Protección de Infraestructuras Críticas - Un impulso a la convergencia de la seguridad -Junio 2010
Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas
37
Análisis y Gestión de Riesgos en tiempo real. Gestión del Riesgo con GlobalSGPIC® Alejandro Delgado, Director de Operaciones
description
En esta presentación veremos cómo implementar el proceso de análisis y gestión de riesgos en el contexto de las infraestructuras críticas. Además, veremos cómo poder realizar el análisis de riesgos dinámicos en base a los incidentes que se producen en el día a día.
Transcript of Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas
Análisis y Gestión de Riesgos en tiempo real. Gestión del
Riesgo con GlobalSGPIC®
Alejandro Delgado, Director de Operaciones
Audisec: quiénes somos
AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en
el tratamiento de su activo más importante, sus datos, su información.
Experiencia en Consultoría, Implantación y auditoría de:
• Sistemas de Gestión de Seguridad de la Información (SGSI) ISO 27001
(LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
•Sistemas de Gestión de Servicios TI ISO 20000
(MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
•Planes de continuidad de Negocio ISO 22301
•Sistemas de gestión para Protección de Infraestructuras Críticas
•Calidad de Software, CMMI, SPICE
•Sistemas de protección de datos de carácter personal (LOPD)
•Esquema Nacional de Seguridad (ENS)
Desarrollo de proyectos de I + D + i
Desarrollo de productos para esos servicios: GlobalSUITE
Audisec: quiénes somos
Primera empresa en España en obtener:
•La certificación ISO 27001 -> seguridad.
•La certificación ISO 20000 -> gestión eficaz y eficiente servicios.
•La certificación ISO 22301 -> continuidad y disponibilidad.
Señal de garantía a nuestros clientes.
Introducción: LPIC y los análisis de riesgos
INTRODUCCIÓN
EL ANÁLISIS DE RIESGOS DE LOS PSO Y PPE
Introducción: LPIC y los análisis de riesgos
LPIC exige realizar un análisis de riesgos. ¿Con qué objetivo?
Garantizar la continuidad de los servicios prestados por el operador crítico.
¿Qué tipo de análisis de riesgos?, en el PSO leemos:
Metodología reconocida internacionalmente
Que valore impactos
Métricas para medición de riesgos residuales, aceptables, etc.
Análisis de riesgos a distintos niveles:
Corporación
Servicios Infraestructura crítica
Activos: servicios, instalaciones, personas, SSII, redes, etc.
Amenazas físicas y lógicas.
Introducción: LPIC y los análisis de riesgos
Introducción: LPIC y los análisis de riesgos
• ¿A quien le cae y cómo tiene que hacerlo?
• ¿Cuánto se tarda?
• ¿Sirve para algo?
Análisis de riesgos
EL ANÁLISIS DE RIESGOS
Análisis de riesgos. Problemática
¿Quién debe encargarse?
No es trabajo de una persona -> todas las áreas de la
organización deben implicarse.
Según el tipo de organización:
Dpto. Riesgo Dpto. control interno
Dpto. auditoría.
Dpto. legal. Dpto. prevención de riesgos.
Etc…
¿Sistemas de información????
Análisis de riesgos. Problemática
Departamento de Riesgo Corporativo (ERM) -> ¿cómo hacerlo?
Deben identificar TODAS las amenazas físicas y lógicas de la
organización.
Pero antes deben hacerse muchas otras cosas más…….
Análisis de riesgos. Problemática. ISO 31000
Análisis de riesgos. Problemática
NO es trabajo de un único departamento, aunque sea uno quien lo
lidere.
Producción
ERM Sistemas de Información
Logística
Legal
Financiero
Continuidad de Negocio
Dirección
Análisis de riesgos. Problemática
Definir el contexto permite identificar fuentes de riesgo que suelen
pasarse por alto
13
Organización
Sociedad
Cultura
Religión
Política
Leyes y normas
Economía
Partes
interesadas
Naturaleza
Etc.
Objetivos y Estrategia
Recursos y
Conocimiento
Sistemas de
Información
Cultura y Valores Contratos
Rendir
Cuentas
Análisis de riesgos. Problemática
Proceso 1
ERM
Proceso 2
Proceso 1
Proceso 2
ERM
ERM ERM ERM
I Integración en los procesos de la organización
NO SI
Análisis de riesgos. Problemática
Debe ser un proceso vivo -> una vez al año SI hace daño.
Un mapa de riesgos estático, hecho cada cierto tiempo, no sirve
para nada en el entorno de infraestructuras críticas.
Detectar riesgos en tiempo real nos hará ser proactivos.
Análisis de riesgos. Problemática
¿Quién hace vigilancia constante de sus riesgos?
Un coche analiza las condiciones de la carretera, el contexto,
el tipo de frenada, el tipo de impacto, etc… y con esos datos
da una respuesta inmediata para evitar que la amenaza
cause un impacto, o al menos que se minimice.
Un banco analiza de forma constante cientos de parámetros
financieros para saber a qué riesgos financieros se expone con
cada operación.
Una persona cuando sale a la calle analiza en ese mismo
instante los riesgos de tomar un camino u otro y en base a esa
información toma una decisión inmediata sobre por dónde ir.
