Universidad de Buenos Aires MAGERIT “Análisis de Riesgo Tecnológico” Lic. Raúl Castellanos, Castellanos, CISM CISM
Definiciones El “The Institute of Internal Auditors” (The IIA) define al riesgo como: “La Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto i mpacto y probabilidad”
Definiciones Intern ernati ationa onall Org Organi anizat zation ion for Sta Standa ndariz rizati ation on” (ISO) La “Int define al riesgo como:
“Combinación de la Probabilidad de un Evento y su Consecuencia” ISO aclara que el término riesgo es generalmente usado siempre y cuando exista la posibilidad de pérdidas (resultado negativo)
Definiciones MAGERIT Riesgo: “estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización.” Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos riesg os a que está está exp expuest uesta a una Organiza Organización ción.. Gestión de riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados.
Catalogo de
Guía Técnica
Elementos
Método MAGERIT
AGR
Método MAGERIT
Análisis de
Gestión de
Riesgo
Riesgo
Estructuración Del Proyecto
Consejos y Apéndices
Análisis de Riesgo
Análisis de Riesgo
Identificación
de Activos
Identificación
de Amenazas
Medición
de Impacto
Determinación
del Riesgo
Salvaguardas Riesgo
Residual
Activos de Información Proceso de Negocio
Datos Hardware Documentos Software
Proceso de Negocio
Proceso de Negocio
Datos Hardware
Software
Datos Hardware
Documentos
Documentos Software
Amenazas Definición: Todo fenómeno, acción o evento, intencional o accidental que produce un impacto negativo en los activos. Valoración: Se valoran en función de la degradación que producen en los activos, la frecuencia con que pueden actuar y la intencionalidad.
Impacto Definición: medida del daño sobre el activo derivado de la materialización de una amenaza Tipos de impacto Impacto acumulado: calculado sobre un activo teniendo en cuenta su valor acumulado (el propio mas el acumulado de los activos que dependen de él) Impacto repercutido: calculado sobre un activo teniendo en cuenta su valor propio y las amenazas a que están expuestos los activos de los que depende
Determinación del Riesgo Definición: Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la frecuencia de ocurrencia. Riesgo Bruto Corresponde al impacto y probabilidad de ocurrencia de una amenaza en un supuesto donde no existen controles ni salvaguardas implementada implementadas. s. Riesgo Residual Corresponde al impacto y probabilidad de ocurrencia de una amenaza en donde existen controles y medidas de seguridad implementada i mplementadas. s.
Gestión de Riesgo
Interpretación
del Riesgo
Residual Selección Gestión
de salvaguardas
de la Dirección –
Nivel de riesgo aceptable
Interpretación del Riesgo Residual Impacto y riesgo residual son una medida del estado presente, entre la inseguridad potencial (sin salvaguarda alguna) y las medidas adecuadas que reducen impacto y riesgo a valores despreciable despreciables. s. Si la diferencia entre el riesgo bruto y el riesgo residual es nula, las salvaguardas existentes no cumplen ninguna función. Es importante entender que un valor residual es sólo un número. Para su correcta interpretación debe venir acompañado de la relación de lo que se debería hacer y no se ha hecho.
Selección de Salvaguardas Hay que planificar el conjunto de salvaguardas pertinentes para atajar tanto el impacto como el riesgo, reduciendo bien la degradación del activo (minimizando el daño), bien reduciendo la frecuencia de la l a amenaza (minimizando sus oportunidad oportunidades). es).
salvaguardas técnicas : en aplicaciones, equipos y redes. salvaguardas físicas : protegiendo el entorno de trabajo de las personas y los equipos. medidas de organización : de prevención y gestión de las incidencias. política de personal : que, a fin de cuentas, es el eslabón imprescindible y más delicado. Es de sentido común que no se puede invertir en salvaguardas más allá del valor valor de los los propios propios activos activos a protege proteger. r.
Gestión de la Dirección La dirección de la Organización sometida al análisis de riesgos debe determinar el nivel de impacto y riesgo aceptable. Esta decisión no es técnica. Puede ser una decisión política o gerencial. Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y acepta formalmente la Dirección. Si el impacto y/o el riesgo están por encima de lo aceptable, se puede: 1. eliminar el activo; suena muy fuerte, pero a veces hay activos que, simplemente, no vale la pena mantener. 2. introducir nuevas salvaguardas o mejorar la eficacia de las presentes.
Estructuración del Proyecto Planificación Modelo de Valor
de los
activos Identificación de amenazas Evaluación de impacto potencial y residual Toma de decisiones para gestionar riesgo Elaboración Plan de Seguridad
Planificación Participantes: – – – – – – –
Comité de Dir Comité Direcc ección ión Comité Com ité de Segu Seguimi imient ento o Equipo de Proyecto Grupos de Interlocutores Promotor Director de Proyecto Enlace Operacional
Planificación: – Se establecen las consideraciones necesarias para arrancar el proyecto AGR. – Se investiga la oportunidad de realizarlo. – Se definen los objetivos que ha de cumplir y el dominio (ámbito) que abarcará. – Se planifican los medios materiales y humanos para su realización. reali zación. – Se procede al lanzamiento del proyecto.
Análisis de Riesgo El análisis de riesgos es una aproximación aproximación metódica para determinar el riesgo siguiendo unos pasos pautados: 1. 2. 3. 4. 5.
Determ Dete rmin inar ar lo los s act activ ivos os re rele leva vant ntes es pa para ra la Or Org gan aniz izac aciión ón,, su su interrelación y su valor, en el sentido sentido de qué qué perjuicio (coste) (coste) supondría su degradación. Determinar a qué amenazas es están ex expuest sto os aq aquellos activos. Dete De term rmin inar ar qué sa salv lvag agu uarda das s ha hay di disp spu ues esttas y cu cuán efi efica cace ces s son frente al riesgo. Esti Es tima marr el el im impa pact cto, o, de defi fini nido do co como mo el da daño ño so sob bre el ac acti tivo vo derivado de la materialización de la amenaza. Esti Es tima marr el el rie riesg sgo, o, de defi fini nido do co com mo el el imp impac acto to po pond nder erad ado o con con la tasa de ocurrencia (o expectativa de materialización) de la amenaza.
Modelo de Valor de los Activos Sobre todos los activos informáticos identificados, se realiza una clasificación en base a la criticidad del activo para el negocio, utilizando como medida a las tres componentes principales de la Seguridad de la Información: Integridad Disponibilidad Confidencialidad
Clasificación de Activos Informático Informáticos s Integridad: Garantiza la exactitud y totalidad de la información y los procesos
Confidencialidad: Garantiza que la información es accedida solo por personas autorizadas para ello.
Disponibilidad: Garantiza que la información y los procesos estarán disponibles cuando así lo requiera requiera la operación de la empresa.
La componente de integridad tiene la siguiente escala de valores: Valor
Requerimientos de Integridad
Descripción
1
Bajo
El negocio no se ve afectado por la pérdida de la integridad.
2
Promedio
El negocio soporta hasta 1 semana para restablecer la integridad.
3
Importante
El negocio soporta hasta 48 horas para restablecer la integridad.
4
Vital
El negocio soporta hasta 24 horas para restablecer la integridad.
5
Crítico
En negocio no funciona si toma más de 3 horas restablecer la integridad.
La componente de disponibilidad tiene la siguiente escala de valores: Valor
Requerimientos de Disponibilidad
Descripción
1
Bajo
El negocio no se ve afectado por la pérdida del activo informático.
2
Promedio
El negocio soporta hasta 1 semana sin el activo informático.
3
Importante
El negocio soporta hasta 48 horas sin el activo informático.
4
Vital
El negocio soporta hasta 24 horas sin el activo informático.
5
Crítico
En negocio no funciona sin el activo informático.
La componente de confidencialidad tiene la siguiente escala de valores: Valor
1 3
Requerimientos de Confidencialidad
Público
Incluye toda aquella información que no representa riesgo significativo para la compañía.
