Análisis de Riesgos

ramirocid.com [email protected] Twitter: @ramirocid

Análisis de Riesgos

Ramiro Cid | @ramirocid

1




2

Índice

1. Análisis de riesgos: Primer acercamiento Pág. 3

2. Activos Pág. 22

3. Amenazas Pág. 28

4. Vulnerabilidades Pág. 41

5. Impacto Pág. 43

6. Gestión de Riesgos Pág. 47

7. Cálculo del Riesgo Pág. 55

8. Comparativa de metodologías de análisis de riesgos Pág. 62



Análisis de riesgos: Primer acercamiento

� “Corresponde al proceso de identificar los riesgos, desde el punto de vista

de la seguridad, determinando su magnitud e identificando las áreas que

requieren medidas de salvaguarda”.



Gestión global de Seguridad de un Sistema de Información

Fases:

Análisis y Gestión de Riesgos

Determinar Objetivos y Política de Seguridad

Establecer Planificaciónde Seguridad

Implantar Salvaguardas

Monitorización y gestión de Cambios en la

Seguridad



¿Qué es un Análisis de Riesgos?

¿qué hay que hacer para no verse

afectado por ellas?

? Documento donde se describe, para su posterior análisis y

ayuda a la toma de decisiones...

¿qué hay en el sistema?

¿qué amenazas le afectan?



Plan Director de Seguridad

� Análisis de Riesgo (Problemas encontrados) [A.R.]

� Gestión de Riesgos (Propongo soluciones) [G.R.]

[A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]



Resumen del procedimiento de análisis

Gestión delriesgo

Identificación

y valoración de activos

Valoración de amenazas y vulnerabilidades




Evaluación de riesgos y gastos

Gestión del riesgo:

Proceso de equilibrar el coste de protección con el coste de exposición.

Coste de Equilibrio

Nivel de Seguridad

Decisiones:

� Aceptarlo

�Asignación a terceros

� Evitarlo

Riesgos Seguridad



¿Por qué realizarlo?

� Permite identificar los riesgos de la seguridad de la información que

podrían afectar en el desarrollo de las actividades de negocio

� Facilita la correcta selección de las medidas de seguridad a implantar

� Creación de los plantes de contingencias en previsión de las amenazas

detectadas

� Necesario en el diseño, implantación y certificación de un SGSI (es el

primer paso en la implementación de un SGSI)



Tipos de Análisis

Hay dos tipos de análisis de riesgos según las cosas que tienen en cuenta:

� Intrínseco es aquel que se realiza sin tener en cuenta aquellas contramedidas que ya se están aplicando.� Da como resultado el Riesgo Intrínseco

� Residual es aquel que se realiza teniendo en cuenta las contramedidas ya aplicadas. � Da como resultado el Riesgo Residual



Elementos del Análisis

� Activos: Los activos son todos aquellos elementos que forman parte del

Sistema de Información.

� Amenazas: Las amenazas son todas aquellas cosas que le pueden

suceder a los activos que se salen de la normalidad.

� Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por

las amenazas para dañar a un activo (son los agujeros de seguridad).

� Impacto: Consecuencia de la materialización de una amenaza sobre un

activo



Elementos del Análisis (continuación)

� Controles: Son todos aquellos mecanismos que permiten reducir las

vulnerabilidades de los sistemas.

� Riesgos: Son el resultado del análisis de riesgo.

El riesgo es una ponderación del valor del activo, la probabilidad que

suceda una amenaza y el impacto que tendría sobre el sistema.

Riesgo = Valor Activo + Probabilidad + Impacto



Relaciones

Incrementan

Poseen

GeneranGeneran

Protegen contraIncrementan

Incrementan Exponen

Aprovechan las

RiesgosControles

Amenazas Vulnerabilidades

Requerimientos de Seguridad

Activos

Valor de los activos e impactos potenciales



Algunas Conclusiones

� Lo que se pretende en la Gestión de riesgos es reducir la probabilidad y/o el impacto. La

amenaza no se puede reducir, lo que se intenta es eliminar la vulnerabilidad para que con

esto la probabilidad de ocurrencia de la amenaza disminuya o sino se trata de que el impacto

en caso de ocurrencia sea menor

� Una buena práctica utilizada para empresas grandes es aplicar primero NIST para filtrar los

riesgos altos, luego se realiza sobre estos Magerit o CRAMM sobre estos



Metodologías (I): MAGERIT

Es una metodología de

Análisis y Gestión del

Riesgos de los sistemas de

información desarrolladas

por el Ministerio de

Administraciones Públicas.

