de SW
y HW
PC's desarrollo
PC's hardware
pruebas
EN-003
SI-001
SI-002
SI-003
50000
10000
10000
2500
DIA
AO
30,82
11.249,3
61,65
22.502,2
3,08
1.124,2
Cdigo
Nombre
0,003
50%
0,003
50%
0,003
50%
Incendio en oficinas
1
A1-001
13,70
0,005
13,70
50%
0,005
3,42
50%
0,005
50%
Avera hardware
3
A2-001
27,40
0,003
27,40
5%
0,003
6,85
5%
0,003
5%
P1-001
1,37
0,005
1,37
50%
0,005
0,34
50%
0,005
50%
P2-001
0,00274
27,40
27,40
6,85
61,65
22.502,2
68,49
24.998,8
50%
No disponibilidad de personal
8
68,49
P5-002
Riesgo intrnseco anual por activo
24.998,8
25.502,
25.502
6.372,9
82.376,7
--ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Probabilidad de la
amenaza
Impacto
Bajo (10)
Medio (50)
Alto (100)
Alto (1.0)
Bajo
Medio
Alto
Medio (0.5)
Bajo
Medio
Medio
Bajo (0.1)
Bajo
Bajo
Bajo
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Nivel de
Acciones
riesgo
Alto
Medio
Bajo
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Datos
Cliente
Imagen
0,5
100
Medio
0,1
100
Bajo
0,1
100
Bajo
Riesgo
Base
Impacto
competencia
Probabilidad
exclusividad
X X
Integridad
General
Confidencialidad
Oferta
Disponibilidad
No clusula de
Caracterstica
Entorno
Director
Fuente
Humana
Vulnerabilidad Amenaza
Natural
Activo
Publicacin
Mala
configuracin
Poltica firewall
inadecuada
ramirocid.com
de datos
privados
Cambio
contenido
Web
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
El riesgo es una ponderacin del valor del activo, la probabilidad que suceda
y el impacto que tendra sobre el sistema.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Riesgo
Probabilidad
Impacto
Valor
3
4
5
6
7
4
5
6
7
8
5 6 7
6 7 8
7 8 9
8 9 10
9 10 11
4
5
6
7
8
5 6 7 8
6 7 8 9
7 8 9 10
8 9 10 11
9 10 11 12
1
2
3
4
5
de 3 a 7
de 8 a 10
de 11 a 15
2
4
3
3
4
2
5 6 7 8
6 7 8 9
7 8 9 10
8 9 10 11
9 10 11 12
9
10
11
12
13
No es necesario control
Control recomendado
Control obligatorio
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
5
2
6 7 8
7 8 9
8 9 10
9 10 11
10 11 12
9
10
11
12
13
10
11
12
13
14
7 8 9 10
8 9 10 11
9 10 11 12
10 11 12 13
11 12 13 14
11
12
13
14
15
Anlisis de Riesgos
10
10
10
lgico al S.O.
Explorer (6.0;
5.5; 5.0; 4.01)
utilizacin
3
integracin y explotacin
E04 - Inadecuacin de
monitorizacin, trazabilidad,
dicha revisin
lgico al S.O.
informacin, en trnsito o de
configuracin
lgico al S.O.
