Anlisisderiesgos 130914184731 Phpapp01 PDF

Análisis de Riesgos
Ramiro Cid | @ramirocid
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Índice
1. Análisis de riesgos: Primer acercamiento Pág. 3
2. Activos Pág. 22
3. Amenazas Pág. 28
4. Vulnerabilidades Pág. 41
5. Impacto Pág. 43
6. Gestión de Riesgos Pág. 47
7. Cálculo del Riesgo Pág. 55
8. Comparativa de metodologías de análisis de riesgos Pág. 62
2
Análisis de riesgos: Primer acercamiento
“Corresponde al proceso de identificar los riesgos, desde el punto de vista

de la seguridad, determinando su magnitud e identificando las áreas que
requieren medidas de salvaguarda”.

Gestión global de Seguridad de un Sistema de Información
Fases:
Análisis y Gestión de Determinar Objetivos y

Riesgos Política de Seguridad
Establecer Planificación
de Seguridad
Implantar Salvaguardas
Monitorización y gestión
de Cambios en la
Seguridad

¿Qué es un Análisis de Riesgos?
? Documento donde se describe,

para su posterior análisis y
ayuda a la toma de decisiones...
¿qué hay en el sistema?

¿qué amenazas le afectan?
¿qué hay que hacer para no verse

afectado por ellas?

Plan Director de Seguridad
Análisis de Riesgo (Problemas encontrados) [A.R.]
Gestión de Riesgos (Propongo soluciones) [G.R.]
[A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]

Resumen del procedimiento de análisis
Identificación
y valoración de activos
Valoración de amenazas
y vulnerabilidades
Gestión
del
riesgo

Evaluación de riesgos y gastos
Gestión del riesgo:
Proceso de equilibrar el coste de protección con el coste de exposición.
Riesgos Seguridad
Decisiones:
Coste de Equilibrio
Aceptarlo
Asignación a terceros
Evitarlo Nivel de Seguridad

¿Por qué realizarlo?
Permite identificar los riesgos de la seguridad de la información que

podrían afectar en el desarrollo de las actividades de negocio
Facilita la correcta selección de las medidas de seguridad a implantar
Creación de los plantes de contingencias en previsión de las amenazas

detectadas
Necesario en el diseño, implantación y certificación de un SGSI (es el

primer paso en la implementación de un SGSI)

Tipos de Análisis
Hay dos tipos de análisis de riesgos según las cosas que tienen en cuenta:
Intrínseco es aquel que se realiza sin tener en cuenta aquellas

contramedidas que ya se están aplicando.
Da como resultado el Riesgo Intrínseco
Residual es aquel que se realiza teniendo en cuenta las contramedidas ya

aplicadas.
Da como resultado el Riesgo Residual

Elementos del Análisis
Activos: Los activos son todos aquellos elementos que forman parte del
Sistema de Información.
Amenazas: Las amenazas son todas aquellas cosas que le pueden

suceder a los activos que se salen de la normalidad.
Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por

las amenazas para dañar a un activo (son los agujeros de seguridad).
Impacto: Consecuencia de la materialización de una amenaza sobre un

activo

Elementos del Análisis (continuación)
Controles: Son todos aquellos mecanismos que permiten reducir las

vulnerabilidades de los sistemas.
Riesgos: Son el resultado del análisis de riesgo.

El riesgo es una ponderación del valor del activo, la probabilidad que
suceda una amenaza y el impacto que tendría sobre el sistema.
Riesgo = Valor Activo + Probabilidad + Impacto

Relaciones
Aprovechan las
Amenazas Vulnerabilidades
Incrementan
Protegen contra Incrementan Exponen
Controles Riesgos Activos
Poseen
Generan Generan Incrementan
Requerimientos Valor de los activos e

de Seguridad impactos potenciales

Algunas Conclusiones
Lo que se pretende en la Gestión de riesgos es reducir la probabilidad y/o el impacto. La

amenaza no se puede reducir, lo que se intenta es eliminar la vulnerabilidad para que con
esto la probabilidad de ocurrencia de la amenaza disminuya o sino se trata de que el impacto
en caso de ocurrencia sea menor
Una buena práctica utilizada para empresas grandes es aplicar primero NIST para filtrar los
riesgos altos, luego se realiza sobre estos Magerit o CRAMM sobre estos

Metodologías (I): MAGERIT
Es una metodología de
Análisis y Gestión del
Riesgos de los sistemas de
información desarrolladas
por el Ministerio de
Administraciones Públicas.
Solo se aplica en el ámbito
español.

Fases de MAGERIT
Toma de datos. Dimensionamiento. Análisis activos Y

Procesos de la Establecimiento de salvaguardas
Información Parámetros
Establecimiento Establecimiento Análisis de

impactos vulnerabilidades amenazas
Análisis Riesgo Influencia de Análisis Riesgos

Intrínseco salvaguardas efectivo
Evaluación de
riesgos

Toma de datos y procesos de la información
Objetivos:
Definir el área de aplicación del estudio (alcance) y el objetivo final

del análisis de riesgos.
Tener una visión global del proceso de información en la

organización.
Establecer el grado de análisis en unidades homogéneas en todo el

alcance (granularidad)

Establecimiento de parámetros
Parámetros para valorar los activos y salvaguardas: Se debe asignar una

valoración económica a los activos.
Valoración real: valor que tiene para la empresa la reposición del activo en
las condiciones anteriores a la acción de la amenaza
Valoración estimada: medida subjetiva de la empresa que, considerando la
importancia del activo, le asigna un valor económico.
Valoración Rango Valor
Muy Alto Valor > 200.000€ 300.000€
Alto 100.000€< valor > 200.000€ 150.000€
Medio 50.000€< valor > 100.000€ 75.000€
Bajo 10.000€< valor > 50.000€ 30.000€
Muy bajo < 10.000€ 10.000€

Para la estimación de la vulnerabilidad, hay que estimar la frecuencia de

ocurrencia de las amenazas en una escala de tiempos.
Vulnerabilidad Rango Valor
Extrema Frecuencia 1 vez al día 0,997
Alta Frecuencia 1 vez cada 2 semanas 0,071
Frecuencia media 1 vez cada 2 meses 0,016
Baja Frecuencia 1 vez cada 6 meses 0,005
Muy baja Frecuencia 1 vez al año 0,003

Parámetros para la estimación del impacto, hay que estimar el grado de daño
producido por la amenaza en los activos
Impacto Valor
Muy alto 99%
Alto 75%
Medio 50%
Bajo 20%
Muy bajo 5%

Parámetros para estimar la influencia de las salvaguardas: disminuyen el

riesgo calculado (probabilidad o impacto)
Variación impacto/vulnerabilidad Valor
Muy alto 95%
Alto 75%
Medio 50%
Bajo 30%
Muy Bajo 10%

Definición de activos
“Los activos son todos aquellos elementos que

forman parte del Sistema de Información”.

Detección y Clasificación de activos
Activos físicos: Hardware

Los activos físicos son aquellas cosas que forman parte de la
empresa como material de ayuda a desempeñar una actividad.
Ejemplo: Ordenador, Impresora, ...
Activos lógicos: Software

Los activos lógicos son aquellos programas o datos que forman
parte del conocimiento de la empresa para desempeñar la
actividad. Ejemplo: BD, Intranet Corporativa, ...

Personal: Roles del Sistema
Los roles del personal relacionados con la seguridad, son todas aquellas
responsabilidades que hay que asumir en cuanto a la seguridad del
sistema.
Forum de seguridad
Responsable de seguridad
Operador de Copia de Seguridad
...

Entorno
Aire Acondicionado
Sistema Eléctrico
instalaciones adicionales
Imagen Corporativa
La fiabilidad, y la imagen de la empresa son uno de los activos más
importantes a la hora que los clientes depositen en ella su confianza.

Se clasifican según su:
Confidencialidad (libre, restringida, protegida, confidencial, etc.)

Autenticación (baja, normal, alta, crítica)
Integridad (bajo, normal, alto, crítico)
Disponibilidad (menos de una hora, menos de un día, menos de una
semana, más de una semana)

Valoración de activos
VALORACIÓN: Coste TOTAL que tendría para la empresa su pérdida:
Valor de reposición
Valor de configuración, puesta a punto, etc.
Valor de uso del activo
Valor de pérdida de oportunidad

Definición de amenazas
“Las amenazas son todas aquellas cosas que le pueden

suceder a los activos que se salen de la normalidad”

Tipo de amenazas
Las amenazas normalmente dependen del negocio de la empresa y del tipo de

sistema que se quiere proteger
Ejemplos:
Empresa de desarrollo de
sistemas
ISP
Colegio Profesional
Universidad

Listado de amenazas
Accidentes
Errores
Amenazas Intencionales Presenciales
Amenazas Intencionales Remotas

Amenazas - Accidentes
Accidente físico
Incendio, explosión, inundación por roturas, emisiones radioeléctricas,
etc.
Avería
De origen físico o lógico, debida a un defecto de origen o durante el
funcionamiento del sistema.
Interrupción de Servicios esenciales

Energía
Agua
Telecomunicación
Accidente mecánico o electromagnético:

Choque
Caída
Radiación

Listado de amenazas
Accidentes
Errores

Amenazas - Errores
Errores de utilización del sistema, provocados por un mal uso, ya sea

intencionado o no
Errores de diseño conceptuales que puedan llevar a un problema de

seguridad
Errores de desarrollo derivados de la implementación de alguna

aplicación o de la implantación de un sistema en producción

Amenazas - Errores
Errores de actualización o parcheado de sistemas y aplicaciones
Monitorización inadecuada
Errores de compatibilidad entre aplicaciones o librerías
Errores inesperados
Virus
Otros ¿?

Listado de amenazas
Accidentes
Errores

Acceso físico no autorizado
Destrucción o sustracción
Acceso lógico no autorizado
Intercepción pasiva de la información

Sustracción y/o alteración de la información en tránsito

Indisponibilidad de recursos
Humanos: motivos de huelga, abandono, enfermedad,
baja temporal, etc
Técnicos: desvío del uso del sistema, bloqueo, etc
Filtración de datos a terceros: apropiación indebida de datos,

particularmente importante cuando los datos son de carácter
personal (LOPD)

Listado de amenazas
Accidentes
Errores

Acceso lógico no autorizado
Acceso de un tercero no autorizado explotando una vulnerabilidad del

sistema para utilizarlo en su beneficio.
Suplantación del origen
Intercepción de una comunicación escuchando y/o falseando los datos

intercambiados

Gusanos
Virus que utilizan las capacidades de servidores y clientes de internet para
transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las
variantes.
Denegación de servicio
Contra el ancho de banda: Consumir todo el ancho de banda de la máquina
que se quiere aislar
Contra los recursos físicos del sistema: Consumir toda la memoria y los
recursos que la máquina utiliza para ofrecer su servicio

Definición de vulnerabilidad
Debilidad o agujero en la organización de la seguridad
¡Una vulnerabilidad en si misma no produce daños.

Es un condicionante para que una amenaza afecte a un activo!

Vulnerabilidades
El cruce de un activo sobre el que puede materializar una amenaza, da lugar

a una vulnerabilidad
Activo Amenaza Vulnerabilidad
01 - Servidor Fallo del sistema Dependiente de la

eléctrico corriente
Acceso lógico no Accesibilidad al

autorizado sistema

Definición de impacto
“Es la consecuencia de que una amenaza se materialice

sobre un activo”

Valoración de Impactos
Identificación de impactos:
Como el resultado de la agresión de una amenaza sobre un activo

El efecto sobre cada activo para poder agrupar los impactos en cadena según
la relación de activos
El valor económico representativo de las pérdidas producidas en cada activo
Las pérdidas pueden ser cuantitativas o cualitativas

Acción de las salvaguardas
Se analiza el efecto de las salvaguardas sobre los impactos y/o las

vulnerabilidades
Preventivas:
Disminuyen la vulnerabilidad
Nueva vulnerabilidad= (Vulnerabilidad+% disminución vulnerabilidad)
Curativas:
Disminuyen el impacto
Nuevo impacto= (Impacto+disminución impacto)

Evaluación de riesgos
Identifica el coste anual que supone la combinación de activo, amenaza,

vulnerabilidad e impacto.
Riesgo intrínseco
Valor activo * Vulnerabilidad * Impacto
Riesgo efectivo
Valor efectivo * Nueva vulnerabilidad * Nuevo Impacto= Valor activo *
(Vulnerabilidad * % Disminución Vulnerabilidad) * (Impacto * % Disminución
Impacto)= Riesgo intrínseco * % Disminución Vulnerabilidad * % Disminución
del Impacto

Gestión de Riesgos
Gestionar los riesgos identificados:
Determinar si el riesgo es aceptable

SI: Identificar y aceptar el riesgo residual
NO: Decidir sobre la forma de gestionar el riesgo x
Forma de gestionar el riesgo:

Evitarlo: suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad
Transferido: cambiar un riesgo por otro: Outsourcing, seguros, etc.
Reducirlo: reducir la amenaza, vulnerabilidad, impacto
Asumirlo: Detectar y recuperar (Statu quo).

Gestión de Riesgos
Identificar requisitos de
seguridad
Identificar requisitos de ¿Hacemos

seguridad algo?
Eliminar el origen del ¿Reducimos

riesgo, o transferido riesgos?
Proceso de reducción de Selección de controles

nivel de riesgo

Gestión de riesgos
Una vez se tiene decidido que es lo que hay que hacer se elaborar el:
PLAN DE ACCIÓN
Establecer prioridades
Plantear un análisis de coste-beneficio
Hacer la selección definitiva de controles a implantar
Asignar responsabilidades
Desarrollar un plan de gestión de riesgos
Implantar los controles

4 5 6
Personal de
desarrollo de SW PC's entorno de
y HW PC's desarrollo PC's hardware pruebas DIA AÑO
Resumen. Vulnerabilidad /Impacto y Riesgo
intrínseco22.502, EN-003 SI-001 SI-002 SI-003
Nº Código Nombre 50000 10000 10000 2500
0,003 50% 0,003 50% 0,003 50%
Incendio en oficinas
1 A1-001 - 13,70 13,70 3,42 30,82 11.249,3
0,005 50% 0,005 50% 0,005 50%
Avería hardware
3 A2-001 - 27,40 27,40 6,85 61,65 22.502,2
0,003 5% 0,003 5% 0,003 5%
Acceso físico a oficinas
5 P1-001 - 1,37 1,37 0,34 3,08 1.124,2
0,005 50% 0,005 50% 0,005 50%

Acceso lógico interno a los
sistemas
6 P2-001 - 27,40 27,40 6,85 61,65 22.502,2
0,00274 50%
No disponibilidad de personal
8 P5-002 68,49 - - - 68,49 24.998,8
Riesgo intrínseco anual por activo 24.998,8 € 25.502, € 25.502 € 6.372,9 € 82.376,7
---
Metodologías: NIST ST 800-30
Metodología de origen Americano que se apoya en los siguientes pasos:
Determinación del sistema
Identificación de vulnerabilidades
Identificación de amenazas
Estudio de las salvaguardas
Determinación de la probabilidad
Análisis del impacto
Determinación del Riesgo

Probabilidad de la Impacto
amenaza
Bajo (10) Medio (50) Alto (100)
Alto (1.0) Bajo Medio Alto
Medio (0.5) Bajo Medio Medio
Bajo (0.1) Bajo Bajo Bajo

Nivel de
Acciones
riesgo
Aplica medidas para controlar el riesgo de forma

Alto
inmediata
Aplica medidas para controlar el riesgo en un

Medio
periodo de tiempo razonable
Analizar si aceptar el riesgo o aplicar medidas de

Bajo
control

Probabilidad
Fuente Característica
Activo Vulnerabilidad Amenaza
Impacto
Riesgo
Confidencialidad
Natural
Disponibilidad
Humana
Integridad
Entorno
Director No cláusula de Oferta
X X X 0,5 100 Medio
General exclusividad competencia
Base Publicación
Mala
Datos de datos X X 0,1 100 Bajo
configuración
Cliente privados
Cambio
Política firewall
Imagen contenido X X 0,1 100 Bajo
inadecuada
Web

