Modelos de Control de Riesgo IT con Archer La perspectiva única de RSA @RSAEMEA #RSAEMEASummit Manuel Lorenzo Solution Success Manager EMEA South 1
El ciclo del GRC Companies Which are part of Leverage Assets & Policies REGULATIONS GOVERNANCE To reach their BUSINESS GOALS This journey can be prevented by RISKS which are mitigated by RISK COMPLIANCE And Controls are typically defined by VERIFIED which must periodically CONTROLS 2
La Gestión del Riesgo es el Proceso Clave La gestión del riesgo se está convirtiendo en una ventaja competitiva 3
Qué entendemos por Riesgo? ISO 31000: the effect of uncertainty on objectives El efecto puede ser una desviación positiva o negativa sobre lo esperado Las diferentes perspectivas del riego dependen del contexto: 4
El Universo del Riesgo es complejo! (*) Gartner - A Risk Hierarchy for Enterprise and IT Risk Managers 5
Diferentes contextos, diferentes definiciones Operational Risk (OpRisk) The risk of direct or indirect losses resulting from inadequate or failed internal processes, people, and technology or from external events IT Risk The business risk associated with the use, ownership, operation, involvement, influence and adoption of IT within an enterprise InfoSec Risk The risk associated with the loss of Confidentiality, Integrity and Availability (CIA) of Information due to threats targeting IT assets leveraging specific vulnerabilities that eventually lead to an impact (mostly economic) to the business. 6
Pero cuáles son las diferencias? Diferencias en la fase de Evaluación de Riesgos Diferentes Interlocutores Diferentes Técnicas de Identificación de Riesgos Diferenetes Alcances y Objetivos Diferentes Metodologías y Técnicas Diferentes evaluaciones: Cuantitativas, Cualitativas Ejemplos Alcance IT Risk: Activos OpRisk: Procesos Metodología IT Risk: Octave, Fair, Magerit, CUSTOM OpRisk: prcs, RCSA, CSA 7
Enfoquémonos en la IT/InfoSec Risk En GRC, la terminología es clave y puede llevarnos a diferentes interpretaciones: el caso del IT/InfoSec Risk o IT Security Risk El método tradicional La visión de Un proceso con el ánimo de evaluar los riesgos asociados a los activos a partir de las amenazas a los mismos mediante vulnerabilidades específicas Proceso típicamente descrito en estándares como ISO-27005 & ISO-31000 Básicamente gestionando Riesgos Potenciales Gracias a la flexibilidad de la plataforma de RSA GRC, se puede implementar cualquier proceso de riesgo, incluyendo IT/InfoSec También soportamos una aproximación al riesgo alternativa, más pragmática, que denominamos IT Security Risk Management (IT.SRM) que aborda los riesgos mediante la gestión de vulnerabilidades e incidentes 8
La aproximación tradicional a la Gestión de Riesgo IT 9
InfoSec Risk: Pensando diferente! El Alcance es un conjunto Activos IT a los que se le asignan un Valor Los activos se organizan como una jerarquía dinámica (usualmente asociada también a una jerarquía de activos de negocio) Esto implica que el riesgo se propaga a través de la jerarquía El riesgo es evaluado cualitativa o cuantitativamente a través de diferentes dominios: Confidencialidad, Integridad, Disponibilidad Traceabilidad, Autenticidad 10
InfoSec Risk: Propagación de Riesgo Purchase Order Information 7 AR Invoice Information 8 Mail Media 3 AR RS RskInfo7a SAP App 07 AR RS RskMed3a Asset Risk Propagation ERP Server Device 4 AR RS RskApp7a London D.C Facility 5 AR RS RskDev4a R RskDev4b RS RskFac5a RS Manually-assessed = Risk Scenario AR = Asset Risk 11
La aproximación Pragmáica a la Gestión de Riesgo IT La perspectiva única de RSA 12
Las directrices actuales son diferentes de las del pasado Negocio e IT son más dinámicas que en el pasado Tecnología está cambiando constantemente (Cloud, BYOD, ) y define nuevas amenazas Los CyberAtaques están aumentando y son más sofisticados: cualquier compañía es un objetivo potencial Es aún válida la aproximación tradicional a la gestión del riesgo? (Las evaluaciones de riesgo están cada vez más extendidas, pero el número de CyberAtaques exitosos cuentan otra historia) Dado que las evaluaciones de riesgo se realizan una o dos veces al año, Estamos seguros de dominar todos los riesgos importantes? 13
Gestionando el Riesgo IT: al modo de La solución de Archer IT Security Risk Management es un marco que fomenta el foco en 4 áreas críticas para gestionar el Riesgo IT/InfoSec: IT Security Risk Management Definir e implementar Políticas de Seguridad y los Estándares Establecer y aprovechar el Contexto de Negocio Identificar y corregir Vulnerabilidades Detectar y Responder a ataques 14
El origen de los riesgos: Qué estamos haciendo Attack Agent Attack Vector Security Technical Impact Business Impact Attack IT Asset Business Asset Attack IT Asset Business Asset Attack IT Asset Business Asset The OWASP Model (https://www.owasp.org/index.php/top_10_2010- Main) 15
