of 39
8/17/2019 ISO Guide 73 Ppt.pdf
1/39
Gestión de RiesgosGestión de Riesgoscon Mageritcon Magerit
José A. Mañas
Dep. de Ingeniería de Sistemas InformáticosUniversidad Politécnica de Madrid
8/17/2019 ISO Guide 73 Ppt.pdf
2/39
Definiciones
• Gestión del riesgo
– actividades coordinadas para dirigir ycontrolar una organización conrespecto al riesgo
• NOTA: normalmente la gestión del riesgoincluye la apreciación del riesgo,el tratamiento del riesgo,
la aceptación del riesgo yla comunicación del riesgo
ISO/IEC Guía 73: 2002
8/17/2019 ISO Guide 73 Ppt.pdf
3/39
Definiciones
• Riesgo
– combinación de la probabilidad de unsuceso y su consecuencia1. el término riesgo normalmente se utiliza
únicamente cuando existe al menos la posibilidad
de consecuencias negativas
2. en algunas situaciones, el riesgo proviene de laposibilidad de un desvío del resultado o delsuceso previsto
ISO/IEC Guía 73: 2002
8/17/2019 ISO Guide 73 Ppt.pdf
4/39
Informalidad
• Se dice que una actividad es “arriesgada”cuando puede salir mal o puede salir bien;
es decir, cuando no hay certeza de quéva a ocurrir
• Se llama “riesgo” a la medida de lo que“probablemente ocurra”
8/17/2019 ISO Guide 73 Ppt.pdf
5/39
Método de estimación
sucesos
inciertos
descubrimiento
consecuencias
estimación
IMPACTO
RIESGO
probabilidad
×
indicadores
8/17/2019 ISO Guide 73 Ppt.pdf
6/39
Indicadores
• Impacto
– lo que puede suceder
• Riesgo
– lo que probablemente ocurra
8/17/2019 ISO Guide 73 Ppt.pdf
7/39
Subjetividad
• La identificación de sucesosy la estimación de consecuencias y
probabilidadesson subjetivasporque no pueden ser objetivas hasta queel suceso se materializa
• Ante sucesos materializados no
analizamos riesgos:medimos daños
8/17/2019 ISO Guide 73 Ppt.pdf
8/39
Subjetividad
• Necesitamos opiniones cualificadas /creíbles / de confianza
• Hay que poder razonar el por qué de lasestimaciones realizadas
• Sería muy interesante disponer deestimaciones normalizadas;... un bonito sueño ...
8/17/2019 ISO Guide 73 Ppt.pdf
9/39
Uso del análisis de riesgos
• Para tomar decisiones
• El riesgo no es necesariamente malo
– el riesgo es compañero inseparable delbeneficio
– el beneficio (estimado subjetivamente)hay que compararlo conel riesgo (estimado subjetivamente)para tomar decisiones informadas
8/17/2019 ISO Guide 73 Ppt.pdf
10/39
Tratamiento
• El riesgo se trata
– se evita
– se mitiga
– se transfiere
– se acepta
• El riesgo no se reduce a 0.0el riesgo se trata hasta tener una relación
beneficio / riesgo “óptima”que estamos dispuestos a aceptar
8/17/2019 ISO Guide 73 Ppt.pdf
11/39
Tratamiento
punto de decisión
monitorización continua
estudio coste / beneficio
estudio de los riesgos revisión periódica
• transferencia
• mitigación del riesgo: reducción de la exposición
limitación del impacto
se trata
se asume
se estudia mejor
8/17/2019 ISO Guide 73 Ppt.pdf
12/39
Gestión de riesgos
Análisis de riesgos
proceso sistemático para estimar la magnitud
de los riesgos a que está expuesta unaorganización
Evaluación de los riesgos
proceso en el que se coteja el riesgo estimadocontra los criterios de la organización paradeterminar la importancia del riesgo
Tratamiento de riesgos selección e implantación de salvaguardas
para conocer, prevenir, impedir, reducir o
controlar los riesgos identificados
8/17/2019 ISO Guide 73 Ppt.pdf
13/39
Análisis
• Un buen análisis es la base
– no se pueden tomar decisiones
sin conocimiento – no se pueden justificar decisiones
sin conocimiento
– no se puede optimizar lo que se ignora
8/17/2019 ISO Guide 73 Ppt.pdf
14/39
El análisis de riesgos no es simple
• Muchos activos – los sistemas son complejos
• Activos de muchos tipos – información, servicios, procesos, ...
– equipamiento: aplicaciones, equipos, comunicaciones,
... – locales: recintos, edificios, áreas, ..., en el campo
– personas: usuarios, operadores, desarrolladores, ...