Interno
Incluye toda aquella información que se utiliza en las actividades laborales del día a día y que p uede presentar riesgos mínimos para la compañía.
Confidencial
Incluye toda aquella información que puede presentar riesgos para la compañía, y cuyo acceso debe ser expresamente autorizado por el responsable y restringido a un grupo reducido de usuarios que la necesite necesite para el desarrollo desarrollo de sus tareas habituales.
Estrictamente Confidencial
Incluye toda aquella información que puede presentar riesgos importantes para la Compañía.
4
5
Descripción
Clasificación de Activos Informáticos Sobre todos los activos informáticos identificados, se realiza una clasificación en base a la criticidad del activo para el negocio, utilizando como medida a las tres componentes principales de la Seguridad de la Información, Confidencialidad Confidencialidad,, Integridad y Disponibilidad Disponibilidad::
Amenazas Amenazas
Identificación de Amenazas Las amenazas pueden ser clasificadas en tres grandes grupos: Amenazas ambientales, Amenazas humanas: Internas, Externas, Estructuradas, No
estructuradas Amenazas tecnológicas.
Esta clasificación permite analizar, tomar medidas de seguridad e implementar controles para tratar las amenazas en conjunto.
Amenazas ambientales Las amenazas ambientales tienen los siguientes riesgos asociados:
A
x
E E
E N E
I E
I N E
Tipos de Amenazas
Ambientales
Riesgos Asociados
Inundación interna
x
Inundación externa
x
Fuego Interno
x
Fuego Externo
x
Daño sísmico
x
Daño por erupción volcánica
Amenazas humanas Las amenazas humanas tienen los siguientes riesgos asociados: A
E E
E N E
x x
I E
I N E
x x
x
Tipos de Amenazas
Humanas
Riesgos Asociados
Extorsión / Secuestro
x
x
Hurto / Robo
x
x
Abuso de confianza
x
x
Malversación Malversació n de fondos
x
Terrorismo Terroris mo / Sabotaje
x
x
Huelga de Empleados
x
x
x
x
Daños por alteración del orden publico
x
x
x
x
Uso no autorizado de recursos
x
x
Errores de operación, falla u omisión de controles
x
x
Manejo inapropiado de datos sensibles
x
x
Ataque de Denegación de servicio interno
x x
Ataque de Denegación de servicio externo x
Intrusión externa x
x
Uso de contraseñas débiles
x
x
Acceso físico no autorizado
x
x
x
x
Introducción de software malicioso, virus, etc.
x
x
x
x
Destrucción no autorizada de datos o software
x
x
x
x
Transferencia no autorizada de datos
x
x
x
x
Robo o acceso no autorizado de datos
x
x
x
x
Modificación no autorizada de software / hardware
Amenazas tecnológicas Las amenazas tecnológicas tienen los siguientes riesgos asociados:
A
E E
E N E
I E
I N E
Tipos de Amenazas
x
x
x
x
Técnicas
x
x
Fallas en los sistemas de control ambiental
x
Fallas en el hardware
x
x
Fallas en los sistemas de base
x
x
Fallas en las aplicaciones
x
x
Fallas en la red interna
x
x
Riesgos Asociados
Cortes o alteraciones en el suministro eléctrico / UPS
x
x
x
x
Fallas en las conexiones con terceros
x
x
x
x
Vulnerabilidades de software
Evaluación Evaluación de de Riesgo Riesgo Bruto Bruto yy Residual Residual
Determinación de la Matriz de Impacto La
matriz
de
impacto
se
define
de
acuerdo
a
las
características de la empresa: Categoría
Impacto en resultados
Impacto en clientes
Impacto en Operaciones
Impacto Regulatorio
Impacto en reputación
Insignificante (1)
Entre $0 a $ 0,01 millones
Sin reclamo de clientes
Sin impacto en las operaciones
El incumplimiento regulatorio no genera sanciones
Sin impacto en el valor o reputación de la marca
Entre $0,01 y $0,25 millones
Los reclamos de los clientes son aislados