Cálculo del Riesgo
El riesgo es una ponderación del valor del activo, la probabilidad que suceda
y el impacto que tendría sobre el sistema.
Valor (+) probabilidad (+) impacto

Riesgo
Probabilidad 1 2 3 4 5
Impacto 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
Valor
1 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11
2 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12
3 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13
4 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14
5 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14 11 12 13 14 15
de 3 a 7 No es necesario control
de 8 a 10 Control recomendado
de 11 a 15 Control obligatorio

Ejemplo de Análisis de riesgos
Internet 3 E01 - Errores de utilización Susceptible a errores humanos de 1 1 5

Explorer (6.0; utilización
5.5; 5.0; 4.01)
3 E02 - Errores de diseño, Susceptible a errores humanos en los 3 3 9
integración y explotación procesos de diseño, integración y/o
explotación
3 E04 - Inadecuación de Existencia de una falta de revisión de 3 1 7

monitorización, trazabilidad, logs, o de un proceso inadecuado de
registro del tráfico de información dicha revisión
3 E07 - Errores de actualización Susceptible de no estar correctamente 3 2 8

actualizado
3 AP03 - Acceso lógico no autorizado Debilidad en el control de acceso 4 3 10

con alteración o sustracción de la lógico al S.O.
información, en tránsito o de
Uso descuidado de los sistemas por 2 3 8
configuración
parte de los trabajadores, dejando sus
terminales accesibles
3 AT02 - Acceso lógico no autorizado Debilidad en el control de acceso 4 3 10

con corrupción o destrucción de lógico al S.O.
información en tránsito o de
Debilidad en el sistema antivirus 1 3 7
configuración
3 AT03 - Acceso lógico no autorizado Debilidad en el control de acceso 4 3 10

con modificación (inserción y/o lógico al S.O.
repetición) de información en
tránsito

Ejemplo de Análisis de riesgos

Cálculos 4 E01- Errores de utilización Los empleados comenten errores durante 1 2 7
la realización de las diferentes tareas que
técnicos (de
pueden provocar la destrucción o
simulacione modificación de las informaciones
s
4 E05 - Errores relacionados con Uso descuidado de la información en papel 4 3 11
la formación y la concienciación por parte de los trabajadores, dejando
del personal información confidencial accesible
4 AP06 - Robo y sabotaje Uso descuidado o inadecuado de los 3 5 12

controles de acceso físico al edificio
Posibilidad de enviar información a través 3 5 12

del correo electrónico sin ningún control
de direcciones, tanto de remitente como de
recepción
No está controlada la destrucción de los 2 5 11

soportes en los que se guarda la
información (destructora de papel, borrado
seguro de las informaciones, etc.)
4 AT01 - Acceso lógico no Las informaciones enviadas no viajan 2 4 10

autorizado con sustracción encriptadas con los que podría ser posible
interceptar y obtener dichas informaciones
4 AT03 - Acceso lógico no Las informaciones enviadas no viajan 2 3 9

autorizado con modificación de encriptadas ni firmados con los que podría
información en tránsito ser posible interceptar y modificar dichas
informaciones

Contramedidas
Según el riesgo
Recomendaciones a la dirección una serie de contramedidas que pueden

aplicar a su sistema para paliar el riesgo obtenido, ya sea intrínseco o
residual

Evaluación de riesgos y gastos
Es necesario conocer su COSTE (anual) / VALOR
Es necesario determinar claramente la RESPONSABILIDAD sobre cada

activo
Es necesario conocer qué AUTORIDAD existe

06 Referencias
Documentación para ampliar conocimientos:
BSI e ISO:
1. Normas BSI: http://www.bsi-global.com
2. Web oficial de la ISO: http://www.iso.org/
3. Wikipedia (ISO 17799): http://es.wikipedia.org/wiki/ISO/IEC_17799
4. Wikipedia (ISO): http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n
Metodologías de Análisis de riesgos:

1. Web de AENOR (Asociación Española de Normalización y Certificación) http://www.aenor.es/
2. Buscador de normas AENOR http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp
3. Magerit: Web del Consejo Superior de Administración Electrónica http://www.csi.map.es/
4. CRAMM: http://www.cramm.com/
5. NIST SP 800-30: Web oficial de la Nist: http://www.csrc.nist.gov/index.html
6. NIST SP 800-30: Publicaciones de la Nist: http://www.csrc.nist.gov/publications/nistpubs/
7. Octave: http://www.cert.org/octave/

Comparativa de Metodologías – Valoración de los elementos de

análisis:
Probabilida
Activo Valoracion Amenaza Vulnerabilidad d que Impacto Riesgo
ocurra
Valor de la perdida diaria que

Valor del % del valor del activo que resulta de la multiplicacion
Frecuencia
Magerit Activo X Activo Amenaza Y No lo requiere se pierde sí el impacto se del valor del activo con la
Z
(medido en €) produce probabilidad de ocurrencia
de la amenaza
Frecuencia
CRAMM Activo X [1-5] Amenaza Y Vulnerabilidad W [1-5] Escala [3 a 15]
Z [1-5]
Frecuencia
NIST SP 800- Alto-Medio-
Activo X Amenaza Y Vulnerabilidad W Z Alto- Alto-Medio-Bajo Alto, medio y bajo
30 Bajo
Medio-Bajo
Busca el
riesgo más
Frecuencia Busca el riesgo más alto es
Octave Activo X alto es un Amenaza Y Vulnerabilidad W
Z un árbol de desición
árbol de
desición

Comparativa de Metodologías:
Puntos a
Magerit CRAMM NIST SP 800-30 Octave
Destacar
País que la
España Reino Unido Estados Unidos Estados Unidos
creo
Software Engineering Institute
Responsable Secretaría de Estado para la Cramm. El cual pertenece a National Institute of Standards and
(SEI) y Carnegie Mellon
del Producto Administración Pública Siemens Technology (NIST)
University (CMU)
Versión 1:
http://www.csi.map.es/csi/pg5m http://www.csrc.nist.gov/index.html
22.htm Publicaciones:
WebSite http://www.cramm.com/ http://www.cert.org/octave/
Versión 2: http://www.csrc.nist.gov/publication
http://www.csi.map.es/csi/pg5m s/nistpubs/
20.htm
Versión 1 (1997) Ultima versión: CRAMM NATO OCTAVESM Method Version
Versiones Publicación 800-30 (2002)
Versión 2 (2006) V5.3 2.0
Un gran numero de Según lo investigado, la norma

Herramienta Herramientas: herramientas de analisis y Según lo investigado, la norma no no especifica un producto en
para aplicar la * PILAR gestión de la información especifica un producto en concreto concreto para el analisis, habla
metodología * CHINCHON resultante de estas (ejemplo: para el analisis genericamente de 'Vulnerability
CRAMM Express) Evaluation Tools'
Activos, amenazas, Activos, amenazas,

Principales Amenazas, vulnerabilidades, Activos, amenazas,
vulnerabilidades, impactos, vulnerabilidades, riesgos,
Conceptos riesgos, controles vulnerabilidades, riesgos
riesgos y salvaguardas salvaguardas (contramedidas)

