Análisis de Riesgos de Seguridad de la Información

Transcripción

1 Nuevas oportunidades de negocio- La importancia del Análisis de Riesgos de Seguridad de la Información FRANCISCO MENÉNDEZ PIÑERA DTOR. TÉCNICO - SIGEA 23 de noviembre de º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

2 Índice 1. El papel de los riesgos de SI en el negocio 2. La importancia del Análisis de Riesgos 3. Las dificultades: metodología y herramientas 4. Otras dificultades: la valoración de Amenazas, Vulnerabilidades e Impactos 5. Fases y entregables de un Análisis de Riesgos 6. Propiedades de la herramienta para un AR 2

3 El papel de los riesgos de SI en el negocio Riesgo Total de una empresa Riesgo Total (RT) = (E + T + C + P + O) E = riesgos económicos y financieros T = riesgos tecnológicos C = riesgos relacionados con la competencia P = riesgos relacionados con el producto O = Otros riesgos 3

4 El papel de los riesgos de SI en el negocio Riesgo Tecnológico Riesgo Tecnológico (T) = (IS + I + NT) IS = riesgos relacionados con la infraestructura tecnológica I = riesgos que amenazan la información que se procesa o almacena NT= riesgos derivados de la infraestructura no tecnológica (desarrolladores de software, distribuidores de hardware, etc.) 4

5 El papel de los riesgos de SI en el negocio Riesgo de la Información Riesgo de la Información (I) = f (A + K)dt A = el acceso a la información K = conocimiento que la persona tenga de la tecnología y de la infraestructura. dt= en función del tiempo disponible 5

6 La importancia del Análisis de Riesgos Para qué es necesario un análisis de riesgos? - Requisito indispensable en cualquier SGSI - De sus resultados se desprenderá la siguiente información: - Inventario de activos y sus relaciones de dependencia - Qué amenazas acechan a los activos de información - Qué vulnerabilidades debilitan nuestros sistemas de información - La valoración de los diferentes impactos sobre el negocio - Qué activos y/o procesos de negocio sufren un mayor riesgo - El riesgo intrínseco de cada activo, proceso y el total - La manera en que los controles y contramedidas reducen el riesgo - El riesgo residual de cada activo, proceso y el total - Igualmente es requisito indispensable para cualquier Plan de Continuidad del Negocio (BCM) 6

7 Las dificultades: metodología y herramientas Cuáles son las principales dificultades? - Metodologías para el análisis de riesgos: - Administración pública: Magerit v.2 - Empresa privada: - Adaptarse a una de las varias metodologías existentes - Crear una propia - La nuestra: un poco de Magerit, un poco de Cram, mucho de Nist, alguna aportación propia y algunas aportaciones externas - Herramientas: - Necesarias. Realizar un Análisis de Riesgos sin herramientas es inabordable - Existen pocas herramientas dirigidas a facilitar el análisis de riesgos - Existen menos todavía en Español - Si no le gusta lo que existe, invente algo nuevo 7

8 Las dificultades: metodología, herramientas Gerencia Comité de Gestión Registros Inicio No Aprueba la metodología? Definición de la metodología de aplicación al proceso de inventario y valoración de activos; análisis de riesgo y selección de controles Aprobación del procedimiento P-05 Si Si Realiza inventario y valoración de activos Inventario de activos Identificación de amenazas y vulnerabilidades para los activos Cálculo del riesgo intrínseco Informe de análisis de riesgo intrínseco Selección de controles y contramedidas Documento de selección y aplicabilidad de controles No Cálculo del riesgo residual Informe de de riesgo residual Aprueba el informe de riesgo residual? Si Implantación de controles y contramedidas Fin 8

9 Otros dificultades La valoración de amenazas, vulnerabilidades e impactos Cómo valorar el nivel de amenaza y de vulnerabilidad? - Experiencia de los consultores - Motivaciones concretas - Tendencias generales - Condiciones de las instalaciones y sistemas - Condiciones de trabajo Cómo valorar el impacto que producirá en el negocio? - En la mayoría de los casos, al igual que en el punto anterior, son valoraciones subjetivas basadas en la experiencia de las personas responsables de la información. Algunas empresas estamos investigando la manera de dotar a las herramientas de opciones que ayuden a determinar estas valoraciones de forma más objetiva. 9