informacin en trnsito o de
configuracin
3
repeticin) de informacin en
trnsito
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
11
12
12
11
10
tcnicos (de
simulacione
s
4
la formacin y la concienciacin
del personal
informacin en trnsito
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Contramedidas
Segn el riesgo
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
06 Referencias
Documentacin para ampliar conocimientos:
BSI e ISO:
1. Normas BSI: http://www.bsi-global.com
2. Web oficial de la ISO: http://www.iso.org/
3. Wikipedia (ISO 17799): http://es.wikipedia.org/wiki/ISO/IEC_17799
4. Wikipedia (ISO): http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n
Metodologas de Anlisis de riesgos:
1. Web de AENOR (Asociacin Espaola de Normalizacin y Certificacin) http://www.aenor.es/
2. Buscador de normas AENOR http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp
3. Magerit: Web del Consejo Superior de Administracin Electrnica http://www.csi.map.es/
4. CRAMM: http://www.cramm.com/
5. NIST SP 800-30: Web oficial de la Nist: http://www.csrc.nist.gov/index.html
6. NIST SP 800-30: Publicaciones de la Nist: http://www.csrc.nist.gov/publications/nistpubs/
7. Octave: http://www.cert.org/octave/
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Valoracion
Amenaza
Probabilida
d que
Vulnerabilidad
ocurra
Impacto
Riesgo
Magerit
Valor del
Activo X
Activo
Amenaza Y No lo requiere
(medido en )
CRAMM
Activo X
Amenaza Y Vulnerabilidad W
Frecuencia
Z [1-5]
[1-5]
Escala [3 a 15]
NIST SP 800Alto-MedioActivo X
Amenaza Y Vulnerabilidad W
30
Bajo
Frecuencia
Z AltoMedio-Bajo
Alto-Medio-Bajo
Octave
[1-5]
Busca el
riesgo ms
Frecuencia
Activo X alto es un Amenaza Y Vulnerabilidad W
Z
rbol de
desicin
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Comparativa de Metodologas:
Puntos a
Destacar
Magerit
CRAMM
NIST SP 800-30
Octave
Pas que la
creo
Espaa
Reino Unido
Estados Unidos
Estados Unidos
WebSite
Versiones
Versin 1:
http://www.csi.map.es/csi/pg5m
http://www.csrc.nist.gov/index.html
22.htm
Publicaciones:
http://www.cramm.com/
http://www.cert.org/octave/
Versin 2:
http://www.csrc.nist.gov/publication
http://www.csi.map.es/csi/pg5m
s/nistpubs/
20.htm
Versin 1 (1997)
Ultima versin: CRAMM NATO
OCTAVESM Method Version
Publicacin 800-30 (2002)
Versin 2 (2006)
V5.3
2.0
Herramienta
para aplicar la
metodologa
Herramientas:
* PILAR
* CHINCHON
Principales
Conceptos
Activos, amenazas,
vulnerabilidades, impactos,
riesgos y salvaguardas
Un gran numero de
herramientas de analisis y Segn lo investigado, la norma no
especifica un producto en concreto
gestin de la informacin
resultante de estas (ejemplo:
para el analisis
CRAMM Express)
Activos, amenazas,
vulnerabilidades, riesgos,
salvaguardas (contramedidas)
ramirocid.com
ramiro@ramirocid.com
Amenazas, vulnerabilidades,
riesgos, controles
Twitter: @ramirocid
Activos, amenazas,
vulnerabilidades, riesgos
Anlisis de Riesgos
Comparativa de Metodologas:
Puntos a
Destacar
Fases
Magerit
CRAMM
NIST SP 800-30
Octave
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Comparativa de Metodologas:
Puntos a
Destacar
Magerit
CRAMM
* Analisis de riesgos
* Analisis de riesgos
* Gestin del riesgos
* Gestin del riesgos
* Plan Director de Seguridad
* Plan Director de Seguridad
* Pequeo grupo
* Pequeo grupo interdiciplinario
Quien lleva a
interdiciplinario conformado
conformado por empleados de la
cabo la
por empleados de la misma
misma empresa
metodologa
empresa
La versin 4 costaba por el ao
* No tiene costo, ya que es una
2001:
normativa de libre aplicacin * Para una compaa comercial:
* Plantea un analisis de costo
2800 + 850 al ao de
Costo
beneficio, expresa una formula
mantenimiento
de ROI (Retorno de la
* Para agencias y departamentos
inversin)
del estado britanico: 1600 +
850 al ao de mantenimiento
Aplicacin
Resultado
del analisis
(outputs)
Resultados ordinales y
cardinales
NIST SP 800-30
Octave
* Analisis de riesgos
* Gestin del riesgos
* Plan Director de Seguridad
* Analisis de riesgos
* Gestin del riesgos
* Plan Director de Seguridad
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Magerit
Ambito de
Aplicacin
N/A
Su utilizacin no
requiere autorizacin
Derecho de
previa del Ministerio
Ventajas Utilizacin
de Administraciones
Pblicas
CRAMM
NIST SP
800-30
Se puede aplicar a
nivel internacional
(CRAMM v.5.1 ha Internacional
sido usado en 23
pases)
N/A
N/A
Octave
Internacional
* Uso interno:
Ilimitado
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Anlisis de Riesgos
Magerit
Derecho de
Utilizacin
N/A
ramirocid.com
ramiro@ramirocid.com
CRAMM
NIST SP 800-30
Octave
N/A
N/A
N/A
Twitter: @ramirocid
Anlisis de Riesgos
Dudas? preguntas?
Muchas Gracias !!
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL
ramiro@ramirocid.com
http://www.linkedin.com/in/ramirocid
http://ramirocid.com
http://es.slideshare.net/ramirocid
@ramirocid
http://www.youtube.com/user/cidramiro
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid