Beruflich Dokumente
Kultur Dokumente
>Análisis y Gestión de
Riesgos
Fernando Aparicio, 8/4/2005
1 Security Xperts
• Niveles de madurez de la seguridad
• Certificación de sistemas y
NIVEL 5 procesos
Certificación • Certificación de actividades
de comercio electrónico
• Sellos de confianza
Gestión global
• Análisis de Riesgos
NIVEL 4 de Riesgos de
• Gestión centralizada de la seguridad
los Sistemas • Planes de continuidad de negocio
Gestión del
Proceso de • Planes Directores de Seguridad
NIVEL 3 • Políticas, procesos y procedimientos de seguridad
seguridad • Procesos de respuesta a incidentes
Cumplimiento
de la • Adaptación a ley de protección de datos (LOPD)
NIVEL 2 legislación • Adaptación a ley de servicios de la sociedad de la información
sobre y el comercio electrónico (LSSI-CE)
seguridad Nivel medio actual en España
2 Security Xperts
Procesos: Evaluación del riesgo:
- Metodología para 10% - Identificación de puntos
integrar la seguridad 15% débiles
en el proceso productivo - Medición del riesgo
15%
Definición de una
20% política
de seguridad
Sensibilización:
Tecnología: 40% -Formación de personal IT
- Actualizaciones diarias -Formación de usuario final
-“Securizar” sistemas actuales -Outsourcing de la seguridad
- Controles periódicos
3 Security Xperts
4 Security Xperts
>Analizando los riesgos
Un Análisis de Riesgos es un procedimiento de ayuda a la decisión. Sus resultados
constituyen una guía para que la organización pueda tomar decisiones sobre si es
necesario implantar nuevos mecanismos de seguridad y qué controles o procesos de
seguridad serán los más adecuados
Una vez conocidos los riesgos, la organización puede decidir qué medidas tomar
dependiendo de una serie de factores (costes de la implantación de controles que
reduzcan los riesgos vs. costes derivados de las consecuencias de la
materialización de estos riesgos):
• Mitigar el riesgo, mediante la implantación y mantenimiento de controles de
seguridad que minimicen estos riesgos y los mantengan a un nivel aceptable (lo
cual implica inversiones económicas)
• Asumir ciertos riesgos a los que está expuesta la organización ya que las
consecuencias acarrean un coste económico y estratégico menor que el coste
que sería necesario aportar para reducir dichos riesgos
• Transferir estos riesgos, bien a un prestador de servicios especializado mediante
un SLA o bien mediante la contratación de una póliza de riesgo electrónico
5 Security Xperts
>Analizando los riesgos
El nivel de riesgo al que está sometido una organización nunca puede erradicarse
totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos que es
preciso dedicar para minimizar estos riesgos y un cierto nivel de confianza que se puede
considerar suficiente (nivel de riesgo aceptable)
(a menor confianza mayor riesgo)
Seguridad perfecta
Grado de confianza
Riesgo
6 Security Xperts
>Analizando los riesgos
A pesar de ser un procedimiento que se puede ejecutar de forma sistemática, en un análisis
de riesgos es necesario realizar determinadas tareas y estimaciones de forma totalmente
imparcial y objetiva:
• Inventariar los activos e identificar las amenazas que existen sobre ellos
• Identificar las vulnerabilidades presentes en los activos
• Estimación de la probabilidad con la que las amenazas pueden explotar las
vulnerabilidades de los activos
• Estimación del impacto en el negocio en caso de que ciertas amenazas se hagan
efectivas
• Estimación de si se puede asumir el riesgo, es necesario invertir en la implantación o
actualización de controles de seguridad o se puede transferir el riesgo a terceras
partes
Si estos factores no se evalúan con total imparcialidad y objetividad, el análisis de riesgos
no podrá cumplir su función con garantías, que es ayudarnos a tomar decisiones sobre
cómo proteger nuestros activos
7 Security Xperts
>Analizando los riesgos
Definiciones formales (II): Activo, Vulnerabilidad, Amenaza:
• Los activos son todos aquellos componentes o recursos de la organización, tanto
físicos (tangibles) como lógicos (intangibles), que constituyen su infraestructura,
patrimonio, conocimiento y reputación en el mercado.
8 Security Xperts
>Analizando los riesgos
• Ejemplos de Amenazas: ¿Qué podría ocurrir?
• Errores
• Daño intencional / ataque
• Fraude
• Robo
• Falla de equipo / software
• Desastres naturales
9 Security Xperts
>Analizando los riesgos
Definiciones formales (III): Impacto, Riesgo
• Violación de confianza
11 Security Xperts
>Analizando los riesgos
Definiciones formales (IV): Salvaguardas
• Por salvaguarda se define todo control (política, procedimiento, norma, proceso o
mecanismo) que contribuye a:
– Reducir las vulnerabilidades de los activos
– Reducir la probabilidad de que las amenazas puedan explotar vulnerabilidades
– Reducir el impacto producido en el negocio por la materialización de amenazas
• ¿Cómo se miden?
• Coste de adquisición
• Dificultad de implantación
• Las salvaguardas/controles/contramedidas pueden clasificarse como:
– Proactivas, cuando contribuyen a prevenir que se materialicen los riesgos. También
llamadas preventivas. Protegen a los activos antes de que estos sufran ataques o
agresiones.