Impacto menor en operaciones, no percibido por el cliente. Las consecuencias pueden ser absorbidas dentro de las operaciones normales
El incumplimiento regulatorio genera sanciones leves
Hay un impacto menor en la reputación y en el valor de la marca; difusión leve
Entre $0,25 y $10 millones
Los reclamos de los clientes son importantes; hay pérdida menor de clientes
Impacto importante en operaciones, unidades de negocio sin servicio por hasta 8 horas, pudiera ser percibido por el cliente
El incumplimiento regulatorio genera sanciones que no afectan la capacidad de la organización para operar
Hay un impacto importante en el corto plazo en la reputación y en el valor de la marca; difusión masiva y corta
Entre $10 a $100 millones
Los reclamos de los clientes son masivos; hay pérdida de cartera
Impacto mayor en operaciones que afecta seriamente la capacidad de la compañía para atender a sus clientes; hasta 48 horas sin servicio
El incumplimiento regulatorio resulta en sanciones que pudieran afectar la capacidad de la organización para operar
Hay una pérdida mayor en la participación de mercado y en el valor de la marca, con publicidad adversa; las alianzas estratégicas están amenazadas
Hay pérdida masiva de clientes; hay litigios contra las unidades de negocios
Impacto catastrófico en operaciones que afecta seriamente la capacidad de la compañía para continuar con el negocio; mas de 48 horas sin servicio
Suspensión de la autorización para operar
Hay una pérdida sustancial en la participación de mercado y en el valor de la marca y la reputación de la organización, con publicidad adversa prolongada; las alianzas estratégicas se desintegran
Menor (2)
Moderado (3)
Significativo (4)
Catastrófico (5)
Más de $100 millones
Determinación de la Matriz de Probabilidad La matriz de probabilidad de ocurrencia se define en base a criterios establecidos por la empresa:
Probabilidad
Descripción
Frecuencia anualizada
Muy Probable (5)
Se espera que ocurra en la mayoría de las circunstanci circunstancias as Una vez al año o mas de una vez al año
1
Probable (4)
Probablem Proba blemente ente ocurrirá ocurrirá en la mayor mayoría ía de las circunstancias Una vez cada 1 año y 4 meses
0,75
Posible (3)
Podría ocurrir algunas veces Una vez cada 2 años
0,5
Incierto (2)
No es muy probable que ocurra Una vez cada 4 años
0,25
Improbable (1)
Solo podría ocurrir en casos excepcionales Cada diez años o mas
0,1
Determinación de la Matriz de Riesgos La matriz de riesgos se obtiene en base a la matriz de impacto y a la matriz de probabilidad de ocurrencia:
1,00
Muy Probable (5)
Riesgo Medio
Riesgo Alto
Riesgo Extremo
Riesgo Extremo
Riesgo Extremo
0,75
Probable (4)
Riesgo Bajo
Riesgo Medio
Riesgo Alto
Riesgo Extremo
Riesgo Extremo
0,50
Posible (3)
Riesgo Bajo
Riesgo Medio
Riesgo Alto
Riesgo Extremo
Riesgo Extremo
0,25
Incierto (2)
Riesgo Bajo
Riesgo Medio
Riesgo Alto
Riesgo Extremo
Riesgo Extremo
0,01
Improbabl e (1)
Riesgo Bajo
Riesgo Bajo
Riesgo Medio
Riesgo Alto
Riesgo Extremo
Insignificante (1)
Menor (2)
Moderado (3)
Significativo (4)
Catastrófico (5)
0,010
0,250
10
100
1000
Probabilidad Anualizada
Impacto en millones de USD
Riesgo Bruto y Riesgo Residual
No.
1 2
Riesgos Asociados
Extorsión / Secuestro
e d o a t d u o a i c r t B c d i n e a l i p b r r o g s m a u I b c i o e o r R P
3
Controles Existentes
l e a d u a i d i d o a c s t n c d i e e a l i R p b r r o m a u I b c g o s o e r i P R
2
3,2 No hay controles
3
2
3,2
4
1
La reposición de 4,1 servidores toma 24 hs.
