Resiliencia Operacional Basado en el Modelo CERT-RMM

Transcripción

1 Resiliencia Operacional Basado en el Modelo CERT-RMM Ing. Yezid E. Donoso Meisel, Ph.D. Profesor Asociado Dpto. Ingeniería de Sistemas y Computación Coordinador Especialización en Seguridad de la Información Senior Member IEEE DVP (Distinguished Visitor Professor) IEEE Information Security Certified SEI Carnegie Mellon University USA CERT-RMM SEI - Carnegie Mellon University USA Certified Functional Continuity Professional (CFCP) DRII Business Continuity Auditor/Auditor Leader Certified BSI EC-Council Certified Security Analyst ydonoso@uniandes.edu.co

2 Contenido Introducción al riesgo operacional, resiliencia y gestión de la resiliencia Retos Organizacionales y Operacionales Fundamentos de Riesgos y Resiliencia. Gestión de la Resiliencia Análisis de alto nivel CERT-RMM Resilience Management Model Análisis de alto nivel CERT-RMM Resilience Management Model Institucionalización del Proceso Sistema de Gestión de la Resiliencia Análisis GAP CERT-RMM-IMC Incident Management and Control CERT-RMM-SC Service Continuity CERT RMM-TM Technology Management Cómo iniciar el Proceso para el CERT-RMM?

3 Retos Organizacionales y Operacionales Cada minuto la resiliencia operacional de la organización se encuentra en condiciones de estrés. El estrés puede venir de: Uso intenso de tecnología

4 Retos Organizacionales y Operacionales Cada minuto la resiliencia operacional de la organización se encuentra en condiciones de estrés. El estrés puede venir de: Uso intenso de tecnología Complejidad operacional

5 Retos Organizacionales y Operacionales Cada minuto la resiliencia operacional de la organización se encuentra en condiciones de estrés. El estrés puede venir de: Uso intenso de tecnología Complejidad operacional Movimiento hacia activos intangibles

6 Retos Organizacionales y Operacionales Cada minuto la resiliencia operacional de la organización se encuentra en condiciones de estrés. El estrés puede venir de: Uso intenso de tecnología Complejidad operacional Movimiento hacia activos intangibles Presión de la economía global

7 Retos Organizacionales y Operacionales Cada minuto la resiliencia operacional de la organización se encuentra en condiciones de estrés. El estrés puede venir de: Uso intenso de tecnología Complejidad operacional Movimiento hacia activos intangibles Presión de la economía global Fronteras abiertas

8 Retos Organizacionales y Operacionales Cada minuto la resiliencia operacional de la organización se encuentra en condiciones de estrés. El estrés puede venir de: Uso intenso de tecnología Complejidad operacional Movimiento hacia activos intangibles Presión de la economía global Fronteras abiertas Presión Geo-Política

9 Retos Organizacionales y Operacionales Cada minuto la resiliencia operacional de la organización se encuentra en condiciones de estrés. El estrés puede venir de: Uso intenso de tecnología Complejidad operacional Movimiento hacia activos intangibles Presión de la economía global Fronteras abiertas Presión Geo-Política Limitaciones regulatorias y legales

10 Retos Organizacionales y Operacionales a collaborative odyssey

11 Retos Organizacionales y Operacionales IT Governance Resource Management

12 Retos Organizacionales y Operacionales

13 Retos Organizacionales y Operacionales

14 Certezas Organizacionales Fundamentos de Riesgos El ambiente de riesgos no es contratado número de riesgos y complejidad incrementará La organización debe mejorar para sobrevivir en condiciones de incertidumbre El conocimiento y conciencia de las características e impactos de los riesgos tiene que ser intensiva en toda la organización Herramientas, técnicas y metodologías tradicionales pueden no trabajar en forma adecuada en estos ambientes La estructura organizacional existente puede no ser suficientemente ágil para adaptarse.

15 Fundamentos de Riesgos Riesgo??? Es la posibilidad de sufrir daños o pérdidas. Peligro; una fuente de peligro; una posibilidad de incurrir en pérdida o desgracia. [wordnet.princeton.edu]. Consiste de: Un evento o condición Una consecuencia o impacto Incertidumbre [SEI CMU]

16 Fundamentos de Riesgos [SEI CMU] Riesgo Operacional: Una forma de amenaza de riesgo que afecta las operaciones del día a día del Negocio. La falla potencial para lograr cumplir los objetivos de la misión.

