“ G esti es tión ón de Riesg Rie sgos os An álisis y Tratamiento M ag a g e r i t 2 | P I L A R ” J os o s é A . M añ a ñ as as Dep. de Ingeniería de Sistemas Informáticos Universidad Politécnica de Madrid
dit-upm Gestión de Riesgos Análisis y Tratamiento Magerit 2 | PILAR José A. Mañas pe/> Dep. de Ingeniería de Sistemas Informáticos Universidad Politécnica de Madrid Marzo, 2006
dit-upm Gestión de Riesgos Análisis y Tratamiento Magerit 2 | PILAR José A. Mañas pe/> Dep. de Ingeniería de Sistemas Informáticos Universidad Politécnica de Madrid Marzo, 2006
Objetivos
dit 1. Gestión de riesgos
Análisis
Tratamiento
2. MAGERIT
Metodología de Análisis y Gestión de Riesgos
3. PILAR | EAR
Procedimiento Informático y Lógico para el Análisis de Riesgos Entorno de Análisis de Riesgos
Desarrollado con el Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI)
gestión de riesgos
2 / 47
Informática
dit
Antes
la informática era cosa de unos pocos profesionales
los sistemas eran complejos y muy suyos
la seguridad no era un problema
La red
lo cambia todo
no hay equipos aislados
los malos saben lo mismo que los buenos
gestión de riesgos
3 / 47
Generaciones de sistemas
dit
G.1
G.2
G.3
host
cliente / servidor
en red
sistema
manejable
complejo
incierto
objetivo técnico
eficiencia
eficacia del sistema
eficacia para los usuarios
calidad
funciona
predecible
controlable
objetivo de negocio
manejar volumen
organizar
mejorar la productividad
información
herramienta
estrategia
recurso
naturales
accidentales
deliberadas
tecnología
amenazas gestión de riesgos
4 / 47
Métodos de aseguramiento
dit
Primera Generación (198x) (auditoría del estado de seguridad de un S.I.)
checklists
Segunda Generación (199x)
métodos específicos (análisis de riesgos, coste-beneficio)
Tercera Generación (200x)
modelos de seguridad conectados a otros métodos (desarrollo …)
nuevas técnicas (gestión, comunicaciones, ...)
SGSI: sistemas de gestión de la seguridad de la información
gestión de riesgos
5 / 47
Objetivos de la seguridad
dit
Mantener la disponibilidad de los datos almacenados, así como su disposición a ser compartidos
Mantener la integridad de los datos ...
contra las manipulaciones
Mantener la confidencialidad de los datos almacenados, procesados y transmitidos
contra la interrupción del servicio
contra las filtraciones
Asegurar la identidad de origen y destino
frente a la suplantación o engaño
gestión de riesgos
6 / 47
Asegurar todos los niveles
dit
El personal
Los documentos
Los procesos
Las comunicaciones
Las aplicaciones
El sistema operativo
El hardware
gestión de riesgos
7 / 47
Madurez
dit
International Systems Security Engineering Association
d a d i r u g e s
mejora mejoracontinua continua control controlcuantitativo: cuantitativo:métricas métricas bien biendefinida: definida:normas, normas,procesos procesosyyprácticas prácticas planificado planificadoyygestionado gestionado tratamiento tratamientoinformal: informal:buenas buenasprácticas prácticas
tiempo gestión de riesgos
8 / 47
Common Criteria - ISO 15408
dit
valoran
propietarios desean minimizar imponen
para reducir
salvaguardas
que pueden tener
reducidas por
vulnerabilidades
conscientes de
llevan a
atacantes explotan dan pie a
riesgo sobre
incrementan
activos
amenazas sobre
abusan de y/o pueden dañar gestión de riesgos
9 / 47
Definiciones
dit Seguridad de las redes y de la información:
la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles Riesgo:
estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización
gestión de riesgos
10 / 47
Gestión del riesgo
dit Análisis de riesgos
proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización Evaluación de los riesgos
proceso en el que se coteja el riesgo estimado contra los criterios de la organización para determinar la importancia del riesgo Tratamiento de riesgos
selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados
gestión de riesgos
11 / 47
Magerit : análisis
dit están expuestos a
activos activos Interesan por su
amenazas amenazas
valor valor
causan una cierta
degradación degradación impacto impacto con una cierta
frecuencia frecuencia riesgo riesgo gestión de riesgos
12 / 47
Magerit : tratamiento
dit están expuestos a
activos activos Interesan por su
amenazas amenazas causan una cierta
valor valor degradación degradación residual residual impacto impacto residual residual
con una cierta
tipo de activo dimensión amenaza nivel de riesgo gestión de riesgos
frecuencia frecuencia residual residual riesgo riesgo residual residual
salvaguardas salvaguardas 13 / 47
Magerit v2
dit
El problema es la complejidad
demasiados activos, amenazas, contra medidas, ...
