Gestión de Riesgos con Magerit - crsi.ie.educrsi.ie.edu/files/documentacion/jmanas.pdf ·...

39
Gestión de Riesgos Gestión de Riesgos con Magerit con Magerit José A. Mañas Dep. de Ingeniería de Sistemas Informáticos Universidad Politécnica de Madrid <http://www.dit.upm.es/~pepe/>

Transcript of Gestión de Riesgos con Magerit - crsi.ie.educrsi.ie.edu/files/documentacion/jmanas.pdf ·...

Gestión de RiesgosGestión de Riesgoscon Mageritcon Magerit

José A. Mañas Dep. de Ingeniería de Sistemas Informáticos

Universidad Politécnica de Madrid<http://www.dit.upm.es/~pepe/>

Definiciones

• Gestión del riesgo– actividades coordinadas para dirigir y

controlar una organización con respecto al riesgo

• NOTA: normalmente la gestión del riesgo incluye la apreciación del riesgo, el tratamiento del riesgo, la aceptación del riesgo y la comunicación del riesgo

ISO/IEC Guía 73: 2002

Definiciones

• Riesgo– combinación de la probabilidad de un

suceso y su consecuencia1. el término riesgo normalmente se utiliza

únicamente cuando existe al menos la posibilidad de consecuencias negativas

2. en algunas situaciones, el riesgo proviene de la posibilidad de un desvío del resultado o del suceso previsto

ISO/IEC Guía 73: 2002

Informalidad

• Se dice que una actividad es “arriesgada” cuando puede salir mal o puede salir bien;es decir, cuando no hay certeza de qué va a ocurrir

• Se llama “riesgo” a la medida de lo que “probablemente ocurra”

Método de estimación

sucesosinciertos

descubrimiento

consecuencias

estimación

IMPACTO

RIESGO

probabilidad

×

indicadores

Indicadores

• Impacto– lo que puede suceder

• Riesgo– lo que probablemente ocurra

Subjetividad

• La identificación de sucesosy la estimación de consecuencias y probabilidades son subjetivasporque no pueden ser objetivas hasta que el suceso se materializa

• Ante sucesos materializados no analizamos riesgos:medimos daños

Subjetividad

• Necesitamos opiniones cualificadas / creíbles / de confianza

• Hay que poder razonar el por qué de las estimaciones realizadas

• Sería muy interesante disponer de estimaciones normalizadas;... un bonito sueño ...

Uso del análisis de riesgos

• Para tomar decisiones• El riesgo no es necesariamente malo

– el riesgo es compañero inseparable del beneficio

– el beneficio (estimado subjetivamente)hay que compararlo conel riesgo (estimado subjetivamente)para tomar decisiones informadas

Tratamiento

• El riesgo se trata– se evita– se mitiga– se transfiere– se acepta

• El riesgo no se reduce a 0.0el riesgo se trata hasta tener una relación beneficio / riesgo “óptima”que estamos dispuestos a aceptar

Tratamiento

punto de decisiónmonitorización continua

estudio coste / beneficio

estudio de los riesgos revisión periódica

• transferencia• mitigación del riesgo:

reducción de la exposiciónlimitación del impacto

se trata

se asume

se estudia mejor

Gestión de riesgos

Análisis de riesgos proceso sistemático para estimar la magnitud

de los riesgos a que está expuesta una organización

Evaluación de los riesgos proceso en el que se coteja el riesgo estimado

contra los criterios de la organización para determinar la importancia del riesgo

Tratamiento de riesgos selección e implantación de salvaguardas

para conocer, prevenir, impedir, reducir o controlar los riesgos identificados

Análisis

• Un buen análisis es la base– no se pueden tomar decisiones

sin conocimiento– no se pueden justificar decisiones

sin conocimiento– no se puede optimizar lo que se ignora

El análisis de riesgos no es simple

• Muchos activos– los sistemas son complejos

• Activos de muchos tipos– información, servicios, procesos, ...– equipamiento: aplicaciones, equipos, comunicaciones,

...– locales: recintos, edificios, áreas, ..., en el campo– personas: usuarios, operadores, desarrolladores, ...

