Gestión de Riesgos Análisis y Tratamiento Magerit 2 PILAR José A. Mañas

(1)

“ Gestión de Riesgos

Análisis y Tratamiento

Magerit 2 | PILAR

”

José A. Mañas

Dep. de Ingeniería de Sistemas Informáticos Universidad Politécnica de Madrid

(2)

dit-upm

Gestión de Riesgos

Análisis y Tratamiento

Magerit 2 | PILAR

José A. Mañas <http://www.dit.upm.es/~pepe/>

Dep. de Ingeniería de Sistemas Informáticos

Universidad Politécnica de Madrid

(3)

dit

Objetivos

1. Gestión de riesgos

Análisis

Tratamiento

2. MAGERIT

Metodología de Análisis y Gestión de Riesgos

3. PILAR | EAR

Procedimiento Informático y Lógico para el Análisis de Riesgos Entorno de Análisis de Riesgos

Desarrollado con el Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI)

(4)

dit

Informática

Antes

la informática era cosa de unos pocos profesionales los sistemas eran complejos y muy suyos

la seguridad no era un problema

La red

lo cambia todo

no hay equipos aislados

(5)

dit

Generaciones de sistemas

G.1 G.2 G.3

tecnología host cliente / servidor en red

sistema manejable complejo incierto

objetivo técnico eficiencia eficacia del sistema eficacia para los usuarios

calidad funciona predecible controlable

objetivo de negocio manejar volumen organizar mejorar la productividad

información herramienta estrategia recurso

(6)

dit

Métodos de aseguramiento

Primera Generación (198x)

checklists (auditoría del estado de seguridad de un S.I.)

Segunda Generación (199x)

métodos específicos (análisis de riesgos, coste-beneficio)

Tercera Generación (200x)

modelos de seguridad conectados a otros métodos (desarrollo …) nuevas técnicas (gestión, comunicaciones, ...)

(7)

dit

Objetivos de la seguridad

Mantener la disponibilidad de los datos almacenados, así como

su disposición a ser compartidos

contra la interrupción del servicio

Mantener la integridad de los datos ...

contra las manipulaciones

Mantener la confidencialidad de los datos almacenados,

procesados y transmitidos

contra las filtraciones

Asegurar la identidad de origen y destino

(8)

dit

Asegurar todos los niveles

El personal

Los documentos

Los procesos

Las comunicaciones

Las aplicaciones

El sistema operativo

El hardware

(9)

dit

Madurez

tratamiento informal: buenas prácticas

bien definida: normas, procesos y prácticas

mejora continua

control cuantitativo: métricas

planificado y gestionado

tiempo

seguridad

(10)

dit

Common Criteria - ISO 15408

abusan de y/o pueden dañar

dan pie a incrementan

sobre sobre valoran desean minimizar para reducir que pueden tener reducidas por conscientes de explotan llevan a

atacantes

propietarios

salvaguardas

vulnerabilidades

amenazas

activos

riesgo

imponen

(11)

dit

Definiciones

Seguridad de las redes y de la información:

la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles

Riesgo:

estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización

(12)

dit

Gestión del riesgo

Análisis de riesgos

proceso sistemático para estimar la magnitud de los riesgos a que

está expuesta una organización

Evaluación de los riesgos

proceso en el que se coteja el riesgo estimado contra los criterios

de la organización para determinar la importancia del riesgo

Tratamiento de riesgos

selección e implantación de salvaguardas para conocer, prevenir,

impedir, reducir o controlar los riesgos identificados

(13)

dit

Magerit : análisis

activos activos amenazas amenazas frecuencia frecuencia impacto impacto valor valor riesgo riesgo Interesan por su degradación están expuestos a degradación causan una cierta

(14)

dit

Magerit : tratamiento

activos activos amenazas amenazas frecuencia residual frecuencia residual impacto residual impacto residual valor valor riesgo residual riesgo residual Interesan por su degradación residual están expuestos a degradación residual

causan una cierta

con una cierta

tipo de activo dimensión amenaza nivel de riesgo salvaguardas salvaguardas

(15)

dit

3. gestión de riesgos

1. planificación del proyecto de análisis y gestión de riesgos

2. análisis de riesgos

.1 oportunidad

.1 oportunidad .2 alcance_{.2 alcance} .3 planificación_{.3 planificación} .4 lanzamiento_{.4 lanzamiento}

.1 activos

.1 activos .2 amenazas_{.2 amenazas} .3 salvaguardas_{.3 salvaguardas} .4 estado de riesgo_{.4 estado de riesgo}

.1 toma de decisiones

.1 toma de decisiones .2 plan de seguridad_{.2 plan de seguridad} .3 ejecución del plan_{.3 ejecución del plan}

Magerit v2

El problema es la complejidad

demasiados activos, amenazas, contra medidas, ...

(16)

dit

Activos

Magerit

son los recursos del sistema de información, o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección

GMITS: ISO/IEC 13335-1 (2004)

(17)

dit

¿Qué cosas son activos?

