Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Colaboradores
TTULO: ANLISIS Y GESTIN DE RIESGOS. PILAR PONENTE: - Jos Luis Quintero Villarroya - SDG TIC. Ministerio de Defensa FECHA: Madrid 18 septiembre 2012
CSTIC 2012
Evolucin de la Seguridad
Primera Generacin (80s)
checklists (auditora del estado de seguridad de un S.I.)
CSTIC 2012
Objetivos de la seguridad
Mantener la disponibilidad de los datos almacenados, as como su disposicin a ser compartidos contra la interrupcin del servicio Mantener la integridad de los datos ... contra las manipulaciones Mantener la confidencialidad de los datos almacenados, procesados y transmitidos contra las filtraciones Asegurar la identidad de origen y destino (autenticidad) frente a la suplantacin o engao Disponer de trazabilidad Para analizar, entender, perseguir y aprender
CSTIC 2012
Riesgo: estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la organizacin
CSTIC 2012
Para proveer la base que determine la necesidad de seguridad en sus sistemas TIC.
OBJETIVOS
Determinar fortaleza de la seguridad sistemas TIC Apoyo decisin de mejoras en la seguridad
CSTIC 2012
Gestin de riesgos
Anlisis de riesgos proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una organizacin Evaluacin de los riesgos proceso en el que se coteja el riesgo estimado contra los criterios de la organizacin para determinar la importancia del riesgo
Tratamiento de riesgos seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados
CSTIC 2012
Anlisis de riesgos
estn expuestos a
activos
interesan por su
amenazas valor
causan una cierta
degradacin impacto
con una cierta
frecuencia riesgo
MAGERIT v2
CSTIC 2012
Gestin de riesgos
estn expuestos a
activos
interesan por su
amenazas valor
causan una cierta
Degradacin residual
Impacto residual
Salvaguardas*
Activo Dimensin Amenaza Nivel de riesgo
Frecuencia residual
Riesgo residual
MAGERIT v2
CSTIC 2012
CSTIC 2012
10
A. RIESGOS FORMAL. Basado en metodologa aprobada que contempla una valoracin CUANTITATIVA / CUALITATIVA de la amenazas / riesgos y salvaguardas.
CSTIC 2012
11
MAGERIT V1
METODOLOGIA DE ANALISIS Y GESTION DE RIESGOS DE LOS SISTEMAS DE INFORMACION DE LAS ADMINISTRACIONES PUBLICAS V1 AO 1997
OBJETIVO MAGERIT: Estudio de los riesgos que soporta un sistema de informacin. Recomendar contramedidas prevenir/impedir/reducir/controlar los riesgos. 7 GUAS Trabajo colegiado de:
M. Administraciones Pblicas (MAP) / M. De Defensa (MINISDEF) / M. Economa y Hacienda / M. Sanidad y Consumo / Banco de Espaa / Correos y Telgrafos / Universidad CARLOS III / Informtica CAM
CSTIC 2012
12
MAGERIT V2 (1)
AO 2005
CSTIC 2012
13
PROCESOS-ACTIVIDADES-TAREAS
CSTIC 2012
15
2. anlisis de riesgos
.1 activos .2 amenazas .3 salvaguardas .4 estado de riesgo
3. gestin de riesgos
.1 toma de decisiones .2 plan de seguridad .3 ejecucin del plan
CSTIC 2012
16
Proceso P2: Anlisis de riesgos Actividad A2.1: Caracterizacin de los activos Tarea T2.1.1: Identificacin de los activos Tarea T2.1.2: Dependencias entre activos Tarea T2.1.3: Valoracin de los activos Actividad A2.2: Caracterizacin de las amenazas Tarea T2.2.1: Identificacin de las amenazas Tarea T2.2.2: Valoracin de las amenazas Actividad A2.3: Caracterizacin de las salvaguardas Tarea T2.3.1: Identificacin de las salvaguardas existentes Tarea T2.3.2: Valoracin de las salvaguardas existentes Actividad A2.4: Estimacin del estado de riesgo Tarea T2.4.1: Estimacin del impacto Tarea T2.4.2: Estimacin del riesgo Tarea T2.4.3: Interpretacin de los resultados
