Analisis de Riesgo

Modelo Unificado de Anlisis de Riesgos de Seguridad
Fsica y Lgica
T22: Contenidos mnimos de los Planes Estratgicos Sectoriales
Enrique Bilbao Lzaro
Responsable de Produccin
Cuevavaliente Ingenieros

2
1. Introduccin

2. Entorno Normativo
3. Fundamentos de la Metodologa
4. Etapas del Anlisis de Riesgos
5. Conclusiones
6. Referencias

ndice
!
3
Introduccin

1 Introduccin
Metodologa particular y concreta de Anlisis de Riesgos que permite unificar dos
metodologas de anlisis de riesgos tradicionalmente independientes: riesgos lgicos y
riesgos fsicos.

Cumple con los estndares ISO 31000 e ISO 27001, lo que permite usar terminologa
comn y el mismo ciclo de vida de gestin de riesgos

Resuelve problemas muy habituales como son:
Consideraciones opuestas de cules son los activos a proteger y su entorno
Diferencias en los pasos a seguir
Distintas normas y mejores prcticas sobre los que basar el proceso
Nomenclatura y vocabulario diferente
Mtodos de evaluacin y consecuencias a medir diferentes
4
Fundamento normativo de la metodologa

2 Entorno Normativo
Esta metodologa se ajusta al marco normativo de ISO 27001 para la gestin de
Riesgos de Seguridad Lgica, y de ISO 31000 para la gestin de riesgos de Seguridad
Fsica. Se emplea un modelo nico que surge de la unin de ambos: el modelo SGSC
(modelo del Sistema de Gestin Corporativa de Seguridad)
Decisin y
Compromiso
Diseo del Marco
de Actuacin del
SGSF
Implementacin
del SGSF
Seguimiento y
Revisin del
SGSF
Mejora continua
del SGSF
Plan del
SGSI
Mantenimiento y
mejora del SGSI
Implementacin
del SGSI
Medicin
del SGSI
Seguridad de la
Informacin
gestionada
Requerimientos de
la Seguridad de la
Informacin
Seguridad Fsica ISO 31000
Seguridad Lgica ISO 27001
Planificacin
Implementacin
Medicin
Actuacin
Requerimientos
Polticas
Gestin de la
Seguridad
MODELO SGSC

SGSC: Sistema de Gestin Corporativa de Seguridad
SGSI:
Sistema de Gestin de Seguridad de la Informacin
SGSF:
Sistema de Gestin de Seguridad Fsica
5
Bases de la Metodologa

3 Fundamentos de la Metodologa
Metodologa basada en la confluencia de dos metodologas maduras de Anlisis de
Riesgos que son especficas para cada sector:

Seguridad Fsica: metodologa propia de Cuevavaliente, basada en ISO 31000, e
implementada a travs de herramientas software propias. Tambin se utilizan
algunos aspectos y recomendaciones del estndar AS/NZS 4360 [8] y su
addendum en forma de gua: Risk Management Guidelines.

Seguridad Lgica: MAGERIT II. Desarrollada por el Consejo Superior de
Administracin Electrnica (CSAE). La metodologa MAGERIT II pretende dar
respuesta a la dependencia que tiene la Administracin de las tecnologas de la
informacin para el cumplimiento de su misin.

Gestin de ambos riesgos en un mismo proceso en el que amenazas y activos
comparten indicadores y criterios, permitiendo su comparacin y evaluacin conjunta.
6
Aspectos adoptados de Magerit II

Activos
Dependencias
entre activos
Impacto
Nivel de Riesgo
Salvaguardas/
Controles
Riesgo Efectivo
Elemento
Valor Calculado
Valor Estimado
Leyenda
Valor de Sustitucin Activos Criticidad
Dependencias
Impacto
Probabilidad
Probabilidad de
Ocurrencia
Amenazas
Riesgo Intrnseco
Nivel de Riesgo
Salvaguardas
Madurez de
Salvaguardas
Riesgo Efectivo
Nivel de Riesgo
PASOS A SEGUIR:

1. Determinar activos
2. Determinar amenazas
3. Estimar Impactos/probabilidad
4. Estimar el coste/criticidad
5. Estimar madurez de salvaguardas
6. Clculo de los riesgos
Riesgo Mitigado
Nivel de Riesgo
7
Aspectos adoptados de Magerit II

La metodologa propuesta tiene en cuenta estas etapas, aunque las agrupa segn la
estructura del estndar ISO 31000.

