Modelos de Control de Riesgo IT con Archer - … · (IT.SRM) que aborda los riesgos mediante la...

1 © Copyright 2014 EMC Corporation. All rights reserved.

Manuel Lorenzo – Solution Success Manager – EMEA South

Modelos de Control de Riesgo IT con

Archer

@RSAEMEA #RSAEMEASummit

La perspectiva única de RSA


RISK

COMPLIANCE

GOVERNANCE

El “ciclo del GRC” Companies

Assets & Policies

Leverage

BUSINESS GOALS

To reach their

RISKS

This journey can be prevented by

CONTROLS

…which are mitigated by

REGULATIONS

And Controls are typically defined by…

VERIFIED which must periodically…

Which are part of


La gestión del riesgo se está convirtiendo en una ventaja competitiva

La Gestión del Riesgo es el Proceso Clave


¿Qué entendemos por Riesgo?

ISO 31000: “the effect of uncertainty on objectives”

El efecto puede ser una desviación positiva o negativa

sobre lo esperado

Las diferentes perspectivas del riego dependen del contexto:


¡El “Universo del Riesgo” es complejo!

(*) Gartner - A Risk Hierarchy for Enterprise and IT Risk Managers


Diferentes contextos, diferentes definiciones… Operational Risk (OpRisk)

The risk of direct or indirect losses resulting from inadequate or failed internal

processes, people, and technology or from external events

IT Risk

The business risk associated with the use, ownership, operation, involvement,

influence and adoption of IT within an enterprise

InfoSec Risk

The risk associated with the loss of Confidentiality, Integrity and Availability (CIA)

of Information due to threats targeting IT assets leveraging specific vulnerabilities

that eventually lead to an impact (mostly economic) to the business.


¿Pero cuáles son las diferencias?

Ejemplos

Alcance • IT Risk: Activos • OpRisk: Procesos

Metodología • IT Risk: Octave, Fair, Magerit, … CUSTOM • OpRisk: pRCS, RCSA, CSA

Diferencias en la fase de Evaluación de Riesgos …

• Diferentes Interlocutores

• Diferentes Técnicas de Identificación de

Riesgos

• Diferenetes Alcances y Objetivos

• Diferentes Metodologías y Técnicas

• Diferentes evaluaciones: Cuantitativas,

Cualitativas


Enfoquémonos en la IT/InfoSec Risk…

Gracias a la flexibilidad de la plataforma de RSA GRC, se puede

implementar cualquier proceso de riesgo, incluyendo IT/InfoSec

También soportamos una aproximación al riesgo alternativa, más

pragmática, que denominamos IT Security Risk Management

(IT.SRM) que aborda los riesgos mediante la gestión de

vulnerabilidades e incidentes

La visión de

• Un proceso con el ánimo de evaluar los riesgos asociados a los

activos a partir de las amenazas a los mismos mediante

vulnerabilidades específicas

• Proceso típicamente descrito en estándares como ISO-27005 &

ISO-31000

• Básicamente gestionando “Riesgos Potenciales”

El método

tradicional…

En GRC, la terminología es clave y puede llevarnos a diferentes interpretaciones: el caso del “IT/InfoSec Risk“ o “IT Security Risk”


La aproximación tradicional a la Gestión de Riesgo IT


InfoSec Risk: ¡Pensando diferente!

El riesgo es evaluado cualitativa o cuantitativamente a través de diferentes dominios:

• Confidencialidad, Integridad, Disponibilidad

• Traceabilidad, Autenticidad

• El Alcance es un conjunto Activos IT a los que se le asignan un Valor

• Los activos se organizan como una jerarquía dinámica (usualmente asociada también a una jerarquía de activos de negocio)

