ANÁLISIS DE RIESGOS Y LA

HERRAMIENTA PILAR

http://ccn-cert.net/Lima
Contraseña: Lima2018

© 2018 Centro Criptológico Nacional

C/Argentona 20, 28023 MADRID
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

1. ANÁLISIS DE RIESGOS

Definición

El análisis de riesgos informáticos es un proceso que

comprende la identificación de activos informáticos, sus
vulnerabilidades y amenazas a los que se encuentran
expuestos así como su probabilidad de ocurrencia y el
impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo.1

1 Wikipedia. Análisis de riesgo informático

GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

2. METODOLOGÍA

 MAGERIT
– Metodología de Análisis y Gestión de riesgos (alineada
con ISO/IEC 27005 y otras metodologías.
GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

3. SISTEMAS DE INFORMACIÓN

Definición
Los ordenadores y redes de comunicaciones electrónicas, así como los
datos electrónicos almacenados, procesados, recuperados o
transmitidos por los mismos para su operación, uso, protección y
mantenimiento.

Pero… ¿Qué es lo esencial?

Custodiar datos para que puedan ser

Prestar servicios
utilizados por quien debe cuando quiera
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

4. SUBJETIVIDAD EN LA PERCEPCIÓN DEL RIESGO

 Hay una tendencia natural a obviar lo que no se percibe y a corregir

lo que molesta (incluso si no tiene mayores consecuencias).
¡Eso ¡Eso no me va
nunca a pasar a mi!
ocurre!

 Psicología:
– El exceso de información atonta
– Se maximiza la experiencia reciente
– Lo sencillo se adelanta a lo complejo
 El temor a dañar nuestra reputación nos radicaliza:
– Las medidas preventivas vienen lastradas por la merma de
productividad (los usuarios tienden a obviarlas).
– Las medidas reactivas son explotadas por las víctimas.
GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

5. IMPORTANCIA DE LA GESTIÓN DE RIESGOS

La gestión de riesgos es
necesaria pero no trivial.

Requiere esfuerzos de varias

personas y la coordinación de
personas entre sí y con los
órganos de gobierno.
Nunca termina y debería ser
objeto de una plan de mejora
continuo.
Los resultados del AR deben
reflejarse en el Plan de
Seguridad.
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

6. HERRAMIENTA DE APOYO: PILAR

Las diferentes versiones de la herramienta PILAR soportan el análisis y

la gestión de riesgos de un sistema de información siguiendo la
metodología MAGERIT.

Se actualizan periódicamente y existen diversas variantes:

– PILAR: versión íntegra de la herramienta

– PILAR Basic: versión sencilla para Pymes y Administración Local
– μPILAR: versión de PILAR reducida, destinada a la realización de
análisis de riesgos muy rápidos
– RMAT (Risk Management Additional Tools) Personalización
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Para poder gestionar el riesgo de forma eficaz, lo primer que

hemos de hacer es analizarlo, así conoceremos los posibles
problemas con los que nos enfrentamos y la situación en la que
nos encontramos con respecto a ellos.
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Definimos los elementos de trabajo:

SALVAGUARDAS
Preventivas / A priori

Reactivas / A posteriori
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Determinación de los activos de nuestro sistema

 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Unos activos dependen de otros.

Responsabilidad

Consecuencias
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Valoración de activos
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Tipos de valoración de activos:

 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Tipos de valoración de activos:

Valoración por dependencias Valoración por dominios

Identificar activos
Identificar activos
(en uno o más dominios)

Impreciso pero
muy laborioso
Preciso pero

muy rápido
Establecer dependencias
Valorar activos esenciales
entre activos

Valorar activos (los Conectar activos

esenciales) esenciales a otros dominios

PILAR propaga el valor siguiendo PILAR propaga el valor al dominio

las dependencias propio y a los dominios conectados
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Por tanto…..

Amenazas

Probabilidad Impacto
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Cuantificación de la probabilidad de la amenaza:

 Es muy difícil. Es subjetivo.
 Se pueden utilizar series históricas, en el caso de que afecte a todos
como puede ser los terremotos o inundaciones. Más difícil o
imposible cuando sólo nos afecta a nosotros.
 Para estimar la probabilidad es necesario caracterizar el origen del
atacante: conocer a la otra parte.
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Cuantificación del impacto de la amenaza:

 Se mide en función de la degradación de los activos afectados.
 Se reduce a un porcentaje acotado.
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Implantación de salvaguardas:

Posibilidad de Ataque
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Implantación de salvaguardas:
 Cualquier medida técnica, administrativa u organizativa que cambia la
posición del riesgo, bien alterando sus consecuencias o reduciendo su
probabilidad.
GRADO DE IMPLANTACIÓN

Mejora continua
Control cuantitativo: métricas

Bien definido: normas, procesos y prácticas

Planificado y gestionado

Tratamiento Informal
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Implantación de salvaguardas:

80% 90%

No
hay
interconexión
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. EMPEZAMOS….