El mtodo propuesto por MAGERIT II da cumplimiento en lo establecido en:
ISO 27005, epgrafe 4.2.1.d, Identificar Riesgos

ISO 27005, epgrafe 4.2.1.e, Analizar y Evaluar Riesgos

ISO 27001/2005, Sistemas de Gestin de Seguridad de la Informacin

ISO 27002/2005, 2005 Manual de Buenas Prcticas de Gestin de Seguridad de
la Informacin

ISO 27005/2008, Gestin de Riesgos de Seguridad de Informacin

ISO 15408-1/2009 , Criterios de Evaluacin de Seguridad de la Informacin
8
ANLISIS DE RIESGOS
Aspectos adoptados de las Normas ISO 31000 y AS/NZS 4360

Adopcin de las etapas definidas por las normas ISO 31000 y AS/NZS 4360, para una
correcta gestin de los riesgos y su relacin para un continuo proceso de mejora.
PROPUESTA DE MEDIDAS DE SEGURIDAD
IDENTIFICACIN DE RIESGOS
C
O
M
U
N
I
C
A
C
I
N

Y

C
O
N
S
U
L
T
A

M
O
N
I
T
O
R
I
Z
A
C
I
N

Y

R
E
V
I
S
I
N

ESTABLECIMIENTO DE CONTEXTO
EVALUACIN DE RIESGOS
A
S
E
S
O
R
A
M
I
E
N
T
O

D
E
L

R
I
E
S
G
O

TRATAMIENTO DE LOS RIESGOS
ANLISIS DE RIESGOS
9
Aspectos adoptados de las Normas ISO 31000 y AS/NZS 4360

Las etapas referidas por las normas son asumidas por los dos conjuntos de actividades:
el Anlisis de Riesgos y la Propuesta de Medidas de Seguridad
C
O
M
M
U
N
I
C
A
C
I
N

Y

C
O
N
S
U
L
T
A

PLANIFICACIN

IMPLEMENTACIN

MEDICIN
ACTUACIN
M
O
N
I
T
O
R
I
Z
A
C
I
N

Y

R
E
V
I
S
I
N

ESTABLECIMIENTO DEL CONTEXTO
IDENTIFICACIN DE RIESGOS
ANLISIS DE RIESGOS
EVALUACIN DE RIESGOS

R
I
S
K

A
S
S
E
S
S
M
E
N
T

TREAT RISKS
MODELO SGSC
REQUERIMIENTOS
POLTICAS
GESTIN DE LA
SEGURIDAD
10
Resumen de las etapas

4 Etapas del Anlisis de Riesgos
A. Establecimiento de Contexto
Activos
Amenazas
Tiempos
B. Identificacin de Riesgos
Situaciones de Riesgo
C. Anlisis de Riesgos
Impacto
Probabilidad
Criticidad
Nivel de Necesidad de Salvaguardas
D. Evaluacin de Riesgos
Riesgo Intrnseco
Riesgo Reducido
Riesgo Efectivo
11
Activos: todos aquellos bienes, espacios, procesos y cualquier otro elemento de
consideracin que sea susceptible de sufrir las consecuencias de una amenaza.

Proceso de Seleccin e Identificacin de Activos:
Analizar los procesos clave de la organizacin/instalacin considerada
Listado de los activos requeridos por estos procesos
Identificar, enumerar y clasificarlos entre 9 categoras adoptadas de MAGERIT II
Identificar la ubicacin fsica de los activos considerados

Tipos de Activos:
Tipos de Activos Fsicos considerados
Escenarios
Tipos de Activos Lgicos considerados
Servicios Datos/informacin
Aplicaciones (Software) Equipos Informticos (Hardware)
Redes de Comunicaciones Soportes de informacin
Equipamiento Auxiliar Instalaciones
Personal
12
Amenazas: Contingencias o riesgos especficos de los activos analizados, dependientes
de su del entorno y circunstancias, cuya potencial materializacin debe ser baremada.

