Día23, Taller SGSI: Análisis de Riesgos

Transcripción

1 Día23, Taller SGSI: Análisis de Riesgos César Peñacoba, CISA, CISM, SBCI, LA Gerente Área Gobierno Seguridad, HP 23-Nov º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

2 Índice 1. El Análisis de Riesgos y el SGSI 2. Pasos a seguir 3. Aspectos prácticos 2

3 Establecer el SGSI, Fase Plan ISO/IEC Cláusula Activos Amenazas Vulnerabilidad Impactos Alcance Política Aproximación al riesgo Análisis del Riesgo Inventario Política Método/ Riesgo Aceptable Riesgos Ocurrencia Nivel de riesgo Valor del Riesgo Niveles de Riesgo Riesgos Criterios Tratamiento del riesgo Riesgo residual Controles UNE17799 Otros controles Seleccionar controles Lista contramedidas Aprob. Dirección Riesgo Res. y ISMS OK Aplicabilidad DSC / SOA 3

4 Relación entre ISO/IEC e ISO/IEC (antes 17799:2005) g) The control objectives and controls from Annex A shall be selected as part of this process as suitable Anexo A The control objectives and controls listed in Table A.1 are directly derived from and aligned with those listed in ISO/IEC 17799:2005 Clauses 5 to j) A Statement of Applicability shall be prepared that includes the following: ( ) 3) the exclusion of any control objectives and controls in Annex A and the justification for their exclusion. 4

5 Análisis de Riesgos Activos de información y dependencias Frecuencia de las amenazas a los elementos de T.I. Valoración amenazas Valoración de los activos Impactos en el negocio Análisis de riesgos Propuesta de Controles Riesgos Gestión de riesgos GAP medidas actuales Nivel de Riesgo Plan Operacional de Seguridad 5

6 Impactos en los Activos de información Indisponibilidad RevelaciónModificación Dest. Intercambio Activo de Información de Negocio 15mn1h 3h 12h 1d 2d 1s 2s 1m 2m DI SP DO SE WE DM PD TD In RO RC Nd Rp Mr TM OS UR Programación Convencional Radio UR UR Datos de Gestión Comercial UR UR Parrilla de Emisión UR Escala 1 Escala 2 Escala 4 Escala 5 Escala 6 Escala 3 Informa ción Persona l Obligaciones legales Pérdida s de imagen Gestión y Actividades de Intereses Económicos y (delito o fa lta con Pérdida s financiera s (Afecta nega tiva mente a las N egocio comerciales multa...) relaciones...) Causar pequeñas molestias a una persona, pero sin Pérdidas directas o indirectas de o Funcionamiento ineficiente de una parte de la organización De interés para un competidor, pero sin valor comercial. incumplir la legalidad menos Causar malestar a una o menos Pérdidas directas o con otras partes de la organización. Puede suponer una cifra de persona, pero sin indirectas de entre negocio de o menos a un incumplir la legalidad y competidor Incumplir LOPD y causar entre y Pérdidas directas o con otras organizaciones o con el público, Dañar la gestión adecuada de la Puede suponer una cifra de pequeñas molestias a indirectas de entre pero la publicidad negativa queda reducida organización y sus operaciones. negocio entre y una persona y al entorno geográfico más cercano, y sin a un competidor efectos duraderos. Incumplir LOPD y causar entre y , Pérdidas directas o Puede suponer una cifra de pequeñas molestias a un o una condena a indirectas de entre negocio entre y grupo de personas prisión de hasta y a un competidor años Incumplir LOPD y causar entre y , Pérdidas directas o con otras organizaciones o con el público, y Impedir el desarrollo o la ejecución Puede suponer una cifra de molestias significativas a entre 2 años y hasta 10 indirectas de entre la publicidad negativa se extiende más allá efectiva de las políticas de la negocio entre y una persona. años de prisión y del entorno geográfico más cercano organización a un competidor 6 7 Incumplir LOPD y causar molestias significativas a un grupo de personas. más de o Pérdidas directas o más de 10 años de prisión indirectas de entre y Pérdidas indirectas de más de con otras organización o con el público, implicando una publicidad negativa con gran repercusión Poner en desventaja a la organización en la negociación con terceros de cuestiones comerciales o de políticas. Entorpecer seriamente el desarrollo o la ejecución de las políticas más importantes de la organización, o provocar el cierre o interrumpir de forma sustancial las operaciones importantes. Puede suponer una cifra de negocio de más de Podría llegar a dañar los intereses económicos y comerciales nacionales de forma sustancial 6