Hurto / Robo
4
2
Hay guardia en el edificio, alarma contra robo, acceso a 4,2 oficinas con tarjeta magnética y los servidores están asegurados
Abuso de confianza
3
4
3,4
Existen controles cruzados en la operación. Hay niveles de autorización por monto de transacción.
3
3
No hay 3,3 procedimientos de chequeo al personal
3
3
3,3
No Hay monitoreo de crédito, bancario y de antecedentes del personal. El control en el acceso es muy laxo
3
Malversación de fondos
3
4
Existen controles cruzados en la operación. Hay niveles de autorización por monto de 3,4 transacción. Solo el personal de Tesorería tiene acceso a la información de fondos.
5
Terrorismo Terrorismo / Sabotaje
5
1
5,1
Hay guardias en el acceso al edificio.
5
1
5,1
6
Huelga de Empleados
3
1
3,1
Hay un continuo monitoreo del clima laboral
3
1
3,1
4
Vulnerabilidades Conocidas
Riesgos por amenazas humanas
Riesgos por Amenazas Ambientales
Riesgos por amenazas tecnológicas
Medidas y controles de Seguridad Las medidas y controles de seguridad tienen como propósito: Eliminar el riesgo, Reducir el riesgo, Aceptar el riesgo,
Trasladar / Transferir el riesgo, Incrementar el riesgo, Reducir el nivel de control o eliminar las respuestas a
riesgos.
Plan de Seguridad
Se traducen las decisiones en acciones concretas.
Se tomarán en consideración todos los escenarios de impacto y riesgo que se consideren críticos o graves.
Se elaborará elaborará un conjunto de programas programas de seguridad que den respuesta a todos y cada uno de los escenarios analizados. analizados.
Un programa de seguridad es una serie de tareas agrupadas para ganar eficiencia o por necesidades de interdependencia o por objetivos comunes. Cada programa debe detallar: Objetivo
genérico
Salvaguardas Relación Unidad
a implantar
de escenarios de riesgo que afronta
responsable de su ejecución
Recursos
y costos
Consejos y Apéndices
Consejos
de valoración de activos y amenazas, selección de salvaguardas Apéndices •Glosario •Marco Legal •SGSI •Certificación •Herramientas
Catalogo de Elementos Activos • Tipos Tipos y C Clasi lasifica ficació ción n Dimensiones de Valoración • Disp Dispon onib ibililid idad ad • Inte Integr grid idad ad • Conf Confid iden enci ciali alidad dad • Autent Autenticid icidad ad de los los usuari usuarios os • Autent Autenticid icidad ad de los los datos datos • Trazab Trazabili ilidad dad del del servic servicio io • Trazab Trazabili ilidad dad de de los dato datoss Criterios de Valoración • Escal Escalas as eest stán ánda darr
Amenazas • Desast Desastres res natura naturales les • De origen origen indust industria riall • Errores Errores y fallas no intenci intencionales onales • Ataque Ataquess intenc intencion ionados ados • Correl Correlació ación n de erro errores res y ataques • Amenaz Amenazas as por por tipo tipo de activ activo o
Salvaguardas • Pa Para ra los los serv servic icios ios • Pa Para ra los los dat datos os • Pa Para ra el el soft softwa ware re • Pa Para ra el el hardw hardwar aree • Para Para la lass comun comunicac icacion iones es • Pa Para ra el el pers person onal al
Informes • Model Modelo o de de val valor or • Ma Mapa pa de riesg riesgos os • Evalua Evaluación ción de salvag salvaguar uarda da • Esta Estado do de rie riesg sgo o • Inform Informee de insuf insufici icienci encias as • Plan Plan de de segu segurid ridad ad
Guías Técnicas Análisis mediante tablas
Técnicas Generales
• Modelo Modelo Cualit Cualitati ativo vo • Modelo Modelo Cuanti Cuantitat tativo ivo • Mode Modelo lo escal escalona onado do
• Anális Análisis is CosteCoste-Ben Benefi eficio cio • Diagram Diagramas as flujo flujo de de datos datos • Diagram Diagramas as de proces procesos os • Planif Planificac icación ión y diag diagram ramas as GANTT, PERT, Pareto • Valo Valora raccion ion Delp elphi