Solo se aplica en el ámbito

español.



Fases de MAGERIT

Toma de datos. Procesos de la

Información

Dimensionamiento. Establecimiento de

Parámetros

Análisis activos Y salvaguardas

Establecimiento impactos

Establecimiento vulnerabilidades

Análisis de amenazas

Análisis Riesgo Intrínseco

Influencia de salvaguardas

Análisis Riesgos efectivo

Evaluación de riesgos



Toma de datos y procesos de la información

� Objetivos:

� Definir el área de aplicación del estudio (alcance) y el objetivo final del análisis de riesgos.

� Tener una visión global del proceso de información en la organización.

� Establecer el grado de análisis en unidades homogéneas en todo el alcance (granularidad)



Establecimiento de parámetros

Parámetros para valorar los activos y salvaguardas: Se debe asignar una

valoración económica a los activos.

� Valoración real: valor que tiene para la empresa la reposición del activo en las condiciones anteriores a la acción de la amenaza

� Valoración estimada: medida subjetiva de la empresa que, considerando la importancia del activo, le asigna un valor económico.

Valoración Rango Valor

Muy Alto Valor > 200.000€ 300.000€

Alto 100.000€< valor > 200.000€ 150.000€

Medio 50.000€< valor > 100.000€ 75.000€

Bajo 10.000€< valor > 50.000€ 30.000€

Muy bajo < 10.000€ 10.000€




Para la estimación de la vulnerabilidad, hay que estimar la frecuencia de

ocurrencia de las amenazas en una escala de tiempos.

Vulnerabilidad Rango Valor

Extrema Frecuencia 1 vez al día 0,997

Alta Frecuencia 1 vez cada 2 semanas 0,071

Frecuencia media 1 vez cada 2 meses 0,016

Baja Frecuencia 1 vez cada 6 meses 0,005

Muy baja Frecuencia 1 vez al año 0,003




Parámetros para la estimación del impacto, hay que estimar el grado de daño

producido por la amenaza en los activos

Impacto Valor

Muy alto 99%

Alto 75%

Medio 50%

Bajo 20%

Muy bajo 5%




Parámetros para estimar la influencia de las salvaguardas: disminuyen el

riesgo calculado (probabilidad o impacto)

Variación impacto/vulnerabilidad Valor

Muy alto 95%

Alto 75%

Medio 50%

Bajo 30%

Muy Bajo 10%



“Los activos son todos aquellos elementos que

forman parte del Sistema de Información”.

Definición de activos



Detección y Clasificación de activos

� Activos físicos: Hardware

� Los activos físicos son aquellas cosas que forman parte de la empresa como material de ayuda a desempeñar una actividad. Ejemplo: Ordenador, Impresora, ...

� Activos lógicos: Software

� Los activos lógicos son aquellos programas o datos que forman parte del conocimiento de la empresa para desempeñar la actividad. Ejemplo: BD, Intranet Corporativa, ...




� Personal: Roles del Sistema

� Los roles del personal relacionados con la seguridad, son todas aquellas responsabilidades que hay que asumir en cuanto a la seguridad del sistema.

� Forum de seguridad � Responsable de seguridad� Operador de Copia de Seguridad� ...




� Entorno

� Aire Acondicionado � Sistema Eléctrico� instalaciones adicionales

� Imagen Corporativa

� La fiabilidad, y la imagen de la empresa son uno de los activos más importantes a la hora que los clientes depositen en ella su confianza.




� Se clasifican según su:

� Confidencialidad (libre, restringida, protegida, confidencial, etc.)� Autenticación (baja, normal, alta, crítica)� Integridad (bajo, normal, alto, crítico)� Disponibilidad (menos de una hora, menos de un día, menos de una

semana, más de una semana)



Valoración de activos

VALORACIÓN: Coste TOTAL que tendría para la empresa su pérdida:

� Valor de reposición� Valor de configuración, puesta a punto, etc.� Valor de uso del activo� Valor de pérdida de oportunidad



“Las amenazas son todas aquellas cosas que le pueden

suceder a los activos que se salen de la normalidad”

Definición de amenazas



Tipo de amenazas

Las amenazas normalmente dependen del negocio de la empresa y del tipo de

sistema que se quiere proteger

Ejemplos:

� Empresa de desarrollo de sistemas

� ISP� Colegio Profesional

� Universidad



Listado de amenazas

� Accidentes

� Errores

� Amenazas Intencionales Presenciales

� Amenazas Intencionales Remotas



Amenazas - Accidentes

� Accidente físico

� Incendio, explosión, inundación por roturas, emisiones radioeléctricas, etc.