17 Fundamentos de Riesgos Enterprise Risk Management (ERM) Es una actividad que mira a través de todas las actividades de riesgos en la organización y considera todos los tipos de riesgos.

18 Fundamentos de Riesgos ERM vs ORM (Operational Risk Management) ORM es un subconjunto significativo de ERM. ORM direcciona los riesgos generados por los procesos críticos en su día a día y que pueden afectar el cumplimiento de los objetivos de la misión de la organización.

19 Fundamentos de Riesgos Resiliencia The physical property of a material when it can return to its original shape or position after deformation that does not exceed its elastic limit [wordnet.princeton.edu]. The emergent property of an organization that can continue to carry out its mission after disruption that does not exceed its operational limit [CERT-RMM]. De dónde vienen las interrupciones? Riesgos llevados a cabo

20 Fundamentos de Riesgos Qué hace que un Servicio sea operacionalmente resistente? Identificación y Mitigación de los riesgos del servicio y de sus activos relacionados. Procesos y planeación de continuidad del servicio. Gestión de las prácticas para las operaciones en TI. Gestión de las personas. Prácticas de protección (control) y seguridad de la información y activos tecnológicos importantes para la organización. Gestión de las partes externas (que provee parte de los servicios) Gestión ambiental (en donde los servicios residen)

21 Gestión de la Resiliencia Convergencia Es un concepto fundamental en el manejo de la resiliencia operacional Se refiere a la armonía de las actividades para la gestión del riesgo operacional que tienen objetivos y resultados similares Actividades de Gestión del Riesgo Operacional incluyen: Planeación y Gestión de la Seguridad Continuidad del Negocio (BCMS) y Recuperación ante desastres (DRP) Gestión de la operación y entrega de servicios en TI Otras actividades de soporte pueden ser involucradas: comunicaciones, gestión financiera, entre otras.

22 Gestión de la Resiliencia Resiliencia Operacional y Convergencia [SEI CMU]

23 Gestión de la Resiliencia Importancia de la Convergencia Elimina actividades redundantes (y costos asociados) Obliga a la colaboración entre actividades que tienen objetivos similares Enfoque hacia la misión Facilita en los procesos que son propiedad de toda la organización

24 Gestión de la Resiliencia Enemigos de la Convergencia?

25 Gestión de la Resiliencia Elementos de la Resiliencia Servicios Número limitado de actividades que la organización ejecuta para entregar un servicio o para producir un producto. La misión del servicio debe habilitar la misión de la organización

26 Gestión de la Resiliencia Elementos de la Resiliencia Procesos del negocio Las actividades que la organización (y sus proveedores) ejecutan para asegurar que los servicios cumplen la misión Transversal a la organización Un Servicio se compone de uno o más procesos del negocio La misión de un proceso debe habilitar la misión del servicio

27 Gestión de la Resiliencia Elementos de la Resiliencia Activos Algo de valor para la organización [SEI CMU] Confidencialidad Integridad Disponibilidad

28 Gestión de la Resiliencia Colocando los Activos en el Contexto [SEI CMU]

29 Gestión de la Resiliencia Relaciones entre los Elementos [SEI CMU]

30 Gestión de la Resiliencia Abstracción hacia un enfoque de la misión [SEI CMU]

31 Gestión de la Resiliencia Impacto de la Interrupción de un Activo en la misión del Servicio La falla de uno o más activos tiene un impacto en cascada en la misión => Procesos del Negocio => Servicios => Organización [SEI CMU]

32 Gestión de la Resiliencia La Resiliencia Operacional inicia en el nivel de los Activos Para asegurar la resiliencia operacional en el nivel de servicios, relacionado con los activos estos tienen que ser: Protegidos de la amenazas y riesgos que los pudieran afectar Hacerlos sostenibles bajo condiciones adversas [SEI CMU]

33 Gestión de la Resiliencia Gestión de Riesgos vs Gestión de Continuidad de Negocios Alto Impacto Baja Probabilidad Dominio Gestión De Continuidad de Negocios Dominio Gestión de Riesgos Alta Probabilidad Probabilidad Desconocida Probabilidad Conocida Bajo Impacto