• Muchas amenazas– y muchas formas de hilvanar las amenazas

• Muchísimas salvaguardas– gestión, técnicas, seguridad física, recursos humanos

... lleva tiempo... cuesta dinero

... no vale una vez y para siempre

Metodología de análisis de riesgos

La complejidad se ataca metódicamente– una metodología es una aproximación

sistemática• para cubrir la mayor parte de lo que puede ocurrir• para olvidar lo menos posible• para explicar a los gerentes qué se necesita de ellos• para explicar a los técnicos qué se espera de ellos• para explicar a los usuarios

– qué un uso decente del sistema– qué es una respuesta urgente– cómo se gestionan los incidentes

– una metodología necesita modelos• elementos: activos, amenazas, salvaguardas• métricas: impacto y riesgo

Magerit

Metodología de análisis y gestión de riesgos de los sistemas de información – Pública

• MAP : Ministerio para las Administraciones Públicas• version 1.0, 1997• version 2.0, 2005

– http://www.csi.map.es/csi/pg5m20.htm

– Recomendación para la administración pública española

Pasos de análisis

análisisRiesgos (SistemaInformación si) {Contexto contexto= establecerContexto (si);Set<Activo> activos= getModeloValor(si);Set<Amenaza> amenazas=

getMapaAmenazas(si, activos);Riesgo potencial= calcula(activos, amenazas);Set<Salvaguarda> salvaguardas=

necesidad(activos, amenazas);evaluaEstadoActual(salvaguardas);Riesgo residual=

calcula(activos, amenazas, salvaguardas);}

Pasos de análisis

Set<Activos> getModeloValor(SistemaInformación si) {do {

Set<Activo> activos= descubrimiento(si);relaciones(activos, si);valoración(activos, si);

} until (dirección.aprueba(activos));dirección.firma(informe(activos));return activos;

}

Valoración

– Coste que supondría la ocurrencia de una amenaza

• valor de reposición• valor de reconstrucción• horas perdidas de trabajo• lucro cesante• daños y perjuicios

– No sólo importa lo que cuesta; importa [más] para qué vale

Aspectos de valoración

– seguridad de las personas– información de carácter personal– obligaciones derivadas de la ley, del marco

regulatorio, de contratos, etc.– capacidad para la persecución de delitos– intereses comerciales y económicos– pérdidas financieras– interrupción del servicio– orden público– política corporativa– otros valores intangibles

Dimensiones de valoración

• disponibilidad– ¿Qué importancia tendría que el activo no estuviera

disponible?• integridad

– ¿Qué importancia tendría que el activo fuera modificado fuera de control?

• confidencialidad– ¿Qué importancia tendría que el activo fuera conocido por

personas no autorizadas?• autenticidad

– ¿Qué importancia tendría que quien accede al activo no sea realmente quien se cree?

• trazabilidad | imputabilidad (accountability) – ¿Qué importancia tendría que no quedara constancia del uso

del activo?

Valoración

– Cuantitativa• el desembolso económico que conllevaría• prácticamente siempre se hace en euros

– Cualitativa• hay cosas que no tienen precio• intangibles

– inhabilitación de una misión– perjuicio de imagen– perjuicio a las relaciones de la organización– ...

Valor cualitativo

– Criterios homogéneos que permitan• relativizar entre dimensiones• compartir / combinar análisis

realizados por separado• uniformidad de conocimiento

9

7

6

4

1

8 alto

5 medio

3

2 bajo

despreciable0

10 muy alto

valor criterio10 - muy alto daño muy grave

8 - alto daño grave repercute en otros5 - medio daño importante queda en casa2 - bajo daño menor

0 - despreciable daño irrelevante

Valor cuantitativo (euros)

• si no ocurre nada:– B1 = beneficios_1 – gastos_1

• si se materializa la amenaza:– B2 = beneficios_2 – gastos_2

• consecuencias del suceso:– VALOR = B1 – B2

(beneficios_1 – beneficios_2) + (gastos_2 – gastos_1)

euros0.0

b1g1b2g2

cual y cuan

• Se puede hacer un análisis cualitativo no cuantitativo– para tomar las decisiones “de bulto”

• No se debe hacer un análisis cuantitativo no cualitativo– porque no sólo es dinero

• Se debe hacer análisis cuantitativo y cualitativo– para tomar las decisiones “finas”

Herramientas

• Necesarias para– atajar la complejidad– mantener el análisis al día– analizar “what if ...”