Sin duda alguna

Información (datos funcionales) Las aplicaciones (sw) Los equipos (hw) Las comunicaciones Los locales Puede Vd. opinar Intangibles Servicios

a usuario final (ext) internos (int) contratados (cont) Las personas usuarios operadores administradores desarrolladores

(18)

dit

Unos activos dependen de otros

servicios

información (datos)

aplicaciones

software de base

equipamiento (hw)

personal

locales

(19)

dit

Dependencia

Un servicio deja de estar disponible [D]

¿por qué? si ocurre que ... a ...

Un dato puede ser manipulado [I]

¿cómo? por medio de ... ¿dónde? estando en ...

Un dato puede ser revelado [C]

¿cómo? por medio de ... ¿dónde? estando en ...

(20)

dit

Valoración

Coste que supondría la ocurrencia de una amenaza

valor de reposición valor de reconstrucción horas perdidas de trabajo lucro cesante

daños y perjuicios

No sólo importa lo que cuesta;

importa [más] para qué vale

Para un estudio comparativo basta alguna escala sencilla:

0, 1, 2, ..., 10

es más importante saber el valor relativo que el absoluto

(21)

dit

Dimensiones de valoración

D disponibilidad

¿Qué importancia tendría que el activo no estuviera disponible?

I integridad

¿Qué importancia tendría que el activo fuera modificado fuera de control?

C confidencialidad

¿Qué importancia tendría que el activo fuera conocido por personas no autorizadas?

A autenticidad

¿Qué importancia tendría que quien accede al activo no sea realmente quien se cree?

T trazabilidad (accountability)

(22)

dit

¿Qué activos valoramos?

Los datos (información)

sin duda

Los servicios finales

probablemente SÍ:

es lo que entiende la Dirección

Los demás activos

probablemente NO:

sólo tienen valor en función de los datos que manejan y los servicios que habilitan

(23)

dit

Valoración cualitativa

Criterios homogéneos que permitan

relativizar entre dimensiones compartir / combinar análisis realizados por separado

uniformidad de conocimiento 9 7 6 4 1 8 alto 5 medio 3 2 bajo despreciable 0 10 muy alto

(24)

dit

Aspectos de valoración

seguridad de las personas

información de carácter personal

obligaciones derivadas de la ley, del marco regulatorio, de

contratos, etc.

capacidad para la persecución de delitos

intereses comerciales y económicos

pérdidas financieras

interrupción del servicio

orden público

política corporativa

(25)

dit

Valoración cuantitativa (euros)

B1 = beneficios_1 – gastos_1

si no ocurre nada

B2 = beneficios_2 – gastos_2

si se materializa la amenaza

IMPACTO = B1 – B2

(beneficios_1 – beneficios_2) + (gastos_2 – gastos_1)

euros

0.0 b1

g1

b2

g2

(26)

dit

Otras calificaciones

Carácter personal Alto Medio Bajo-Medio Bajo Clasificación de seguridad Secreto Confidencial Reservado Difusión limitada Sin clasificar

Puede haber normativa específica • legal

• sectorial • contractual

• estratégica de la organización Puede haber normativa específica

• legal

• sectorial • contractual

(27)

dit

Amenazas

Son los eventos que pueden desencadenar un incidente en la

organización, produciendo daños materiales o pérdidas

inmateriales

accidentales

deliberadas (intencionales)

naturales

terremotos, inundaciones, rayos, ...

industriales

electricidad, emanaciones, ...

humanas: errores y omisiones

intercepción pasiva o activa intrusión, espionaje, ...

(28)

dit

Cuantificación de las amenazas

Se trata de estimar la vulnerabilidad de los activos

frente a las amenazas

Las amenazas se cuantifican por su efecto sobre los activos

afectados

frecuencia de ocurrencia

¿cuántas veces por año?

ARO = annual rate of occurrence

degradación

daño causado

(29)

dit

Impacto

Consecuencia que sobre un activo tiene la materialización de una

amenaza

pérdida posible

activo A

activo B

amenaza Z

activo A

activo B

amenaza Z

acumulado

repercutido

(30)

dit

Riesgo

Estimación del grado de exposición a que una amenaza se

materialice sobre uno o más activos causando daños o perjuicios

a la organización

pérdida probable

Valoración

cualitativa / subjetiva

irrelevante … grave … intolerable

cuantitativa / económica

coste dinerario

Métodos

cualitativos: tabulares

(31)

dit

Estimación tabular

[10] alto muy alto muy alto muy alto muy alto

[7] medio alto alto alto alto

[5] bajo bajo medio medio medio

[3] bajo bajo bajo medio medio

[1] muy bajo muy bajo muy bajo muy bajo bajo muy

baja baja media alta

muy alta

impacto

(32)

dit

Riesgo

Consecuencia que sobre un activo tiene la materialización de una

amenaza modulada por la frecuencia o vulnerabilidad

pérdida probable

activo A

activo B

amenaza Z

activo A

activo B

amenaza Z

acumulado

repercutido

(33)

dit

Salvaguardas

MAGERIT

procedimiento o mecanismo tecnológico que reduce el riesgo. sinónimos: contra medidas, controles

ISO

safeguard: a practice, procedure or mechanism that reduces risk baseline controls: a minimum set of safeguards established for a

system of organization

(34)

dit

Tratamiento del riesgo

1. Si se puede, se evita

2. Si no, hay que plantear una estrategia

1. hay que tener medidas preventivas

2. hay que tener un plan de emergencia

3. hay que tener un plan de recuperación

• Ninguna estrategia es completa

• Sólo la combinación equilibrada puede llevar a una seguridad aceptable

• Ninguna estrategia es completa

(35)

dit

Aspectos

¿Cómo se enfoca la respuesta al riesgo?