• Esto implica que el riesgo se propaga a través de la jerarquía


InfoSec Risk: Propagación de Riesgo

RS

RS

RskDev4a

RskMed3a RskApp7a

RS

RS

RskFac5a

R

RskDev4b

RskInfo7a

RS

London D.C Facility 5

ERP Server Device 4

Mail Media 3

SAP App 07

Invoice Information 8

Purchase Order Information 7

RS Manually-assessed Risk Scenario =

Asset Risk Propagation

CR

CR

CR CR

CR CR

AR

AR

AR

AR

AR

AR = Asset Risk


La aproximación “Pragmáica” a la Gestión de Riesgo IT

La perspectiva “única” de RSA


Las directrices actuales son diferentes de las del pasado

Negocio e IT son más

dinámicas que en el

pasado

Tecnología está cambiando

constantemente (Cloud,

BYOD, …) y define nuevas

amenazas

Los CyberAtaques están aumentando y

son más sofisticados: cualquier compañía es

un objetivo potencial

¿Es aún válida la aproximación tradicional a la gestión del riesgo?

(Las evaluaciones de riesgo están cada vez más extendidas, pero el

número de CyberAtaques exitosos cuentan otra historia)

Dado que las evaluaciones de riesgo se realizan una o dos veces al

año, ¿Estamos seguros de dominar todos los riesgos importantes?


Gestionando el Riesgo IT: al modo de La solución de Archer IT Security Risk Management es un marco que

fomenta el foco en 4 áreas críticas para gestionar el Riesgo IT/InfoSec:

IT Security Risk

Management

Definir e implementar Políticas de Seguridad y los Estándares

Establecer y aprovechar el Contexto de Negocio

Identificar y corregir Vulnerabilidades

Detectar y Responder a ataques


El origen de los riesgos: Qué estamos haciendo

Business Asset

Business Asset

Business Asset

Business Impact

IT Asset

IT Asset

IT Asset

Technical Impact

Vulnerability

Vulnerability

Vulnerability

Security Vulnerability

Attack Agent

Attack

Attack

Attack

Attack Vector

Attack

Vulnerability

IT Asset

Business Asset

The OWASP Model (https://www.owasp.org/index.php/Top_10_2010-

Main)


El origen de los riesgos: Qué estamos haciendo

Business Asset

Business Asset

Business Asset

Business Impact

IT Asset

IT Asset

IT Asset

Technical Impact

Vulnerability

Vulnerability

Vulnerability


Attack Agent

Attack

Attack

Attack

Attack Vector

Control

Security Controls

Attack

Vulnerability

X


Main)


El origen de los riesgos: Qué podemos hacer

Business Asset

Business Asset

Business Asset

Business Impact

IT Asset

IT Asset

IT Asset

Technical Impact

Vulnerability

Vulnerability

Vulnerability


Attack Agent

Attack

Attack

Attack

Attack Vector

Control

Security Controls

Control Attack

Vulnerability

IT Asset

Business Asset

Impacto Técnico

Factible &

Efectivo

Factible &

Efectivo

Mejorar la eficiencia de la Detección de

Ataques

Mejorar la eficacia de la respuesta

antes Incidencias

Prevención de Amenazas Detección Ataques

Respuesta & Remediación

Posible ¡Difícil!

Se pueden identificar tres áreas:


Main)


La aproximación pragmática de

Prevención de Amenazas

Detección Ataques

Respuesta & Remediación

Archer Vulnerability Risk Management

Security Analytics/ECAT

Archer Security Operations

Management

Detección de Ataques y Respuesta Incidentes: mitiga el riesgo IT mejorando las capacidades de detección y haciendo más eficiente y efectivo el proceso de respuesta antes incidentes – El riesgo se mitiga actuando sobre el “impacto”

Prevención de Amenazas: mitiga el riesgo IT reduciendo las vulnerabilidades (riesgos “reales”, esperando a materializarse) importante para el negocio

– El riesgo se mitiga actuando sobre la “probabilidad”


VRM

Catálogo Activos

Descubrimiento de

Vulnerabilidades Clasificación Resolución

Seguimiento/ Informes

Escanear Todas las Redes Contexto Negocio Priorizando Según

el Riesgo Solucionar/Excepción

KPIs Dashboards

VRM Vulnerability

Scanner

RSA VRM

Resultado Scanner

Contexto de

Negocio Inteligencia de

Amenazas

+ +

= Vulnerabilidades Priorizadas

Workflow

KPI

Informes

Escalabilidad

Velocidad

Precisión

Σ


Aproximación Tradicional vs. Complementarias, no alternativas!