• Muchas amenazas – y muchas formas de hilvanar las amenazas
• Muchísimas salvaguardas – gestión, técnicas, seguridad física, recursos humanos
... lleva tiempo... cuesta dinero
... no vale una vez y para siempre
8/17/2019 ISO Guide 73 Ppt.pdf
15/39
Metodología de análisis de riesgos
La complejidad se ataca metódicamente – una metodología es una aproximación
sistemática• para cubrir la mayor parte de lo que puede ocurrir
• para olvidar lo menos posible
• para explicar a los gerentes qué se necesita de ellos
• para explicar a los técnicos qué se espera de ellos• para explicar a los usuarios
– qué un uso decente del sistema
– qué es una respuesta urgente
– cómo se gestionan los incidentes
– una metodología necesita modelos• elementos: activos, amenazas, salvaguardas
• métricas: impacto y riesgo
8/17/2019 ISO Guide 73 Ppt.pdf
16/39
Magerit
Metodología de análisis y gestión de
riesgos de los sistemas de información
– Pública• MAP : Ministerio para las Administraciones Públicas
• version 1.0, 1997
• version 2.0, 2005 – http://www.csi.map.es/csi/pg5m20.htm
– Recomendación para la administración
pública española
8/17/2019 ISO Guide 73 Ppt.pdf
17/39
Pasos de análisis
análisisRiesgos (SistemaInformación si) {
Contexto contexto= establecerContexto (si);
Set activos= getModeloValor(si);Set amenazas=
getMapaAmenazas(si, activos);
Riesgo potencial= calcula(activos, amenazas);
Set salvaguardas=
necesidad(activos, amenazas);
evaluaEstadoActual(salvaguardas);
Riesgo residual=calcula(activos, amenazas, salvaguardas);
}
8/17/2019 ISO Guide 73 Ppt.pdf
18/39
Pasos de análisis
Set getModeloValor(SistemaInformación si) {
do {
Set activos= descubrimiento(si);relaciones(activos, si);
valoración(activos, si);
} until (dirección.aprueba(activos));
dirección.firma(informe(activos));
return activos;
}
8/17/2019 ISO Guide 73 Ppt.pdf
19/39
Valoración
– Coste que supondría la ocurrencia de unaamenaza
• valor de reposición
• valor de reconstrucción
• horas perdidas de trabajo
• lucro cesante
• daños y perjuicios – No sólo importa lo que cuesta;
importa [más] para qué vale
8/17/2019 ISO Guide 73 Ppt.pdf
20/39
Aspectos de valoración
– seguridad de las personas
– información de carácter personal
– obligaciones derivadas de la ley, del marcoregulatorio, de contratos, etc.
– capacidad para la persecución de delitos
– intereses comerciales y económicos – pérdidas financieras
– interrupción del servicio
– orden público
– política corporativa
– otros valores intangibles
8/17/2019 ISO Guide 73 Ppt.pdf
21/39
Dimensiones de valoración
• disponibilidad
– ¿Qué importancia tendría que el activo no estuvieradisponible?
• integridad – ¿Qué importancia tendría que el activo fuera modificado fuera
de control?
• confidencialidad – ¿Qué importancia tendría que el activo fuera conocido porpersonas no autorizadas?
• autenticidad
– ¿Qué importancia tendría que quien accede al activo no searealmente quien se cree?
• trazabilidad | imputabilidad (accountability)
– ¿Qué importancia tendría que no quedara constancia del uso
del activo?
8/17/2019 ISO Guide 73 Ppt.pdf
22/39
Valoración
– Cuantitativa• el desembolso económico que conllevaría
• prácticamente siempre se hace en euros – Cualitativa
• hay cosas que no tienen precio
• intangibles – inhabilitación de una misión
– perjuicio de imagen
– perjuicio a las relaciones de la organización
– ...
8/17/2019 ISO Guide 73 Ppt.pdf
23/39
Valor cualitativo
– Criterios homogéneos que permitan
• relativizar entre dimensiones
• compartir / combinar análisisrealizados por separado
• uniformidad de conocimiento
9
7
6
4
1
8 alto
5 medio
3
2 bajo
despreciable0
10 muy alto
valor criterio
10 - muy alto daño muy grave
8 - alto daño grave repercute en otros5 - medio daño importante queda en casa2 - bajo daño menor
0 - despreciable daño irrelevante
V l tit ti ( )
8/17/2019 ISO Guide 73 Ppt.pdf
24/39
Valor cuantitativo (euros)
• si no ocurre nada: – B1 = beneficios_1 – gastos_1
• si se materializa la amenaza: – B2 = beneficios_2 – gastos_2
• consecuencias del suceso:
– VALOR = B1 – B2(beneficios_1 – beneficios_2) + (gastos_2 – gastos_1)
euros0.0
b1g1
b2
g2
l
8/17/2019 ISO Guide 73 Ppt.pdf
25/39
cual y cuan
• Se puede hacer un análisiscualitativo no cuantitativo
– para tomar las decisiones “de bulto”
• No se debe hacer un análisis
cuantitativo no cualitativo – porque no sólo es dinero
• Se debe hacer análisis cuantitativo ycualitativo
– para tomar las decisiones “finas”
H i t
8/17/2019 ISO Guide 73 Ppt.pdf
26/39
Herramientas
• Necesarias para
– atajar la complejidad
– mantener el análisis al día
– analizar “what if ...”
• Convenientes para – capturar el sistema
– aplicar un método sistemáticamente – comunicar el riesgo
– explicar el por qué de las conclusiones
A áli i ( t i l)
8/17/2019 ISO Guide 73 Ppt.pdf
27/39
Análisis (potencial)
activosactivos
amenazasamenazas
probabilidadprobabilidad
impactoimpacto
valor valor
riesgoriesgo
Interesan por su
degradación
están expuestos a
degradacióncausan una cierta
con una cierta
Análisis (residual)
8/17/2019 ISO Guide 73 Ppt.pdf
28/39
Análisis (residual)
activosactivos
amenazasamenazas
probabilidad
residual
probabilidad
residual
impactoresidual
impactoresidual
valor valor
riesgoresidual
riesgoresidual
Interesan por su
degradación
residual
están expuestos a
degradaciónresidual
causan una cierta
con una cierta
tipo de activodimensiónamenaza
nivel de riesgo
salvaguardassalvaguardas
Soporte a la gestión
8/17/2019 ISO Guide 73 Ppt.pdf
29/39
Soporte a la gestión
EARPILAR
programas de seguridad
activos
amenazas
impacto y riesgo potenciales
evaluación de salvaguardas
progreso
salvaguardas
plan de seguridad
costes & beneficiosimpacto y riesgo residuales
Soporte al alineamiento
8/17/2019 ISO Guide 73 Ppt.pdf
30/39
Soporte al alineamiento
• Los “de arriba” deben entender lasconsecuencias de los incidentestécnicos
• Los “de abajo” deben entender el
valor de los componentes técnicos• Todos deben saber
– qué deben proteger – en qué medida
Informes de estado
8/17/2019 ISO Guide 73 Ppt.pdf
31/39
Informes de estado
Cumplimiento de perfiles
8/17/2019 ISO Guide 73 Ppt.pdf
32/39
Cumplimiento de perfiles
ISO/IEC - 17799 / 27001
Análisis de riesgos
8/17/2019 ISO Guide 73 Ppt.pdf
33/39
Análisis de riesgos
• Las entradas: – ¿qué tenemos que proteger? NEGOCIO
– ¿qué tenemos que proteger? RECURSOS – conócete a ti mismo
• La tarea: – ¿qué quiere la otra parte?
– ¿cómo puede la otra parte conseguirlo?
– conoce a tu adversario
• La conclusión: – somos vulnerables en tal medida
¿Cuándo?
8/17/2019 ISO Guide 73 Ppt.pdf
34/39
¿Cuándo?
– El análisis de riesgo muestra su máximaeficacia cuando se realiza antes del
despliegue de un sistema• y las salvaguardas se incorporan al diseño de lasolución
– Es necesario cuando• un sistema se hace cargo de nuevas o más
importantes misiones que aquellas para las que fuediseñado
– morir de éxito• cambia el perfil de vulnerabilidad
– ej. exposición a Internet
SGSI
8/17/2019 ISO Guide 73 Ppt.pdf
35/39
planificaciónplanificación
Plan
monitorizacióny evaluación
monitorización
y evaluación
Check
implementacióny operación
implementación
y operación
Do
mantenimientoy mejora
mantenimiento
y mejora
Act
SGSI
Sistema de Gestión de la Seguridad de la Información
Certificación y acreditación
8/17/2019 ISO Guide 73 Ppt.pdf
36/39
análisis
de riesgos
certificación
resultados deevaluación
registro
modelode valor
mapade riesgos
gestión
de riesgos
salvaguardas
acreditación
auditoríaevaluación
de seguridad
Certificación y acreditación
Riesgos del análisis de riesgos
8/17/2019 ISO Guide 73 Ppt.pdf
37/39
Riesgos del análisis de riesgos
1. Lo que se olvida
– recursos propios ignorados o subestimados
– recursos ajenos desconocidos o subestimados
– hay que tener más de una opinión
2. La auto-complacencia
– estamos suficientemente bien
– hay que controlar que seguimos tan bien como creemos – hay que revisar continuamente y adaptarse a las
circunstancias
3. La incomunicación
– la dirección no se entera – hay que saber transmitir información que informe
Referencias
8/17/2019 ISO Guide 73 Ppt.pdf
38/39
Referencias
– Magerit v2 – MAP, 2005• Metodología de análisis y gestión de riesgos de los
sistemas de información
• http://www.csi.map.es/csi/pg5m20.htm• Código de buenas prácticas para la Gestión de la
Seguridad de la Información
– EAR – Entorno de Análisis de Riesgos
• PILAR – Herramienta de análisis y gestión – http://www.ar-tools.com/
• con soporte del CCN – https://www.ccn-cert.cni.es/
8/17/2019 ISO Guide 73 Ppt.pdf
39/39