� Avería

� De origen físico o lógico, debida a un defecto de origen o durante el funcionamiento del sistema.

� Interrupción de Servicios esenciales

� Energía� Agua� Telecomunicación

� Accidente mecánico o electromagnético:

� Choque� Caída� Radiación



Listado de amenazas

� Accidentes

� Errores





Amenazas - Errores

� Errores de utilización del sistema, provocados por un mal uso, ya sea

intencionado o no

� Errores de diseño conceptuales que puedan llevar a un problema de

seguridad

� Errores de desarrollo derivados de la implementación de alguna

aplicación o de la implantación de un sistema en producción



Amenazas - Errores

� Errores de actualización o parcheado de sistemas y aplicaciones

� Monitorización inadecuada

� Errores de compatibilidad entre aplicaciones o librerías

� Errores inesperados

� Virus

� Otros ¿?



Listado de amenazas

� Accidentes

� Errores





Amenazas Intencionales Presenciales

� Acceso físico no autorizado

� Destrucción o sustracción

� Acceso lógico no autorizado

� Intercepción pasiva de la información� Sustracción y/o alteración de la información en tránsito



Amenazas Intencionales Presenciales

� Indisponibilidad de recursos

� Humanos: motivos de huelga, abandono, enfermedad, baja temporal, etc

� Técnicos: desvío del uso del sistema, bloqueo, etc

� Filtración de datos a terceros: apropiación indebida de datos,

particularmente importante cuando los datos son de carácter

personal (LOPD)



Listado de amenazas

� Accidentes

� Errores





Amenazas Intencionales Remotas

� Acceso lógico no autorizado

Acceso de un tercero no autorizado explotando una vulnerabilidad del sistema para utilizarlo en su beneficio.

� Suplantación del origen

Intercepción de una comunicación escuchando y/o falseando los datos intercambiados



Amenazas Intencionales Remotas

� Gusanos

� Virus que utilizan las capacidades de servidores y clientes de internet para transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las variantes.

� Denegación de servicio

� Contra el ancho de banda: Consumir todo el ancho de banda de la máquina que se quiere aislar

� Contra los recursos físicos del sistema: Consumir toda la memoria y los recursos que la máquina utiliza para ofrecer su servicio



Debilidad o agujero en la organización de la seguridad

¡Una vulnerabilidad en si misma no produce daños.

Es un condicionante para que una amenaza afecte a un activo!

Definición de vulnerabilidad



Vulnerabilidades

El cruce de un activo sobre el que puede materializar una amenaza, da lugar

a una vulnerabilidad

Activo Amenaza Vulnerabilidad

01 - Servidor Fallo del sistema

eléctrico

Dependiente de la

corriente

Acceso lógico no

autorizado

Accesibilidad al

sistema



“Es la consecuencia de que una amenaza se materialice

sobre un activo”

Definición de impacto



Valoración de Impactos

Identificación de impactos:

� Como el resultado de la agresión de una amenaza sobre un activo� El efecto sobre cada activo para poder agrupar los impactos en cadena según

la relación de activos� El valor económico representativo de las pérdidas producidas en cada activo� Las pérdidas pueden ser cuantitativas o cualitativas



Acción de las salvaguardas

Se analiza el efecto de las salvaguardas sobre los impactos y/o las

vulnerabilidades

Preventivas:

� Disminuyen la vulnerabilidad� Nueva vulnerabilidad= (Vulnerabilidad+% disminución vulnerabilidad)

Curativas:

� Disminuyen el impacto� Nuevo impacto= (Impacto+disminución impacto)



Evaluación de riesgos

Identifica el coste anual que supone la combinación de activo, amenaza,

vulnerabilidad e impacto.