La solución : una aproximación metódica
1. planificación planificación del del proyecto proyecto de de análisis análisis yy gestión de riesgos .1 oportunidad .1 oportunidad
.2 alcance .2 alcance
.3 planificación .3 planificación
.4 lanzamiento .4 lanzamiento
2. análisis de riesgos .1 activos .1 activos
.2 amenazas .2 amenazas
.3 salvaguardas .3 salvaguardas
.4 estado de riesgo .4 estado de riesgo
3. gestión de riesgos .1 toma de decisiones .1 toma de decisiones
gestión de riesgos
.2 plan de seguridad .2 plan de seguridad
.3 ejecución del plan .3 ejecución del plan
14 / 47
Activos
dit
Magerit
son los recursos del sistema de información, o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección
GMITS: ISO/IEC 13335-1 (2004)
Asset: anything that has value to the organization
gestión de riesgos
15 / 47
¿Qué cosas son activos?
dit Sin duda alguna
Información
(datos funcionales)
Puede Vd. opinar
Intangibles
Servicios
Las aplicaciones (sw)
a usuario final (ext)
Los equipos (hw)
internos (int)
Las comunicaciones
contratados (cont)
Los locales
gestión de riesgos
Las personas
usuarios
operadores
administradores
desarrolladores
16 / 47
Unos activos dependen de otros
dit
servicios servicios información información(datos) (datos) software softwarede debase base
aplicaciones aplicaciones
equipamiento equipamiento(hw) (hw) locales locales gestión de riesgos
personal personal 17 / 47
Dependencia
dit
Un servicio deja de estar disponible [D]
¿por qué? si ocurre que ... a ...
Un dato puede ser manipulado [I]
¿cómo? por medio de ...
¿dónde? estando en ...
Un dato puede ser revelado [C]
¿cómo? por medio de ...
¿dónde? estando en ...
gestión de riesgos
18 / 47
Valoración
dit
Coste que supondría la ocurrencia de una amenaza
valor de reposición valor de reconstrucción horas perdidas de trabajo lucro cesante daños y perjuicios
No sólo importa lo que cuesta; importa [más] para qué vale
Para un estudio comparativo basta alguna escala sencilla:
0, 1, 2, ..., 10 es más importante saber el valor relativo que el absoluto
Para un estudio de costes se requiere una estimación ajustada
gestión de riesgos
19 / 47
Dimensiones de valoración
dit D disponibilidad
¿Qué importancia tendría que el activo no estuviera disponible?
I
integridad ¿Qué importancia tendría que el activo fuera modificado fuera de control?
C confidencialidad ¿Qué importancia tendría que el activo fuera conocido por personas no autorizadas?
A autenticidad ¿Qué importancia tendría que quien accede al activo no sea realmente quien se cree?
T trazabilidad (accountability) ¿Qué importancia tendría que no quedara constancia del uso del activo?
gestión de riesgos
20 / 47
¿Qué activos valoramos?
dit
Los datos (información)
sin duda
Los servicios finales
probablemente SÍ:
es lo que entiende la Dirección
Los demás activos
probablemente NO:
sólo tienen valor en función de los datos que manejan y los servicios que habilitan
¿sólo?
gestión de riesgos
21 / 47
Valoración cualitativa
dit
Criterios homogéneos que permitan
relativizar entre dimensiones
compartir / combinar análisis realizados por separado
9
uniformidad de conocimiento
7
10
8
muy alto
alto
6 5
medio
4 3 2
bajo
1 0
gestión de riesgos
despreciable
22 / 47
Aspectos de valoración
dit
seguridad de las personas
información de carácter personal
obligaciones derivadas de la ley, del marco regulatorio, de contratos, etc.
