Análisis de Riesgos
�������� �� �������
1
Ramiro Cid | @ramirocid
Análisis de Riesgos
Índice �� �������� �� �������� ������ ������������
���� �
�� �������
���� ��
�� ��������
���� ��
�� ����������������
���� ��
�� �������
���� ��
�� ������� �� �������
���� ��
�� ������� ��� ������
���� ��
�� ����������� �� ������������ �� �������� �� �������
���� ��
2
Análisis de Riesgos
Análisis de riesgos: Primer acercamiento
“Corresponde al proceso de identificar los riesgos, desde el punto de vista de la seguridad, determinando su magnitud e identificando las áreas que requieren medidas de salvaguarda”.
Análisis de Riesgos
Gestión global de Seguridad de un Sistema de Información
Fases: Análisis y Gestión de Riesgos Establecer Planificación de Seguridad Implantar Salvaguardas Monitorización y gestión de Cambios en la Seguridad
Determinar Objetivos y Política de Seguridad
Análisis de Riesgos
¿Qué es un Análisis de Riesgos?
?
Documento donde se describe, para su posterior análisis y ayuda a la toma de decisiones... ¿qué hay en el sistema? ¿qué amenazas le afectan? ¿qué hay que hacer para no verse afectado por ellas?
Análisis de Riesgos
Plan Director de Seguridad
Análisis de Riesgo (Problemas encontrados) [A.R.]
Gestión de Riesgos (Propongo soluciones) [G.R.]
[A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]
Análisis de Riesgos
Resumen del procedimiento de análisis
Identificación y valoración de activos Análisis de Riesgos Valoración de amenazas y vulnerabilidades
Gestión del riesgo
Análisis de Riesgos
Evaluación de riesgos y gastos Gestión del riesgo: Proceso de equilibrar el coste de protección con el coste de exposición. Riesgos
Decisiones:
Seguridad
Coste de Equilibrio
Aceptarlo Asignación
Evitarlo
a terceros Nivel de Seguridad
Análisis de Riesgos
¿Por qué realizarlo?
Permite identificar los riesgos de la seguridad de la información que podrían afectar en el desarrollo de las actividades de negocio Facilita la correcta selección de las medidas de seguridad a implantar
Creación de los plantes de contingencias en previsión de las amenazas detectadas
Necesario en el diseño, implantación y certificación de un SGSI (es el primer paso en la implementación de un SGSI)
Análisis de Riesgos
Tipos de Análisis Hay dos tipos de análisis de riesgos según las cosas que tienen en cuenta:
Intrínseco es aquel que se realiza sin tener en cuenta aquellas contramedidas que ya se están aplicando.
Da como resultado el Riesgo Intrínseco
Residual es aquel que se realiza teniendo en cuenta las contramedidas ya aplicadas.
Da como resultado el Riesgo Residual
Análisis de Riesgos
Elementos del Análisis
Activos: Los activos son todos aquellos elementos que forman parte del Sistema de Información.
Amenazas: Las amenazas son todas aquellas cosas que le pueden suceder a los activos que se salen de la normalidad.
Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por las amenazas para dañar a un activo (son los agujeros de seguridad).
Impacto: Consecuencia de la materialización de una amenaza sobre un activo
Análisis de Riesgos
Elementos del Análisis (continuación)
Controles: Son todos aquellos mecanismos que permiten reducir las vulnerabilidades de los sistemas.
Riesgos: Son el resultado del análisis de riesgo. El riesgo es una ponderación del valor del activo, la probabilidad que suceda una amenaza y el impacto que tendría sobre el sistema.
Riesgo = Valor Activo + Probabilidad + Impacto
Análisis de Riesgos
Relaciones
Aprovechan las
Amenazas
Incrementan
Protegen contra
Vulnerabilidades
Incrementan
Riesgos
Controles
Generan
Requerimientos de Seguridad
Exponen
Activos
Poseen Generan
Incrementan
Valor de los activos e impactos potenciales
Análisis de Riesgos
Algunas Conclusiones
Lo que se pretende en la Gestión de riesgos es reducir la probabilidad y/o el impacto. La amenaza no se puede reducir, lo que se intenta es eliminar la vulnerabilidad para que con esto la probabilidad de ocurrencia de la amenaza disminuya o sino se trata de que el impacto en caso de ocurrencia sea menor
Una buena práctica utilizada para empresas grandes es aplicar primero NIST para filtrar los riesgos altos, luego se realiza sobre estos Magerit o CRAMM sobre estos
Análisis de Riesgos
Metodologías (I): MAGERIT
Es una metodología de Análisis y Gestión del Riesgos de los sistemas de información desarrolladas por el Ministerio de Administraciones Públicas. Solo se aplica en el ámbito español.