Riesgo intrínseco

� Valor activo * Vulnerabilidad * Impacto

Riesgo efectivo

� Valor efectivo * Nueva vulnerabilidad * Nuevo Impacto= Valor activo * (Vulnerabilidad * % Disminución Vulnerabilidad) * (Impacto * % Disminución Impacto)= Riesgo intrínseco * % Disminución Vulnerabilidad * % Disminución del Impacto



Gestión de Riesgos

Gestionar los riesgos identificados:

� Determinar si el riesgo es aceptable� SI: Identificar y aceptar el riesgo residual� NO: Decidir sobre la forma de gestionar el riesgo

Forma de gestionar el riesgo:

� Evitarlo: suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad� Transferido: cambiar un riesgo por otro: Outsourcing, seguros, etc.� Reducirlo: reducir la amenaza, vulnerabilidad, impacto� Asumirlo: Detectar y recuperar (Statu quo).

��

x



Gestión de Riesgos

Identificar requisitos de seguridad

Identificar requisitos de seguridad

¿Hacemos algo?

¿Reducimos riesgos?

Eliminar el origen del riesgo, o transferido

Proceso de reducción de nivel de riesgo

Selección de controles



Gestión de riesgos

Una vez se tiene decidido que es lo que hay que hacer se elaborar el:

PLAN DE ACCIÓN

� Establecer prioridades� Plantear un análisis de coste-beneficio� Hacer la selección definitiva de controles a implantar� Asignar responsabilidades� Desarrollar un plan de gestión de riesgos� Implantar los controles



Resumen. Vulnerabilidad /Impacto y Riesgo

intrínseco22.502,

4 5 6

Personal de

desarrollo de SW

y HW PC's desarrollo PC's hardware

PC's entorno de

pruebas DIA AÑO

EN-003 SI-001 SI-002 SI-003

Nº Código Nombre 50000 10000 10000 2500

1 A1-001

Incendio en oficinas

0,003 50% 0,003 50% 0,003 50%

- 13,70 13,70 3,42 30,82 11.249,3

3 A2-001

Avería hardware

0,005 50% 0,005 50% 0,005 50%

- 27,40 27,40 6,85 61,65 22.502,2

5 P1-001

Acceso físico a oficinas

0,003 5% 0,003 5% 0,003 5%

- 1,37 1,37 0,34 3,08 1.124,2

6 P2-001

Acceso lógico interno a los

sistemas

0,005 50% 0,005 50% 0,005 50%

- 27,40 27,40 6,85 61,65 22.502,2

8 P5-002

No disponibilidad de personal

0,00274 50%

68,49 - - - 68,49 24.998,8

Riesgo intrínseco anual por activo 24.998,8 € 25.502, € 25.502 € 6.372,9 €

---82.376,7



Metodologías: NIST ST 800-30

Metodología de origen Americano que se apoya en los siguientes pasos:

Determinación del sistema

Identificación de vulnerabilidades

Identificación de amenazas

Estudio de las salvaguardas

Determinación de la probabilidad

Determinación del Riesgo

Análisis del impacto




Probabilidad de la

amenaza

Impacto

Bajo (10) Medio (50) Alto (100)

Alto (1.0) Bajo Medio Alto

Medio (0.5) Bajo Medio Medio

Bajo (0.1) Bajo Bajo Bajo




Nivel de

riesgoAcciones

AltoAplica medidas para controlar el riesgo de forma

inmediata

MedioAplica medidas para controlar el riesgo en un

periodo de tiempo razonable

BajoAnalizar si aceptar el riesgo o aplicar medidas de

control




Activo Vulnerabilidad Amenaza Fuente Característica

Director

General

No cláusula de

exclusividad

Oferta

competenciaX X X 0,5 100 Medio

Base

Datos

Cliente

Mala

configuración

Publicación

de datos

privados

X X 0,1 100 Bajo

ImagenPolítica firewall

inadecuada

Cambio

contenido

Web

X X 0,1 100 Bajo

Natural

Hum

ana

Entorno

Disponibilidad

Confidencialidad

Integridad

Probabilidad

Impacto

Riesgo



Cálculo del Riesgo

El riesgo es una ponderación del valor del activo, la probabilidad que suceda

y el impacto que tendría sobre el sistema.