Proceso P3: Gestin de riesgos Actividad A3.1: Toma de decisiones Tarea T3.1.1: Calificacin de los riesgos Actividad A3.2: Plan de seguridad Tarea T3.2.1: Programas de seguridad Tarea T3.2.2: Plan de ejecucin Actividad A3.3: Ejecucin del plan Tarea T3.3.*: Ejecucin de cada programa de seguridad
CSTIC 2012
17
PILAR / EAR
PROCEDIMIENTO INFORMATICO Y LOGICO DE ANALISIS DE RIESGOS Entorno de Anlisis de Riesgos
- proyecto CNI especificacin: CCN A.L.H. J. Maas (2003) - comit validacin: CCN + MAP + FNMT + CCAA
PILAR: uso restringido a la administracin pblica
EAR: herramienta comercial
OBJETIVO PILAR:
FACILIDAD DE USO. Realizacin de un anlisis de riesgos intuitivo en un corto espacio de
tiempo usuarios inexpertos. Realizacin SUGERENCIAS. FLEXIBILIDAD. Adaptarse a las poltica NACIONAL / EMPRESAS / OTAN / UE.
PRIORIZACIN SALVAGUARDAS.
CSTIC 2012
18
PILAR / EAR
La herramienta EAR/PILAR soporta el anlisis y la gestin de riesgos de un sistema de informacin siguiendo la metodologa Magerit,
CSTIC 2012
19
PILAR / EAR
PILAR dispone de una biblioteca estndar de propsito general, y es capaz de realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son: - Esquema Nacional de Seguridad. - ISO/IEC 27002:2005. - Los Criterios de Seguridad, Normalizacin y Conservacin (MAP) - LOPD - NIST SP 800-35 - COBIT El Centro Criptolgico Nacional (CCN) ha patrocinado el desarrollo de la herramienta comercial, que est siendo ampliamente utilizada en la administracin pblica espaola. Aceptada por OTAN para la Acreditacin de sus Sistemas NS y NTS
CSTIC 2012
20
CSTIC 2012
21
CSTIC 2012
22
Estas herramientas permiten preparar y mantener personalizaciones, que se incorporan dinmicamente a la biblioteca, extendindola para adaptarse a un determinado contexto. .
CSTIC 2012
23
PILAR Basic
Anlisis de riesgos para PYMES / Sistemas pequeos. Exportable Solo Anlisis Cualitativo Valoracin basada en dominios Salvaguardas 2 fases 2 Criterios valoracin
27002-2005 RD 1720
CSTIC 2012
24
PILAR
- PILAR reducida a la mnima expresin para realizar anlisis de riesgos muy rpidos.
- El resultado del anlisis puede cargarse en PILAR para un estudio ms detallado. - PILAR se distribuye con perfiles especficos. Slo se pueden analizar los perfiles de la distribucin (27000, ENS, OTAN)
CSTIC 2012
25
LICENCIAS
a) Si pertenece usted a una administracin pblica espaola Esta aplicacin es gratuita para administraciones pblicas espaolas. Para solicitar una licencia gratuita para el uso completo de la aplicacin debe enviar un e-mail al ccn@cni.es
b) Si no pertenece usted a una administracin pblica espaola Debe adquirir una licencia.
c) Licencia de evaluacin Permite generar una licencia de evaluacin durante 30 das.
CSTIC 2012
26
CSTIC 2012
27
ACTIVOS
Son los recursos del sistema de informacin o relacionados con ste necesarios para que la organizacin funcione correctamente y alcance los objetivos propuestos por la direccin. (V) Valor Coste que supone regresar a estado de seguridad (1-10) Valor se asocia a dimensiones:
A autenticidad
Qu importancia tendra que quien accede al activo no sea realmente quien se cree?
