Resiliencia Operacional Basado en el Modelo CERT-RMM · Resiliencia Operacional Basado en el Modelo...

Resiliencia Operacional Basado en el Modelo CERT-RMM

Ing. Yezid E. Donoso Meisel, Ph.D.Profesor Asociado Dpto. Ingeniería de Sistemas y Computación

Coordinador Especialización en Seguridad de la Información

Senior Member IEEEDVP (Distinguished Visitor Professor) IEEE

Information Security Certified – SEI – Carnegie Mellon University – USACERT-RMM – SEI - Carnegie Mellon University – USA

Certified Functional Continuity Professional (CFCP)– DRIIBusiness Continuity Auditor/Auditor Leader Certified – BSI

EC-Council Certified Security Analyst

e-mail : [email protected]

http://sistemas.uniandes.edu.co/~ydonoso

mailto:[email protected]


ContenidoIntroducción al riesgo operacional, resiliencia y gestión de la resiliencia

Retos Organizacionales y Operacionales

Fundamentos de Riesgos y Resiliencia

. Gestión de la Resiliencia

Análisis de alto nivel CERT-RMM Resilience Management Model

Análisis de alto nivel CERT-RMM Resilience Management Model

Institucionalización del Proceso

Sistema de Gestión de la Resiliencia

Análisis GAP

CERT-RMM-IMC Incident Management and Control

CERT-RMM-SC Service Continuity

CERT RMM-TM Technology Management

¿Cómo iniciar el Proceso para el CERT-RMM?


Cada minuto la resiliencia operacional de la organización se

encuentra en condiciones de estrés.

El estrés puede venir de:

Uso intenso de tecnología





Complejidad operacional







Movimiento hacia activos intangibles








Presión de la economía global









Fronteras abiertas









Fronteras abiertas

Presión Geo-Política









Fronteras abiertas

Presión Geo-Política

Limitaciones regulatorias y legales


a collaborative

odyssey


..\..\Video Tecnologias Redes\CoolTown video.mpeg

IT Governance

ResourceManagement



https://www.drii.org/index.php


Fundamentos de RiesgosCertezas Organizacionales

El ambiente de riesgos no es contratado – número de riesgos y complejidad

incrementará

La organización debe mejorar para sobrevivir en condiciones de incertidumbre

El conocimiento y conciencia de las características e impactos de los riesgos

tiene que ser intensiva en toda la organización

Herramientas, técnicas y metodologías tradicionales pueden no trabajar en

forma adecuada en estos ambientes

La estructura organizacional existente puede no ser suficientemente ágil para

adaptarse.

Riesgo???

Es la posibilidad de sufrir daños o pérdidas.

Peligro; una fuente de peligro; una posibilidad de incurrir en pérdida o

desgracia. [wordnet.princeton.edu].

Consiste de:

Un evento o condición

Una consecuencia o impacto

Incertidumbre

Fundamentos de Riesgos

[SEI – CMU]

Riesgo Operacional: Una forma de amenaza de riesgo que afecta las operaciones

del día a día del Negocio.

La falla potencial para lograr cumplir los objetivos de la misión.


[SEI – CMU]

Enterprise Risk Management (ERM)

Es una actividad que mira a través de todas las actividades de

riesgos en la organización y considera todos los tipos de riesgos.


ERM vs ORM (Operational Risk Management)

ORM es un subconjunto significativo de ERM.

ORM direcciona los riesgos generados por los procesos críticos en su

día a día y que pueden afectar el cumplimiento de los objetivos de la

misión de la organización.


Resiliencia

The physical property of a material when it can return to its original shape or

position after deformation that does not exceed its elastic limit

[wordnet.princeton.edu].

The emergent property of an organization that can continue to carry out

its mission after disruption that does not exceed its operational limit

[CERT-RMM].

¿ De dónde vienen las interrupciones? Riesgos llevados a cabo


¿Qué hace que un Servicio sea operacionalmente resistente?

Identificación y Mitigación de los riesgos del servicio y de sus activos relacionados.

Procesos y planeación de continuidad del servicio.

Gestión de las prácticas para las operaciones en TI.

Gestión de las personas.

Prácticas de protección (control) y seguridad de la información y activos tecnológicos

importantes para la organización.

Gestión de las partes externas (que provee parte de los servicios)

Gestión ambiental (en donde los servicios residen)


Gestión de la Resiliencia

Convergencia

Es un concepto fundamental en el manejo de la resiliencia operacional

Se refiere a la armonía de las actividades para la gestión del riesgo operacional que

tienen objetivos y resultados similares

Actividades de Gestión del Riesgo Operacional incluyen:

Planeación y Gestión de la Seguridad

Continuidad del Negocio (BCMS) y Recuperación ante desastres (DRP)

Gestión de la operación y entrega de servicios en TI

Otras actividades de soporte pueden ser involucradas: comunicaciones, gestión

financiera, entre otras.

