Anlisis de Riesgos

Ricardo Caizares Sales

4 Clase Virtual

Anlisis de Riesgos

Tema 1: Anlisis y gestin de riesgos

Tema 2: Metodologas y herramientas de anlisis y gestin de

riesgos

Anlisis de Riesgos Ricardo Caizares Sales

Tema 2
Metodologas y herramientas de
anlisis y gestin de riesgos

Ricardo Caizares Sales

Anlisis de Riesgos Ricardo Caizares Sales

4 clase

Anlisis de Riesgos - Arboles de Ataque

Anlisis de Riesgos Ricardo Caizares Sales

Anlisis de Riesgos
Cmo gestionamos el riesgo?
Cmo lo analizamos?
Cmo sabemos a lo que nos enfrentamos?

Anlisis de Riesgos Ricardo Caizares Sales

Anlisis de Riesgos
ISO/IEC 27001:2013
Information technology Security techniques
Information security management systems
Requirements
ISO/IEC 27005:2011
ISO/IEC 31000

Anlisis de Riesgos Ricardo Caizares Sales

Anlisis de Riesgos
ISO/IEC 27001:2013
4.1 Comprender la organizacin y su contexto
Contexto internal y externo de la organizacin de acuerdo al
punto 5.3 de la ISO-31000
6.1 Analisis y gestin de riesgos
Alineado con los principios y directrices de la ISO 31000

Anlisis de Riesgos Ricardo Caizares Sales

Anlisis de Riesgos
ISO/IEC 27005:2011
Information technology -- Security techniques -- Information
security risk management

Fases del anlisis de riesgos

Establecimiento del contexto

Evaluacin del riesgo
Tratamiento del riesgo
Aceptacin del riesgo
Comunicacin del riesgo
Monitorizacin y revisin del riesgo

Anlisis de Riesgos Ricardo Caizares Sales

Anlisis de Riesgos
UNE-ISO 31000
Gestin del riesgo Principios y directrices

Anlisis de Riesgos Ricardo Caizares Sales

Anlisis de Riesgos
MAGERIT Versin 3

Anlisis de Riesgos Ricardo Caizares Sales

10

Anlisis de Riesgos
Activo
Componente o funcionalidad de un sistema de informacin susceptible
de ser atacado deliberada o accidentalmente con consecuencias para
la organizacin. Incluye: informacin, datos, servicios, aplicaciones
(software), equipos (hardware), comunicaciones, recursos
administrativos, recursos fsicos y recursos humanos. [UNE
71504:2008]

UNE 71504:2008 Metodologa de anlisis y gestin de riesgos para

los sistemas de informacin

Anlisis de Riesgos Ricardo Caizares Sales

11

Metodologa
MAGERIT Versin 3

Anlisis de Riesgos Ricardo Caizares Sales

12

Metodologa
MAGERIT Versin 3

Anlisis de Riesgos Ricardo Caizares Sales

13

Inventario de activos
Enfoque top-down
Consiste en inferir los activos de informacin relacionados con los
procesos a partir de la descripcin de los procesos.

Enfoque bottom-up
Consiste en identificar las principales aplicaciones, ficheros y bases de
datos utilizados por el proceso y conceptualizar la informacin que
almacenan y procesan.
En este enfoque no se debe olvidar la importancia de la informacin no
automatizada que pueda ser relevante para el anlisis y que en funcin
del alcance definido, puede formar parte del alcance del anlisis de
riesgos.

Anlisis de Riesgos Ricardo Caizares Sales

14

Inventario

Tamao de la organizacin
Coste econmico
Tiempo necesario
Actualizacin

Coste muy elevado

Los inventarios no suelen estar completamente
automatizados

Anlisis de Riesgos Ricardo Caizares Sales

15

Anlisis de Riesgos
UNE-ISO 28000
Especificacin para los
sistemas de gestin de la
seguridad para la cadena
de suministro

Anlisis de Riesgos Ricardo Caizares Sales

16

Anlisis de Riesgos
Escenario de riesgos
Descripcin del efecto de un conjunto determinado de
amenazas sobre un determinado conjunto de activos,
recursos y salvaguardas, teniendo en cuenta
determinadas hiptesis definidas.

Anlisis de Riesgos Ricardo Caizares Sales

17

Definir escenarios
Impacto en el negocio
Atributo
Integridad
Confidencialidad
Disponibilidad

Modelado de las amenazas

Anlisis de Riesgos Ricardo Caizares Sales

18

Modelado de Amenazas
Es una tcnica de ingeniera cuyo objetivo es ayudar a
identificar y planificar de forma correcta la mejor manera
de disminuir los riesgos a los que esta expuesta una
organizacin.
Es un proceso que nos va a facilitar la comprensin de
las diferentes amenazas a las que esta expuesta una
organizacin o una instalacin, y cuya finalidad es
ayudar a determinar las medidas de proteccin
adecuadas.

Anlisis de Riesgos Ricardo Caizares Sales

19

Modelado de Amenazas
Se trata de identificar las amenazas y definir un plan de
accin adecuado que nos permita mitigar el riesgo a
unos niveles aceptables, de una forma efectiva y en
base a unos costes razonables.
Contribuye a identificar y cumplir con los objetivos de
seguridad especficos de cada entorno y facilita la
priorizacin de tareas de proteccin en base al nivel de
riesgo resultante.

Anlisis de Riesgos Ricardo Caizares Sales

20

Modelado de Amenazas
DEBE
Identificar amenazas potenciales as como las condiciones
necesarias para que un ataque se logre llevar a cabo con xito.
Facilitar la identificacin de las condiciones o aquellas
vulnerabilidades que, una vez eliminadas o contrarrestadas, afectan
a la probabilidad de materializacin de mltiples amenazas.
Proporcionar informacin relevante sobre cuales seran las
salvaguardas ms eficaces para contrarrestar un posible ataque y/o
mitigar los efectos de la presencia de una vulnerabilidad en nuestra
organizacin.
Proveer informacin sobre cmo las medidas actuales previenen la
materializacin de las amenazas.
Transmitir a la direccin la importancia de los riesgos a los que est
expuesta en trminos de impacto de negocio.
Proporcionar una estrategia slida para evitar posibles brechas de
seguridad.
Facilitar la comunicacin y promover una mejor concienciacin sobre
la importancia de la seguridad.
Anlisis de Riesgos Ricardo Caizares Sales

21

Modelado de Amenazas

Una de las tcnicas de modelado de

amenazas son los rboles de ataque.

Anlisis de Riesgos Ricardo Caizares Sales

22

Arboles de ataque
Para construir un rbol de ataque el objetivo del
atacante se usa como raz del rbol, y a partir de ste,
de forma iterativa e incremental se van detallando como
ramas del rbol las diferentes formas de alcanzar dicho
objetivo, convirtindose las ramas en objetivos
intermedios que a su vez pueden refinarse.

Anlisis de Riesgos Ricardo Caizares Sales

23

Arboles de ataque

Entrar
enla
sala

Entrar
porla
puerta

Entrar
porla
ventana

Butrn

Anlisis de Riesgos Ricardo Caizares Sales

24

Arboles de ataque
Al estudiar y analizar el conjunto de todos los posibles
ataques a los que est expuesto un objetivo, se acaba
modelando un bosque de rboles de ataque.
Un rbol de ataque estudia y analiza cmo se puede
atacar un objetivo y por tanto permite identificar qu
salvaguardas se necesita desplegar para impedirlo.

Anlisis de Riesgos Ricardo Caizares Sales

25

Arboles de ataque
Permiten estudiar las actividades que tendra que
desarrollar el atacante y por tanto lo que necesita saber
y lo que necesita tener para realizar el ataque; de esta
forma es posible determinar la probabilidad de que el
ataque se produzca, si se conoce quin pudiera estar
interesado en atacar el objetivo y se analiza su
capacidad para disponer de la informacin, habilidades y
recursos necesarios para llevar a cabo dicho ataque.

Anlisis de Riesgos Ricardo Caizares Sales

26

Arboles de ataque
Para poder elaborar un rbol de ataque hay que analizar
el escenario al que nos enfrentamos y estudiar el
problema desde el punto de vista en que hara el
potencial atacante.

Anlisis de Riesgos Ricardo Caizares Sales

27

Arboles de ataque
Son una herramienta grfica para analizar y presentar
qu puede pasar y cmo lo prevenimos. Capturan de
alguna forma el razonamiento del atacante y permiten
anticiparse a lo que pudiera ocurrir.
Aunque es difcil construir rboles exhaustivos en el
primer intento, s son un buen soporte para ir
incorporando la experiencia acumulada y recopilar en
cada momento el mejor conocimiento del que se
dispone.

Anlisis de Riesgos Ricardo Caizares Sales

28

Arboles de ataque
Permiten realizar simulaciones

qu pasara si introducimos nuevos activos?

qu pasara si cambiamos las salvaguardas?
cmo lo enfocara un atacante de perfil X?

Anlisis de Riesgos Ricardo Caizares Sales

29

Arboles de ataque
Los rboles de ataque constituyen una documentacin
extremadamente valiosa para un atacante,
especialmente cuando incorporan el estado actual de
salvaguardas, pues facilitan en extremo su trabajo.
Son un documento clasificado y deben tomarse todas
las medidas de seguridad necesarias para garantizar su
confidencialidad.

Anlisis de Riesgos Ricardo Caizares Sales

30

Arboles de ataque
NODOS
Lo ms habitual, es que para alcanzar un objetivo o
subobjetivo se disponga de varias alternativas (nodos
OR); aunque en ocasiones se requiere la concurrencia
de varias actividades (nodos AND).

Anlisis de Riesgos Ricardo Caizares Sales

31

Nodo OR

Entrar
enla
sala

Entrar
porla
puerta

Entrar
porla
ventana

Butrn

Anlisis de Riesgos Ricardo Caizares Sales

32

Nodo AND
Entrar
porla
puerta

Romper
la
puerta

Abrirla
puerta

Tenerla
llave

Conocer
laclave

Anlisis de Riesgos Ricardo Caizares Sales

33

Arboles de ataque

Los clculos son sencillos y permiten trabajar con diferentes niveles

de refinamiento.

Anlisis de Riesgos Ricardo Caizares Sales

Coste

Los nodos OR cuestan lo que el ms barato de sus hijos.

Los nodos AND suman los costes.

Anlisis de Riesgos Ricardo Caizares Sales

35

Tiempo

Nodos OR el menor tiempo de sus hijos.

Nodos AND

La suma de los tiempos de todos sus hijos

El mayor tiempo de sus hijos

Anlisis de Riesgos Ricardo Caizares Sales

36

Coste OR

10m
500

10m
500

30m
2.000
20m
3.000

Anlisis de Riesgos Ricardo Caizares Sales

37

Coste AND

60m
5.500

10m
500

30m
2.000
20m
3.000

Anlisis de Riesgos Ricardo Caizares Sales

38

Coste AND

30m
5.500

10m
500

30m
2.000
20m
3.000

Anlisis de Riesgos Ricardo Caizares Sales

39

Conocimientos

En el caso de analizar conocimientos, los nodos OR requieren en

conocimiento ms bajo, mientras que los nodos AND requieren el
conocimiento del hijo ms sofisticado.

Anlisis de Riesgos Ricardo Caizares Sales

40

Arboles de ataque
Una vez identificadas las diferentes formas de alcanzar
un objetivo, los nodos del rbol se pueden enriquecer
con informacin de detalle, que puede ser de muy
diferentes tipos:
Conocimientos y capacidades que debe tener el atacante: ninguna
experiencia, alguna experiencia, conocimientos tcnicos, etc.
Medios econmicos de los que debe disponer el atacante para preparar
y ejecutar el ataque.
Medios materiales necesarios para la realizacin del ataque: tipo, coste,
dificultad de obtencin, etc.
Tiempo necesario para preparar y ejecutar el ataque
Riesgo para el atacante, antes, durante y despus del ataque,
probabilidad de detencin, qu consecuencias afrontara?, etc.

Anlisis de Riesgos Ricardo Caizares Sales

41

Arboles de ataque
Al analizar el rbol de ataque, la informacin de estos
atributos nos va a permitir obtener escenarios
simplificados de ataque:
Atacantes inexpertos pero muy motivados con mucha financiacin
Atacantes profesionales pero sin capacidad de inversin (o sin
necesidad de realizar una inversin adicional para perpetrar este
ataque)
Atacantes a los que no les importa sacrificar su propia vida
Atacantes que quedaran impunes
etc.

Anlisis de Riesgos Ricardo Caizares Sales

42

Arboles de ataque
Para alcanzar estos escenarios especializados basta
eliminar del rbol las ramas que no satisfagan una
condicin cualitativa o cuantitativa.

Anlisis de Riesgos Ricardo Caizares Sales

43

Arboles de ataque
Los clculos son sencillos y permiten trabajar con
diferentes niveles de refinamiento.
Los nodos OR cuestan lo que el ms barato de sus
hijos. Los nodos AND suman los costes.
En el caso de analizar conocimientos, los nodos OR
requieren en conocimiento ms bajo, mientras que los
nodos AND requieren el conocimiento del hijo ms
sofisticado.
Para tomar decisiones combinadas hay que ir al ltimo
nodo de detalle, pues frecuentemente lo ms barato y lo
ms sofisticado son condiciones contradictorias.

Anlisis de Riesgos Ricardo Caizares Sales

44

Arboles de ataque
Sobre un rbol con atributos:
Es posible determinar el ataque ms probable,
simplemente extrayendo aquel ataque que requiere
menos medios y menos capacidades por parte del
atacante.
Es posible determinar cul ser la lnea de accin de un
posible perfil de atacante (que se determina en base al
tipo de instalacin o activo que estamos protegiendo):
aquel que con menos coste satisfaga los requisitos
mnimos para realizar el ataque.

Anlisis de Riesgos Ricardo Caizares Sales

45

Salvaguardas
Su efecto debe reflejarse sobre el rbol de ataque:
Incrementando las capacidades y conocimientos que el atacante
necesitara para alcanzar su objetivo pese a las salvaguardas
desplegadas
Incrementando el coste econmico que tendra que realizar el
atacante para alcanzar su objetivo a la vista de las salvaguardas
desplegadas
Incrementando el tiempo necesario para alcanzar el objetivo.

Anlisis de Riesgos Ricardo Caizares Sales

46

Salvaguardas
La implantacin de un sistema de seguridad perfecto,
con todas las salvaguardas necesarias eliminara todas
las ramas del rbol.
Est solucin no existe, la seguridad total no existe, es
imposible eliminar todos los riesgos.

Anlisis de Riesgos Ricardo Caizares Sales

47

Salvaguardas
Un sistema de seguridad real se desarrolla implantando
salvaguardas, que modifiquen los atributos de los nodos
aumentando los niveles de capacidad, de conocimiento,
de inversin, etc, de forma que reduzcan la probabilidad
de que el ataque tenga xito, hasta alcanzar el nivel de
riesgo aceptado por la Direccin.

Anlisis de Riesgos Ricardo Caizares Sales

48

Construccin del rbol

La construccin del rbol es compleja y laboriosa
adems de un gran conocimiento del objeto de
proteccin, de sus vulnerabilidades, de las amenazas a
las que esta expuesto, de las capacidades de los
atacantes potenciales, as como de las caractersticas y
efectividad de las medidas de seguridad o salvaguardas
aplicables.
Marcar el objetivo final requiere un gran conocimiento de
dnde est el valor en la Organizacin y cual puede ser
el objetivo del atacante respecto del mismo.

