Beruflich Dokumente
Kultur Dokumente
Fsica y Lgica
T22: Contenidos mnimos de los Planes Estratgicos Sectoriales
Enrique Bilbao Lzaro
Responsable de Produccin
Cuevavaliente Ingenieros
ndice
1. Introduccin
2. Entorno Normativo
3. Fundamentos de la Metodologa
1 Introduccin
Introduccin
Metodologa particular y concreta de Anlisis de Riesgos que permite unificar dos
metodologas de anlisis de riesgos tradicionalmente independientes: riesgos lgicos y
riesgos fsicos.
Cumple con los estndares ISO 31000 e ISO 27001, lo que permite usar terminologa
comn y el mismo ciclo de vida de gestin de riesgos
Resuelve problemas muy habituales como son:
2 Entorno Normativo
Fundamento normativo de la metodologa
Esta metodologa se ajusta al marco normativo de ISO 27001 para la gestin de
Riesgos de Seguridad Lgica, y de ISO 31000 para la gestin de riesgos de Seguridad
Fsica. Se emplea un modelo nico que surge de la unin de ambos: el modelo SGSC
(modelo del Sistema de Gestin Corporativa de Seguridad)
Seguridad Fsica ISO 31000
Decisin y
Compromiso
MODELO SGSC
SGSC: Sistema de Gestin Corporativa de Seguridad
Requerimientos
Polticas
Diseo del Marco
de Actuacin del
SGSF
Mejora continua
del SGSF
Implementacin
del SGSF
Seguimiento y
Revisin del
SGSF
Requerimientos de
la Seguridad de la
Informacin
Gestin de la
Seguridad
Seguridad de la
Informacin
gestionada
Plan del
SGSI
Planificacin
Mantenimiento y
mejora del SGSI
Actuacin
Implementacin
del SGSI
Implementacin
Medicin
del SGSI
Medicin
SGSF:
SGSI:
3 Fundamentos de la Metodologa
Bases de la Metodologa
Metodologa basada en la confluencia de dos metodologas maduras de Anlisis de
Riesgos que son especficas para cada sector:
Seguridad Fsica: metodologa propia de Cuevavaliente, basada en ISO 31000, e
implementada a travs de herramientas software propias. Tambin se utilizan algunos
aspectos y recomendaciones del estndar AS/NZS 4360 [8] y su addendum en forma
de gua: Risk Management Guidelines.
Seguridad Lgica: MAGERIT II. Desarrollada por el Consejo Superior de
Administracin Electrnica (CSAE). La metodologa MAGERIT II pretende dar
respuesta a la dependencia que tiene la Administracin de las tecnologas de la
informacin para el cumplimiento de su misin.
Gestin de ambos riesgos en un mismo proceso en el que amenazas y activos
comparten indicadores y criterios, permitiendo su comparacin y evaluacin conjunta.
3 Fundamentos de la Metodologa
Aspectos adoptados de Magerit II
Activos
Valor de Sustitucin
Activos
Criticidad
Leyenda
Elemento
Dependencias
entre activos
Dependencias
Valor Estimado
Valor
Calculado
Amenazas
Impacto
Probabilidad
Probabilidad de
Ocurrencia
Impacto
PASOS A SEGUIR:
Riesgo
Intrnseco
Nivel de Riesgo
Nivel de Riesgo
Salvaguardas/
Controles
Riesgo Efectivo
Salvaguardas
Riesgo Efectivo
Nivel de
Riesgo
1. Determinar activos
2. Determinar amenazas
3. Estimar Impactos/probabilidad
4. Estimar el coste/criticidad
5. Estimar madurez de salvaguardas
6. Clculo de los riesgos
Madurez de
Salvaguardas
Riesgo
Mitigado
Nivel de
Riesgo
3 Fundamentos de la Metodologa
Aspectos adoptados de Magerit II
La metodologa propuesta tiene en cuenta estas etapas, aunque las agrupa segn la
estructura del estndar ISO 31000.
El mtodo propuesto por MAGERIT II da cumplimiento en lo establecido en:
ISO 27005, epgrafe 4.2.1.d, Identificar Riesgos
ISO 27005, epgrafe 4.2.1.e, Analizar y Evaluar Riesgos
ISO 27001/2005, Sistemas de Gestin de Seguridad de la Informacin
ISO 27002/2005, 2005 Manual de Buenas Prcticas de Gestin de Seguridad de la
Informacin
ISO 27005/2008, Gestin de Riesgos de Seguridad de Informacin
ISO 15408-1/2009 , Criterios de Evaluacin de Seguridad de la Informacin
3 Fundamentos de la Metodologa
Aspectos adoptados de las Normas ISO 31000 y AS/NZS 4360
Adopcin de las etapas definidas por las normas ISO 31000 y AS/NZS 4360, para una
correcta gestin de los riesgos y su relacin para un continuo proceso de mejora.