Análisis de Riesgos
Fases de MAGERIT
Toma de datos. Procesos de la Información
Dimensionamiento. Establecimiento de Parámetros
Análisis activos Y salvaguardas
Establecimiento impactos
Establecimiento vulnerabilidades
Análisis de amenazas
Análisis Riesgo Intrínseco
Influencia de salvaguardas
Análisis Riesgos efectivo
Evaluación de riesgos
Análisis de Riesgos
Toma de datos y procesos de la información
Objetivos:
Definir el área de aplicación del estudio (alcance) y el objetivo final del análisis de riesgos.
Tener una visión global del proceso de información en la organización.
Establecer el grado de análisis en unidades homogéneas en todo el alcance (granularidad)
Análisis de Riesgos
Establecimiento de parámetros Parámetros para valorar los activos y salvaguardas: Se debe asignar una valoración económica a los activos.
Valoración real: valor que tiene para la empresa la reposición del activo en las condiciones anteriores a la acción de la amenaza Valoración estimada: medida subjetiva de la empresa que, considerando la importancia del activo, le asigna un valor económico. Valoración
Rango
Valor
Muy Alto
Valor > 200.000€
300.000€
Alto
100.000€< valor > 200.000€
150.000€
Medio
50.000€< valor > 100.000€
75.000€
Bajo
10.000€< valor > 50.000€
30.000€
Muy bajo
< 10.000€
10.000€
Análisis de Riesgos
Establecimiento de parámetros Para la estimación de la vulnerabilidad, hay que estimar la frecuencia de ocurrencia de las amenazas en una escala de tiempos.
Vulnerabilidad
Rango
Valor
Extrema Frecuencia
1 vez al día
0,997
Alta Frecuencia
1 vez cada 2 semanas
0,071
Frecuencia media
1 vez cada 2 meses
0,016
Baja Frecuencia
1 vez cada 6 meses
0,005
Muy baja Frecuencia
1 vez al año
0,003
Análisis de Riesgos
Establecimiento de parámetros Parámetros para la estimación del impacto, hay que estimar el grado de daño producido por la amenaza en los activos
Impacto
Valor
Muy alto
99%
Alto
75%
Medio
50%
Bajo
20%
Muy bajo
5%
Análisis de Riesgos
Establecimiento de parámetros Parámetros para estimar la influencia de las salvaguardas: disminuyen el riesgo calculado (probabilidad o impacto)
Variación impacto/vulnerabilidad
Valor
Muy alto
95%
Alto
75%
Medio
50%
Bajo
30%
Muy Bajo
10%
Análisis de Riesgos
Definición de activos
Los activos son todos aquellos elementos que forman parte del Sistema de Información.
Análisis de Riesgos
Detección y Clasificación de activos
Activos físicos: Hardware
Los activos físicos son aquellas cosas que forman parte de la empresa como material de ayuda a desempeñar una actividad. Ejemplo: Ordenador, Impresora, ...
Activos lógicos: Software
Los activos lógicos son aquellos programas o datos que forman parte del conocimiento de la empresa para desempeñar la actividad. Ejemplo: BD, Intranet Corporativa, ...
Análisis de Riesgos
Detección y Clasificación de activos
Personal: Roles del Sistema
Los roles del personal relacionados con la seguridad, son todas aquellas responsabilidades que hay que asumir en cuanto a la seguridad del sistema.
Forum de seguridad Responsable de seguridad Operador de Copia de Seguridad ...
Análisis de Riesgos
Detección y Clasificación de activos
Entorno
Aire Acondicionado Sistema Eléctrico instalaciones adicionales
Imagen Corporativa
La fiabilidad, y la imagen de la empresa son uno de los activos más importantes a la hora que los clientes depositen en ella su confianza.