Cada amenaza considerada pertenece a uno de los siguientes Tipos de Amenaza:

Grupos de Amenazas Fsicas consideradas (de Metodologa de Cuevavaliente)
Delincuencia Comn
Crmenes Agresivos o Violentos
Crimen Organizado y Terrorismo

Grupos de Amenazas Lgicas consideradas (del catlogo Magerit II)
Desastres Naturales
De Origen Industrial
Ataques Intencionados
Errores y Fallos No Intencionados
13
B. Identificacin de Riesgos
En esta etapa las combinaciones aplicables de activos-tiempos-amenazas son
consideradas.

Cada posible combinacin de activo-tiempo-amenaza se denomina Situacin de Riesgo.
El conjunto de ellas generan el Mapa de Riesgos.

La dimensin de Tiempos se obvia con frecuencia en los riesgos de origen lgico, con lo
que es frecuente disponer de situaciones de riesgo lgicas de dos dimensiones (activo-
amenaza).
14
C. Anlisis de Riesgos
El Anlisis de Riesgos Fsico se ha basado tradicionalmente en parmetros cuantitativos.

El Anlisis de Riesgos Fsicos y Lgicos unificado se simplifica, utilizando escalas
cualitativas para los parmetros considerados.

Los resultados con la nueva metodologa han sido validados y comprobados respecto a
los obtenidos con la metodologa tradicional, mantenindose la coherencia y la
experiencia acumulada con las metodologas usadas previamente.

Parmetros que deben analizarse y estimarse:
Parmetros a considerar para cada Situacin de Riesgo
Impacto
Probabilidad
Nivel de Necesidad de Salvaguardas
Parmetros a considerar para cada Activo
Criticidad
15
C. Anlisis de Riesgos- Parmetros para cada Situacin de Riesgo
Impacto: Medida de las consecuencias que puede sufrir un activo, en caso de
materializacin de una amenaza en un tiempo determinado.

El impacto se valora para cada situacin de riesgo considerada, asumiendo uno de los
siguientes valores:
IMPACTO
MA Impacto Muy Alto/Muy Grave o Severo para la Organizacin
A Impacto Alto/Grave para la Organizacin
M Impacto Medio/Moderado/Importante para la Organizacin
B Impacto Bajo/Menor para la Organizacin
MB Impacto Muy Bajo/Irrelevante para la Organizacin
16
Probabilidad de Ocurrencia de Riegos Lgicos: suele basarse en estudios estadsticos
sobre la materializacin de sucesos, averas o amenazas.

Probabilidad de Ocurrencia de Riesgos Fsicos deliberados: se refiere a un indicador
no probabilstico que pretende indicar el grado de materializacin de una amenaza. Como
tal, es el resultado de multiplicar dos indicadores:
Atractivo: en qu medida es atractivo para el potencial agente de la amenaza el
llevarla a cabo. Se debe evaluar desde la perspectiva del sujeto actuante terico.
Vulnerabilidad: indicador de cun sencillo es llevar a cabo una amenaza en el activo
y tiempo considerados, considerndose que no existen salvaguardas.
En ambos casos (riesgos fsicos y lgicos), la Probabilidad podr tomar uno de los
siguientes valores:
PROBABILIDAD
MA Probabilidad Muy Alta de Ocurrencia del Evento/Evento Probablemente ocurra
A Probabilidad Alta de Ocurrencia del Evento/Evento Posible
M Probabilidad Moderada de Ocurrencia del Evento/Evento Improbable
B Probabilidad Baja de Ocurrencia del Evento/Evento Raro
MB Probabilidad Muy Baja de Ocurrencia del Evento/Evento Muy Raro
C. Anlisis de Riesgos- Parmetros para cada Situacin de Riesgo
17
Criticidad: Consecuencias que se estiman o asignan a cada dimensin de Seguridad en
los activos considerados, independiente de amenazas o tiempos.