Resiliencia Operacional y Convergencia


[SEI – CMU]

Importancia de la Convergencia

Elimina actividades redundantes (y costos asociados)

Obliga a la colaboración entre actividades que tienen objetivos similares

Enfoque hacia la misión

Facilita en los procesos que son propiedad de toda la organización


Enemigos de la Convergencia

?


Elementos de la Resiliencia

Servicios

Número limitado de actividades que la organización ejecuta para entregar un

servicio o para producir un producto.

La misión del servicio debe habilitar la misión de la organización



Procesos del negocio

Las actividades que la organización (y sus proveedores) ejecutan para asegurar

que los servicios cumplen la misión

Transversal a la organización

Un Servicio se compone de uno o más procesos del negocio

La misión de un proceso debe habilitar la misión del servicio



Activos

Algo de valor para la organización

Confidencialidad Integridad Disponibilidad


[SEI – CMU]

Colocando los Activos en el Contexto


[SEI – CMU]

Relaciones entre los Elementos


[SEI – CMU]

Abstracción hacia un enfoque de la misión


[SEI – CMU]

Impacto de la Interrupción de un Activo en la misión del Servicio

La falla de uno o más activos tiene un impacto en cascada en la misión => Procesos

del Negocio => Servicios => Organización


[SEI – CMU]

La Resiliencia Operacional inicia en el nivel de los Activos

Para asegurar la resiliencia operacional en el nivel de servicios, relacionado con los

activos estos tienen que ser:

Protegidos de la amenazas y riesgos que los pudieran afectar

Hacerlos sostenibles bajo condiciones adversas


[SEI – CMU]

Gestión de Riesgos vs Gestión de Continuidad de Negocios

Alto

Impacto

Bajo

Impacto

Alta

Probabilidad

Probabilidad

Conocida

Baja

Probabilidad

Probabilidad

Desconocida

Dominio Gestión

De Continuidad

de NegociosDominio Gestión

de Riesgos


CERT-RMM – Resilience Management Model


[SEI – CMU]

Estrategias de Protección

Se traducen en actividades destinadas a mantener los activos desde la exposición a

las amenazas a las interrupciones.

Instanciadas a través de procesos, procedimientos, políticas y controles.


[SEI – CMU]

Estrategias de Sostenimiento

Se traducen en actividades destinadas a mantener los activos en forma productiva

durante la adversidad.

Instanciadas a través de procesos, procedimientos, políticas y controles.


[SEI – CMU]

Protección, Sostenimiento y Riesgo

CERT – RMM – Carnegie Mellon University


[CERT-RMM SEI – CMU]

Gestión de la Resiliencia en el Ciclo de Vida de un Activo




Áreas




Análisis de alto nivel CERT-RMM

Resilience Management Model







Representación por estados = Maturity Level (NO CERT-RMM)

Representación Continua = Nivel de Capacidad por área de procesos (únicamente

en CERT-RMM)


Aplica para cada área de proceso para mejorar

el proceso asociado de cada área.

Cada nivel excepto el Nivel 0 consiste de un

Objetivo genérico y las Prácticas Genéricas

relacionadas


Nivel 0

Indica que uno o más de las metas específicas

del área de proceso no es satisfecha


Nivel 1

Satisface las metas específicas del área de

proceso.


Nivel 2

La disciplina del proceso asegura que las

prácticas actuales se mantienen en tiempos de

estrés.


Nivel 3

La gestión de procesos es proactivo, no

reactivo


Sistema de Gestión de la Resiliencia

Modelo IDEAL

Análisis GAP


CERT-RMM IMC

CERT-RMM IMC


CERT-RMM IMC


CERT-RMM IMC

Productos Típicos:• Plan de gestión de incidentes

• Solicitudes documentadas de los compromisos del plan

• Compromisos documentados del plan

CERT-RMM IMC

Productos Típicos:• Descripción del trabajo para los roles y responsabilidades en el plan

• Listado del personal disponible y calificado

• Listado de las brechas de habilidades y brecha en la disponibilidad del personal

• Planes de mitigación para direccionar las habilidades y la brecha en el personal

• Actualización del plan de gestión de incidentes (con la asignación de personal)

CERT-RMM IMC

Productos Típicos:• Fuentes de detección y reporte de eventos

• Descripción de los roles y responsabilidades de la detección y reporte de eventos

• Procedimientos para la detección y reporte de eventos

• Reportes de eventos

CERT-RMM IMC

Productos Típicos:• Registrar los reportes de eventos

• Base de datos de conocimiento de la gestión de incidentes

• Estado de los reportes de los eventos e incidentes

CERT-RMM IMC

Productos Típicos:• Normas, leyes, regulaciones y políticas relevantes con respecto a manejo forense de incidentes