[PR] Procedimientos

[PER] Política de personal

Soluciones técnicas

[SW] Programas (soluciones software)

[COM] Securización de las comunicaciones [HW] Equipamiento (soluciones hardware)

[PHY] Seguridad física

SIEMPRE

siempre

frecuentemente

casi siempre

• Ningún aspecto es completo

(36)

dit

¿Cómo seleccionar salvaguardas?

Expertos

sistemas expertos

Catálogos de salvaguardas

checklists libros leyes reglamentos normativa sectorial ...

(37)

dit

Listas de salvaguardas

Magerit

Criterios de Seguridad, Normalización y Conservación

Information Technology Baseline Protection Manual

GMITS: ISO/IEC 13335

Guidelines for the management of IT security

UNE & ISO/IEC 17799

Code of Practice for Information Security Management

Common criteria: ISO/IEC 15408

Recommended Security Controls for Federal Information

Systems

http://csrc.nist.gov/publications/drafts/draft-SP800-53.pdf

PILAR

(38)

dit

Efectividad de las salvaguardas

Tiene que

ser adecuada al peligro que conjura

estar instalada

estar mantenida, actualizada estar monitorizada

el personal instruido: usuarios, operadores y administradores existir procedimientos

De lo contrario

no vale de nada

(39)

dit

Incumplimientos

Relación de aquellas salvaguardas que

deberían estar ...

desplegadas, mantenidas, monitorizadas

deberían adecuarse al peligro

Que es lo que recomienda el catálogo

(40)

dit

Impacto y riesgo residuales

Impacto

consecuencia que sobre un activo tiene la materialización de una amenaza

Riesgo

lo que probablemente ocurra (el impacto anualizado)

Impacto y riesgo residuales

(41)

dit

3. gestión de riesgos

1. planificación del proyecto de análisis y gestión de riesgos

2. análisis de riesgos

.1 oportunidad

.1 oportunidad .2 alcance_{.2 alcance} .3 planificación_{.3 planificación} .4 lanzamiento_{.4 lanzamiento}

.1 activos

.1 activos .2 amenazas_{.2 amenazas} .3 salvaguardas_{.3 salvaguardas} .4 estado de riesgo_{.4 estado de riesgo}

.1 toma de decisiones

.1 toma de decisiones .2 plan de seguridad_{.2 plan de seguridad} .3 ejecución del plan_{.3 ejecución del plan}

(42)

dit

Valoración técnica

→ de servicio

Teniendo en cuenta:

la gravedad del impacto y/o del riesgo

obligaciones por ley, reglamentos sectoriales o contratos intangibles:

imagen pública de cara a la Sociedad política interna

relaciones con los proveedores relaciones con los usuarios

relaciones con otras organizaciones nuevas oportunidades

acceso a sellos o calificaciones reconocidas de seguridad ...

(43)

dit

T3.1 : Calificación de los riesgos

1. es crítico

en el sentido de que requiere atención urgente

2. es grave

en el sentido de que requiere

atención

3. es apreciable

en el sentido de que pueda ser objeto de estudio para su

tratamiento

4. es asumible

(44)

dit

Plan de seguridad

Si el impacto residual no es aceptable ...

Si el riesgo residual no es aceptable ...

Si las salvaguardas debidas no tienen una efectividad aceptable

...

... hay que hacer un plan para corregir la situación

desplegando nuevas salvaguardas

(45)

dit

planificación planificación

Plan

monitorización y evaluación monitorización y evaluación

Check

implementación y operación implementación y operación

Do

mantenimiento y mejora mantenimiento y mejora

Act

Una actividad continua

Sistema de Gestión de la Seguridad de la Información

(46)

dit

Interés de un análisis del riesgo

Conciencia a [los miembros de] la organización

a la dirección y a los empleados

Identifica activos, amenazas y controles

modelo de valor de la organización mapa de riesgos

estado de riesgo

Base razonada para tomar decisiones

juicio sobre la eficacia de los controles, actuales y futuros

(47)

dit

¿Cuándo?

El análisis de riesgo muestra su máxima eficacia cuando se

realiza antes del despliegue de un sistema

y las salvaguardas se incorporan al diseño de la solución

Es necesario cuando

un sistema se hace cargo de nuevas o más importantes misiones que aquellas para las que fue diseñado