capacidad para la persecución de delitos
intereses comerciales y económicos
pérdidas financieras
interrupción del servicio
orden público
política corporativa
otros valores intangibles
gestión de riesgos
23 / 47
Valoración cuantitativa (euros)
dit
B1 = beneficios_1 – gastos_1
B2 = beneficios_2 – gastos_2
si no ocurre nada si se materializa la amenaza
IMPACTO = B1 – B2 (beneficios_1 – beneficios_2) + (gastos_2 – gastos_1) 0.0
euros
b1 g1 b2 g2 gestión de riesgos
24 / 47
Otras calificaciones
dit Carácter personal
Clasificación de seguridad
Alto
Secreto
Medio
Confidencial
Bajo-Medio
Reservado
Bajo
Difusión limitada
Sin clasificar
Puede Puede haber haber normativa normativa específica específica legal legal sectorial sectorial contractual contractual estratégica estratégica de de lala organización organización •
•
•
•
•
•
•
•
gestión de riesgos
25 / 47
Amenazas
dit
Son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales naturales terremotos, inundaciones, rayos, ...
accidentales
industriales electricidad, emanaciones, ...
humanas: errores y omisiones deliberadas (intencionales)
gestión de riesgos
intercepción pasiva o activa intrusión, espionaje, ... robo, fraude, ...
26 / 47
Cuantificación de las amenazas
dit
Se trata de estimar la vulnerabilidad de los activos frente a las amenazas
Las amenazas se cuantifican por su efecto sobre los activos afectados
frecuencia de ocurrencia
¿cuántas veces por año?
ARO = annual rate of occurrence
degradación
daño causado
porcentaje del valor del activo que costará ...
gestión de riesgos
27 / 47
Impacto
dit
Consecuencia que sobre un activo tiene la materialización de una amenaza
pérdida posible
acumulado
repercutido
activo activoAA
activo activoAA
activo B
gestión de riesgos
amenaza Z
activo activoBB
amenaza Z
28 / 47
Riesgo
dit
Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización
pérdida probable
Valoración
cualitativa / subjetiva
cuantitativa / económica
irrelevante … grave … intolerable coste dinerario
Métodos
cualitativos: tabulares
cuantitativos: impacto frecuencia
gestión de riesgos
×
29 / 47
Estimación tabular
dit o t c a p m i
[10]
alto
muy alto
muy alto
muy alto
muy alto
[7]
medio
alto
alto
alto
alto
[5]
bajo
bajo
medio
medio
medio
[3]
bajo
bajo
bajo
medio
medio
[1]
muy bajo
muy bajo
muy bajo
muy bajo
bajo
muy baja
baja
media
alta
muy alta
vulnerabilidad gestión de riesgos
30 / 47
Riesgo
dit
Consecuencia que sobre un activo tiene la materialización de una amenaza modulada por la frecuencia o vulnerabilidad
pérdida probable
acumulado
repercutido
activo activoAA
activo activoAA
activo B
gestión de riesgos
amenaza Z
activo activoBB
amenaza Z
31 / 47
Salvaguardas
dit
MAGERIT
procedimiento o mecanismo tecnológico que reduce el riesgo.
sinónimos: contra medidas, controles
ISO
safeguard: a practice, procedure or mechanism that reduces risk
baseline controls: a minimum set of safeguards established for a
system of organization
synonyms: countermeasures, controls
gestión de riesgos
32 / 47
Tratamiento del riesgo
dit 1. Si se puede, se evita
2. Si no, hay que plantear una estrategia 1. hay que tener medidas preventivas 2. hay que tener un plan de emergencia 3. hay que tener un plan de recuperación
••Ninguna Ningunaestrategia estrategiaes escompleta completa ••Sólo Sólolalacombinación combinaciónequilibrada equilibradapuede puede llevar llevaraauna unaseguridad seguridadaceptable aceptable gestión de riesgos
33 / 47
Aspectos
dit ¿Cómo se enfoca la respuesta al riesgo? [PR] Procedimientos
SIEMPRE
[PER] Política de personal
siempre frecuentemente
Soluciones técnicas [SW] Programas (soluciones
software )
[COM] Securización de las comunicaciones [HW] Equipamiento (soluciones hardware )
[PHY] Seguridad física
casi siempre ••Ningún Ningúnaspecto aspectoes escompleto completo ••Sólo Sólolalacombinación combinaciónequilibrada equilibradapuede puede llevar llevaraauna unaseguridad seguridadaceptable aceptable
gestión de riesgos
34 / 47
¿Cómo seleccionar salvaguardas?
dit
Expertos
sistemas expertos
Catálogos de salvaguardas checklists
libros
leyes
reglamentos
normativa sectorial
...
