ISO Guide 73 Ppt.pdf

8/17/2019 ISO Guide 73 Ppt.pdf

1/39

Gestión de RiesgosGestión de Riesgoscon Mageritcon Magerit

José A. Mañas

Dep. de Ingeniería de Sistemas InformáticosUniversidad Politécnica de Madrid


2/39

Definiciones

• Gestión del riesgo

– actividades coordinadas para dirigir ycontrolar una organización conrespecto al riesgo

• NOTA: normalmente la gestión del riesgoincluye la apreciación del riesgo,el tratamiento del riesgo,

la aceptación del riesgo yla comunicación del riesgo

ISO/IEC Guía 73: 2002


3/39

Definiciones

• Riesgo

– combinación de la probabilidad de unsuceso y su consecuencia1. el término riesgo normalmente se utiliza

únicamente cuando existe al menos la posibilidad

de consecuencias negativas

2. en algunas situaciones, el riesgo proviene de laposibilidad de un desvío del resultado o delsuceso previsto

ISO/IEC Guía 73: 2002


4/39

Informalidad

• Se dice que una actividad es “arriesgada”cuando puede salir mal o puede salir bien;

es decir, cuando no hay certeza de quéva a ocurrir

• Se llama “riesgo” a la medida de lo que“probablemente ocurra”


5/39

Método de estimación

sucesos

inciertos

descubrimiento

consecuencias

estimación

IMPACTO

RIESGO

probabilidad

×

indicadores


6/39

Indicadores

• Impacto

– lo que puede suceder

• Riesgo

– lo que probablemente ocurra


7/39

Subjetividad

• La identificación de sucesosy la estimación de consecuencias y

probabilidadesson subjetivasporque no pueden ser objetivas hasta queel suceso se materializa

• Ante sucesos materializados no

analizamos riesgos:medimos daños


8/39

Subjetividad

• Necesitamos opiniones cualificadas /creíbles / de confianza

• Hay que poder razonar el por qué de lasestimaciones realizadas

• Sería muy interesante disponer deestimaciones normalizadas;... un bonito sueño ...


9/39

Uso del análisis de riesgos

• Para tomar decisiones

• El riesgo no es necesariamente malo

– el riesgo es compañero inseparable delbeneficio

– el beneficio (estimado subjetivamente)hay que compararlo conel riesgo (estimado subjetivamente)para tomar decisiones informadas


10/39

Tratamiento

• El riesgo se trata

– se evita

– se mitiga

– se transfiere

– se acepta

• El riesgo no se reduce a 0.0el riesgo se trata hasta tener una relación

beneficio / riesgo “óptima”que estamos dispuestos a aceptar


11/39

Tratamiento

punto de decisión

monitorización continua

estudio coste / beneficio

estudio de los riesgos revisión periódica

• transferencia

• mitigación del riesgo: reducción de la exposición

limitación del impacto

se trata

se asume

se estudia mejor


12/39

Gestión de riesgos

Análisis de riesgos

proceso sistemático para estimar la magnitud

de los riesgos a que está expuesta unaorganización

Evaluación de los riesgos

proceso en el que se coteja el riesgo estimadocontra los criterios de la organización paradeterminar la importancia del riesgo

Tratamiento de riesgos selección e implantación de salvaguardas

para conocer, prevenir, impedir, reducir o

controlar los riesgos identificados


13/39

Análisis

• Un buen análisis es la base

– no se pueden tomar decisiones

sin conocimiento – no se pueden justificar decisiones

sin conocimiento

– no se puede optimizar lo que se ignora


14/39

El análisis de riesgos no es simple

• Muchos activos – los sistemas son complejos

• Activos de muchos tipos – información, servicios, procesos, ...

– equipamiento: aplicaciones, equipos, comunicaciones,

... – locales: recintos, edificios, áreas, ..., en el campo

– personas: usuarios, operadores, desarrolladores, ...