Valor (+) probabilidad (+) impactoValor (+) probabilidad (+) impactoValor (+) probabilidad (+) impactoValor (+) probabilidad (+) impacto



Riesgo

Probabilidad 1 2 3 4 5

Impacto 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5Valor

1 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 112 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 123 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 134 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 145 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14 11 12 13 14 15

de 3 a 7 No es necesario controlde 8 a 10 Control recomendadode 11 a 15 Control obligatorio



Ejemplo de Análisis de riesgos

Internet

Explorer (6.0;

5.5; 5.0; 4.01)

3 E01 - Errores de utilización Susceptible a errores humanos de

utilización

1 1 5

3 E02 - Errores de diseño,

integración y explotación

Susceptible a errores humanos en los

procesos de diseño, integración y/o

explotación

3 3 9

3 E04 - Inadecuación de

monitorización, trazabilidad,

registro del tráfico de información

Existencia de una falta de revisión de

logs, o de un proceso inadecuado de

dicha revisión

3 1 7

3 E07 - Errores de actualización Susceptible de no estar correctamente

actualizado

3 2 8

3 AP03 - Acceso lógico no autorizado

con alteración o sustracción de la

información, en tránsito o de

configuración

Debilidad en el control de acceso

lógico al S.O.

4 3 10

Uso descuidado de los sistemas por

parte de los trabajadores, dejando sus

terminales accesibles

2 3 8

3 AT02 - Acceso lógico no autorizado

con corrupción o destrucción de

información en tránsito o de

configuración


lógico al S.O.

4 3 10

Debilidad en el sistema antivirus 1 3 7

3 AT03 - Acceso lógico no autorizado

con modificación (inserción y/o

repetición) de información en

tránsito


lógico al S.O.

4 3 10



Cálculos

técnicos (de

simulacione

s

4 E01- Errores de utilización Los empleados comenten errores durante

la realización de las diferentes tareas que

pueden provocar la destrucción o

modificación de las informaciones

1 2 7

4 E05 - Errores relacionados con

la formación y la concienciación

del personal

Uso descuidado de la información en papel

por parte de los trabajadores, dejando

información confidencial accesible

4 3 11

4 AP06 - Robo y sabotaje Uso descuidado o inadecuado de los

controles de acceso físico al edificio

3 5 12

Posibilidad de enviar información a través

del correo electrónico sin ningún control

de direcciones, tanto de remitente como de

recepción

3 5 12

No está controlada la destrucción de los

soportes en los que se guarda la

información (destructora de papel, borrado

seguro de las informaciones, etc.)

2 5 11

4 AT01 - Acceso lógico no

autorizado con sustracción

Las informaciones enviadas no viajan

encriptadas con los que podría ser posible

interceptar y obtener dichas informaciones

2 4 10

4 AT03 - Acceso lógico no

autorizado con modificación de

información en tránsito

Las informaciones enviadas no viajan

encriptadas ni firmados con los que podría

ser posible interceptar y modificar dichas

informaciones

2 3 9

Ejemplo de Análisis de riesgos



Contramedidas

Según el riesgo

� Recomendaciones a la dirección una serie de contramedidas que pueden aplicar a su sistema para paliar el riesgo obtenido, ya sea intrínseco o residual



Evaluación de riesgos y gastos

� Es necesario conocer su COSTE (anual) / VALOR

� Es necesario determinar claramente la RESPONSABILIDAD sobre cada

activo

� Es necesario conocer qué AUTORIDAD existe



Referencias06

Documentación para ampliar conocimientos:

BSI e ISO:

1. Normas BSI: http://www.bsi-global.com

2. Web oficial de la ISO: http://www.iso.org/

3. Wikipedia (ISO 17799): http://es.wikipedia.org/wiki/ISO/IEC_17799

4. Wikipedia (ISO): http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n

Metodologías de Análisis de riesgos:

1. Web de AENOR (Asociación Española de Normalización y Certificación) http://www.aenor.es/

2. Buscador de normas AENOR http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp

3. Magerit: Web del Consejo Superior de Administración Electrónica http://www.csi.map.es/

4. CRAMM: http://www.cramm.com/

5. NIST SP 800-30: Web oficial de la Nist: http://www.csrc.nist.gov/index.html

6. NIST SP 800-30: Publicaciones de la Nist: http://www.csrc.nist.gov/publications/nistpubs/

7. Octave: http://www.cert.org/octave/



Comparativa de Metodologías – Valoración de los elementos de análisis:

Activo Valoracion Amenaza VulnerabilidadProbabilida

d que ocurra

Impacto Riesgo

Magerit Activo XValor del

Activo (medido en €)

Amenaza Y No lo requiereFrecuencia

Z

% del valor del activo que se pierde sí el impacto se

produce

Valor de la perdida diaria que resulta de la multiplicacion del valor del activo con laprobabilidad de ocurrencia

de la amenaza

CRAMM Activo X [1-5] Amenaza Y Vulnerabilidad WFrecuencia

Z [1-5][1-5] Escala [3 a 15]

