Dominando los riesgos se compite mejor

ANLISIS Y GESTIN DE RIESGOS Herramienta PILAR

Patrocinadores

Jos Luis Quintero Villarroya

Subdireccin General TIC MINISTERIO DE DEFENSA

Colaboradores

 FORO: ASOCIACIN ESPAOLA DE CALIDAD

CSTIC 2012

TTULO: ANLISIS Y GESTIN DE RIESGOS. PILAR PONENTE: - Jos Luis Quintero Villarroya - SDG TIC. Ministerio de Defensa FECHA: Madrid 18 septiembre 2012

CSTIC 2012

Evolucin de la Seguridad
Primera Generacin (80s)
checklists (auditora del estado de seguridad de un S.I.)

Segunda Generacin (90s)

mtodos especficos (anlisis de riesgos, coste-beneficio)

Tercera Generacin (200x)

modelos de seguridad conectados a otros mtodos (desarrollo ) nuevas tcnicas (gestin, comunicaciones, ...) SGSI: sistemas de gestin de la seguridad de la informacin

CSTIC 2012

Objetivos de la seguridad
Mantener la disponibilidad de los datos almacenados, as como su disposicin a ser compartidos contra la interrupcin del servicio Mantener la integridad de los datos ... contra las manipulaciones Mantener la confidencialidad de los datos almacenados, procesados y transmitidos contra las filtraciones Asegurar la identidad de origen y destino (autenticidad) frente a la suplantacin o engao Disponer de trazabilidad Para analizar, entender, perseguir y aprender

CSTIC 2012

Seguridad de los Sistemas de Informacin

La capacidad de los SI de resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles

Riesgo: estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la organizacin

CSTIC 2012

 Para que se utiliza el Anlisis y Gestin de Riesgos ?

Para proveer la base que determine la necesidad de seguridad en sus sistemas TIC.

OBJETIVOS
Determinar fortaleza de la seguridad sistemas TIC Apoyo decisin de mejoras en la seguridad

CSTIC 2012

Gestin de riesgos
Anlisis de riesgos proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una organizacin Evaluacin de los riesgos proceso en el que se coteja el riesgo estimado contra los criterios de la organizacin para determinar la importancia del riesgo

Tratamiento de riesgos seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados

CSTIC 2012

Anlisis de riesgos
estn expuestos a

activos
interesan por su

amenazas valor
causan una cierta

degradacin impacto
con una cierta

frecuencia riesgo
MAGERIT v2

CSTIC 2012

Gestin de riesgos
estn expuestos a

activos
interesan por su

amenazas valor
causan una cierta

Degradacin residual
Impacto residual

Salvaguardas*
Activo Dimensin Amenaza Nivel de riesgo

con una cierta

Frecuencia residual

Riesgo residual
MAGERIT v2

*Procedimiento o mecanismo tecnolgico que reduce el riesgo.

CSTIC 2012

Qu hacer con el riesgo?

Evitarlo si se puede ... es la solucin ideal Reducirlo | mitigarlo ocurre menos impacto limitado Transferirlo se le pasa a otra organizacin ya no es mi problema Asumirlo | aceptarlo pasa a contabilizarse como gasto operacional

CSTIC 2012

10

ANALISIS RIESGOS CCN-STIC 101

A. RIESGOS FORMAL. Basado en metodologa aprobada que contempla una valoracin CUANTITATIVA / CUALITATIVA de la amenazas / riesgos y salvaguardas.
CSTIC 2012
11

MAGERIT V1

METODOLOGIA DE ANALISIS Y GESTION DE RIESGOS DE LOS SISTEMAS DE INFORMACION DE LAS ADMINISTRACIONES PUBLICAS V1 AO 1997
OBJETIVO MAGERIT: Estudio de los riesgos que soporta un sistema de informacin. Recomendar contramedidas prevenir/impedir/reducir/controlar los riesgos. 7 GUAS Trabajo colegiado de:
M. Administraciones Pblicas (MAP) / M. De Defensa (MINISDEF) / M. Economa y Hacienda / M. Sanidad y Consumo / Banco de Espaa / Correos y Telgrafos / Universidad CARLOS III / Informtica CAM

CSTIC 2012

12

MAGERIT V2 (1)