• Muchas amenazas – y muchas formas de hilvanar las amenazas

• Muchísimas salvaguardas – gestión, técnicas, seguridad física, recursos humanos

... lleva tiempo... cuesta dinero

... no vale una vez y para siempre


15/39

Metodología de análisis de riesgos

La complejidad se ataca metódicamente – una metodología es una aproximación

sistemática• para cubrir la mayor parte de lo que puede ocurrir

• para olvidar lo menos posible

• para explicar a los gerentes qué se necesita de ellos

• para explicar a los técnicos qué se espera de ellos• para explicar a los usuarios

– qué un uso decente del sistema

– qué es una respuesta urgente

– cómo se gestionan los incidentes

– una metodología necesita modelos• elementos: activos, amenazas, salvaguardas

• métricas: impacto y riesgo


16/39

Magerit

Metodología de análisis y gestión de

riesgos de los sistemas de información

– Pública• MAP : Ministerio para las Administraciones Públicas

• version 1.0, 1997

• version 2.0, 2005 – http://www.csi.map.es/csi/pg5m20.htm

– Recomendación para la administración

pública española


17/39

Pasos de análisis

análisisRiesgos (SistemaInformación si) {

Contexto contexto= establecerContexto (si);

Set activos= getModeloValor(si);Set amenazas=

getMapaAmenazas(si, activos);

Riesgo potencial= calcula(activos, amenazas);

Set salvaguardas=

necesidad(activos, amenazas);

evaluaEstadoActual(salvaguardas);

Riesgo residual=calcula(activos, amenazas, salvaguardas);

}


18/39

Pasos de análisis

Set getModeloValor(SistemaInformación si) {

do {

Set activos= descubrimiento(si);relaciones(activos, si);

valoración(activos, si);

} until (dirección.aprueba(activos));

dirección.firma(informe(activos));

return activos;

}


19/39

Valoración

– Coste que supondría la ocurrencia de unaamenaza

• valor de reposición

• valor de reconstrucción

• horas perdidas de trabajo

• lucro cesante

• daños y perjuicios – No sólo importa lo que cuesta;

importa [más] para qué vale


20/39

Aspectos de valoración

– seguridad de las personas

– información de carácter personal

– obligaciones derivadas de la ley, del marcoregulatorio, de contratos, etc.

– capacidad para la persecución de delitos

– intereses comerciales y económicos – pérdidas financieras

– interrupción del servicio

– orden público

– política corporativa

– otros valores intangibles


21/39

Dimensiones de valoración

• disponibilidad

– ¿Qué importancia tendría que el activo no estuvieradisponible?

• integridad – ¿Qué importancia tendría que el activo fuera modificado fuera

de control?

• confidencialidad – ¿Qué importancia tendría que el activo fuera conocido porpersonas no autorizadas?

• autenticidad

– ¿Qué importancia tendría que quien accede al activo no searealmente quien se cree?

• trazabilidad | imputabilidad (accountability)

– ¿Qué importancia tendría que no quedara constancia del uso

del activo?


22/39

Valoración

– Cuantitativa• el desembolso económico que conllevaría

• prácticamente siempre se hace en euros – Cualitativa

• hay cosas que no tienen precio

• intangibles – inhabilitación de una misión

– perjuicio de imagen

– perjuicio a las relaciones de la organización

– ...


23/39

Valor cualitativo

– Criterios homogéneos que permitan

• relativizar entre dimensiones

• compartir / combinar análisisrealizados por separado

• uniformidad de conocimiento

9

7

6

4

1

8 alto

5 medio

3

2 bajo

despreciable0

10 muy alto

valor criterio

10 - muy alto daño muy grave

8 - alto daño grave repercute en otros5 - medio daño importante queda en casa2 - bajo daño menor

0 - despreciable daño irrelevante

V l tit ti ( )


24/39

Valor cuantitativo (euros)

• si no ocurre nada: – B1 = beneficios_1 – gastos_1

• si se materializa la amenaza: – B2 = beneficios_2 – gastos_2

• consecuencias del suceso:

– VALOR = B1 – B2(beneficios_1 – beneficios_2) + (gastos_2 – gastos_1)

euros0.0

b1g1

b2

g2

l


25/39

cual y cuan

• Se puede hacer un análisiscualitativo no cuantitativo

– para tomar las decisiones “de bulto”

• No se debe hacer un análisis

cuantitativo no cualitativo – porque no sólo es dinero

• Se debe hacer análisis cuantitativo ycualitativo

– para tomar las decisiones “finas”

H i t


26/39

Herramientas

• Necesarias para

– atajar la complejidad

– mantener el análisis al día

– analizar “what if ...”