NIST SP 800-30

Activo XAlto-Medio-

BajoAmenaza Y Vulnerabilidad W

Frecuencia Z Alto-

Medio-BajoAlto-Medio-Bajo Alto, medio y bajo

Octave Activo X

Busca el riesgo más alto es un árbol de desición

Amenaza Y Vulnerabilidad WFrecuencia

ZBusca el riesgo más alto es

un árbol de desición



Comparativa de Metodologías:

Puntos a Destacar

Magerit CRAMM NIST SP 800-30 Octave

País que la creo

España Reino Unido Estados Unidos Estados Unidos

Responsable del Producto

Secretaría de Estado para la Administración Pública

Cramm. El cual pertenece a Siemens

National Institute of Standards and Technology (NIST)

Software Engineering Institute (SEI) y Carnegie Mellon

University (CMU)

WebSite

Versión 1: http://www.csi.map.es/csi/pg5m

22.htmVersión 2:

http://www.csi.map.es/csi/pg5m20.htm

http://www.cramm.com/

http://www.csrc.nist.gov/index.htmlPublicaciones:

http://www.csrc.nist.gov/publications/nistpubs/

http://www.cert.org/octave/

VersionesVersión 1 (1997)Versión 2 (2006)

Ultima versión: CRAMM NATO V5.3

Publicación 800-30 (2002)OCTAVESM Method Version

2.0

Herramienta para aplicar la metodología

Herramientas:* PILAR

* CHINCHON

Un gran numero de herramientas de analisis y gestión de la información

resultante de estas (ejemplo: CRAMM Express)

Según lo investigado, la norma no especifica un producto en concreto

para el analisis

Según lo investigado, la norma no especifica un producto en

concreto para el analisis, habla genericamente de 'Vulnerability

Evaluation Tools'

Principales Conceptos

Activos, amenazas, vulnerabilidades, impactos,

riesgos y salvaguardas

Activos, amenazas, vulnerabilidades, riesgos,

salvaguardas (contramedidas)

Amenazas, vulnerabilidades, riesgos, controles

Activos, amenazas, vulnerabilidades, riesgos




Puntos a Destacar


Fases

1- Planificación del Proyecto de Riesgos (como consideraciones iniciales para

arrancar el proyecto de Análisis y Gestión de Riesgos)

2- Análisis de riesgos (Se identifican y valoran las diversas entidades,

obteniendo una evaluación del riesgo, así como una estimación del umbral de

riesgo deseable)3- Gestión de riesgos (Se identifican las

funciones y servicios de salvaguarda reductoras del riesgo)

4- Selección de salvaguardas (plan de implantación de los mecanismos de

salvaguarda elegidos)

1- Identificación y valoración de activos (se identifican los activos físicos, software, y los activos de

datos que conforman los sistemas de información)

2- Valoración de las amenazas y vulnerabilidades (determinar cuál es la probabilidad de que esos problemas

ocurran)3- Selección y recomendación de

contramedidas (CRAMM contiene una gran librería de más de 3000

contramedidas organizadas en 70grupos)

1- Iniciación (identificar riesgos es usado para soportar el desarrollo de los

requerimientos del sistema)2- Desarrollo o adquisición (El sistema IT es

diseñado, expresado y propuesto o construido)

3- Implementación (los activos de seguridad del sistema son configurados, habilitados,

testeados y verificados4- Operación o mantenimiento (las

actividades de mantenimiento para la reducción del riesgo son realizadas)

5- Disposición (las actividades de administración de riesgos son realizadas en

los componentes del sistema)

1- Construcción de las vulnerabilidades basadas en los activos (visión

organizacional)2- Identificación de las vulnerabilidades de la infraestructura (visión tecnológica)

3- Desarrollo de estrategia de seguridad y planes de mitigación de las vulnerabilidades (estrategia y plan de

desarrollo)

Principales Características

* Habla de análisis algorítmico con 3 modelos: cualitativo, cuantitativo y

escalonado* En la versión 2 posee 3 documentos:

Catalogo, Metodo y Tecnicas

* > 400 tipos de activos* 38 tipos de amenazas* > 25 tipos de impactos* 7 medidas de riesgo

