Metodologías y Normas Metodologías para el Análisis y Normas de para Riesgos el Análisis de Riesgos: Cuál debo aplicar? Vicepresidente Internacional ISACA
Contenido 1. Fundamentos del Análisis de Riesgos 2. OCTAVE 3. MAGERIT 4. ISO 27005 5. Risk IT de ISACA Los productos aquí mencionados pertenecen a sus respectivos propietarios. La presentación no tiene fines de lucro, es solo de carácter académico, y representa solamente la opinión del expositor
Riesgo Tecnológico El Riesgo Tecnológico implica la probabilidad de pérdidas ante fallas de los sistemas de información. También considera la probabilidad de fraudes internos y externos através de los sistemas de información. Involucra al riesgo legal y al riesgo de pérdida de reputación por fallas en la seguridad y por la no disponibilidad de los sistemas de información. 4
Elementos del análisis de riesgos Amenazas explota Vulnerabilidades protege contra incrementa incrementa afecta Salvaguardas Riesgos Activos satisfecho por indica incrementa tiene Requisitos de Seguridad Valor de activos (impacto potencial)
Proceso de análisis de riesgos Identificación y valuación de activos Evaluación de amenazas Contramedidas Evaluación de vulnerabilidad Evaluación de riesgos Evaluación de control Plan de acción Riesgos residuales Fuente: IT Governance Institute
La administración de los riesgos es parte fundamental del Modelo conceptual de Gobierno de seguridad de TI Fuente: Information Security Governance, 2nd Edition, ITGI
Análisis de riesgos Fases del Análisis de riesgos Identificación de activos Todo elemento necesario para mantener las actividades de la organización Datos, hardware, personal, imagen de la organización Evaluación de las amenazas Evento que puede afectar a los activos de la organización, poniendo en peligro su integridad Las amenazas dependen de negocio de la organización, ubicación de la organización, tipo de sistema a proteger
Análisis de riesgos Fases del Análisis de riesgos Evaluación de las amenazas (continuación) Tipos de amenazas Naturaleza, errores o accidentes, intencionadas (locales o remotas) Identificar la causa de la amenaza Identificar el activo afectado por la amenaza Calcular la probabilidad de que ocurra la amenaza Resultados Lista de Amenazas Activos afectados Probabilidad de que ocurra
Probabilidad y Consecuencia de Amenazas Fuego Incidentes de Seguridad Computacional Terrorismo Inundación Fallas en tele-fallcomunicaciones Energía Sistema Falla en conmutador Volumen de Fallas en eq. Transacciones y sist. computo Consecuencia Severidad Terremotos Violencia en Lugar de Trabajo Negligencia o Desconocimiento Vandalismo Robo de Activos Informáticos Falla de Proveedores Muy Baja Baja Media Alta Probabilidad de Ocurrencia Muy Alta
Análisis de riesgos Fases del Análisis de riesgos Tratamiento del riesgo Encontrar un equilibrio: Nivel de seguridad VS Costo de la seguridad Costo Protección VS costo de exposición Decisiones Aceptar el riesgo Transferir el riesgo Reducir el riesgo a un nivel aceptable (Seleccionar controles) Niveles de Riesgo determinan las Decisiones Los niveles de riesgo se determinan con base en diversos enfoques.
Comparación de Rango de Riesgo Objetivo: Asignar un valor de rango a un riesgo en comparación con otro, para establecer un criterio o grupo de criterios para dar prioridad. Comparación de Rango de Riesgo Riesgo A B C D Resultado Se comparan los riesgos: A es más importante que B, se asigna 1;Riesgo A es menos importante que C, se asigna 0; Riesgo A es igual de importante que Riesgo D, se asigna.5. A 1 0.5 1.5 B 0 0 1 1 C 1 1.5 2.5 D.5 0.5 1
Análisis cuantitativo: El impacto tiene más peso que la probabilidad, por lo que el orden de los factores si altera el producto. Identificaciónde prioridades Imp. Prob. NR. 1 X 2 = 2 2 X 1 = 3 Impacto 3 2 1 6 8 9 3 5 7 1 2 4 Método Joan Peib 1 2 3 Probabilidad
Notas sobre el Análisis cuantitativo: Impacto 3 2 1 6 8 9 3 5 7 1 2 4 1 2 Método Joan Peib Imp.x Prob. NRiesgo. 1 X 2 = 2 2 X 1 = 3 3 Probabilidad Faltan niveles de riesgo 5,7 y 8 IxP=NR 1x1=1 1x2=2 1x3=3 2x1=2 2x2=4 2x3=6 3x1=3 3x2=6 3x3=9
Metodologías, normas, estándares.. OCTAVE Carnegie Mellon SEI MAGERIT 2 ISO 27005 MINISTERIO DE ADMINISTRACIÓN PÚBLICA 27005 Risk IT de ISACA
OCTAVE OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) Metodología de Análisis de Riesgos (seguridad de TI) Enfocado a que la organización sea capaz de: Dirigir y gestionar sus evaluaciones de riesgos Tomar decisiones basándose en sus riesgos Proteger los activos claves de información Comunicar de forma efectiva la información clave de seguridad Coadyuvante en el Aseguramiento de la continuidad del negocio Definición del riesgo y amenazas basadas en los activos críticos Estrategias de protección y mitigación de riesgos basada en prácticas Recopilación de datos en función de los objetivos Base para la mejora de la seguridad
OCTAVE OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) Beneficios Identifica los riesgos de la seguridad que pueden impedir la consecución del objetivo de la organización Enseña a evaluar los riegos de la seguridad de la información Crea una estrategia de protección con el objetivo de reducir los riesgos de seguridad de la información prioritaria Ayuda a la organización cumplir regulaciones de la seguridad de la información.
OCTAVE OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) Planificación Fase 1 Vista de la Organización Activos Amenazas Prácticas actuales Vulnerabilidades de la organización Cumplimiento Fase 3 Desarrollo del Plan y de la Estrategia Riesgos Estrategia de protección Planes de atenuación Fase 2 Vista Tecnológica Vulnerabilidades Tecnológicas
MAGERIT: Metodología de análisis y gestión de riesgos de TI MAGERIT 2 MINISTERIO DE ADMINISTRACIÓN PÚBLICA
MAGERIT MAGERIT inició con enfoque a las entidades públicas en España, pero se recomienda para todo tipo de organizaciones Tiene varios documentos: Método Cátalogo Técnicas Se cuenta con una herramienta computarizada: PILAR
Publicado por ISACA
Fuente: Risk IT publicado por ISACA / ITGI
Fuente: Risk IT publicado por ISACA / ITGI
El Framework de Risk IT Tiene 3 dominios: Fuente: Risk IT publicado por ISACA / ITGI
Fuente: Risk IT publicado por ISACA / ITGI
Fuente: Risk IT publicado por ISACA / ITGI
Análisis de Riesgo Factores de Riesgo Fuente: Risk IT publicado por ISACA / ITGI Respuesta al Riesgo
Entonces, Qué uso para el análisis de riesgos?... Qué le dará más valor a mi organización?
Gracias! Vicepresidente Internacional ISACA