Análisis de Riesgos
Detección y Clasificación de activos
Se clasifican según su:
Confidencialidad (libre, restringida, protegida, confidencial, etc.) Autenticación (baja, normal, alta, crítica) Integridad (bajo, normal, alto, crítico) Disponibilidad (menos de una hora, menos de un día, menos de una semana, más de una semana)
Análisis de Riesgos
Valoración de activos VALORACIÓN: Coste TOTAL que tendría para la empresa su pérdida:
Valor de reposición Valor de configuración, puesta a punto, etc. Valor de uso del activo Valor de pérdida de oportunidad
Análisis de Riesgos
Definición de amenazas
Las amenazas son todas aquellas cosas que le pueden suceder a los activos que se salen de la normalidad
Análisis de Riesgos
Tipo de amenazas Las amenazas normalmente dependen del negocio de la empresa y del tipo de sistema que se quiere proteger
Ejemplos:
Empresa de desarrollo de sistemas ISP Colegio Profesional Universidad
Análisis de Riesgos
Listado de amenazas
Accidentes
Errores
Amenazas Intencionales Presenciales
Amenazas Intencionales Remotas
Análisis de Riesgos
Amenazas - Accidentes
Accidente físico
Avería
De origen físico o lógico, debida a un defecto de origen o durante el funcionamiento del sistema.
Interrupción de Servicios esenciales
Incendio, explosión, inundación por roturas, emisiones radioeléctricas, etc.
Energía Agua Telecomunicación
Accidente mecánico o electromagnético:
Choque Caída Radiación
Análisis de Riesgos
Listado de amenazas
Accidentes
Errores
Amenazas Intencionales Presenciales
Amenazas Intencionales Remotas
Análisis de Riesgos
Amenazas - Errores
Errores de utilización del sistema, provocados por un mal uso, ya sea intencionado o no
Errores de diseño conceptuales que puedan llevar a un problema de seguridad
Errores de desarrollo derivados de la implementación de alguna aplicación o de la implantación de un sistema en producción
Análisis de Riesgos
Amenazas - Errores
Errores de actualización o parcheado de sistemas y aplicaciones
Monitorización inadecuada
Errores de compatibilidad entre aplicaciones o librerías
Errores inesperados
Virus
Otros ¿?
Análisis de Riesgos
Listado de amenazas
Accidentes
Errores
Amenazas Intencionales Presenciales
Amenazas Intencionales Remotas
Análisis de Riesgos
Amenazas Intencionales Presenciales
Acceso físico no autorizado
Destrucción o sustracción
Acceso lógico no autorizado Intercepción pasiva de la información Sustracción y/o alteración de la información en tránsito
Análisis de Riesgos
Amenazas Intencionales Presenciales
Indisponibilidad de recursos Humanos: motivos de huelga, abandono, enfermedad, baja temporal, etc Técnicos: desvío del uso del sistema, bloqueo, etc
Filtración de datos a terceros: apropiación indebida de datos, particularmente importante cuando los datos son de carácter personal (LOPD)
Análisis de Riesgos
Listado de amenazas
Accidentes
Errores
Amenazas Intencionales Presenciales
Amenazas Intencionales Remotas
Análisis de Riesgos
Amenazas Intencionales Remotas
Acceso lógico no autorizado Acceso de un tercero no autorizado explotando una vulnerabilidad del sistema para utilizarlo en su beneficio.
Suplantación del origen Intercepción de una comunicación escuchando y/o falseando los datos intercambiados
Análisis de Riesgos
Amenazas Intencionales Remotas
Gusanos
Virus que utilizan las capacidades de servidores y clientes de internet para transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las variantes.
Denegación de servicio
Contra el ancho de banda: Consumir todo el ancho de banda de la máquina que se quiere aislar Contra los recursos físicos del sistema: Consumir toda la memoria y los recursos que la máquina utiliza para ofrecer su servicio
Análisis de Riesgos
Definición de vulnerabilidad Debilidad o agujero en la organización de la seguridad ¡Una vulnerabilidad en si misma no produce daños. Es un condicionante para que una amenaza afecte a un activo!
