Gestión de Riesgos con Magerit

Transcripción

1 Gestión de Riesgos con Magerit José A. Mañas Dep. de Ingeniería de Sistemas Informáticos Universidad Politécnica de Madrid <

2 Definiciones Gestión del riesgo actividades coordinadas para dirigir y controlar una organización con respecto al riesgo NOTA: normalmente la gestión del riesgo incluye la apreciación del riesgo, el tratamiento del riesgo, la aceptación del riesgo y la comunicación del riesgo ISO/IEC Guía 73: 2002

3 Definiciones Riesgo combinación de la probabilidad de un suceso y su consecuencia 1. el término riesgo normalmente se utiliza únicamente cuando existe al menos la posibilidad de consecuencias negativas 2. en algunas situaciones, el riesgo proviene de la posibilidad de un desvío del resultado o del suceso previsto ISO/IEC Guía 73: 2002

4 Informalidad Se dice que una actividad es arriesgada cuando puede salir mal o puede salir bien; es decir, cuando no hay certeza de qué va a ocurrir Se llama riesgo a la medida de lo que probablemente ocurra

5 Método de estimación descubrimiento indicadores sucesos inciertos consecuencias IMPACTO RIESGO probabilidad estimación

6 Indicadores Impacto lo que puede suceder Riesgo lo que probablemente ocurra

7 Subjetividad La identificación de sucesos y la estimación de consecuencias y probabilidades son subjetivas porque no pueden ser objetivas hasta que el suceso se materializa Ante sucesos materializados no analizamos riesgos: medimos daños

8 Subjetividad Necesitamos opiniones cualificadas / creíbles / de confianza Hay que poder razonar el por qué de las estimaciones realizadas Sería muy interesante disponer de estimaciones normalizadas;... un bonito sueño...

9 Uso del análisis de riesgos Para tomar decisiones El riesgo no es necesariamente malo el riesgo es compañero inseparable del beneficio el beneficio (estimado subjetivamente) hay que compararlo con el riesgo (estimado subjetivamente) para tomar decisiones informadas

10 Tratamiento El riesgo se trata se evita se mitiga se transfiere se acepta El riesgo no se reduce a 0.0 el riesgo se trata hasta tener una relación beneficio / riesgo óptima que estamos dispuestos a aceptar

11 Tratamiento estudio de los riesgos revisión periódica se estudia mejor punto de decisión se trata se asume monitorización continua estudio coste / beneficio transferencia mitigación del riesgo: reducción de la exposición limitación del impacto

12 Gestión de riesgos Análisis de riesgos proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización Evaluación de los riesgos proceso en el que se coteja el riesgo estimado contra los criterios de la organización para determinar la importancia del riesgo Tratamiento de riesgos selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados

13 Análisis Un buen análisis es la base no se pueden tomar decisiones sin conocimiento no se pueden justificar decisiones sin conocimiento no se puede optimizar lo que se ignora

14 El análisis de riesgos no es simple... lleva tiempo... cuesta dinero... no vale una vez y para siempre Muchos activos los sistemas son complejos Activos de muchos tipos información, servicios, procesos,... equipamiento: aplicaciones, equipos, comunicaciones,... locales: recintos, edificios, áreas,..., en el campo personas: usuarios, operadores, desarrolladores,... Muchas amenazas y muchas formas de hilvanar las amenazas Muchísimas salvaguardas gestión, técnicas, seguridad física, recursos humanos

15 Metodología de análisis de riesgos La complejidad se ataca metódicamente una metodología es una aproximación sistemática para cubrir la mayor parte de lo que puede ocurrir para olvidar lo menos posible para explicar a los gerentes qué se necesita de ellos para explicar a los técnicos qué se espera de ellos para explicar a los usuarios qué un uso decente del sistema qué es una respuesta urgente cómo se gestionan los incidentes una metodología necesita modelos elementos: activos, amenazas, salvaguardas métricas: impacto y riesgo

16 Magerit Metodología de análisis y gestión de riesgos de los sistemas de información Pública MAP : Ministerio para las Administraciones Públicas version 1.0, 1997 version 2.0, Recomendación para la administración pública española

17 Pasos de análisis análisisriesgos (SistemaInformación si) { Contexto contexto= establecercontexto (si); Set<Activo> activos= getmodelovalor(si); Set<Amenaza> amenazas= getmapaamenazas(si, activos); Riesgo potencial= calcula(activos, amenazas); Set<Salvaguarda> salvaguardas= necesidad(activos, amenazas); evaluaestadoactual(salvaguardas); Riesgo residual= calcula(activos, amenazas, salvaguardas); }

18 Pasos de análisis Set<Activos> getmodelovalor(sistemainformación si) { do { Set<Activo> activos= descubrimiento(si); relaciones(activos, si); valoración(activos, si); } until (dirección.aprueba(activos)); dirección.firma(informe(activos)); return activos; }

19 Valoración Coste que supondría la ocurrencia de una amenaza valor de reposición valor de reconstrucción horas perdidas de trabajo lucro cesante daños y perjuicios No sólo importa lo que cuesta; importa [más] para qué vale