• Documentación y guías/directrices de manejo de las evidencias de los eventos/incidentes

CERT-RMM IMC

Productos Típicos:• Reporte de eventos actualizados (categorizados y priorizados)

• Base de datos de conocimiento de incidentes actualizada

• Reporte del estado de los eventos abiertos

CERT-RMM IMC

Productos Típicos:• Criterio de declaración de un incidente

CERT-RMM IMC

Productos Típicos:• Reporte con el análisis de incidentes

• Reporte a través de técnicas y herramientas de análisis

• Bases de datos de conocimiento de incidentes actualizada

CERT-RMM IMC

Productos Típicos:• Procedimiento de escalamiento de incidentes

• Criterio de escalamiento

CERT-RMM IMC

Productos Típicos:• Estrategias y plan de respuesta ante incidentes

• Plan de continuidad del servicio

• Plan de restauración


CERT-RMM IMC

Productos Típicos:• Lista de stakeholders, protocolos de comunicación y canales ante incidentes

• Plan de comunicación ante incidentes

• Reporte del estado del incidente (desde la base de datos de conocimientos de incidentes)

CERT-RMM IMC

Productos Típicos:• Criterio para cerrar el incidente


CERT-RMM IMC

Productos Típicos:• Criterio para cerrar el incidente

• Reporte con el análisis Post-Incidente

• Recomendaciones para mejorar los controles

• Recomendaciones para mejorar el proceso de gestión de incidentes


CERT-RMM IMC

Productos Típicos:• Reporte de problemas

CERT-RMM IMC

Productos Típicos:• Estrategia de controles

• Planes de continuidad del servicio

• Políticas de Resiliencia

• Requerimientos y necesidades de entrenamiento

• Lista de mejoras para el proceso de gestión de incidentes

• Requerimientos de resiliencia de los servicios y los activos


CERT-RMM IMC

CERT-RMM IMC

CERT-RMM IMC

CERT-RMM IMC

CERT-RMM SC

Propósito

El propósito de Service Continuity es asegurar la

continuidad de las operaciones esenciales del servicio

y de los activos relacionados en caso de que una

interrupción ocurra como resultado de un incidente,

desastre u otro evento.

Objetivo

Continuidad del Servicio describe los procesos

organizacionales responsables por los planes de

desarrollo, implantación, ejercicio, puesta en marcha y

gestión para responder y recuperarse de los eventos

y restaurar las operaciones del negocio como es

usual.

CERT-RMM SC


Objetivos - SC

Comparación RMM vs BS-25999











CERT-RMM TM

Propósito

El propósito de Technology Management es establecer

y mantener un nivel apropiado de controles

relacionados con la integridad y la disponibilidad del

activo de tecnología para soportar la resiliencia en las

operaciones de los servicios de la organización.

CERT-RMM TM


CERT-RMM TM

CERT-RMM TM

Comparación RMM-TM vs ISO-27001

¿Cómo iniciar el Proceso para el

CERT-RMM?

Determinar si la organización presenta síntomas de presentar barreras

organizacionales.

Iniciar la discusión acerca del mejoramiento de procesos en la organización.

Buscar la experiencia de aplicación exitosa de otras técnicas de mejoramiento

de procesos

Buscar oportunidades para la interacción y planeación con otros recursos de

Seguridad y BC/DR

Realizar pasos simples:

• Inventario de Activos (en las 4 categorías)

• Identificar los Servicios críticos para la organización (Posiblemente BIA)

• Identificar los Riesgos (RA)

• Determinar como la organización planea los esfuerzos para la seguridad

y la continuidad del negocio.

• Identificar área para el mejoramiento

Resiliencia Operacional Basado en el Modelo CERT-RMM

Ing. Yezid E. Donoso Meisel, Ph.D.Profesor Asociado Dpto. Ingeniería de Sistemas y Computación

Coordinador Especialización en Seguridad de la Información

Senior Member IEEEDVP (Distinguished Visitor Professor) IEEE

Information Security Certified – SEI – Carnegie Mellon University – USACERT-RMM – SEI - Carnegie Mellon University – USA

Certified Functional Continuity Professional (CFCP)– DRIIBusiness Continuity Auditor/Auditor Leader Certified – BSI

EC-Council Certified Security Analyst

e-mail : [email protected]


mailto:[email protected]


Date post:	04-Jun-2018
Category:	Documents
Upload:	vudan
View:	234 times
Download:	1 times

Resiliencia Operacional Basado en el Modelo CERT-RMM · Resiliencia Operacional Basado en el Modelo...

Documents