Análisis de Riesgos
Vulnerabilidades El cruce de un activo sobre el que puede materializar una amenaza, da lugar a una vulnerabilidad
Activo 01 - Servidor
Amenaza
Vulnerabilidad
Fallo del sistema eléctrico
Dependiente de la corriente
Acceso lógico no autorizado
Accesibilidad al sistema
Análisis de Riesgos
Definición de impacto
Es la consecuencia de que una amenaza se materialice sobre un activo
Análisis de Riesgos
Valoración de Impactos Identificación de impactos:
Como el resultado de la agresión de una amenaza sobre un activo El efecto sobre cada activo para poder agrupar los impactos en cadena según la relación de activos El valor económico representativo de las pérdidas producidas en cada activo Las pérdidas pueden ser cuantitativas o cualitativas
Análisis de Riesgos
Acción de las salvaguardas Se analiza el efecto de las salvaguardas sobre los impactos y/o las vulnerabilidades Preventivas:
Disminuyen la vulnerabilidad Nueva vulnerabilidad= (Vulnerabilidad+% disminución vulnerabilidad)
Curativas:
Disminuyen el impacto Nuevo impacto= (Impacto+disminución impacto)
Análisis de Riesgos
Evaluación de riesgos Identifica el coste anual que supone la combinación de activo, amenaza, vulnerabilidad e impacto.
Riesgo intrínseco
Valor activo * Vulnerabilidad * Impacto
Riesgo efectivo
Valor efectivo * Nueva vulnerabilidad * Nuevo Impacto= Valor activo * (Vulnerabilidad * % Disminución Vulnerabilidad) * (Impacto * % Disminución Impacto)= Riesgo intrínseco * % Disminución Vulnerabilidad * % Disminución del Impacto
Análisis de Riesgos
Gestión de Riesgos Gestionar los riesgos identificados:
Determinar si el riesgo es aceptable
SI: Identificar y aceptar el riesgo residual NO: Decidir sobre la forma de gestionar el riesgo x
Forma de gestionar el riesgo:
Evitarlo: suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad Transferido: cambiar un riesgo por otro: Outsourcing, seguros, etc. Reducirlo: reducir la amenaza, vulnerabilidad, impacto Asumirlo: Detectar y recuperar (Statu quo).
Análisis de Riesgos
Gestión de Riesgos Identificar requisitos de seguridad
Identificar requisitos de seguridad
Eliminar el origen del riesgo, o transferido
¿Hacemos algo?
¿Reducimos riesgos?
Proceso de reducción de nivel de riesgo
Selección de controles
Análisis de Riesgos
Gestión de riesgos Una vez se tiene decidido que es lo que hay que hacer se elaborar el: PLAN DE ACCIÓN
Establecer prioridades Plantear un análisis de coste-beneficio Hacer la selección definitiva de controles a implantar Asignar responsabilidades Desarrollar un plan de gestión de riesgos Implantar los controles
Análisis de Riesgos 4
5
6
Personal de PC's entorno de
desarrollo de SW y HW
PC's desarrollo
PC's hardware
EN-003
SI-001
SI-002
50000
10000
10000
pruebas
DIA
AÑO
30,82
11.249,3
61,65
22.502,2
3,08
1.124,2
Resumen. Vulnerabilidad /Impacto y Riesgo intrínseco22.502,
Nº
Código
Nombre
0,003
50%
0,003
SI-003
2500 50%
0,003
50%
Incendio en oficinas 1
-
A1-001
13,70 0,005
13,70 50%
0,005
3,42 50%
0,005
50%
Avería hardware 3
-
A2-001
27,40 0,003
27,40 5%
0,003
6,85 5%
0,003
5%
Acceso físico a oficinas 5
-
P1-001
1,37 0,005
Acceso lógico interno a los sistemas 6
-
P2-001 0,00274
1,37 50%
0,005
0,34 50%
0,005
50%
27,40
27,40
6,85
61,65
22.502,2
-
-
-
68,49
24.998,8
50%
No disponibilidad de personal 8
68,49
P5-002 Riesgo intrínseco anual por activo
24.998,8 €
25.502, €
25.502 €
6.372,9 €
---
82.376,7
Análisis de Riesgos
Metodologías: NIST ST 800-30 Metodología de origen Americano que se apoya en los siguientes pasos: Determinación del sistema Identificación de vulnerabilidades Identificación de amenazas Estudio de las salvaguardas Determinación de la probabilidad Análisis del impacto Determinación del Riesgo
Análisis de Riesgos
Metodologías: NIST ST 800-30
Probabilidad de la amenaza