34 Gestión de la Resiliencia CERT-RMM Resilience Management Model [SEI CMU]

35 Gestión de la Resiliencia Estrategias de Protección Se traducen en actividades destinadas a mantener los activos desde la exposición a las amenazas a las interrupciones. Instanciadas a través de procesos, procedimientos, políticas y controles. [SEI CMU]

36 Gestión de la Resiliencia Estrategias de Sostenimiento Se traducen en actividades destinadas a mantener los activos en forma productiva durante la adversidad. Instanciadas a través de procesos, procedimientos, políticas y controles. [SEI CMU]

37 Gestión de la Resiliencia Protección, Sostenimiento y Riesgo [CERT-RMM SEI CMU] CERT RMM Carnegie Mellon University

38 Gestión de la Resiliencia Gestión de la Resiliencia en el Ciclo de Vida de un Activo [CERT-RMM SEI CMU] CERT RMM Carnegie Mellon University

39 Gestión de la Resiliencia Áreas [CERT-RMM SEI CMU] CERT RMM Carnegie Mellon University

40 Análisis de alto nivel CERT-RMM Resilience Management Model [CERT-RMM SEI CMU]

41 Análisis de alto nivel CERT-RMM Resilience Management Model

42 Análisis de alto nivel CERT-RMM Resilience Management Model

43 Institucionalización del Proceso Representación por estados = Maturity Level (NO CERT-RMM) Representación Continua = Nivel de Capacidad por área de procesos (únicamente en CERT-RMM)

44 Institucionalización del Proceso

45 Institucionalización del Proceso Aplica para cada área de proceso para mejorar el proceso asociado de cada área. Cada nivel excepto el Nivel 0 consiste de un Objetivo genérico y las Prácticas Genéricas relacionadas

46 Institucionalización del Proceso Nivel 0 Indica que uno o más de las metas específicas del área de proceso no es satisfecha

47 Institucionalización del Proceso Nivel 1 Satisface las metas específicas del área de proceso.

48 Institucionalización del Proceso Nivel 2 La disciplina del proceso asegura que las prácticas actuales se mantienen en tiempos de estrés.

49 Institucionalización del Proceso Nivel 3 La gestión de procesos es proactivo, no reactivo

50 Modelo IDEAL Sistema de Gestión de la Resiliencia

51 Análisis GAP [CERT-RMM SEI CMU]

52 CERT-RMM IMC

53 CERT-RMM IMC [CERT-RMM SEI CMU]

54 CERT-RMM IMC [CERT-RMM SEI CMU]

55 CERT-RMM IMC

56 CERT-RMM IMC Productos Típicos: Plan de gestión de incidentes Solicitudes documentadas de los compromisos del plan Compromisos documentados del plan

57 CERT-RMM IMC Productos Típicos: Descripción del trabajo para los roles y responsabilidades en el plan Listado del personal disponible y calificado Listado de las brechas de habilidades y brecha en la disponibilidad del personal Planes de mitigación para direccionar las habilidades y la brecha en el personal Actualización del plan de gestión de incidentes (con la asignación de personal)

58 CERT-RMM IMC Productos Típicos: Fuentes de detección y reporte de eventos Descripción de los roles y responsabilidades de la detección y reporte de eventos Procedimientos para la detección y reporte de eventos Reportes de eventos

59 CERT-RMM IMC Productos Típicos: Registrar los reportes de eventos Base de datos de conocimiento de la gestión de incidentes Estado de los reportes de los eventos e incidentes

60 CERT-RMM IMC Productos Típicos: Normas, leyes, regulaciones y políticas relevantes con respecto a manejo forense de incidentes Documentación y guías/directrices de manejo de las evidencias de los eventos/incidentes

61 CERT-RMM IMC Productos Típicos: Reporte de eventos actualizados (categorizados y priorizados) Base de datos de conocimiento de incidentes actualizada Reporte del estado de los eventos abiertos

62 Productos Típicos: Criterio de declaración de un incidente CERT-RMM IMC

63 CERT-RMM IMC Productos Típicos: Reporte con el análisis de incidentes Reporte a través de técnicas y herramientas de análisis Bases de datos de conocimiento de incidentes actualizada