La metodologa considera la estimacin de la criticidad para la Organizacin, en caso de
ocurrencia, para cada combinacin aplicable de las siguiente consecuencias de
amenazas y las dimensiones de Seguridad y que se veran afectadas por estas
consecuencias:
C. Anlisis de Riesgos- Parmetros para cada Activo
CONSECUENCIAS Y DIMENSIONES DE SEGURIDAD A CONSIDERAR
CONSECUENCIAS DIMENSIONES CRTICAS A ESTIMAR
Activos de Seguridad Fsica: Daos fsicos sufridos Reduccin del Beneficio
Activos de Seguridad Lgica: Disponibilidad Consecuencias en la Salud y Daos a las Personas
Activos de Seguridad Lgica: Integridad Daos a la Herencia Socio-Cultural
Activos de Seguridad Lgica: Confidencialidad Comunidad, Gobierno, Reputacin y Medios
Consecuencias Legales
Reduccin del Beneficio
18
Las salvaguardas reducen ciertos riesgos a travs de 2 vas:

Reduciendo el impacto de las amenazas
Reduciendo la probabilidad o frecuencia de ocurrencia

La necesidad de salvaguardas: (o carencia de salvaguardas existentes), es
inversamente proporcional al nivel de salvaguardas que afectan a un activo. Se calculan
siguiendo un modelo propio similar al modelo CMMI, obteniendo valores cuantitativos:
NIVEL DE NECESIDAD DE SALVAGUARDAS
NIVEL CMMI
Activos Fsicos Activos Lgicos
MB MB Optimizado
B M Gestionado
M A Definido
MA MA Repetible
MA MA Inicial
MA MA No Existente
19
Niveles CMMI y Necesidades de Salvaguardas:
GRADO DE MADUREZ Y NECESIDAD DE SALVAGUARDAS PARA RIESGOS FSICOS
GRADO DE
MADUREZ
NECESIDAD DE
SALVAGUARDAS
NIVEL CMMI PRACTICAS DE GESTIN DE SEGURIDAD FSICA
5 MB OPTIMIZADO Las salvaguardas han sido implementadas y revisadas hasta un nivel de "best practice", sobre la base de mejora continua.
4 B GESTIONADO Las salvaguardas han sido implementadas.
3 M DEFINIDO Se conocen las necesidades y se han planteado las necesidades a implementar basadas en "best practices".
2 MA REPETIBLE Se conocen las necesidades y se han planteado las necesidades a implementar, aunque no basadas en "best practices".
1 MA INICIAL Se conocen las necesidades, aunque no se han planteado las salvaguardas a implementar para solventarlas.
0 MA NO EXISTENTE No se conocen las necesidades.
GRADO DE MADUREZ Y NECESIDAD DE SALVAGUARDAS PARA RIESGOS LGICOS
GRADO DE
MADUREZ
NECESIDAD DE
SALVAGUARDAS
NIVEL CMMI PRACTICAS DE GESTIN DE SEGURIDAD LGICA
5 MB OPTIMIZADO Los procesos han sido revisados hasta un nivel de best practice, sobre la base de una mejora continua.
4 M GESTIONADO
Los procesos estn en mejora continua y proporcionan mejores prcticas. Se usan herramientas automatizadas de
manera aislada o fragmentada.
3 A DEFINIDO La organizacin asegura que el control se planifica, documenta, ejecuta, monitoriza y controla.
2 MA REPETIBLE
Los procesos han evolucionado de forma de que se siguen procedimientos similares para realizar la misma tarea. No
existe formacin ni comunicacin de procedimientos estndar y la responsabilidad recae en el individuo.
1 MA INICIAL No existen procesos estndar aunque existen planteamientos ad hoc que se utilizan en cada situacin.
0 MA NO EXISTENTE Ausencia total de procesos reconocibles.
20
Riesgo Intrnseco: Medida del dao probable sobre un sistema sin considerar las
salvaguardas que pudieran proteger a ste.