Característica Aproximación Tradicional Aproximación de RSA

Objetivo Identificar, Evaluar, Remediar los riesgos mediante metodologías (Octave, FAIR, Magerit, Mehari, …)

Mitigar los riesgos haciendo los procesos de gestión de vulnerabilidades y la respuesta antes incidentes más efectivos y eficientes

Identificación del Riesgo

Identificar riesgos que pueden o no materializarse (riesgos potenciales)

Vulnerabilidades reales, esperando a una amenaza que las aproveches (aproximación pragmática)

Mitigación del Riesgo

Creación de planes de remediación y controles. No siempre alineados con las necesidades de negocio.

Ofrecer herramientas para solucionar las vulnerabilidades que más impactan a los procesos de negocio y gestionar los incidentes eficientemente

Frecuencia

Generalmente una o dos veces al año. ¡El resultado puede estar desactualizado cuando se termina el informe!

Básicamente en Tiempo Real. Solucionando las vulnerabilidades según se descubren y gestionando de forma inmediata los incidentes.

Medible Sí, dependiendo del modelo de evaluación

Sí, pero se necesita definir un algoritmo: f(#incidentes, #vulnerabilidades)


Uniendo el Riesgo IT/InfoSec con el Riesgo Operacional


Desde el Riesgo IT/InfoSec al OpRisk

Order to Cash Process

Order Management Sub Process

Domestic Sales Business Unit

Product Delivery Sub Process

Invoice Management Sub Process

Credit Collection Sub Process

RS

RS

RskDev4a

RskMed3a RskApp7a

RS

RS

RskFac5a

R

RskDev4b

RskInfo7a

RS

London D.C Facility 5

ERP Server Device 4

Mail Media 3

SAP App 07

Invoice Information 8

Purchase Order Information 7

RS Manually-assessed Risk Scenario =

Asset Risk Propagation

CR

CR

CR CR

CR CR

Process Risk Propagation

CR

CR

CR

CR

CR

CR = Cumulative Risk

AR

AR

AR

AR

AR

PR = Process Risk AR = Asset Risk

PR

PR

PR

PR

Op Risk


El Escenario Final RSA puede Gestionar

Domestic

Sales Business Unit

London

D.C

ERP

Server

Mail SAP

Invoice Purchase

Order Order to Cash

Process

Order

Management

Product

Delivery

Invoice

Management

Credit

Collection

EMEA

Division

Company

ICT BUSINESS

I.S.R.A. Tools

OpRisk Tools

Risk Hierarchy Risk

Hierarchy Risk Hierarchy

• IT y Negocio pueden independientemente evaluar sus propios riesgos.

• Los procesos son el punto ideal de convergencia de los riesgos IT/InfoSec y Operacional.

• GRC Archer ayuda a proporcionar a los responsables una visión única y unificada del riesgo


Conclusiones El riesgo es un concepto complejo: ¡existen diferentes ámbitos, aproximaciones y metodologías!

Hoy en día, debido al contexto de negocio e IT, es obligatorio alcanzar la apropiada visibilidad de los riesgos para tener una ventaja competitiva

Con respecto al Riesgo IT, puede ayudar tanto con la aproximación tradicional como con una aproximación única y pragmática a la mitigación de riesgos (Archer IT.SRM)

La aproximación de es complementaria y no alternativa a la aproximación tradicional de evaluación de riesgos

EMC, RSA, the EMC logo and the RSA logo are trademarks of EMC Corporation in the U.S. and other countries.

Modelos de Control de Riesgo IT con Archer - … · (IT.SRM) que aborda los riesgos mediante la...

Documents

Transcript of Modelos de Control de Riesgo IT con Archer - … · (IT.SRM) que aborda los riesgos mediante la...