gestión de riesgos
35 / 47
Listas de salvaguardas
dit
Magerit
Criterios de Seguridad, Normalización y Conservación
Information Technology Baseline Protection Manual
GMITS: ISO/IEC 13335
UNE & ISO/IEC 17799
Common criteria: ISO/IEC 15408
Recommended Security Controls for Federal Information Systems
Guidelines for the management of IT security Code of Practice for Information Security Management
http://csrc.nist.gov/publications/drafts/draft-SP800-53.pdf
PILAR
gestión de riesgos
36 / 47
Efectividad de las salvaguardas
dit
Tiene que
ser adecuada al peligro que conjura
estar instalada
estar mantenida, actualizada
estar monitorizada
el personal instruido: usuarios, operadores y administradores
existir procedimientos
De lo contrario
no vale de nada
o, al menos, no sabemos de qué vale
gestión de riesgos
37 / 47
Incumplimientos
dit
Relación de aquellas salvaguardas que
deberían estar ...
desplegadas, mantenidas, monitorizadas
deberían adecuarse al peligro
Que es lo que recomienda el catálogo
personalizado a nuestro mapa de riesgos
gestión de riesgos
38 / 47
Impacto y riesgo residuales
dit
Impacto
Riesgo
consecuencia que sobre un activo tiene la materialización de una amenaza lo que probablemente ocurra (el impacto anualizado)
Impacto y riesgo residuales
lo que queda tras contabilizar las salvaguardas
gestión de riesgos
39 / 47
Magerit v2
dit
1. planificación planificación del del proyecto proyecto de de análisis análisis yy gestión de riesgos .1 oportunidad .1 oportunidad
.2 alcance .2 alcance
.3 planificación .3 planificación
.4 lanzamiento .4 lanzamiento
2. análisis de riesgos .1 activos .1 activos
.2 amenazas .2 amenazas
.3 salvaguardas .3 salvaguardas
.4 estado de riesgo .4 estado de riesgo
3. gestión de riesgos .1 toma de decisiones .1 toma de decisiones
gestión de riesgos
.2 plan de seguridad .2 plan de seguridad
.3 ejecución del plan .3 ejecución del plan
40 / 47
Valoración técnica
dit
de servicio
Teniendo en cuenta: la gravedad del impacto y/o del riesgo obligaciones por ley, reglamentos sectoriales o contratos intangibles:
imagen pública de cara a la Sociedad política interna relaciones con los proveedores relaciones con los usuarios relaciones con otras organizaciones nuevas oportunidades acceso a sellos o calificaciones reconocidas de seguridad ...
gestión de riesgos
41 / 47
dit
T3.1 : Calificación de los riesgos
1. es crítico en el sentido de que requiere atención urgente 2. es grave en el sentido de que requiere atención 3. es apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento 4. es asumible en el sentido de que no se van a tomar acciones para atajarlo
gestión de riesgos
42 / 47
Plan de seguridad
dit
Si el impacto residual no es aceptable ...
Si el riesgo residual no es aceptable ...
Si las salvaguardas debidas no tienen una efectividad aceptable ...
... hay que hacer un plan para corregir la situación
desplegando nuevas salvaguardas
mejorando la efectividad de las salvaguardas presentes
gestión de riesgos
43 / 47
Una actividad continua
dit
Sistema de Gestión de la Seguridad de la Información Plan planificación planificación
Act
Do
mantenimiento mantenimiento yymejora mejora
implementación implementación yyoperación operación Check
monitorización monitorización yyevaluación evaluación
gestión de riesgos
44 / 47
Interés de un análisis del riesgo
dit
Conciencia a [los miembros de] la organización
Identifica activos, amenazas y controles
modelo de valor de la organización
mapa de riesgos
estado de riesgo
Base razonada para tomar decisiones
a la dirección y a los empleados
juicio sobre la eficacia de los controles, actuales y futuros
Justificación del gasto en seguridad
gestión de riesgos
45 / 47
¿Cuándo?
dit
El análisis de riesgo muestra su máxima eficacia cuando se realiza antes del despliegue de un sistema
y las salvaguardas se incorporan al diseño de la solución
Es necesario cuando
un sistema se hace cargo de nuevas o más importantes misiones que aquellas para las que fue diseñado
morir de éxito
cambia el perfil de vulnerabilidad
gestión de riesgos
ej. exposición a Internet
46 / 47