20 Aspectos de valoración seguridad de las personas información de carácter personal obligaciones derivadas de la ley, del marco regulatorio, de contratos, etc. capacidad para la persecución de delitos intereses comerciales y económicos pérdidas financieras interrupción del servicio orden público política corporativa otros valores intangibles

21 Dimensiones de valoración disponibilidad Qué importancia tendría que el activo no estuviera disponible? integridad Qué importancia tendría que el activo fuera modificado fuera de control? confidencialidad Qué importancia tendría que el activo fuera conocido por personas no autorizadas? autenticidad Qué importancia tendría que quien accede al activo no sea realmente quien se cree? trazabilidad imputabilidad (accountability) Qué importancia tendría que no quedara constancia del uso del activo?

22 Valoración Cuantitativa el desembolso económico que conllevaría prácticamente siempre se hace en euros Cualitativa hay cosas que no tienen precio intangibles inhabilitación de una misión perjuicio de imagen perjuicio a las relaciones de la organización...

23 Valor cualitativo Criterios homogéneos que permitan relativizar entre dimensiones compartir / combinar análisis realizados por separado uniformidad de conocimiento 10 muy alto 9 8 alto 7 6 valor criterio 10 - muy alto daño muy grave 8 - alto daño grave repercute en otros 5 - medio daño importante queda en casa 2 - bajo daño menor 0 - despreciable daño irrelevante 5 medio bajo 1 0 despreciable

24 Valor cuantitativo (euros) si no ocurre nada: B1 = beneficios_1 gastos_1 si se materializa la amenaza: B2 = beneficios_2 gastos_2 consecuencias del suceso: VALOR = B1 B2 (beneficios_1 beneficios_2) + (gastos_2 gastos_1) 0.0 euros b1 g1 b2 g2

25 cual y cuan Se puede hacer un análisis cualitativo no cuantitativo para tomar las decisiones de bulto No se debe hacer un análisis cuantitativo no cualitativo porque no sólo es dinero Se debe hacer análisis cuantitativo y cualitativo para tomar las decisiones finas

26 Herramientas Necesarias para atajar la complejidad mantener el análisis al día analizar what if... Convenientes para capturar el sistema aplicar un método sistemáticamente comunicar el riesgo explicar el por qué de las conclusiones

27 Análisis (potencial) están expuestos a amenazas amenazas Interesan por su activos activos valor valor causan una cierta degradación degradación impacto impacto con una cierta probabilidad probabilidad riesgo riesgo

28 Análisis (residual) están expuestos a activos activos Interesan por su amenazas amenazas valor valor tipo de activo dimensión amenaza nivel de riesgo causan una cierta con una cierta salvaguardas salvaguardas degradación degradación residual residual probabilidad probabilidad residual residual impacto impacto residual residual riesgo riesgo residual residual

29 Soporte a la gestión activos amenazas impacto y riesgo potenciales evaluación de salvaguardas EAR PILAR progreso salvaguardas programas de seguridad impacto y riesgo residuales costes & beneficios plan de seguridad

30 Soporte al alineamiento Los de arriba deben entender las consecuencias de los incidentes técnicos Los de abajo deben entender el valor de los componentes técnicos Todos deben saber qué deben proteger en qué medida

31 Informes de estado

32 Cumplimiento de perfiles ISO/IEC / 27001

33 Análisis de riesgos Las entradas: qué tenemos que proteger? NEGOCIO qué tenemos que proteger? RECURSOS conócete a ti mismo La tarea: qué quiere la otra parte? cómo puede la otra parte conseguirlo? conoce a tu adversario La conclusión: somos vulnerables en tal medida

34 Cuándo? El análisis de riesgo muestra su máxima eficacia cuando se realiza antes del despliegue de un sistema y las salvaguardas se incorporan al diseño de la solución Es necesario cuando un sistema se hace cargo de nuevas o más importantes misiones que aquellas para las que fue diseñado morir de éxito cambia el perfil de vulnerabilidad ej. exposición a Internet

35 SGSI Sistema de Gestión de la Seguridad de la Información Plan planificación Act mantenimiento y mejora mejora Do implementación y operación Check monitorización y evaluación

36 Certificación y acreditación análisis de riesgos modelo de valor mapa de riesgos gestión de riesgos salvaguardas auditoría evaluación de seguridad resultados de evaluación certificación registro acreditación

37 Riesgos del análisis de riesgos 1. Lo que se olvida recursos propios ignorados o subestimados recursos ajenos desconocidos o subestimados hay que tener más de una opinión 2. La auto-complacencia estamos suficientemente bien hay que controlar que seguimos tan bien como creemos hay que revisar continuamente y adaptarse a las circunstancias 3. La incomunicación la dirección no se entera hay que saber transmitir información que informe

38 Referencias Magerit v2 MAP, 2005 Metodología de análisis y gestión de riesgos de los sistemas de información Código de buenas prácticas para la Gestión de la Seguridad de la Información EAR Entorno de Análisis de Riesgos PILAR Herramienta de análisis y gestión con soporte del CCN

39