Implantación de salvaguardas:
GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. SOPORTE EN HERRAMIENTAS

Para instrumentar todo lo expuesto se desarrollan

herramientas de apoyo al análisis:
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. CONCLUYENDO….

El análisis de riesgos no es simple

 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

7. CONCLUYENDO….

Por tanto… necesitamos una metodología de análisis de riesgos

 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

8. Caso Práctico

DEMO

Realizando un Análisis de Riesgos

con la herramienta PILAR

Manual de usuario PILAR 6.2: CCN-STIC-470H1

Manual de usuario PILAR 7.0: CCN-STIC-470I1
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

8. Caso Práctico

Sistema de un ayuntamiento que ofrece un servicio de

tramitación de expedientes, presencial y remoto:
 presencial (ventanilla)
 desplazándose a los locales del ayuntamiento
 servicio página web (www)
 en Internet, en casa o fuera de la ciudad
 los avisos se reciben por correo electrónico
(e-mail)
El sistema de información maneja:
 expedientes administrativos
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

8. Caso Práctico

Los Expedientes se almacenan localmente mientras están

abiertos:
 hay una red privada virtual (VPN) a la capital de la
provincia
 los expedientes se descargan cuando se requieren
 los expedientes se remiten a la capital cuando se cierran
 la disponibilidad a largo plazo la proporcionan en la capital

La mensajería electrónica se usa asiduamente:

 coordinación interna
 los mensajes se guardan en el servidor central no hay
mensajes almacenados en los PC
 anuncios a los administrados
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

8. Caso Práctico

Sistema de un ayuntamiento que ofrece un servicio de tramitación de

expedientes, presencial y remoto.

CPD
Oficinas
1 servidor Internet
10 PCs Firewall
LAN

 Equipamiento:  Servicios internos:

- Instalaciones: oficinas y CPD - Acceso SSL de los usuarios
- SW: Aplicación de - Mensajería electrónica
tramitación y ofimática - Archivo histórico central
- HW: Servidores centrales y - Servicios técnicos auxiliares:
PCs - Ficheros en red
- Conectividad: LAN - Acceso a Internet
- Otros: USB
 Datos: Expedientes administrativos
 GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

9. INFORMES – TIPOS

Informes textuales y gráficos predefinidos:

- Modelo de valor y mapa de riesgos
- Informes de cumplimiento frente a perfiles de seguridad
- Análisis temporal de Impacto
- Evolución de las salvaguardas
- Informe de amenazas
- Etc…
Informes parametrizables:
- Utilización de una plantilla RTF.
- Existen patrones predefinidos que pueden parametrizarse
GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

9. INFORMES – ANÁLISIS TEMPORAL DE IMPACTO

Reducción del Riesgo

- Sin salvaguardas
- Fase presente
- Plan de Seguridad 3 meses
- Plan de seguridad 1 año
GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

9. INFORMES – EVALUACIÓN DE SEGURIDAD

Fase presente Plan de Seguridad 3 meses Plan de seguridad 1 año

GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

1. Aumentar la capacidad de Vigilancia.

2. Herramientas de Gestión Centralizada.

3. Política de seguridad.

4. Aplicar configuraciones de seguridad.

5. Empleo de productos confiables y certificados.

6. Concienciación de usuarios.

7. Compromiso de dirección (Dueños del Riesgo)

8. Legislación y Buenas Prácticas.

9. Intercambio de Información.

10.Trabajar como si se estuviera comprometido.

GSTIC – Análisis de Riesgos y herramienta PILAR SIN CLASIFICAR

Muchas Gracias

E-mails
info@ccn-cert.cni.es

ccn@cni.es

sondas@ccn-cert.cni.es

redsara@ccn-cert.cni.es

organismo.certificacion@cni.es

Páginas web:
www.ccn.cni.es

www.ccn-cert.cni.es
http://ccn-cert.net/Lima
www.oc.ccn.cni.es Contraseña: Lima2018