Impacto Bajo (10)
Medio (50)
Alto (100)
Alto (1.0)
Bajo
Medio
Alto
Medio (0.5)
Bajo
Medio
Medio
Bajo (0.1)
Bajo
Bajo
Bajo
Análisis de Riesgos
Metodologías: NIST ST 800-30
Nivel de riesgo
Acciones
Alto
Aplica medidas para controlar el riesgo de forma inmediata
Medio
Aplica medidas para controlar el riesgo en un periodo de tiempo razonable
Bajo
Analizar si aceptar el riesgo o aplicar medidas de control
Análisis de Riesgos
Metodologías: NIST ST 800-30 Acti Activvo
Director General Base Datos Cliente
Imagen
Vulne ulnera rabi bililida dadd Amen Amenaz azaa
Fuente N a t u r a l
H u m a n a
Característica E n t o r n o
D i s p o n i b i l i d a d
C o n f i d e n c i a l i d a d
I n t e g r i d a d
P r o b a b i l i d a d
I m p a c t o
R i e s g o
No cláusula de exclusividad
Oferta competencia
X
X X
0 ,5
100
Medio
Mala configuración
Publicación de datos privados
X
X
0 ,1
100
Bajo
Política firewall inadecuada
Cambio contenido Web
X
0 ,1
100
Bajo
X
Análisis de Riesgos
Cálculo del Riesgo El riesgo es una ponderación del valor del activo, la probabilidad que suceda y el impacto que tendría sobre el sistema.
����� ��� ������������ ������������ ��� �������
Análisis de Riesgos
Riesgo
Proba bilida d
1
Im pa cto Valor
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
3
4
5
6
7
4
5
6
7
8
5
6
7
8
9
6
7
8
9 10
7
8
9 10 11
4
5
6
7
8
5
6
7
8
9
6
7
8
9 10
7
8
9 10 11
8
9 10 11 12
5
6
7
8
9
6
7
8
9 10
7
8
9 10 11
8
9 10 11 12
9 10 11 12 13
6
7
8
9 10
7
8
9 10 11
8
9 10 11 12
9 10 11 12 13
10 11 12 13 14
7
8
9 10 11
8
9 10 11 12
9 10 11 12 13
10 11 12 13 14
11 12 13 14 15
1 2 3 4 5 de 3 a 7 de 8 a 10 de 11 a 15
2
No e s ne ce sa rio control Control re come nda do Control obli ga torio
3
4
5 4
5
Análisis de Riesgos
Ejemplo de Análisis de riesgos Internet Explorer (6.0; 5.5; 5.0; 4.01)
3
E01 - Errores de utilización
Susceptible a errores humanos de utilización
1
1
5
3
E02 - Errores de diseño, integración y explotación
Susceptible a errores humanos en los procesos de diseño, integración y/o explotación
3
3
9
3
E04 - Inadecuación de monitorización, trazabilidad, registro del tráfico de información
Existencia de una falta de revisión de logs, o de un proceso inadecuado de dicha revisión
3
1
7
3
E07 - Errores de actualización
Susceptible de no estar correctamente actualizado
3
2
8
3
AP03 - Acceso lógico no autorizado con alteración o sustracción de la información, en tránsito o de configuración
Debilidad en el control de acceso lógico al S.O.
4
3
10
Uso descuidado de los sistemas por parte de los trabajadores, dejando sus terminales accesibles
2
3
8
AT02 - Acceso lógico no autorizado con corrupción o destrucción de información en tránsito o de configuración
Debilidad en el control de acceso lógico al S.O.
4
3
10
Debilidad en el sistema antivirus
1
3
7
AT03 - Acceso lógico no autorizado con modificación (inserción y/o repetición) de información en tránsito
Debilidad en el control de acceso lógico al S.O.
4
3
10
3
3
Análisis de Riesgos
Ejemplo de Análisis de riesgos Cálculos
4
E01- Errores de utilización
Los empleados comenten errores durante la realización de las diferentes tareas que pueden provocar la destrucción o modificación de las informaciones
1
2
7
4
E05 - Errores relacionados con la formación y la concienciación del personal
Uso descuidado de la información en papel por parte de los trabajadores, dejando información confidencial accesible
4
3
11
4
AP06 - Robo y sabotaje
Uso descuidado o inadecuado de los controles de acceso físico al edificio
3
5
12
Posibilidad de enviar información a través del correo electrónico sin ningún control de direcciones, tanto de remitente como de recepción
3
5
12
No está controlada la destrucción de los soportes en los que se guarda la información (destructora de papel, borrado seguro de las informaciones, etc.)