• Convenientes para – capturar el sistema

– aplicar un método sistemáticamente – comunicar el riesgo

– explicar el por qué de las conclusiones

A áli i ( t i l)


27/39

Análisis (potencial)

activosactivos

amenazasamenazas

probabilidadprobabilidad

impactoimpacto

valor valor

riesgoriesgo

Interesan por su

degradación

están expuestos a

degradacióncausan una cierta

con una cierta

Análisis (residual)


28/39

Análisis (residual)

activosactivos

amenazasamenazas

probabilidad

residual

probabilidad

residual

impactoresidual

impactoresidual

valor valor

riesgoresidual

riesgoresidual

Interesan por su

degradación

residual

están expuestos a

degradaciónresidual

causan una cierta

con una cierta

tipo de activodimensiónamenaza

nivel de riesgo

salvaguardassalvaguardas

Soporte a la gestión


29/39

Soporte a la gestión

EARPILAR

programas de seguridad

activos

amenazas

impacto y riesgo potenciales

evaluación de salvaguardas

progreso

salvaguardas

plan de seguridad

costes & beneficiosimpacto y riesgo residuales

Soporte al alineamiento


30/39

Soporte al alineamiento

• Los “de arriba” deben entender lasconsecuencias de los incidentestécnicos

• Los “de abajo” deben entender el

valor de los componentes técnicos• Todos deben saber

– qué deben proteger – en qué medida

Informes de estado


31/39

Informes de estado

Cumplimiento de perfiles


32/39

Cumplimiento de perfiles

ISO/IEC - 17799 / 27001



33/39


• Las entradas: – ¿qué tenemos que proteger? NEGOCIO

– ¿qué tenemos que proteger? RECURSOS – conócete a ti mismo

• La tarea: – ¿qué quiere la otra parte?

– ¿cómo puede la otra parte conseguirlo?

– conoce a tu adversario

• La conclusión: – somos vulnerables en tal medida

¿Cuándo?


34/39

¿Cuándo?

– El análisis de riesgo muestra su máximaeficacia cuando se realiza antes del

despliegue de un sistema• y las salvaguardas se incorporan al diseño de lasolución

– Es necesario cuando• un sistema se hace cargo de nuevas o más

importantes misiones que aquellas para las que fuediseñado

– morir de éxito• cambia el perfil de vulnerabilidad

– ej. exposición a Internet

SGSI


35/39

planificaciónplanificación

Plan

monitorizacióny evaluación

monitorización

y evaluación

Check

implementacióny operación

implementación

y operación

Do

mantenimientoy mejora

mantenimiento

y mejora

Act

SGSI

Sistema de Gestión de la Seguridad de la Información

Certificación y acreditación


36/39

análisis

de riesgos

certificación

resultados deevaluación

registro

modelode valor

mapade riesgos

gestión

de riesgos

salvaguardas

acreditación

auditoríaevaluación

de seguridad

Certificación y acreditación

Riesgos del análisis de riesgos


37/39

Riesgos del análisis de riesgos

1. Lo que se olvida

– recursos propios ignorados o subestimados

– recursos ajenos desconocidos o subestimados

– hay que tener más de una opinión

2. La auto-complacencia

– estamos suficientemente bien

– hay que controlar que seguimos tan bien como creemos – hay que revisar continuamente y adaptarse a las

circunstancias

3. La incomunicación

– la dirección no se entera – hay que saber transmitir información que informe

Referencias


38/39

Referencias

– Magerit v2 – MAP, 2005• Metodología de análisis y gestión de riesgos de los

sistemas de información

• http://www.csi.map.es/csi/pg5m20.htm• Código de buenas prácticas para la Gestión de la

Seguridad de la Información

– EAR – Entorno de Análisis de Riesgos

• PILAR – Herramienta de análisis y gestión – http://www.ar-tools.com/

• con soporte del CCN – https://www.ccn-cert.cni.es/


39/39

Date post:	06-Jul-2018
Category:	Documents
Upload:	fco1340
View:	315 times
Download:	1 times

ISO Guide 73 Ppt.pdf

Documents