• Convenientes para– capturar el sistema– aplicar un método sistemáticamente– comunicar el riesgo– explicar el por qué de las conclusiones

Análisis (potencial)

activosactivos

amenazasamenazas

probabilidadprobabilidad

impactoimpacto

valorvalor

riesgoriesgo

Interesan por su

degradación

están expuestos a

degradacióncausan una cierta

con una cierta

Análisis (residual)

activosactivos

amenazasamenazas

probabilidadresidual

probabilidadresidual

impactoresidual

impactoresidual

valorvalor

riesgoresidualriesgo

residual

Interesan por su

degradaciónresidual

están expuestos a

degradaciónresidual

causan una cierta

con una cierta

tipo de activodimensiónamenaza

nivel de riesgosalvaguardassalvaguardas

Soporte a la gestión

EARPILAR

programas de seguridad

activosamenazas

impacto y riesgo potenciales

evaluación de salvaguardas

progresosalvaguardas

plan de seguridad

costes & beneficiosimpacto y riesgo residuales

Soporte al alineamiento

• Los “de arriba” deben entender las consecuencias de los incidentes técnicos

• Los “de abajo” deben entender el valor de los componentes técnicos

• Todos deben saber– qué deben proteger– en qué medida

Informes de estado

Cumplimiento de perfiles

ISO/IEC - 17799 / 27001

Análisis de riesgos

• Las entradas:– ¿qué tenemos que proteger? NEGOCIO– ¿qué tenemos que proteger? RECURSOS– conócete a ti mismo

• La tarea:– ¿qué quiere la otra parte?– ¿cómo puede la otra parte conseguirlo?– conoce a tu adversario

• La conclusión:– somos vulnerables en tal medida

¿Cuándo?

– El análisis de riesgo muestra su máxima eficacia cuando se realiza antes del despliegue de un sistema

• y las salvaguardas se incorporan al diseño de la solución

– Es necesario cuando• un sistema se hace cargo de nuevas o más

importantes misiones que aquellas para las que fue diseñado

– morir de éxito• cambia el perfil de vulnerabilidad

– ej. exposición a Internet

planificaciónplanificaciónPlan

monitorizacióny evaluación

monitorizacióny evaluación

Check

implementacióny operación

implementacióny operación

Do

mantenimientoy mejora

mantenimientoy mejora

Act

SGSI

Sistema de Gestión de la Seguridad de la Información

análisisde riesgos

certificación

resultados deevaluación

registro

modelode valor

mapade riesgos

gestiónde riesgos salvaguardas

acreditación

auditoríaevaluación

de seguridad

Certificación y acreditación

Riesgos del análisis de riesgos

1. Lo que se olvida– recursos propios ignorados o subestimados– recursos ajenos desconocidos o subestimados– hay que tener más de una opinión

2. La auto-complacencia– estamos suficientemente bien– hay que controlar que seguimos tan bien como creemos– hay que revisar continuamente y adaptarse a las

circunstancias3. La incomunicación

– la dirección no se entera– hay que saber transmitir información que informe

Referencias

– Magerit v2 – MAP, 2005• Metodología de análisis y gestión de riesgos de los

sistemas de información• http://www.csi.map.es/csi/pg5m20.htm• Código de buenas prácticas para la Gestión de la

Seguridad de la Información– EAR – Entorno de Análisis de Riesgos

• PILAR – Herramienta de análisis y gestión– http://www.ar-tools.com/

• con soporte del CCN– https://www.ccn-cert.cni.es/