2
5
11
técnicos (de simulacione s
4
AT01 - Acceso lógico no autorizado con sustracción
Las informaciones enviadas no viajan encriptadas con los que podría ser posible interceptar y obtener dichas informaciones
2
4
10
4
AT03 - Acceso lógico no autorizado con modificación de información en tránsito
Las informaciones enviadas no viajan encriptadas ni firmados con los que podría ser posible interceptar y modificar dichas informaciones
2
3
9
Análisis de Riesgos
Contramedidas Según el riesgo
Recomendaciones a la dirección una serie de contramedidas que pueden aplicar a su sistema para paliar el riesgo obtenido, ya sea intrínseco o residual
Análisis de Riesgos
Evaluación de riesgos y gastos
Es necesario conocer su COSTE (anual) / VALOR Es necesario determinar claramente la RESPONSABILIDAD sobre cada activo Es necesario conocer qué AUTORIDAD existe
Análisis de Riesgos
06
Referencias
Documentación para ampliar conocimientos: BSI e ISO: 1. Normas BSI: http://www.bsi-global.com 2. Web oficial de la ISO: http://www.iso.org/ 3. Wikipedia (ISO 17799): http://es.wikipedia.org/wiki/ISO/IEC_17799 4. Wikipedia (ISO): http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n Metodologías de Análisis de riesgos: 1. Web de AENOR (Asociación Española de Normalización y Certificación) http://www.aenor.es/ 2. Buscador de normas AENOR http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp 3. Magerit: Web del Consejo Superior de Administración Electrónica http://www.csi.map.es/ 4. CRAMM: http://www.cramm.com/ 5. NIST SP 800-30: Web oficial de la Nist: http://www.csrc.nist.gov/index.html 6. NIST SP 800-30: Publicaciones de la Nist: http://www.csrc.nist.gov/publications/nistpubs/ 7. Octave: http://www.cert.org/octave/
Análisis de Riesgos
Comparativa de Metodologías – Valoración de los elementos de análisis: Activo Valoracion
Probabilida d que Amenaza Vulnerabilidad ocurra
Impacto
Riesgo
Magerit
Valor de la perdida diaria que Valor del % del valor del activo que resulta de la multiplicacion Frecuencia Activo X Activo Amenaza Y No lo requiere se pierde sí el impacto se del valor del activo con la Z (medido en €) produce probabilidad de ocurrencia de la amenaza
CRAMM
Activo X
Amenaza Y Vulnerabilidad W
Frecuencia Z [1-5]
[1-5]
Escala [3 a 15]
Alto-MedioNIST SP 800Activo X Amenaza Y Vulnerabilidad W 30 Bajo
Frecuencia Z AltoMedio-Bajo
Alto-Medio-Bajo
Alto, medio y bajo
Octave
[1-5]
Busca el riesgo más Frecuencia Activo X alto es un Amenaza Y Vulnerabilidad W Z árbol de desición
Busca el riesgo más alto es un árbol de desición
Análisis de Riesgos
Comparativa de Metodologías: Puntos a Destacar País que la creo
Magerit
CRAMM
NIST SP 800-30
Octave
España
Reino Unido
Estados Unidos
Estados Unidos
Responsable Secretaría de Estado para la Administración Pública del Producto
Cramm. El cual pertenece a National Institute of Standards and Siemens Technology (NIST)
Software Engineering Institute (SEI) y Carnegie Mellon University (CMU)
Versión 1: http://www.csi.map.es/csi/pg5m http://www.csrc.nist.gov/index.html 22.htm Publicaciones: http://www.cramm.com/ http://www.cert.org/octave/ WebSite Versión 2: http://www.csrc.nist.gov/publication http://www.csi.map.es/csi/pg5m s/nistpubs/ 20.htm Versión 1 (1997) Ultima versión: CRAMM NATO OCTAVESM Method Version Publicación 800-30 (2002) Versiones Versión 2 (2006) V5.3 2.0
Herramienta para aplicar la metodología
Principales Conceptos
Herramientas: * PILAR * CHINCHON
Un gran numero de Según lo investigado, la norma herramientas de analisis y Según lo investigado, la norma no no especifica un producto en gestión de la información especifica un producto en concreto concreto para el analisis, habla resultante de estas (ejemplo: para el analisis genericamente de 'Vulnerability CRAMM Express) Evaluation Tools'