7 Tabla de Amenazas Amenazas Lógicas Suplantación identidad por internos Suplantación identidad por contratistas Suplantación identidad por externos Uno no autorizado de una aplicación Software malicioso Abuso de los recursos de los sistemas Amenazas a las Comunicaciones Infiltración comunicaciones Interceptación comunicaciones Alteración comunicaciones Repudio Fallo comunicaciones Inclusión de código malicioso Entrega incorrecta Errores Humanos Error de operador Error mantenimiento hardware Error mantenimiento software Error de usuario Fallos Técnicos Fallo Host, Impresora, Almacenamiento Fallo de elemento de red, interfaz de red Fallo de pasarela de red Fallo de gestión de red Fallo de servicios de red Fallo electricidad Fallo Aire Acondicionado Fallo de software de sistema o de red Fallo de aplicación Amenazas físicas Fuego Inundación Desastre natural Escasez de personal Robo por internos Robo por externos Daño intencionado por internos Daño intencionado por externos Terrorismo 7

8 Matriz de Riesgo 8

9 Informe Riesgos Detallado Threat: Communications Infiltration Asset:!!Otros Servicios Indisponibilidad Dest Revel. Modif. P 15 M 1 H 3 H 12 H 1 D 2 D 1 W 2 W 1 M 2 M B T I C O S E W E D M In Or Rc Nd Rp Mr Tm Os Threat VH VH VH VH VH VH VH VH VH VH VH VH Vulnerability H H H H H H H H H H H H Impact Measure of Risk Asset:!!Servicios UXZER Threat VH VH VH VH VH VH VH VH VH VH VH VH Vulnerability H H H H H H H H H H H H Impact Measure of Risk Comunicaciones 9

10 Gestión del Riesgo (ISO 27001, f-j) Riesgos Criterios NdR aceptables Sí Asumir? No Riesgos asumibles Riesgos NO asumibles Eliminar Causa Riesgo Sí Se puede eliminar? No Transferir Riesgo - Seguros - Externalización CONTROLES - ISO Legales - Negocio Sí Se puede transferir? No Reducir Riesgo CONTROLES YA IMPLANTADOS SOA/ DSC Riesgo Residual 10

11 Grupos Contramedidas IT Security Network Security Physical Security Identification and Authentication Network Security Management Recovery Options for Accommodation Logical Access Control Content Scanning Site / Building Physical Security Accounting Customer Authorisation Accommodation Moves Audit Vulnerability Analysis Room / Zone Physical Security Object Re-use Intrusion Detection Theft Protection Security Testing Non-repudiation Physical Equipment Protection Software Integrity Data Confidentiality Over Networks Terrorist / Extremist Warnings Protection Against Malicious Software Public Key Infrastructure Delivered Item (DI) Protection Mobile Computing and Teleworking Network Access Controls Bomb Detection Software Change Controls Security of Routing Tables Internal and External Bomb Protection Software Distribution Physical Network Protection Environmental Security System Input/Output Controls Wireless LAN Security Fire Protection Operations Controls Protection of Voice over IP (VoIP) Traffic Water Protection System Administration Controls Message Security Natural Disaster Protection Application Development Controls Electronic Commerce Security Power Protection Application Programmer Controls Mobile Code Protection Environmental Protection Software Maintenance Controls Network Resilience Administrative Security Hardware Maintenance Controls Anti-spamming controls Business Continuity Planning User Control Protection against Delay in Delivery Insurance Application Input/Output Controls Quality of Network Service Personnel Financial Accounting Protection against Denial of Service Attacks Security Education and Training Hardcopy Output Controls Data Integrity over Network Security Policy Document / Media Controls Preservation of Message Sequencing Security Infrastructure Physical Media Transportation Traffic Padding Outsourcing Recovery Option for Hosts PBX Security Data Protection Legislation Recovery Options for Media Recovery Options for Network Interfaces Incident Handling Back-up of Data Recovery Options for Network Services Compliance Checks Capacity Planning Equipment Failure Protection 11

12 Niveles y Umbrales de Riesgo Niveles de Riesgo Contramedidas 7 6 Umbral Riesgo Alto Altos Implantar & Auditar 5 4 Umbral Riesgo Medio Medios Implantar 3 2 Bajos Documentar 1 12

13 Gestión de los riesgos Estado Contramedida Diferencial Estado-Objetivo Sin Definir Definida Implantada Implantada y Auditada Nivel de Riesgo Objetivo Alto Medio Bajo Objetivo incumplido -2/-3 Objetivo incumplido -1 Objetivo cumplido 13

14 Asignación de proyectos Contramedidas propuestas Proyectos Mejora 14

15 Método Formal de Inversión en Seguridad Cuadrante de Prioridad 15

16 Conclusiones 1. El análisis de riesgos es el elemento crucial de un SGSI 2. Se necesita personal con conocimiento de negocio e implicación de la organización 3. No es necesario usar una metodología complicada, pero se recomienda una herramienta de apoyo 4. La Herramienta debe ser capaz de generar contramedidas cruzadas con la ISO

17 Muchas gracias por su atención. César Peñacoba, CISA, CISM, SBCI, LA 17