* > 3500 controles

* Otorga gran importancia a los controles* Habla de perfiles claves dentro de la

organización respecto a la responsabilidad de la administración del riesgo

* Posee 'Self-Direction'. Una pequeño equipo del personal de la misma

organización es involucrado en los procesos de implementación de la

metodología (personal de IT y de otros departamentos)

* Creación de un pequeño equipo interdiciplinario de analisis de la

información* Acercamiento basado en workshop

donde personas de distintos niveles de la organización trabajan para identificar las vulnerabilidades basandose en los

activos* Catalogos de la información:

Catalogos de practicas, Perfil de activos, catalogo de vulnerabilidades

* Habla de un balance entre 3 aspectos: Tecnología, Riesgo Operacional y

Prácticas de seguridad




Puntos a Destacar


Aplicación* Analisis de riesgos* Gestión del riesgos

* Plan Director de Seguridad

* Analisis de riesgos* Gestión del riesgos






Quien lleva a cabo la

metodología

* Pequeño grupo interdiciplinario conformado por empleados de la misma

empresa

* Pequeño grupo interdiciplinario conformado por empleados de la

misma empresa

* Pequeño grupo interdiciplinario conformado por empleados de la

misma empresa

* Pequeño grupo interdiciplinario conformado por empleados de

la misma empresa

Costo

* No tiene costo, ya que es una normativa de libre aplicación* Plantea un analisis de costo beneficio, expresa una formula

de ROI (Retorno de la inversión)

La versión 4 costaba por el año 2001:

* Para una compañía comercial: £2800 + £850 al año de

mantenimiento* Para agencias y departamentos

del estado britanico: £1600 + £850 al año de mantenimiento

* Habla de costo relacionado con el beneficio, otorgando una condición relativa al costo de un plan director de seguridad, siempre que el costo

sea menor al costo del riesgo analizado y solventado, el costo

será bajo

* Uso Interno: Gratuito* Uso Externo: Se debe comprar

la licencia al SEI si se quiere implementar la metodología a un

tercero

Resultado del analisis (outputs)

Resultados ordinales y cardinales

* Tabla de valorazión del riesgo sobre los activos (escala de 1 a

10)

* Lista de controles recomendados* Resultados de la documentación

Fase 1: Activos Critivos, requerimientos criticos para

activos criticos, vulnerabilidades de activos criticos, lista de

practicas de seguridad actuales, lista de vulnerabilidades

actuales de la organizaciónFase 2: Componentes clave, vulnerabilidades tecnologicas

actualesFase 3: Riesgos de los activos

críticos, metricas del riesgo, estrategia de protección, planes

de mitigación del riesgo



Comparativa de Metodologías – Ventajas:

Puntos a Destacar

Magerit CRAMMNIST SP 800-30

Octave

Ventajas

Ambito de Aplicación

N/A

Se puede aplicar a nivel internacional (CRAMM v.5.1 ha sido usado en 23

países)

Internacional Internacional

Derecho de Utilización

Su utilización no requiere autorización previa del Ministerio de Administraciones

Públicas

N/A N/A* Uso interno:

Ilimitado

Herramienta para aplicar la metodología

Gratuita pero limitada. Se puede solicitar una

versión ampliada

Una gran cantidad de herramientas de

aplicación de la metodología.

N/A N/A

CertificaciónFacilita la

certificación: ISO 17999

Facilitar la certificación de BS 7799 e ISO 17999

Facilita la certificación: ISO 17999

Facilita la certificación: ISO

17999



Comparativa de Metodologías – Desventajas:

Puntos a Destacar


Desventajas

Ambito de Aplicación

* Solo de puede aplicar a nivel nacional (sólo en España) por lo

que no se está certificado internacionalmente

* No se puede aplicar en empresas multinacionales que

precisen aplicar una unica metodología de analisis de

riesgo para todos los países

N/A N/A N/A

Derecho de Utilización

N/A

* Hay que pagar el costo de la

licencia (más alla del costo de la

implementación del analisis y del mantenimiento)

* Hay que pagar el costo de la licencia (más alla del costo

de la implementación del analisis y del mantenimiento)

* Uso externo: Limitado al pago

de la licencia para su utilización



¿Dudas? ¿preguntas?

¡¡ Muchas Gracias !!

[email protected]

@ramirocid

http://www.linkedin.com/in/ramirocid

http://ramirocid.com http://es.slideshare.net/ramirocid

http://www.youtube.com/user/cidramiro

Ramiro CidCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

Análisis de Riesgos

Technology

Transcript of Análisis de Riesgos