Activos, amenazas, Activos, amenazas, vulnerabilidades, impactos, vulnerabilidades, riesgos, riesgos y salvaguardas salvaguardas (contramedidas)
Amenazas, vulnerabilidades, riesgos, controles
Activos, amenazas, vulnerabilidades, riesgos
Análisis de Riesgos
Comparativa de Metodologías: Puntos a Destacar
Magerit
CRAMM
NIST SP 800-30
Octave
* Analisis de riesgos * Analisis de riesgos * Analisis de riesgos * Analisis de riesgos * Gestión del riesgos * Gestión del riesgos * Gestión del riesgos * Gestión del riesgos * Plan Director de Seguridad * Plan Director de Seguridad * Plan Director de Seguridad * Plan Director de Seguridad * Pequeño grupo Quien lleva a interdiciplinario conformado * Pequeño grupo interdiciplinario * Pequeño grupo interdiciplinario * Pequeño grupo interdiciplinario conformado por empleados de la conformado por empleados de la conformado por empleados de cabo la por empleados de la misma misma empresa misma empresa la misma empresa metodología empresa La versión 4 costaba por el año * Habla de costo relacionado con el * No tiene costo, ya que es una 2001: beneficio, otorgando una condición * Uso Interno: Gratuito normativa de libre aplicación * Para una compañía comercial: relativa al costo de un plan director * Uso Externo: Se debe comprar * Plantea un analisis de costo £2800 + £850 al año de de seguridad, siempre que el costo la licencia al SEI si se quiere Costo beneficio, expresa una formula mantenimiento sea menor al costo del riesgo implementar la metodología a un de ROI (Retorno de la * Para agencias y departamentos analizado y solventado, el costo tercero inversión) del estado britanico: £1600 + será bajo £850 al año de mantenimiento Fase 1: Activos Critivos, requerimientos criticos para activos criticos, vulnerabilidades de activos criticos, lista de practicas de seguridad actuales, lista de vulnerabilidades * Tabla de valorazión del riesgo Resultado Resultados ordinales y * Lista de controles recomendados actuales de la organización sobre los activos (escala de 1 a del analisis cardinales * Resultados de la documentación Fase 2: Componentes clave, 10) (outputs) vulnerabilidades tecnologicas actuales Fase 3: Riesgos de los activos críticos, metricas del riesgo, estrategia de protección, planes de mitigación del riesgo Aplicación
Análisis de Riesgos
Comparativa de Metodologías – Ventajas: Puntos a Destacar
Magerit
Ambito de Aplicación
N/A
Su utilización no requiere autorización Derecho de previa del Ministerio Ventajas Utilización de Administraciones Públicas
CRAMM
NIST SP 800-30
Octave
Se puede aplicar a nivel internacional (CRAMM v.5.1 ha Internacional Internacional sido usado en 23 países) N/A
N/A
* Uso interno: Ilimitado
Una gran cantidad Herramienta Gratuita pero limitada. de herramientas de N/A N/A para aplicar la Se puede solicitar una aplicación de la metodología versión ampliada metodología. Facilita la Facilitar la Facilita la Facilita la Certificación certificación: ISO certificación de BS certificación: certificación: ISO 17999 7799 e ISO 17999 ISO 17999 17999
Análisis de Riesgos
Comparativa de Metodologías – Desventajas: Puntos a Destacar
Magerit
* Solo de puede aplicar a nivel nacional (sólo en España) por lo que no se está certificado internacionalmente Ambito de * No se puede aplicar en Aplicación empresas multinacionales que precisen aplicar una unica metodología de analisis de riesgo para todos los países Desventajas
Derecho de Utilización
N/A
CRAMM
NIST SP 800-30
Octave
N/A
N/A
N/A
* Hay que pagar * Hay que pagar el el costo de la costo de la licencia * Uso externo: licencia (más alla (más alla del costo Limitado al pago del costo de la de la de la licencia para implementación implementación su utilización del analisis y del del analisis y del mantenimiento) mantenimiento)