C confidencialidad
TIPOS
Procesos Servicios Datos / Informacin Aplicaciones (software) Sistemas Operativos Equipos informticos (hardware) Redes de comunicaciones Soportes de informacin Equipamiento auxiliar Instalaciones (locales, etc.) Personal Datos / informacin Servicios
negocio
ingeniera aprovisionamiento
CSTIC 2012
29
DEPENDENCIAS
procesos de negocio servicios prestados por la organizacin
servicios + datos
software
instalaciones
CSTIC 2012
personal
30
DEPENDENCIAS
CSTIC 2012
31
VALORACIN DE ACTIVOS
VALORACIN DE LOS ACTIVOS
Coste que supondra la ocurrencia de una amenaza No importa lo que cuesta; importa para qu vale
CSTIC 2012
32
VALORACIN DE ACTIVOS
CSTIC 2012
33
AMENAZAS
Eventos que pueden desencadenar un incidente en la organizacin produciendo daos materiales o perdidas inmateriales en sus activos. No se conoce la forma ideal, todos los mtodos son limitados terica y prcticamente Modelos de clasificacin de xito por grupos de activos por impacto en base al agente causante (escenarios de ataque) por la propia naturaleza de la amenaza
CSTIC 2012
34
AMENAZAS
Efecto de amenaza se caracteriza: (D) Degradacin. Porcentaje en el que el activo se ve perjudicado. (F) Frecuencia de ocurrencia. (ARO)
naturales
terremotos, inundaciones,... electricidad, emanaciones, ...
accidentales
industriales
CSTIC 2012
35
AMENAZAS
CLASES DE AMENAZAS Segn biblioteca
[N] Desastres naturales [I] De origen industrial [E] Errores y fallos no ntencionados [A] Ataques deliberados
CSTIC 2012
36
IMPACTO/RIESGO
Magerit : Anlisis de Riesgo
estn expuestos a
activos
Interesan por su
amenazas
valor
causan una cierta
degradacin impacto
con una cierta
I=V*D
frecuencia riesgo
R= I * F
CSTIC 2012
37
SALVAGUARDAS
MAGERIT: Procedimiento o mecanismo tecnolgico que reduce el riesgo estn expuestos a
activos
Interesan por su
amenazas
valor
causan una cierta
salvaguardas
38
SALVAGUARDAS
- Reducen la frecuencia de las Amenazas - Limitan el dao causado
Salvaguarda ideal:
- Tericamente idnea - Desplegada, Configurada y Mantenida - Se emplea siempre - Procedimientos claros uso normal e Incidencias - Usuarios formados y concienciados - Controles que avisan de fallos
CSTIC 2012
39
SALVAGUARDAS
No se puede invertir en salvaguardas ms all del valor de los propios activos a proteger.
CSTIC 2012
40
SALVAGUARDAS
Salvaguardas
CSTIC 2012
41
GESTIN RIESGOS
GESTIN DE RIESGOS
A.3.1 TOMA DE DECISIONES - Carcter Urgente Desarrollar plan de contingencia Monitorizar y gestionar las cuentas de usuarios externos) - Consideraciones importantes Documentar procedimientos de trabajo Segregar funciones de administrador - Otros.... A.3.2 PLAN DE SEGURIDAD - Detalle de los proyectos anteriores A.3.3 EJECUCIN DEL PLAN
CSTIC 2012
42
INFORMES
TEXTUALES - Modelo de valor Detalla activos, sus dependencias, dimensiones en las que son valiosos y su valor - Mapa de Riesgos Detalla amenazas significativas por cada activo. Frecuencia y degradacin - Evaluacin de Salvaguardas Detalla salvaguardas existentes. Se califican en su eficacia para reducir el riesgo. - Estado de Riesgo Para cada activo impacto/riesgo residual - Informe de insuficiencias Detalla salvaguardas necesarias pero ausentes o insuficientemente eficaces TABLAS - Asistente para generar ficheros .csv (elaborar grficos o completar informes) GRAFICOS - Impacto acumulado / Riesgo acumulado CSTIC 2012
43
CSTIC 2012
44
CSTIC 2012
45
CSTIC 2012
46
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012
Patrocinadores
#CSTIC12
Organizador
Patronos de la AEC:
Colaboradores
Cooperadores