Puntos a
Destacar
1- Planificación del Proyecto de Riesgos 1- Iniciación (identificar riesgos es usado
1- Identificación y valoración de
(como consideraciones iniciales para para soportar el desarrollo de los
activos (se identifican los activos
arrancar el proyecto de Análisis y requerimientos del sistema)
físicos, software, y los activos de
Gestión de Riesgos) 2- Desarrollo o adquisición (El sistema IT es 1- Construcción de las vulnerabilidades
datos que conforman los sistemas de
2- Análisis de riesgos (Se identifican y diseñado, expresado y propuesto o basadas en los activos (visión
información)
valoran las diversas entidades, construido) organizacional)
2- Valoración de las amenazas y
obteniendo una evaluación del riesgo, 3- Implementación (los activos de seguridad 2- Identificación de las vulnerabilidades
vulnerabilidades (determinar cuál es la
Fases así como una estimación del umbral de del sistema son configurados, habilitados, de la infraestructura (visión tecnológica)
probabilidad de que esos problemas
riesgo deseable) testeados y verificados 3- Desarrollo de estrategia de
ocurran)
3- Gestión de riesgos (Se identifican las 4- Operación o mantenimiento (las seguridad y planes de mitigación de las
3- Selección y recomendación de
funciones y servicios de salvaguarda actividades de mantenimiento para la vulnerabilidades (estrategia y plan de
contramedidas (CRAMM contiene una
reductoras del riesgo) reducción del riesgo son realizadas) desarrollo)
gran librería de más de 3000
4- Selección de salvaguardas (plan de 5- Disposición (las actividades de
contramedidas organizadas en 70
implantación de los mecanismos de administración de riesgos son realizadas en
grupos)
salvaguarda elegidos) los componentes del sistema)
* Posee 'Self-Direction'. Una pequeño
equipo del personal de la misma
organización es involucrado en los
procesos de implementación de la
metodología (personal de IT y de otros
departamentos)
* Creación de un pequeño equipo
interdiciplinario de analisis de la
* Habla de análisis algorítmico con 3 * > 400 tipos de activos
* Otorga gran importancia a los controles información
modelos: cualitativo, cuantitativo y * 38 tipos de amenazas
Principales * Habla de perfiles claves dentro de la * Acercamiento basado en workshop
escalonado * > 25 tipos de impactos
Características organización respecto a la responsabilidad donde personas de distintos niveles de
* En la versión 2 posee 3 documentos: * 7 medidas de riesgo
de la administración del riesgo la organización trabajan para identificar
Catalogo, Metodo y Tecnicas * > 3500 controles
las vulnerabilidades basandose en los
activos
* Catalogos de la información:
Catalogos de practicas, Perfil de
activos, catalogo de vulnerabilidades
* Habla de un balance entre 3 aspectos:
Tecnología, Riesgo Operacional y
Prácticas de seguridad

Puntos a
Destacar
* Analisis de riesgos * Analisis de riesgos * Analisis de riesgos * Analisis de riesgos
Aplicación * Gestión del riesgos * Gestión del riesgos * Gestión del riesgos * Gestión del riesgos
* Plan Director de Seguridad * Plan Director de Seguridad * Plan Director de Seguridad * Plan Director de Seguridad
* Pequeño grupo
Quien lleva a * Pequeño grupo interdiciplinario * Pequeño grupo interdiciplinario * Pequeño grupo interdiciplinario
interdiciplinario conformado
cabo la conformado por empleados de la conformado por empleados de la conformado por empleados de
por empleados de la misma
metodología misma empresa misma empresa la misma empresa
empresa
La versión 4 costaba por el año
* Habla de costo relacionado con el
* No tiene costo, ya que es una 2001:
beneficio, otorgando una condición * Uso Interno: Gratuito
normativa de libre aplicación * Para una compañía comercial:
relativa al costo de un plan director * Uso Externo: Se debe comprar
* Plantea un analisis de costo £2800 + £850 al año de
Costo de seguridad, siempre que el costo la licencia al SEI si se quiere
beneficio, expresa una formula mantenimiento
sea menor al costo del riesgo implementar la metodología a un
de ROI (Retorno de la * Para agencias y departamentos
analizado y solventado, el costo tercero
inversión) del estado britanico: £1600 +
será bajo
£850 al año de mantenimiento
Fase 1: Activos Critivos,
requerimientos criticos para
activos criticos, vulnerabilidades
de activos criticos, lista de
practicas de seguridad actuales,
lista de vulnerabilidades
Resultado * Tabla de valorazión del riesgo
Resultados ordinales y * Lista de controles recomendados actuales de la organización
del analisis sobre los activos (escala de 1 a
cardinales * Resultados de la documentación Fase 2: Componentes clave,
(outputs) 10)
vulnerabilidades tecnologicas
actuales
Fase 3: Riesgos de los activos
críticos, metricas del riesgo,
estrategia de protección, planes
de mitigación del riesgo