Actualizacin metodologa Alineamiento MAGERIT V2 / PILAR

OBJETIVO MAGERIT: Actualizacin Metodologa Alineamiento METRICA V3 Alineamiento otras normas internacionales CC / ISO 17799 Actualizacin activos / amenazas / salvaguardas CALCULO IMPACTO / RIESGO Trabajo colegiado de:
M. Administraciones Pblicas (MAP) / M. De Defensa (CCN)

AO 2005

CSTIC 2012

13

MAGERIT Versin 2 ( junio de 2006) http://administracionelectronica.gob.es Prxima publicacin V.3

CSTIC 2012
14

DESARROLLO PROYECTO ANLISIS DE RIESGOS

PROCESOS-ACTIVIDADES-TAREAS

CSTIC 2012

15

Proyecto Anlisis de Riesgos

1. planificacin del proyecto de anlisis y gestin de riesgos
.1 oportunidad .2 alcance .3 planificacin .4 lanzamiento

2. anlisis de riesgos
.1 activos .2 amenazas .3 salvaguardas .4 estado de riesgo

3. gestin de riesgos
.1 toma de decisiones .2 plan de seguridad .3 ejecucin del plan

CSTIC 2012

16

Proyecto Anlisis de Riesgos

Proceso P1: Planificacin del proyecto de anlisis y gestin de riesgos Actividad A1.1: Estudio de oportunidad Tarea T1.1.1: Determinar la oportunidad Actividad A1.2: Determinacin del alcance del proyecto Tarea T1.2.1: Objetivos y restricciones generales Tarea T1.2.2: Determinacin del dominio y lmites Tarea T1.2.3: Identificacin del entorno Tarea T1.2.4: Estimacin de dimensiones y coste Actividad A1.3: Planificacin del proyecto Tarea T1.3.1: Evaluar cargas y planificar entrevistas Tarea T1.3.2: Organizar a los participantes Tarea T1.3.3: Planificar el trabajo Actividad A1.4: Lanzamiento del proyecto Tarea T1.4.1: Adaptar los cuestionarios Tarea T1.4.2: Criterios de evaluacin Tarea T1.4.3: Recursos necesarios Tarea T1.4.4: Sensibilizacin

Proceso P2: Anlisis de riesgos Actividad A2.1: Caracterizacin de los activos Tarea T2.1.1: Identificacin de los activos Tarea T2.1.2: Dependencias entre activos Tarea T2.1.3: Valoracin de los activos Actividad A2.2: Caracterizacin de las amenazas Tarea T2.2.1: Identificacin de las amenazas Tarea T2.2.2: Valoracin de las amenazas Actividad A2.3: Caracterizacin de las salvaguardas Tarea T2.3.1: Identificacin de las salvaguardas existentes Tarea T2.3.2: Valoracin de las salvaguardas existentes Actividad A2.4: Estimacin del estado de riesgo Tarea T2.4.1: Estimacin del impacto Tarea T2.4.2: Estimacin del riesgo Tarea T2.4.3: Interpretacin de los resultados

Proceso P3: Gestin de riesgos Actividad A3.1: Toma de decisiones Tarea T3.1.1: Calificacin de los riesgos Actividad A3.2: Plan de seguridad Tarea T3.2.1: Programas de seguridad Tarea T3.2.2: Plan de ejecucin Actividad A3.3: Ejecucin del plan Tarea T3.3.*: Ejecucin de cada programa de seguridad

CSTIC 2012

17

PILAR / EAR
PROCEDIMIENTO INFORMATICO Y LOGICO DE ANALISIS DE RIESGOS Entorno de Anlisis de Riesgos

- proyecto CNI especificacin: CCN A.L.H. J. Maas (2003) - comit validacin: CCN + MAP + FNMT + CCAA
PILAR: uso restringido a la administracin pblica
EAR: herramienta comercial

OBJETIVO PILAR:
FACILIDAD DE USO. Realizacin de un anlisis de riesgos intuitivo en un corto espacio de
tiempo usuarios inexpertos. Realizacin SUGERENCIAS. FLEXIBILIDAD. Adaptarse a las poltica NACIONAL / EMPRESAS / OTAN / UE.

PRIORIZACIN SALVAGUARDAS.

