Herramienta para la gestión de Riesgos Deliberados Físicos e Informáticos.

Transcripción

1 Herramienta para la gestión de Riesgos Deliberados Físicos e Informáticos

2 Índice 1. Por qué? 2. Para qué? 3. Evolución 4. Metodología 5. Funcionamiento 5.1 Qué hace? 5.2 Cómo lo hace? 6. Suministro e implantación 2

3 1.- Por qué? La Seguridad ante riesgos de origen deliberado (Security) tiene un origen común: la voluntad de hacer daño a la empresa por agentes externos y/o internos. El modo de hacerlo puede ser físico (Robos, atracos, sabotajes, etc.), lógico (Intrusiones informáticas, denegación de servicio, troyanos, etc.) o una combinación de ambos, pero el origen y el fin es el mismo. 3

4 1.- Por qué? Desde las instituciones, esta necesidad de hacer frente a las amenazas físicas y lógicas, ha sido abordada con la publicación de la Ley para la Protección de las Infraestructuras Críticas y la creación del Centro Nacional de Protección Infraestructuras Críticas. Ley y organismo ven a la seguridad como un todo y no como la suma de dos ámbitos distintos, dando un impulso a la necesidad de tener planes de Seguridad Integral. 4

5 2.- Para qué? En este contexto, la elaboración de un análisis de riesgos es vital para hacer frente a las exigencias de la ley y de la sociedad. GR2Sec ha sido desarrollado por profesionales en al ámbito de la Seguridad Integral para ayudar a las empresas a elaborar su análisis de riesgos de Seguridad ante riesgos deliberados (Security) que den respuesta a las amenazas y necesidades de la sociedad actual. Adaptado a las necesidades de Análisis de Riesgos de los Planes de Protección Específicos (PPE) a realizar por los Operadores Críticos según la Legislación PIC. 5

6 2.- Para qué? GR2Sec se centra en los riesgos deliberados, permitiendo a sus usuarios: Conocer sus riesgos Conocer el estado de sus medidas y controles de Seguridad Hacer benchmarking entre sus instalaciones y en el tiempo Planificar inversiones de Seguridad Gestionar con criterios armonizados la Seguridad Integral de acuerdo a las normas, ISO e ISO Realizar los Análisis de Riesgos de los Planes de Protección Específicos (PPE) según la Legislación PIC. 6

7 2.- Para qué? Principales ventajas de GR2Sec: Relación AR con Propuestas de Controles y Medidas Seguridad Enfoque integral, físico y lógico Apegado a estándares internacionales ISO ISO Magerit II AS/NZS 4640 Permite ciclos PDCA s de mejora continua en la gestión de riesgos Proporcionalidad de los controles de Seguridad propuestos Enfocado a estrategias de protección: Permite actualizar catálogos Permite adaptarse a los best practices del cliente 7 Adaptable a usos y requerimientos de cada cliente

8 3.- Evolución GR2Sec ARG07 GRSec

9 3.- Evolución GR2Sec ARG07 GRSec Conferencia Carnahan 2007 Ottawa, Canada SGSC Conferencia Enise 2011 León, España Conferencia Carnahan 2011 Mataró, España 9

10 4.- Metodología Acorde a la Guía de Buenas Prácticas para los Planes de Protección Específicos de la Legislación PIC. Integración de las metodologías más utilizadas. MAGERIT ISO Esquema general. Propuesta de controles de ISO Identificación de activos. Lista de amenazas. Esquema general. Análisis de Riesgos según AS/NZS Lista de amenazas y de Medidas de Seguridad según GRSec

11 Seguridad Física ISO Seguridad Lógica ISO Decisión y Compromiso Diseño del Marco de Actuación del SGSF 4.- Metodología Gestión de la Seguridad Cumplimiento LPIC MODELO SGSC SGSC: Sistema de Gestión Corporativa de Seguridad Requerimientos Políticas Requerimientos de la Seguridad de la Información Plan del SGSI Seguridad de la Información gestionada Mejora continua del SGSF Implementación del SGSF Planificación Mantenimiento y mejora del SGSI Implementación del SGSI Seguimiento y Revisión del SGSF SGSF: Sistema de Gestión de Seguridad Física Actuación Medición Implementación Medición del SGSI SGSI: Sistema de Gestión de Seguridad de la Información 11 Normativas Internacionales base: ISO ISO ISO MAGERIT II AS/NZS 4360