Comparativa de Metodologías – Ventajas:
Puntos a NIST SP
Magerit CRAMM Octave
Destacar 800-30
Se puede aplicar a
nivel internacional
Ambito de
N/A (CRAMM v.5.1 ha Internacional Internacional
Aplicación
sido usado en 23
países)
Su utilización no
requiere autorización * Uso interno:
Derecho de
previa del Ministerio N/A N/A Ilimitado
Ventajas Utilización
de Administraciones
Públicas
Una gran cantidad
Herramienta Gratuita pero limitada.
de herramientas de
para aplicar laSe puede solicitar una N/A N/A
aplicación de la
metodología versión ampliada
metodología.
Facilita la Facilitar la Facilita la Facilita la
Certificación certificación: ISO certificación de BS certificación: certificación: ISO
17999 7799 e ISO 17999 ISO 17999 17999

Comparativa de Metodologías – Desventajas:
Puntos a
Destacar
* Solo de puede aplicar a nivel
nacional (sólo en España) por lo
que no se está certificado
internacionalmente
Ambito de
* No se puede aplicar en N/A N/A N/A
Aplicación
empresas multinacionales que
precisen aplicar una unica
metodología de analisis de
Desventajas riesgo para todos los países
* Hay que pagar * Hay que pagar el
el costo de la costo de la licencia
* Uso externo:
licencia (más alla (más alla del costo
Derecho de Limitado al pago
N/A del costo de la de la
Utilización de la licencia para
implementación implementación
su utilización
del analisis y del del analisis y del
mantenimiento) mantenimiento)

¿Dudas? ¿preguntas?
¡¡ Muchas Gracias !!
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL
ramiro@ramirocid.com http://www.linkedin.com/in/ramirocid
http://ramirocid.com http://es.slideshare.net/ramirocid
@ramirocid http://www.youtube.com/user/cidramiro

Anlisisderiesgos 130914184731 Phpapp01 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Anlisisderiesgos 130914184731 Phpapp01 PDF

Cargado por

Copyright:

Formatos disponibles

Análisis de Riesgos

Ramiro Cid | @ramirocid

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Análisis de riesgos: Primer acercamiento

“Corresponde al proceso de identificar los riesgos, desde el punto de vista

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Gestión global de Seguridad de un Sistema de Información

Análisis y Gestión de Determinar Objetivos y

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

¿Qué es un Análisis de Riesgos?

? Documento donde se describe,

¿qué hay en el sistema?

¿qué hay que hacer para no verse

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Plan Director de Seguridad

Análisis de Riesgo (Problemas encontrados) [A.R.]

Gestión de Riesgos (Propongo soluciones) [G.R.]

[A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Resumen del procedimiento de análisis

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Evaluación de riesgos y gastos

Gestión del riesgo:

Proceso de equilibrar el coste de protección con el coste de exposición.

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

¿Por qué realizarlo?

Permite identificar los riesgos de la seguridad de la información que

Facilita la correcta selección de las medidas de seguridad a implantar

Creación de los plantes de contingencias en previsión de las amenazas

Necesario en el diseño, implantación y certificación de un SGSI (es el

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Intrínseco es aquel que se realiza sin tener en cuenta aquellas

Residual es aquel que se realiza teniendo en cuenta las contramedidas ya

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Elementos del Análisis

Amenazas: Las amenazas son todas aquellas cosas que le pueden

Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por

Impacto: Consecuencia de la materialización de una amenaza sobre un

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Elementos del Análisis (continuación)

Controles: Son todos aquellos mecanismos que permiten reducir las

Riesgos: Son el resultado del análisis de riesgo.

Riesgo = Valor Activo + Probabilidad + Impacto

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Controles Riesgos Activos

Requerimientos Valor de los activos e

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Lo que se pretende en la Gestión de riesgos es reducir la probabilidad y/o el impacto. La

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Metodologías (I): MAGERIT

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Toma de datos. Dimensionamiento. Análisis activos Y

Establecimiento Establecimiento Análisis de

Análisis Riesgo Influencia de Análisis Riesgos

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Toma de datos y procesos de la información

Definir el área de aplicación del estudio (alcance) y el objetivo final

Tener una visión global del proceso de información en la

Establecer el grado de análisis en unidades homogéneas en todo el

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Parámetros para valorar los activos y salvaguardas: Se debe asignar una

Valoración Rango Valor

Muy Alto Valor > 200.000€ 300.000€