CSTIC 2012

18

PILAR / EAR

La herramienta EAR/PILAR soporta el anlisis y la gestin de riesgos de un sistema de informacin siguiendo la metodologa Magerit,
CSTIC 2012
19

PILAR / EAR
PILAR dispone de una biblioteca estndar de propsito general, y es capaz de realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son: - Esquema Nacional de Seguridad. - ISO/IEC 27002:2005. - Los Criterios de Seguridad, Normalizacin y Conservacin (MAP) - LOPD - NIST SP 800-35 - COBIT El Centro Criptolgico Nacional (CCN) ha patrocinado el desarrollo de la herramienta comercial, que est siendo ampliamente utilizada en la administracin pblica espaola. Aceptada por OTAN para la Acreditacin de sus Sistemas NS y NTS

CSTIC 2012

20

PILAR Anlisis y Gestin de Riesgos

Se analizan los riesgos en varias dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad
Para tratar el riesgo se proponen: salvaguardas (o contramedidas) normas de seguridad procedimientos de seguridad

analizndose el riesgo residual a lo largo de diversas etapas de tratamiento

CSTIC 2012

21

Anlisis de Impacto y Continuidad de Operaciones

Se analiza el efecto de las interrupciones de servicio teniendo en cuenta la duracin de la interrupcin. Para tratar el riesgo se proponen: - salvaguardas (o contramedidas) - elementos de respaldo (back up) - planes de recuperacin de desastres analizndose el impacto residual a lo largo de diversas etapas de tratamiento. La versin incorpora: - Perfil de evaluacin para el ENS. .

CSTIC 2012

22

RMAT (Risk Management Additional Tools)

Las herramientas se pueden personalizar en varios aspectos:

EVL - Perfiles de proteccin. Por ejemplo: LOPD, ENS,

TSV - Perfiles de amenazas KB - Protecciones adicionales Detallando protecciones adicionales sobre ciertos tipos de activos. (Wifi, FW, VoIP,)

Estas herramientas permiten preparar y mantener personalizaciones, que se incorporan dinmicamente a la biblioteca, extendindola para adaptarse a un determinado contexto. .
CSTIC 2012
23

PILAR Basic

Anlisis de riesgos para PYMES / Sistemas pequeos. Exportable Solo Anlisis Cualitativo Valoracin basada en dominios Salvaguardas 2 fases 2 Criterios valoracin
27002-2005 RD 1720

CSTIC 2012

24

PILAR
- PILAR reducida a la mnima expresin para realizar anlisis de riesgos muy rpidos.
- El resultado del anlisis puede cargarse en PILAR para un estudio ms detallado. - PILAR se distribuye con perfiles especficos. Slo se pueden analizar los perfiles de la distribucin (27000, ENS, OTAN)

CSTIC 2012

25

LICENCIAS
a) Si pertenece usted a una administracin pblica espaola Esta aplicacin es gratuita para administraciones pblicas espaolas. Para solicitar una licencia gratuita para el uso completo de la aplicacin debe enviar un e-mail al ccn@cni.es

b) Si no pertenece usted a una administracin pblica espaola Debe adquirir una licencia.
c) Licencia de evaluacin Permite generar una licencia de evaluacin durante 30 das.

CSTIC 2012

26

CSTIC 2012

27

ACTIVOS
Son los recursos del sistema de informacin o relacionados con ste necesarios para que la organizacin funcione correctamente y alcance los objetivos propuestos por la direccin. (V) Valor Coste que supone regresar a estado de seguridad (1-10) Valor se asocia a dimensiones:
A autenticidad

Qu importancia tendra que quien accede al activo no sea realmente quien se cree?
C confidencialidad

Qu importancia tendra que el activo fuera conocido por personas no autorizadas?

D I disponibilidad

Qu importancia tendra que el activo no estuviera disponible?

integridad

Qu importancia tendra que el activo fuera modificado fuera de control?

T trazabilidad

Qu importancia tendra que no quedara constancia del uso del activo?

CSTIC 2012
28

TIPOS
Procesos Servicios Datos / Informacin Aplicaciones (software) Sistemas Operativos Equipos informticos (hardware) Redes de comunicaciones Soportes de informacin Equipamiento auxiliar Instalaciones (locales, etc.) Personal Datos / informacin Servicios

negocio
ingeniera aprovisionamiento

CSTIC 2012

29

DEPENDENCIAS
procesos de negocio servicios prestados por la organizacin

servicios + datos

software

equipamiento [hw + com + si + aux]

instalaciones
CSTIC 2012

personal
30

DEPENDENCIAS

CSTIC 2012

31

VALORACIN DE ACTIVOS
VALORACIN DE LOS ACTIVOS
Coste que supondra la ocurrencia de una amenaza No importa lo que cuesta; importa para qu vale