Árboles de Ataque • Salv Salvag agua uard rdas as • Riesg Riesgo o Resi Residu dual al
Ejemplo Árbol de Ataque Veamos un ejemplo ilustrativo sobre como usar fraudulentamente (sin pagar) un servicio de pago: 1. Objetivo: usar sin pagar (OR) 1. suplantar la identidad de un usuario legítimo 2. soslayar la identificación de acceso al servicio 3. abusar del contrato (AND) 1. ser un usuario legítimo 2. conseguir que no se facture el servicio (OR) 1. que no queden trazas de uso 2. que se destruyan las trazas antes de facturación (OR) 1. las destruyo yo 2. engaño al operador para que las borre 3. manipulo manipulo del del sw para que que no las las sume 3. repudiar las trazas 4. dar datos de cargo falsos
Ejercicio Ejercicio
Los activos informáticos pertenecen a una industria de alimentos La componente de integridad posee la siguiente valoración: Valor
1 2 3 4 5
Requerimientos de Disponibilidad Bajo Promedio Importante Vital Crítico
Descripción
El negocio no se ve afectado por la pérdida de la integri dad. El negocio soporta hasta 1 semana para restablecer la integridad. El negocio soporta hasta 48 horas para restabl ecer la integridad. El negocio soporta hasta 24 horas para restabl ecer la integridad. En negocio no funciona si toma más de 3 horas restablecer la integrid ad.
La componente de disponibilidad posee la siguiente valoración: Valor
1 2 3 4 5
Requerimientos de Disponibilidad Bajo Promedio Importante Vital Crítico
Descripción
El negocio no se ve afectado por la pérdida del activo informático. El negocio soporta hasta 1 semana sin el activo informático. El negocio soporta hasta 48 horas sin el activo informático . El negocio soporta hasta 24 horas sin el activo informático . En negocio no funciona sin el activo informático.
La componente de confidencialidad posee la siguiente valoración: Valor
1
Requerimientos de Confidencialidad Público
Interno
3
Confidencial Confidencial 4 Estrictamente Confidencial
5
Descripción
Incluye toda aquella información que no representa riesgo significativo para la compañía. Incluye toda aquella información que se utiliza en las actividades laborales del día a día y que puede presentar riesgos mínimos para la compañía. Incluye toda aquella información que puede presentar riesgos para la compañía, compañía, y cuyo acceso debe ser expresamente autorizado por el responsable y restringido a un grupo reducido de usuarios que la necesite para el desarrollo de sus tareas habituales. Incluye toda aquella información que puede presentar riesgos importantes para la Compañía.
1. Clasifique los siguientes siguientes activos informáticos utilizando las escalas propuestas Activo Informático
Centro de Cómputos
Plataforma Soportada
WINDOWS
Sistema de Manejo de Personal
Principal
ERP - SAP
Principal
Proveedores
Principal
Consultas automáticas de Clientes por Teléfono
Principal
Correo Electrónico
Principal
Intranet
Principal
UNIX UNIX UNIX WINDOWS WINDOWS
I
D
C
Total
Ejercicio Riesgos asociados con Amenazas Ambientales Indique qué salvaguardas, controles o medidas de protección implementaría para reducir la probabilidad en las amenazas 1, 2 y 3, y qué salvaguardas, controles o medidas de protección implementaría para reducir el impacto de las amenazas 4, 5 y 6, indicando el riesgo residual resultante.
No.
Riesgos Asociados
e d o a t i u o d a c r t c i d n B l e a i o p b r r g s m a u I b c i e o o r R P
Inundación interna
5
3
5,3
Inundación externa
4
2
4,2
3
Fuego Interno
5
4
5,4
4
Fuego Externo
5
3
5,3
5
Falta de suministro eléctrico
5
3
5,3
6
Daño por erupción volcánica
4
3
4,3
1
2
Controles Existentes
l e a d u a i d d i o t a c s c i d n e l e a i R p b r r o m a u I b c g o s o e r i P R
Vulnerabilidades Conocidas