Análisis de riesgos. Problemática
¿Quién hace vigilancia constante de sus riesgos?
o Cada día se crean 150.000 amenazas nuevas en la red.
o El 52% de esas amenazas solo vive 24 horas, pero puede
afectar a cualquier organización y causar daños devastadores.
o La NSA cifró en 750.000 millones de euros los costes de
incidentes de los ataques informáticos que EEUU sufrió durante 2012.
Análisis de riesgos. Problemática
¿Quién hace vigilancia constante de sus riesgos?
o Cada día se crean 150.000 amenazas nuevas en la red.
o El 52% de esas amenazas solo vive 24 horas, pero puede
afectar a cualquier organización y causar daños devastadores.
o La NSA cifró en 750.000 millones de euros los costes de
incidentes de los ataques informáticos que EEUU sufrió durante 2012.
¿De qué sirve hacer gestión de riesgos
una vez al año?
Análisis de riesgos
LAS SOLUCIONES
Análisis de riesgos. Soluciones
¿Cuánto se tarda?, ¿cómo se puede implementar?
o Hay que identificar TODAS las amenazas que podrían
afectar a TODOS los activos.
o Hay que entrevistar a muchos departamentos.
o Hay que analizar datos y extraer conclusiones.
o Hay que planificar acciones para gestionar los riesgos y
medir su coste-beneficio.
o Hay que establecer mecanismos para poder medir riesgos
estáticos (modelo tradicional) y dinámicos (tiempo real).
Análisis de riesgos. Soluciones
¿Cuánto se tarda?, ¿cómo se puede implementar?
o Hay que identificar TODAS las amenazas que podrían
afectar a TODOS los activos.
o Hay que entrevistar a muchos departamentos.
o Hay que analizar datos y extraer conclusiones.
o Hay que planificar acciones para gestionar los riesgos y
medir su coste-beneficio.
o Hay que establecer mecanismos para poder medir riesgos
estáticos (modelo tradicional) y dinámicos (tiempo real).
Y todo esto, con el mínimo de recursos y
los mejores resultados
Herramientas GlobalSuite
SGPIC: Sistemas de gestión para la protección de
las infraestructuras críticas
Índice del PSO
Cumplimiento de todos
los requisitos
técnicos por parte de
GlobalSGPIC.
Introducción a GlobalSGPIC
GlobalSuite es la herramienta gracias a la cual podrá implantar y mantener cualquier Sistema de
Gestión basado en las normas ISO 27001, ISO 20000, ISO 22301, Esquema Nacional de Seguridad
(ENS), Ley de Protección de Datos (LOPD), y también con los requisitos para ayudar a la
implantación y mantenimiento de SGPICs (Sistemas de Gestión para la Protección de
Infraestructuras Críticas).
GlobalSuite permite implantar y gestionar sistemas de gestión ya sea de manera individual así
como ampliarlos a otros sistemas de manera integrada. Cumple también con el ciclo de gestión
PDCA de otros estándares como ISO 9001, ISO 14001, etc. permitiendo su llevanza de manera
integrada con los anteriores o bien de manera separada.
GlobalSGPIC : : Modelado de Árbol de Activos
GlobalSGPIC.:. Análisis .:. Gestión de Riesgos
GlobalSuite identifica amenazas y vulnerabilidades para todos los activos de la
organización
GlobalSGPIC . : : . BIA :: Impacto interrupción Servicios
BIAs y Riesgos
Encuestas y consolidación de Riesgos y BIAs
GlobalSGPIC . : : . Encuestas a los departamentos
BIAs y Riesgos
CONSOLIDADOS
BIAs, encuestas y consolidación de BIAs
GlobalSGPIC . : : . Encuestas a los departamentos
BIAs y Riesgos
BIAs y Riesgos
BIAs y Riesgos
BIAs y Riesgos
Riesgos legales, operacionales, financieros, de seguridad, etc. y a
diferentes niveles: servicio, proceso, activos, infraestructuras, etc.
Análisis coste-beneficio de los planes de tratamiento
GlobalSGPIC . : : . Mapas de riesgos
Gestión de incidentes asociados al mapa de riesgos en el momento
de ocurrencia del incidente
GlobalSGPIC . : : . Mapas de riesgos
GlobalSGPIC . : : . Plan de Gestión de Incidentes
GlobalSGPIC . : : . Plan de Continuidad
GlobalSGPIC . : : . Activación del Plan de Continuidad
GlobalSGPIC . : : . Métricas para riesgos
Contenido del PSO y cumplimiento con GlobalSGPIC
Interconexiones con otros sistemas
Tan importante como la funcionalidad es la capacidad que una
herramienta pueda tener para “hablar” con sistemas ya existentes en
las organizaciones.
GlobalSGPIC puede comunicarse de manera automática con la mayoría de
sistemas de información. Ejemplos: controladores de dominio, sistemas de
ticketing, sistemas de gestión de incidencias, sistemas de monitorización
y autodescubrimiento de activos, gestores de proyectos, etc.
Más información
MADRID – BARCELONA – CIUDAD REAL –
BOGOTÁ – MÉXICO D.F. – BUENOS AIRES –
LIMA – SANTIAGO DE CHILE
Visítenos en nuestra web www.audisec.es