QUE ACTIVOS SE VALORAN

Los datos (informacin) sin duda Los servicios finales probablemente S: es lo que entiende la Direccin Los dems activos probablemente NO: slo tienen valor en funcin de datos que manejan y los servicios que habilitan

CSTIC 2012

32

VALORACIN DE ACTIVOS

CSTIC 2012

33

AMENAZAS
Eventos que pueden desencadenar un incidente en la organizacin produciendo daos materiales o perdidas inmateriales en sus activos. No se conoce la forma ideal, todos los mtodos son limitados terica y prcticamente Modelos de clasificacin de xito por grupos de activos por impacto en base al agente causante (escenarios de ataque) por la propia naturaleza de la amenaza

CSTIC 2012

34

AMENAZAS
Efecto de amenaza se caracteriza: (D) Degradacin. Porcentaje en el que el activo se ve perjudicado. (F) Frecuencia de ocurrencia. (ARO)

naturales
terremotos, inundaciones,... electricidad, emanaciones, ...

accidentales

industriales

humanas: errores y omisiones deliberadas (intencionales)

intercepcin pasiva o activa intrusin, espionaje, ... robo, fraude, ...

CSTIC 2012

35

AMENAZAS
CLASES DE AMENAZAS Segn biblioteca

[N] Desastres naturales [I] De origen industrial [E] Errores y fallos no ntencionados [A] Ataques deliberados

CSTIC 2012

36

IMPACTO/RIESGO
Magerit : Anlisis de Riesgo
estn expuestos a

activos
Interesan por su

amenazas
valor
causan una cierta

degradacin impacto
con una cierta

I=V*D

frecuencia riesgo

R= I * F

CSTIC 2012

37

SALVAGUARDAS
MAGERIT: Procedimiento o mecanismo tecnolgico que reduce el riesgo estn expuestos a
activos
Interesan por su

amenazas
valor
causan una cierta

degradacin residual impacto residual

con una cierta

frecuencia residual riesgo residual

tipo de activo dimensin amenaza nivel de riesgo

CSTIC 2012

salvaguardas

38

SALVAGUARDAS
- Reducen la frecuencia de las Amenazas - Limitan el dao causado
Salvaguarda ideal:
- Tericamente idnea - Desplegada, Configurada y Mantenida - Se emplea siempre - Procedimientos claros uso normal e Incidencias - Usuarios formados y concienciados - Controles que avisan de fallos

CSTIC 2012

39

SALVAGUARDAS

No se puede invertir en salvaguardas ms all del valor de los propios activos a proteger.
CSTIC 2012
40

SALVAGUARDAS
Salvaguardas

CSTIC 2012

41

GESTIN RIESGOS
GESTIN DE RIESGOS
A.3.1 TOMA DE DECISIONES - Carcter Urgente Desarrollar plan de contingencia Monitorizar y gestionar las cuentas de usuarios externos) - Consideraciones importantes Documentar procedimientos de trabajo Segregar funciones de administrador - Otros.... A.3.2 PLAN DE SEGURIDAD - Detalle de los proyectos anteriores A.3.3 EJECUCIN DEL PLAN
CSTIC 2012
42

INFORMES
TEXTUALES - Modelo de valor Detalla activos, sus dependencias, dimensiones en las que son valiosos y su valor - Mapa de Riesgos Detalla amenazas significativas por cada activo. Frecuencia y degradacin - Evaluacin de Salvaguardas Detalla salvaguardas existentes. Se califican en su eficacia para reducir el riesgo. - Estado de Riesgo Para cada activo impacto/riesgo residual - Informe de insuficiencias Detalla salvaguardas necesarias pero ausentes o insuficientemente eficaces TABLAS - Asistente para generar ficheros .csv (elaborar grficos o completar informes) GRAFICOS - Impacto acumulado / Riesgo acumulado CSTIC 2012
43

INFORMES GRAFICOS. Riesgo Residual

Reduccin del Riesgo

Sin salvaguardas Fase presente Plan de Seguridad

CSTIC 2012

44

EVALUACIONES DE SEGURIDAD ISO 17799:2005

CSTIC 2012

45

GRACIAS POR SU ATENCIN

CSTIC 2012

46

CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012
Patrocinadores

#CSTIC12
Organizador

Patronos de la AEC:

Colaboradores

Cooperadores