12 4.- Metodología MODELO SGSC SGSC: Sistema de Gestión Corporativa de Seguridad Requerimientos Políticas Gestión de la Seguridad Cumplimiento LPIC Planificación Actuación Implementación Medición 12

13 4.- Metodología PLAN DO Contexto Identificación de Riesgos Análisis de Riesgos Evaluación de Riesgos Tratamiento de Riesgos Identificación Activos Identificación Amenazas Situaciones de Riesgo Probabilidad Inherente Impacto Agrupación de Riesgos Propuesta de Controles Evaluación Controles Existentes Identificación Tiempos Asignación Dimensiones Nivel Riesgo Inherente Gestión de Riesgos Nivel de Riesgo Residual 13

14 5.- Funcionamiento GR2Sec Qué hace? 1. Identificación de Amenazas y Activos. 2. Identificación de los Riesgos 3. Evalúa los Riesgos: Probabilidad e Impactos. 4. Propone medidas (controles) de Seguridad. 5. Presenta los Riesgos residuales. 14

15 5.1.- Funcionamiento GR2Sec 1.- Identificación de Amenazas y Activos 15

16 5.1.- Funcionamiento GR2Sec 1.- Identificación de Amenazas y Activos 16

17 5.1.- Funcionamiento GR2Sec 2.- Identificación de los Riesgos 17

18 5.1.- Funcionamiento GR2Sec 3.- Evalúa los Riesgos: Probabilidad e Impactos 18

19 5.1.- Funcionamiento GR2Sec 3.- Evalúa los Riesgos: Probabilidad e Impactos 19

20 5.1.- Funcionamiento GR2Sec 4.- Propone medidas (controles) de Seguridad 20

21 5.1.- Funcionamiento GR2Sec 5.- Presenta los Riesgos residuales 21

22 5.- Funcionamiento GR2Sec Cómo lo hace? 1. Utiliza diferentes niveles de acceso. 2. Edición de análisis de riesgos Nuevos Revisión de existentes Simulación de cambios 3. Personalización de lista de amenazas. 4. Cambios del nivel de amenaza. 5. Presentación de resultados. 22

23 5.2.- Funcionamiento GR2Sec 1.- Utiliza diferentes niveles de acceso 23

24 5.2.- Funcionamiento GR2Sec 3.- Personalización de amenazas 24

25 5.2.- Funcionamiento GR2Sec 4.- Cambios del nivel de amenaza Permite estudiar diferentes situaciones de entorno 25 Facilita la definición de controles y medidas de Seguridad permanentes (nivel 1) y temporales (otros niveles)

26 6.- Suministro e Implantación EN CLOUD Licencia de uso Personalización Parametrización de la aplicación Formación Asistencia técnica telefónica EN CLIENTE 26 Licencia de la aplicación Personalización Implantación en la infraestructura del cliente Parametrización de la aplicación Formación Mantenimiento Informático y asistencia telefónica

27 6.- Suministro e Implantación Licencia Existirán tres escalas de derechos de uso de licencia: Sencilla: 1 proyecto en una única ubicación y hasta 100 activos. Múltiple: Hasta 25 ubicaciones o un número menor hasta activos. Ilimitada: Sin límite de ubicaciones ni de activos. Personalización Incluido en el precio de las licencias se suministran las siguientes posibilidades de personalización: Inclusión del logo del cliente. Hasta un máximo de 2 colores. Tipo de letra a elegir de entre un repertorio. Definición de diferentes Franjas horarias. 27

28 6.- Suministro e Implantación Implantación en la infraestructura del cliente En los casos de implantación en la infraestructura del cliente se incluye su instalación en un PC o un servidor. Las instalaciones que impliquen un trabajo adicional (por ejemplo adaptarse a login común) serán facturadas a parte. Parametrización de la aplicación La aplicación se entrega vacía, de forma que los datos del cliente no estarán introducidos. En caso de que el cliente desee que se introduzcan de forma externa se facturará este trabajo de forma específica. 28

29 Formación 6.- Suministro e Implantación La formación de los usuarios se basará en el manual específico de la aplicación, y se impartirá sin coste adicional para el cliente. Mantenimiento En los casos de implantación en la infraestructura del cliente, el mantenimiento Incluirá: Notificación regularmente de todas las actualizaciones de seguridad necesarias. Suministro al menos 1 nueva versión de software cada año. En los casos de servicio desde la nube y en los de instalación en infraestructura del cliente: Se atenderán consultas en horario 8x5 para corrección de bugs y adaptaciones en la personalización. 29

30