64 Productos Típicos: Procedimiento de escalamiento de incidentes Criterio de escalamiento CERT-RMM IMC

65 CERT-RMM IMC Productos Típicos: Estrategias y plan de respuesta ante incidentes Plan de continuidad del servicio Plan de restauración Base de datos de conocimiento de incidentes actualizada

66 CERT-RMM IMC Productos Típicos: Lista de stakeholders, protocolos de comunicación y canales ante incidentes Plan de comunicación ante incidentes Reporte del estado del incidente (desde la base de datos de conocimientos de incidentes)

67 CERT-RMM IMC Productos Típicos: Criterio para cerrar el incidente Base de datos de conocimiento de incidentes actualizada

68 CERT-RMM IMC Productos Típicos: Criterio para cerrar el incidente Reporte con el análisis Post-Incidente Recomendaciones para mejorar los controles Recomendaciones para mejorar el proceso de gestión de incidentes Base de datos de conocimiento de incidentes actualizada

69 Productos Típicos: Reporte de problemas CERT-RMM IMC

70 CERT-RMM IMC Productos Típicos: Estrategia de controles Planes de continuidad del servicio Políticas de Resiliencia Requerimientos y necesidades de entrenamiento Lista de mejoras para el proceso de gestión de incidentes Requerimientos de resiliencia de los servicios y los activos Base de datos de conocimiento de incidentes actualizada

71 CERT-RMM IMC

72 CERT-RMM IMC

73 CERT-RMM IMC

74 CERT-RMM SC

75 Propósito El propósito de Service Continuity es asegurar la continuidad de las operaciones esenciales del servicio y de los activos relacionados en caso de que una interrupción ocurra como resultado de un incidente, desastre u otro evento.

76 Objetivo Continuidad del Servicio describe los procesos organizacionales responsables por los planes de desarrollo, implantación, ejercicio, puesta en marcha y gestión para responder y recuperarse de los eventos y restaurar las operaciones del negocio como es usual.

77 CERT-RMM SC [CERT-RMM SEI CMU]

78 Objetivos - SC

79 Comparación RMM vs BS [CERT-RMM SEI CMU]

80 Comparación RMM vs BS [CERT-RMM SEI CMU]

81 Comparación RMM vs BS [CERT-RMM SEI CMU]

82 Comparación RMM vs BS-25999

83 Comparación RMM vs BS-25999

84 Comparación RMM vs BS-25999

85 Comparación RMM vs BS-25999

86 Comparación RMM vs BS-25999

87 CERT-RMM TM

88 Propósito El propósito de Technology Management es establecer y mantener un nivel apropiado de controles relacionados con la integridad y la disponibilidad del activo de tecnología para soportar la resiliencia en las operaciones de los servicios de la organización.

89 CERT-RMM TM [CERT-RMM SEI CMU]

90 CERT-RMM TM

91 CERT-RMM TM

92 Comparación RMM-TM vs ISO-27001

93 Cómo iniciar el Proceso para el CERT-RMM? Determinar si la organización presenta síntomas de presentar barreras organizacionales. Iniciar la discusión acerca del mejoramiento de procesos en la organización. Buscar la experiencia de aplicación exitosa de otras técnicas de mejoramiento de procesos Buscar oportunidades para la interacción y planeación con otros recursos de Seguridad y BC/DR Realizar pasos simples: Inventario de Activos (en las 4 categorías) Identificar los Servicios críticos para la organización (Posiblemente BIA) Identificar los Riesgos (RA) Determinar como la organización planea los esfuerzos para la seguridad y la continuidad del negocio. Identificar área para el mejoramiento

94 Resiliencia Operacional Basado en el Modelo CERT-RMM Ing. Yezid E. Donoso Meisel, Ph.D. Profesor Asociado Dpto. Ingeniería de Sistemas y Computación Coordinador Especialización en Seguridad de la Información Senior Member IEEE DVP (Distinguished Visitor Professor) IEEE Information Security Certified SEI Carnegie Mellon University USA CERT-RMM SEI - Carnegie Mellon University USA Certified Functional Continuity Professional (CFCP) DRII Business Continuity Auditor/Auditor Leader Certified BSI EC-Council Certified Security Analyst ydonoso@uniandes.edu.co