El origen de los riesgos: Qué estamos haciendo Attack Agent Attack Vector Security Security Controls Technical Impact Business Impact Attack IT Asset Business Asset Attack X Control IT Asset Business Asset Attack IT Asset Business Asset The OWASP Model (https://www.owasp.org/index.php/top_10_2010- Main) 16
El origen de los riesgos: Qué podemos hacer Attack Agent Attack Vector Security Security Controls Technical Impact Business Impact Attack IT Asset Business Asset Attack Control Control IT Asset Business Asset Attack IT Asset Business Asset Impacto Técnico Difícil! Posible Factible & Efectivo Factible & Efectivo Se pueden identificar tres áreas: Prevención de Amenazas Mejorar la eficiencia de la Detección de Ataques Detección Ataques Mejorar la eficacia de la respuesta antes Incidencias Respuesta & Remediación The OWASP Model (https://www.owasp.org/index.php/top_10_2010- Main) 17
La aproximación pragmática de Prevención de Amenazas: mitiga el riesgo IT reduciendo las vulnerabilidades (riesgos reales, esperando a materializarse) importante para el negocio El riesgo se mitiga actuando sobre la probabilidad Detección de Ataques y Respuesta Incidentes: mitiga el riesgo IT mejorando las capacidades de detección y haciendo más eficiente y efectivo el proceso de respuesta antes incidentes El riesgo se mitiga actuando sobre el impacto Prevención de Amenazas Detección Ataques Respuesta & Remediación Archer Risk Management Security Analytics/ECAT Archer Security Operations Management 18
VRM Scanner VRM Catálogo Activos Descubrimiento de Vulnerabilidades Clasificación Resolución Seguimiento/ Informes Contexto Negocio Escanear Todas las Redes Priorizando Según el Riesgo Solucionar/Excepción KPIs Dashboards RSA VRM Contexto de Negocio Resultado Scanner + Σ = Vulnerabilidades + Priorizadas Inteligencia de Amenazas Workflow KPI Informes Escalabilidad Velocidad Precisión 19
Aproximación Tradicional vs. Complementarias, no alternativas! Característica Aproximación Tradicional Aproximación de RSA Objetivo Identificación del Riesgo Mitigación del Riesgo Frecuencia Medible Identificar, Evaluar, Remediar los riesgos mediante metodologías (Octave, FAIR, Magerit, Mehari, ) Identificar riesgos que pueden o no materializarse (riesgos potenciales) Creación de planes de remediación y controles. No siempre alineados con las necesidades de negocio. Generalmente una o dos veces al año. El resultado puede estar desactualizado cuando se termina el informe! Sí, dependiendo del modelo de evaluación Mitigar los riesgos haciendo los procesos de gestión de vulnerabilidades y la respuesta antes incidentes más efectivos y eficientes Vulnerabilidades reales, esperando a una amenaza que las aproveches (aproximación pragmática) Ofrecer herramientas para solucionar las vulnerabilidades que más impactan a los procesos de negocio y gestionar los incidentes eficientemente Básicamente en Tiempo Real. Solucionando las vulnerabilidades según se descubren y gestionando de forma inmediata los incidentes. Sí, pero se necesita definir un algoritmo: f(#incidentes, #vulnerabilidades) 20
Uniendo el Riesgo IT/InfoSec con el Riesgo Operacional 21
Desde el Riesgo IT/InfoSec al OpRisk Mail Media 3 AR Purchase Order Information 7 AR RS RskInfo7a SAP App 07 AR Invoice Information 8 PR Order Management Sub Process Domestic Sales Business Unit Order to Cash Process RS RskMed3a Asset Risk Propagation London D.C Facility 5 AR RS ERP Server Device 4 AR RS RskDev4a RS RskApp7a R RskDev4b Process Risk Propagation PR PR PR Product Delivery Sub Process Invoice Management Sub Process Credit Collection Sub Process Op Risk RskFac5a RS Manually-assessed = Risk Scenario AR = Asset Risk PR = Process Risk = Cumulative Risk 22
El Escenario Final RSA puede Gestionar Purchase Order ICT Invoice Risk Hierarchy Risk Hierarchy Risk Hierarchy Order to Cash Process BUSINESS Domestic Sales Business Unit EMEA Division Company Mail SAP Order Management ERP Server London D.C I.S.R.A. Tools Product Delivery Invoice Management Credit Collection OpRisk Tools IT y Negocio pueden independientemente evaluar sus propios riesgos. Los procesos son el punto ideal de convergencia de los riesgos IT/InfoSec y Operacional. GRC Archer ayuda a proporcionar a los responsables una visión única y unificada del riesgo 23
Conclusiones El riesgo es un concepto complejo: existen diferentes ámbitos, aproximaciones y metodologías! Hoy en día, debido al contexto de negocio e IT, es obligatorio alcanzar la apropiada visibilidad de los riesgos para tener una ventaja competitiva Con respecto al Riesgo IT, puede ayudar tanto con la aproximación tradicional como con una aproximación única y pragmática a la mitigación de riesgos (Archer IT.SRM) La aproximación de es complementaria y no alternativa a la aproximación tradicional de evaluación de riesgos 24
EMC, RSA, the EMC logo and the RSA logo are trademarks of EMC Corporation in the U.S. and other countries.