10 Fases y entregables de un AR Fases de un Análisis de Riesgos 1) Definición del alcance 2) Definición de Guías de Valoración y resto de tablas maestras 3) Inventario de activos 4) Análisis de dependencias 5) Valoración de impactos 6) Definición de amenazas y vulnerabilidades 7) Cálculo de riesgo intrínseco por activo, proceso, empresa 8) Análisis de controles y contramedidas 9) Documento de aplicabilidad y selección de controles 10) Revisión del nivel de amenaza y vulnerabilidad 11) Cálculo del riesgo residual por activo, proceso, empresa 10

11 Fases y entregables de un AR Entregables de un Análisis de Riesgos 1) Alcance con Inventario de Activos 2) Árbol de dependencias entre activos 3) Listado de Amenazas 4) Listado de Vulnerabilidades con Amenazas relacionadas 5) Listado de Activos y riesgo intrínseco por proceso 6) Documento de aplicabilidad y selección de controles 7) Documento de aplicabilidad y selección de controles por activo 8) Documento de aplicabilidad y selección de controles por objetivo de seguridad 9) Listado de Activos y riesgo residual por proceso 10) Inventario de activos detallado 11

12 Propiedades de la Herramienta Parámetros generales (I) Multi-empresa Multi-revisión Incorporación de Normas: Apartados Políticas Objetivos Controles Contramedidas: Tipo de contramedida (gestión, jurídica, técnica, ) Tipo de protección (evitar, gestionar, transferir, ) Coste de la contramedida (por rangos) Estado de la contramedida (en estudio, en implantación, ) Librería de amenazas Librería de vulnerabilidades 12

13 Propiedades de la Herramienta Parámetros generales (II) Guías de valoración parametrizables Impactos a valorar parametrizables Definir fases del SDLC Clasificación de la información (libre, restringida, ) Definición de dominios (agrupación de activos) Definición de áreas (localizaciones, departamentos, ) Definición del alcance Identificación de procesos de negocio involucrados Identificación de personal que interviene en el A.R. Codificación de registros del SGSI para los informes 13

14 Propiedades de la Herramienta Inventario de activos Codificación (posibilidad de código de barras) Ubicación, área, dominio al que pertenece Clasificación de la información Fase de desarrollo Propietario del activo Tiempo de reposición Coste de reposición Activos que dependen de éste Procesos en los que interviene 14

15 Propiedades de la Herramienta 15

16 Propiedades de la Herramienta Valoración de impactos Valores para cada una de las guías de valoración Valores para Confidencialidad, Integridad y Disponibilidad Facilidad de introducción de datos Facilidad de lectura Facilidad de interpretación Resultado: valor propio del activo Por dependencias: valor real del activo 16

17 Propiedades de la Herramienta 17

18 Propiedades de la Herramienta Riesgo Intrínseco Identificación de amenazas Identificación de vulnerabilidades Relacionar amenazas con vulnerabilidades Determinar el nivel de amenaza y vulnerabilidad por activo Valor real del activo + nivel de amenaza + nivel de vulnerabilidad = RIESGO INTRÍNSECO por activo, proceso y total 18

19 Propiedades de la Herramienta Riesgo Residual Diseño y/o implantación de contramedidas: Apartado, política y control al que pertenece Tipo de contramedida (gestión, jurídica, técnica, ) Tipo de protección (evitar, gestionar, transferir, ) Coste de la contramedida (por rangos) Estado de la contramedida (en estudio, en implantación, ) Indicador óptimo Indicador real Descripción detallada de la implantación de la contramedida. Revisión del nivel de amenaza y vulnerabilidad Valor real del activo + nivel de amenaza revisado + nivel de vulnerabilidad revisado = RIESGO RESIDUAL por activo, proceso y total 19

20 Propiedades de la Herramienta 20

21 Propiedades de la Herramienta Otras características que debe contemplar la herramienta Generar automáticamente todos los entregables Simulación de incidencias Relacionar objetivos de seguridad, controles, métricas e indicadores 21

22 MUCHAS GRACIAS POR SU ATENCIÓN FRANCISCO MENÉNDEZ PIÑERA DTOR. TÉCNICO - SIGEA 23 de noviembre de º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD