Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Análisis de Riesgos
Índice
1. Análisis de riesgos: Primer acercamiento Pág. 3
2. Activos Pág. 22
3. Amenazas Pág. 28
4. Vulnerabilidades Pág. 41
5. Impacto Pág. 43
6. Gestión de Riesgos Pág. 47
7. Cálculo del Riesgo Pág. 55
8. Comparativa de metodologías de análisis de riesgos Pág. 62
2
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Análisis de Riesgos
Fases:
Establecer Planificación
de Seguridad
Implantar Salvaguardas
Monitorización y gestión
de Cambios en la
Seguridad
Identificación
y valoración de activos
Análisis de Riesgos
Valoración de amenazas
y vulnerabilidades
Gestión
del
riesgo
Riesgos Seguridad
Decisiones:
Coste de Equilibrio
Aceptarlo
Asignación a terceros
Evitarlo Nivel de Seguridad
Tipos de Análisis
Hay dos tipos de análisis de riesgos según las cosas que tienen en cuenta:
Activos: Los activos son todos aquellos elementos que forman parte del
Sistema de Información.
Relaciones
Aprovechan las
Amenazas Vulnerabilidades
Incrementan
Protegen contra Incrementan Exponen
Poseen
Generan Generan Incrementan
Algunas Conclusiones
Una buena práctica utilizada para empresas grandes es aplicar primero NIST para filtrar los
riesgos altos, luego se realiza sobre estos Magerit o CRAMM sobre estos
Es una metodología de
Análisis y Gestión del
Riesgos de los sistemas de
información desarrolladas
por el Ministerio de
Administraciones Públicas.
Solo se aplica en el ámbito
español.
Fases de MAGERIT
Evaluación de
riesgos
Objetivos:
Establecimiento de parámetros
Valoración real: valor que tiene para la empresa la reposición del activo en
las condiciones anteriores a la acción de la amenaza
Valoración estimada: medida subjetiva de la empresa que, considerando la
importancia del activo, le asigna un valor económico.
Establecimiento de parámetros
Establecimiento de parámetros
Parámetros para la estimación del impacto, hay que estimar el grado de daño
producido por la amenaza en los activos
Impacto Valor
Alto 75%
Medio 50%
Bajo 20%
Muy bajo 5%
Establecimiento de parámetros
Alto 75%
Medio 50%
Bajo 30%
Definición de activos
Los roles del personal relacionados con la seguridad, son todas aquellas
responsabilidades que hay que asumir en cuanto a la seguridad del
sistema.
Forum de seguridad
Responsable de seguridad
Operador de Copia de Seguridad
...
Entorno
Aire Acondicionado
Sistema Eléctrico
instalaciones adicionales
Imagen Corporativa
La fiabilidad, y la imagen de la empresa son uno de los activos más
importantes a la hora que los clientes depositen en ella su confianza.
Valoración de activos
Valor de reposición
Valor de configuración, puesta a punto, etc.
Valor de uso del activo
Valor de pérdida de oportunidad
Definición de amenazas
Tipo de amenazas
Ejemplos:
Empresa de desarrollo de
sistemas
ISP
Colegio Profesional
Universidad
Listado de amenazas
Accidentes
Errores
Amenazas - Accidentes
Accidente físico
Incendio, explosión, inundación por roturas, emisiones radioeléctricas,
etc.
Avería
De origen físico o lógico, debida a un defecto de origen o durante el
funcionamiento del sistema.
Listado de amenazas
Accidentes
Errores
Amenazas - Errores
Amenazas - Errores
Monitorización inadecuada
Errores inesperados
Virus
Otros ¿?
Listado de amenazas
Accidentes
Errores
Destrucción o sustracción
Indisponibilidad de recursos
Humanos: motivos de huelga, abandono, enfermedad,
baja temporal, etc
Técnicos: desvío del uso del sistema, bloqueo, etc
Listado de amenazas
Accidentes
Errores
Gusanos
Virus que utilizan las capacidades de servidores y clientes de internet para
transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las
variantes.
Denegación de servicio
Contra el ancho de banda: Consumir todo el ancho de banda de la máquina
que se quiere aislar
Contra los recursos físicos del sistema: Consumir toda la memoria y los
recursos que la máquina utiliza para ofrecer su servicio
Definición de vulnerabilidad
Vulnerabilidades
Definición de impacto
Valoración de Impactos
Identificación de impactos:
Preventivas:
Disminuyen la vulnerabilidad
Nueva vulnerabilidad= (Vulnerabilidad+% disminución vulnerabilidad)
Curativas:
Disminuyen el impacto
Nuevo impacto= (Impacto+disminución impacto)
Evaluación de riesgos
Riesgo intrínseco
Valor activo * Vulnerabilidad * Impacto
Riesgo efectivo
Valor efectivo * Nueva vulnerabilidad * Nuevo Impacto= Valor activo *
(Vulnerabilidad * % Disminución Vulnerabilidad) * (Impacto * % Disminución
Impacto)= Riesgo intrínseco * % Disminución Vulnerabilidad * % Disminución
del Impacto
Gestión de Riesgos
Gestión de Riesgos
Identificar requisitos de
seguridad
Gestión de riesgos
Una vez se tiene decidido que es lo que hay que hacer se elaborar el:
PLAN DE ACCIÓN
Establecer prioridades
Plantear un análisis de coste-beneficio
Hacer la selección definitiva de controles a implantar
Asignar responsabilidades
Desarrollar un plan de gestión de riesgos
Implantar los controles
Personal de
desarrollo de SW PC's entorno de
y HW PC's desarrollo PC's hardware pruebas DIA AÑO
Resumen. Vulnerabilidad /Impacto y Riesgo
intrínseco22.502, EN-003 SI-001 SI-002 SI-003
Incendio en oficinas
Avería hardware
0,00274 50%
No disponibilidad de personal
Riesgo intrínseco anual por activo 24.998,8 € 25.502, € 25.502 € 6.372,9 € 82.376,7
---
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Análisis de Riesgos
Identificación de vulnerabilidades
Identificación de amenazas
Determinación de la probabilidad
Probabilidad de la Impacto
amenaza
Bajo (10) Medio (50) Alto (100)
Nivel de
Acciones
riesgo
Probabilidad
Fuente Característica
Activo Vulnerabilidad Amenaza
Impacto
Riesgo
Confidencialidad
Natural
Disponibilidad
Humana
Integridad
Entorno
Director No cláusula de Oferta
X X X 0,5 100 Medio
General exclusividad competencia
Base Publicación
Mala
Datos de datos X X 0,1 100 Bajo
configuración
Cliente privados
Cambio
Política firewall
Imagen contenido X X 0,1 100 Bajo
inadecuada
Web
El riesgo es una ponderación del valor del activo, la probabilidad que suceda
y el impacto que tendría sobre el sistema.
Riesgo
Probabilidad 1 2 3 4 5
Impacto 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
Valor
1 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11
2 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12
3 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13
4 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14
5 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14 11 12 13 14 15
de 3 a 7 No es necesario control
de 8 a 10 Control recomendado
de 11 a 15 Control obligatorio
Contramedidas
Según el riesgo
06 Referencias
BSI e ISO:
1. Normas BSI: http://www.bsi-global.com
2. Web oficial de la ISO: http://www.iso.org/
3. Wikipedia (ISO 17799): http://es.wikipedia.org/wiki/ISO/IEC_17799
4. Wikipedia (ISO): http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n
Frecuencia
CRAMM Activo X [1-5] Amenaza Y Vulnerabilidad W [1-5] Escala [3 a 15]
Z [1-5]
Frecuencia
NIST SP 800- Alto-Medio-
Activo X Amenaza Y Vulnerabilidad W Z Alto- Alto-Medio-Bajo Alto, medio y bajo
30 Bajo
Medio-Bajo
Busca el
riesgo más
Frecuencia Busca el riesgo más alto es
Octave Activo X alto es un Amenaza Y Vulnerabilidad W
Z un árbol de desición
árbol de
desición
Comparativa de Metodologías:
Puntos a
Magerit CRAMM NIST SP 800-30 Octave
Destacar
País que la
España Reino Unido Estados Unidos Estados Unidos
creo
Software Engineering Institute
Responsable Secretaría de Estado para la Cramm. El cual pertenece a National Institute of Standards and
(SEI) y Carnegie Mellon
del Producto Administración Pública Siemens Technology (NIST)
University (CMU)
Versión 1:
http://www.csi.map.es/csi/pg5m http://www.csrc.nist.gov/index.html
22.htm Publicaciones:
WebSite http://www.cramm.com/ http://www.cert.org/octave/
Versión 2: http://www.csrc.nist.gov/publication
http://www.csi.map.es/csi/pg5m s/nistpubs/
20.htm
Versión 1 (1997) Ultima versión: CRAMM NATO OCTAVESM Method Version
Versiones Publicación 800-30 (2002)
Versión 2 (2006) V5.3 2.0
Comparativa de Metodologías:
Puntos a
Magerit CRAMM NIST SP 800-30 Octave
Destacar
1- Planificación del Proyecto de Riesgos 1- Iniciación (identificar riesgos es usado
1- Identificación y valoración de
(como consideraciones iniciales para para soportar el desarrollo de los
activos (se identifican los activos
arrancar el proyecto de Análisis y requerimientos del sistema)
físicos, software, y los activos de
Gestión de Riesgos) 2- Desarrollo o adquisición (El sistema IT es 1- Construcción de las vulnerabilidades
datos que conforman los sistemas de
2- Análisis de riesgos (Se identifican y diseñado, expresado y propuesto o basadas en los activos (visión
información)
valoran las diversas entidades, construido) organizacional)
2- Valoración de las amenazas y
obteniendo una evaluación del riesgo, 3- Implementación (los activos de seguridad 2- Identificación de las vulnerabilidades
vulnerabilidades (determinar cuál es la
Fases así como una estimación del umbral de del sistema son configurados, habilitados, de la infraestructura (visión tecnológica)
probabilidad de que esos problemas
riesgo deseable) testeados y verificados 3- Desarrollo de estrategia de
ocurran)
3- Gestión de riesgos (Se identifican las 4- Operación o mantenimiento (las seguridad y planes de mitigación de las
3- Selección y recomendación de
funciones y servicios de salvaguarda actividades de mantenimiento para la vulnerabilidades (estrategia y plan de
contramedidas (CRAMM contiene una
reductoras del riesgo) reducción del riesgo son realizadas) desarrollo)
gran librería de más de 3000
4- Selección de salvaguardas (plan de 5- Disposición (las actividades de
contramedidas organizadas en 70
implantación de los mecanismos de administración de riesgos son realizadas en
grupos)
salvaguarda elegidos) los componentes del sistema)
* Posee 'Self-Direction'. Una pequeño
equipo del personal de la misma
organización es involucrado en los
procesos de implementación de la
metodología (personal de IT y de otros
departamentos)
* Creación de un pequeño equipo
interdiciplinario de analisis de la
* Habla de análisis algorítmico con 3 * > 400 tipos de activos
* Otorga gran importancia a los controles información
modelos: cualitativo, cuantitativo y * 38 tipos de amenazas
Principales * Habla de perfiles claves dentro de la * Acercamiento basado en workshop
escalonado * > 25 tipos de impactos
Características organización respecto a la responsabilidad donde personas de distintos niveles de
* En la versión 2 posee 3 documentos: * 7 medidas de riesgo
de la administración del riesgo la organización trabajan para identificar
Catalogo, Metodo y Tecnicas * > 3500 controles
las vulnerabilidades basandose en los
activos
* Catalogos de la información:
Catalogos de practicas, Perfil de
activos, catalogo de vulnerabilidades
* Habla de un balance entre 3 aspectos:
Tecnología, Riesgo Operacional y
Prácticas de seguridad
Comparativa de Metodologías:
Puntos a
Magerit CRAMM NIST SP 800-30 Octave
Destacar
* Analisis de riesgos * Analisis de riesgos * Analisis de riesgos * Analisis de riesgos
Aplicación * Gestión del riesgos * Gestión del riesgos * Gestión del riesgos * Gestión del riesgos
* Plan Director de Seguridad * Plan Director de Seguridad * Plan Director de Seguridad * Plan Director de Seguridad
* Pequeño grupo
Quien lleva a * Pequeño grupo interdiciplinario * Pequeño grupo interdiciplinario * Pequeño grupo interdiciplinario
interdiciplinario conformado
cabo la conformado por empleados de la conformado por empleados de la conformado por empleados de
por empleados de la misma
metodología misma empresa misma empresa la misma empresa
empresa
La versión 4 costaba por el año
* Habla de costo relacionado con el
* No tiene costo, ya que es una 2001:
beneficio, otorgando una condición * Uso Interno: Gratuito
normativa de libre aplicación * Para una compañía comercial:
relativa al costo de un plan director * Uso Externo: Se debe comprar
* Plantea un analisis de costo £2800 + £850 al año de
Costo de seguridad, siempre que el costo la licencia al SEI si se quiere
beneficio, expresa una formula mantenimiento
sea menor al costo del riesgo implementar la metodología a un
de ROI (Retorno de la * Para agencias y departamentos
analizado y solventado, el costo tercero
inversión) del estado britanico: £1600 +
será bajo
£850 al año de mantenimiento
Fase 1: Activos Critivos,
requerimientos criticos para
activos criticos, vulnerabilidades
de activos criticos, lista de
practicas de seguridad actuales,
lista de vulnerabilidades
Resultado * Tabla de valorazión del riesgo
Resultados ordinales y * Lista de controles recomendados actuales de la organización
del analisis sobre los activos (escala de 1 a
cardinales * Resultados de la documentación Fase 2: Componentes clave,
(outputs) 10)
vulnerabilidades tecnologicas
actuales
Fase 3: Riesgos de los activos
críticos, metricas del riesgo,
estrategia de protección, planes
de mitigación del riesgo
Puntos a NIST SP
Magerit CRAMM Octave
Destacar 800-30
Se puede aplicar a
nivel internacional
Ambito de
N/A (CRAMM v.5.1 ha Internacional Internacional
Aplicación
sido usado en 23
países)
Su utilización no
requiere autorización * Uso interno:
Derecho de
previa del Ministerio N/A N/A Ilimitado
Ventajas Utilización
de Administraciones
Públicas
Una gran cantidad
Herramienta Gratuita pero limitada.
de herramientas de
para aplicar laSe puede solicitar una N/A N/A
aplicación de la
metodología versión ampliada
metodología.
Facilita la Facilitar la Facilita la Facilita la
Certificación certificación: ISO certificación de BS certificación: certificación: ISO
17999 7799 e ISO 17999 ISO 17999 17999
Puntos a
Magerit CRAMM NIST SP 800-30 Octave
Destacar
* Solo de puede aplicar a nivel
nacional (sólo en España) por lo
que no se está certificado
internacionalmente
Ambito de
* No se puede aplicar en N/A N/A N/A
Aplicación
empresas multinacionales que
precisen aplicar una unica
metodología de analisis de
Desventajas riesgo para todos los países
* Hay que pagar * Hay que pagar el
el costo de la costo de la licencia
* Uso externo:
licencia (más alla (más alla del costo
Derecho de Limitado al pago
N/A del costo de la de la
Utilización de la licencia para
implementación implementación
su utilización
del analisis y del del analisis y del
mantenimiento) mantenimiento)
¿Dudas? ¿preguntas?
¡¡ Muchas Gracias !!
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL
ramiro@ramirocid.com http://www.linkedin.com/in/ramirocid
http://ramirocid.com http://es.slideshare.net/ramirocid
@ramirocid http://www.youtube.com/user/cidramiro