ANLISIS DE RIESGOS
ANLISIS DE RIESGOS
EVALUACIN DE RIESGOS
MONITORIZACIN Y REVISIN
IDENTIFICACIN DE RIESGOS
ASESORAMIENTO
DEL RIESGO
COMUNICACIN Y CONSULTA
ESTABLECIMIENTO DE CONTEXTO
3 Fundamentos de la Metodologa
Aspectos adoptados de las Normas ISO 31000 y AS/NZS 4360
Las etapas referidas por las normas son asumidas por los dos conjuntos de actividades:
el Anlisis de Riesgos y la Propuesta de Medidas de Seguridad
MODELO SGSC
REQUERIMIENTOS
POLTICAS
ANLISIS DE RIESGOS
EVALUACIN DE RIESGOS
IMPLEMENTACIN
MONITORIZACIN Y REVISIN
IDENTIFICACIN DE RIESGOS
RISK ASSESSMENT
ACTUACIN
COMMUNICACIN Y CONSULTA
GESTIN DE LA
SEGURIDAD
PLANIFICACIN
TREAT RISKS
MEDICIN
A. Establecimiento de Contexto
Activos
Amenazas
Tiempos
B. Identificacin de Riesgos
Situaciones de Riesgo
C. Anlisis de Riesgos
Impacto
Probabilidad
Criticidad
Nivel de Necesidad de Salvaguardas
D. Evaluacin de Riesgos
Riesgo Intrnseco
Riesgo Reducido
Riesgo Efectivo
10
Escenarios
Servicios
Datos/informacin
Aplicaciones (Software)
Equipos Informticos (Hardware)
Redes de Comunicaciones
Soportes de informacin
Equipamiento Auxiliar
Instalaciones
Personal
11
Delincuencia Comn
12
13
Impacto
Probabilidad
Criticidad
14
MA
A
M
B
M
B
IMPACTO
Impacto Muy Alto/Muy Grave o Severo para la Organizacin
Impacto Alto/Grave para la Organizacin
Impacto Medio/Moderado/Importante para la Organizacin
Impacto Bajo/Menor para la Organizacin
Impacto Muy Bajo/Irrelevante para la Organizacin
15
17
Activos Lgicos
MB
M
A
MA
MA
MA
NIVEL CMMI
Optimizado
Gestionado
Definido
Repetible
Inicial
No Existente
18
NECESIDAD DE
SALVAGUARDAS
NIVEL CMMI
MB
OPTIMIZADO
Las salvaguardas han sido implementadas y revisadas hasta un nivel de "best practice", sobre la base de mejora
continua.
GESTIONADO
DEFINIDO
MA
REPETIBLE
MA
INICIAL
MA
NO EXISTENTE
GRADO DE
MADUREZ
NECESIDAD DE
SALVAGUARDAS
NIVEL CMMI
MB
OPTIMIZADO
Los procesos han sido revisados hasta un nivel de best practice, sobre la base de una mejora continua.
GESTIONADO
Los procesos estn en mejora continua y proporcionan mejores prcticas. Se usan herramientas automatizadas de
manera aislada o fragmentada.
DEFINIDO
MA
REPETIBLE
MA
INICIAL
MA
NO EXISTENTE
Se conocen las necesidades y se han planteado las necesidades a implementar basadas en "best practices".
Se conocen las necesidades y se han planteado las necesidades a implementar, aunque no basadas en "best practices".
Se conocen las necesidades, aunque no se han planteado las salvaguardas a implementar para solventarlas.
No se conocen las necesidades.
19
20
Probabilidad
*
Impacto
Riesgo intrnseco
Riesgo
Reducido
Mxima
(Criticidad)
Riesgo
Efectivo
*
*
21
4 Conclusiones
Conclusiones e Impactos
Nueva metodologa propuesta, fruto de la experiencia de Cuevavaliente Ingenieros con
sus partners expertos en Seguridad Lgica.
Presenta una solucin prctica a uno de los problemas ms complejos en el diseo de un
Sistema de Gestin de Seguridad Fsica y Lgica.
Actualmente se est empezando a utilizar con xito en diferentes empresas espaolas
Permite proponer Planes de Seguridad comunes a la Alta Direccin de las organizaciones.
En el caso de Espaa, y otros pases europeos, permite cumplir con la legislacin especfica de Proteccin de Infraestructuras Crticas, donde se exige a las empresas que operan servicios crticos a la
ciudadana, que presenten Planes de Conjuntos de Seguridad Fsica y Lgica.
22
5 Referencias
Referencias
[1] Legislacin sobre Infraestructuras Crticas Espaola:
a)Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las
infraestructuras crticas.
b)
Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento
de proteccin de las infraestructuras crticas.
[2] Alfonso Bilbao, Enrique Bilbao, Koldo Pecia; Physical and Logical Security Risk
Analysis Model, International Carnahan Conference on Security Technology Proceedings,
Barcelona 2011
[3] Alfonso Bilbao; TUAR, a model of Risk Analysis in the Security Field, International
Carnahan Conference on Security Technology Proceedings, Atlanta 1992
[4] Alfonso Bilbao, Enrique Bilbao, Alejandro Castillo; A risk management method based
on the AS/NZS 4360 Standard, International Carnahan Conference on Security
Technology Proceedings, Ottawa 2008
[5] Metodologa MAGERIT II; Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin. Ministerio de Administraciones Pblicas de Espaa.
http://www.csi.map.es/csi/pg5m20.htm
23
5 Referencias
Referencias
[6] ISO/IEC 27001 (BS7799-2:2002): Information security management systems Requirements
[7] ISO 31000 Risk management Principles and guidelines
[8] AS/NZS 4360:2004 Standard Risk Management; Standards Australia/Standards
New Zealand, 2004
[9] HB 436:2004 Risk Management Guidelines. Companion to AS/NZS 4360:2004;
Standards Australia/Standards New Zealand, 2004
[10] ISO/IEC 27001 / 2005 Information security management systems Requirements
[11] ISO/IEC 27002 / 2005 Code of practice for information security management
[12] ISO/IEC 27005 / 2008 Information security risk management
[13] ISO/IEC 15408-1 / 2009 Common Criteria for Information Technology Security
Evaluation
[14] www.cuevavaliente.com
24
Fin de la presentacin
Muchas gracias
25
26