Se calcula para cada Situacin de Riesgo
El resultado se toma de unas tablas de Impacto vs. Probabilidad, diferentes para los
riesgos fsicos y lgicos

Riesgo Reducido: Nivel de Riesgo o medida del dao probable sobre un sistema, una
vez consideradas las salvaguardas que pudieran proteger a ste.

El resultado se toma de una tablas de Riesgo Intrnseco vs. Nivel de Necesidad de
Salvaguardas, comn para ambos tipos de riesgos
21
Riesgo Efectivo: Nivel de Riesgo o medida de dao probable al que est sometido el
activo tras la valoracin de las salvaguardas implantadas en la actualidad, tomando en
consideracin el valor propio del activo (criticidad).

La criticidad a considerar es la mxima de las criticidades que se hayan calculado
para las combinaciones de Consecuencias y Dimensiones de Seguridad que afecten
al Activo.
El resultado se toma de una tablas de Riesgo Reducido vs. Nivel de Necesidad de
Salvaguardas, comn para ambos tipos de riesgos
Riesgo
Efectivo
Riesgo
Reducido
Mxima
(Criticidad)
Riesgo intrnseco
Necesidad de
Salvaguardas
Probabilidad
Impacto

*

*
*
*

*
Tabla especfica/matriz de clculo
22
Conclusiones e Impactos
4 Conclusiones
Nueva metodologa propuesta, fruto de la experiencia de Cuevavaliente Ingenieros con
sus partners expertos en Seguridad Lgica.

Presenta una solucin prctica a uno de los problemas ms complejos en el diseo de un
Sistema de Gestin de Seguridad Fsica y Lgica.

Actualmente se est empezando a utilizar con xito en diferentes empresas espaolas

Permite proponer Planes de Seguridad comunes a la Alta Direccin de las
organizaciones.

En el caso de Espaa, y otros pases europeos, permite cumplir con la legislacin
especfica de Proteccin de Infraestructuras Crticas, donde se exige a las empresas que
operan servicios crticos a la ciudadana, que presenten Planes de Conjuntos de
Seguridad Fsica y Lgica.
23
Referencias
5 Referencias
[1] Legislacin sobre Infraestructuras Crticas Espaola:
a) Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin
de las infraestructuras crticas.
b) Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de
proteccin de las infraestructuras crticas.
[2] Alfonso Bilbao, Enrique Bilbao, Koldo Pecia; Physical and Logical Security Risk
Analysis Model, International Carnahan Conference on Security Technology
Proceedings, Barcelona 2011
[3] Alfonso Bilbao; TUAR, a model of Risk Analysis in the Security Field, International
Carnahan Conference on Security Technology Proceedings, Atlanta 1992
[4] Alfonso Bilbao, Enrique Bilbao, Alejandro Castillo; A risk management method based
on the AS/NZS 4360 Standard, International Carnahan Conference on Security
Technology Proceedings, Ottawa 2008
[5] Metodologa MAGERIT II; Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin. Ministerio de Administraciones Pblicas de Espaa.
http://www.csi.map.es/csi/pg5m20.htm
24
Referencias
5 Referencias
[6] ISO/IEC 27001 (BS7799-2:2002): Information security management systems -
Requirements
[7] ISO 31000 Risk management Principles and guidelines
[8] AS/NZS 4360:2004 Standard Risk Management; Standards Australia/Standards
New Zealand, 2004
[9] HB 436:2004 Risk Management Guidelines. Companion to AS/NZS 4360:2004;
Standards Australia/Standards New Zealand, 2004
[10] ISO/IEC 27001 / 2005 Information security management systems Requirements
[11] ISO/IEC 27002 / 2005 Code of practice for information security management
[12] ISO/IEC 27005 / 2008 Information security risk management
[13] ISO/IEC 15408-1 / 2009 Common Criteria for Information Technology Security
Evaluation
[14] www.cuevavaliente.com
25
Fin de la presentacin
Muchas gracias

Analisis de Riesgo

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Analisis de Riesgo

Cargado por

Copyright:

Formatos disponibles

Modelo Unificado de Anlisis de Riesgos de Seguridad

También podría gustarte