Anlisis de Riesgos Ricardo Caizares Sales

49

Construccin del rbol

El enriquecimiento del rbol de ataque en forma de
ramas debera ser exhaustivo; pero est limitado por la
imaginacin del analista; si el atacante es ms listo
tiene una oportunidad para utilizar una va imprevista.
La experiencia permite ir enriqueciendo el rbol con
nuevos ataques realmente perpetrados o simplemente
detectados en el permetro con un buen sistema de
monitorizacin.

Anlisis de Riesgos Ricardo Caizares Sales

50

Construccin del rbol

Hay que utilizar:
La experiencia propia o ajena en situaciones similares
Grupos de reflexin en los que de forma informal se van exponiendo
cosas que posiblemente pensaran los atacantes; estas sesiones
suelen generar mucho material en bruto que hay que organizar y
estructurar para ser utilizado como herramienta de anlisis
Herramientas de simulacin que sugieran ataques en base a la
naturaleza de los activos presentes en el objeto de proteccin
Informacin de inteligencia

Anlisis de Riesgos Ricardo Caizares Sales

51

Construccin del rbol

Si se dispone de un modelo de valor, es posible utilizar
ste para determinar la naturaleza de los activos y las
dependencias entre ellos, de forma que podemos
elaborar el rbol de ataques en base al conocimiento de
los activos inferiores que constituyen la va de ataque
para alcanzar los activos superiores en los que suele
residir el valor para la Organizacin

Anlisis de Riesgos Ricardo Caizares Sales

52

Escenarios
Una vez se dispone de un rbol de ataque o un conjunto
de ellos formando un bosque, es el momento de analizar
todos los posibles escenarios que describen y
desarrollar la estrategia de proteccin adecuada.

Anlisis de Riesgos Ricardo Caizares Sales

53

Escenarios
Para comenzar una evaluacin se necesita considerar
los posibles escenarios de ataque, cada uno de ellos
que consiste en la materializacin de una amenaza
potencial bajo circunstancias especficas.
Es importante que los escenarios que se desarrollen
estn dentro del mbito de posibilidades y como mnimo,
consideren las capacidades de los posibles atacantes y
sus intenciones conocidas, que se determinan de
acuerdo a las evidencias de eventos pasados y de la
informacin de inteligencia disponible.

Anlisis de Riesgos Ricardo Caizares Sales

54

Escenarios
El nmero de escenarios a analizar lo debe determinar
el equipo evaluador.
Se debe evitar realizar un nmero excesivo de
evaluaciones innecesarias sobre escenarios que
supongan un bajo impacto para la organizacin.

Anlisis de Riesgos Ricardo Caizares Sales

55

Escenarios
Se debe realizar una evaluacin de la criticidad de los
objetivos de proteccin, para centrar el esfuerzo sobre
los objetivos crticos.
Escenarios similares, con variaciones menores, no
deben ser evaluados separadamente a no ser que haya
diferencias sustanciales en las consecuencias o las
vulnerabilidades.

Anlisis de Riesgos Ricardo Caizares Sales

56

Escenarios
Cada escenario debe ser evaluado en trminos del
potencial impacto consecuencia del ataque.
Cada escenario debe ser evaluado en trminos de la
vulnerabilidad de la instalacin/sistema ante un ataque.

Anlisis de Riesgos Ricardo Caizares Sales

57

Escenarios
La evaluacin inicial de la vulnerabilidad debe realizarse
sin tener en cuenta las medidas de seguridad que
impliquen una disminucin de las vulnerabilidades,
aunque dichas medidas de seguridad ya estn
implantadas.
La evaluacin de la vulnerabilidad sin medidas de
seguridad proporciona una lnea base que muestra el
riesgo asociado con el escenario.

Anlisis de Riesgos Ricardo Caizares Sales

58

Escenarios
Se debe determinar qu escenarios requieren de una
estrategia de mitigacin del riesgo.
Posteriormente a la implantacin de las medidas de
seguridad, debe realizarse una evaluacin de
comparacin, para analizar y entender como dichas
medidas de seguridad mitigan el riesgo.

Anlisis de Riesgos Ricardo Caizares Sales

59

Escenarios

Anlisis de Riesgos Ricardo Caizares Sales

60

www.unir.net