– Detectivas, cuando contribuyen a reducir o evitar el impacto al proteger a los activos en
el momento en el que sufren ataques o agresiones
– Reactivas, cuando contribuyen a eliminar o reducir el impacto negativo de la
materialización de una amenaza. También llamadas curativas o correctivas. “Curan” a
los activos después de que estos hayan sufrido ataques o agresiones
12 Security Xperts
>Analizando los riesgos
• Ejemplos de salvaguardas:
• Preventivos:
• Política de seguridad
• Formación del usuario
• Controles de acceso
• Proveedores de seguridad gestionada (MSSP)
• Segregación de funciones
• Detectivos:
• Registro de logs, sistemas integrados de auditoría
• Sistemas de detección de intrusos (IDS)
• Correctivos:
• Copias de respaldo (back-ups)
• Plan de contingencias y continuidad de negocio
13 Security Xperts
>Analizando los riesgos
Relación Amenazas-Activos-Vulnerabilidades-Impacto-Riesgo:
Amenazas Impacto
Riesgos implica
14 Security Xperts
>Analizando los riesgos
Relación Amenazas-Activos-Vulnerabilidades-Impacto-Riesgo-Salvaguardas:
Amenazas Vulnerabilidades
generan
reducen
reducen
Salvaguardas Impacto
decisiones
implica
Riesgos
15 Security Xperts
>Analizando los riesgos
Análisis de riesgos cuantitativo:
• Las métricas asociadas con el impacto causado por la materialización de las
amenazas se valoran en cifras concretas de forma objetiva. Un modelo
cuantitativo habitual es aquel en el que las consecuencias de la materialización
de amenazas se asocian a un determinado nivel de impacto en función de la
estimación del coste económico que suponen para la organización
16 Security Xperts
>Determinación del impacto
> Ejemplo de evaluación (cualitativa) del impacto sobre los activos
Magnitud
Definición
Valor
- Pérdida o inhabilitación temporal o permanente de activos o recursos considerados críticos y no respaldados.
- Interrupción total de la prestación de servicios y procesos de negocio por parte de la Organización.
Muy Alto 50
- Daño significativo de la imagen y reputación de la Organización de cara a la opinión pública.
- Fuga de información estratégica.
- Pérdida o inhabilitación temporal o permanente de activos o recursos no considerados críticos y no respaldados.
- Interrupción parcial de la prestación de servicios y procesos de negocio por parte de la Organizacion.
Alto 40
- Daño significativo de la imagen y reputación de la Organización de cara a los actuales clientes.
- Fuga de información confidencial (pero no catalogada como estratégica).
- Pérdida o inhabilitación temporal o permanente de activos o recursos considerados críticos y respaldados.
- No hay interrupción de la prestación de servicios o procesos de negocio pero el rendimiento se ve severamente
Medio 30 afectado.
- Daño indirecto o colateral de la imagen y reputación de la Organización de cara a la opinión pública.
- Fuga de información reservada (pero no catalogada como confidencial o estratégica).
- Pérdida o inhabilitación temporal o permanente de activos o recursos no considerados críticos y respaldados.
- No hay interrupción de la prestación de servicios o procesos de negocio pero el rendimiento se ve sensiblemente
Bajo 20
afectado.
- Fuga de información considerada sensible pero no catalogada como reservada, confidencial o estratégica.
- Pérdida o inhabilitación temporal o permanente de activos o recursos secundarios (por ejemplo activos de red de
respaldo o de backup).
Muy Bajo 10 - No hay interrupción de la prestación de servicios o procesos de negocio pero el rendimiento se ve sensiblemente
afectado.
- Fuga de información no pública pero no considerada como sensible.
17 Security Xperts
>Determinación de la frecuencia
> Evaluación cualitativa
> Para cada amenaza se evalúa la frecuencia de aparición de la amenaza.
18 Security Xperts
>Evaluación de riesgos
IMPACTO
Muy Alto Alto Medio Bajo Muy Bajo
(50) (40) (30) (20) (10)
FRECUENCIA
Muy Alta Muy Alto Alto Medio Bajo Muy Bajo
(1,0) 50 * 1,0 = 50 40 * 1,0 = 40 30 * 1,0 = 30 20 * 1,0 = 20 10 * 1,0 =10
Alta Muy Alto Alto Medio Bajo Muy Bajo
(0,9) 50 * 0,9 = 45 40 * 0,9 = 36 30 * 0,9 = 27 20 * 0,9 = 18 10 * 0,9 = 9
Media Alto Medio Medio Bajo Muy Bajo
(0,7) 50 * 0,7 = 35 40 * 0,7 = 28 30 * 0,7 = 21 20 * 0,7 = 14 10 * 0,7 = 7
Baja Medio Bajo Bajo Muy Bajo Muy Bajo
(0,5) 50 * 0,5 = 25 40 * 0,5 = 20 30 * 0,5 = 15 20 * 0,5 = 10 10 * 0,4 = 4
Muy Baja Bajo Bajo Muy Bajo Muy Bajo Muy Bajo
(0,3) 50 * 0,3 = 15 40 * 0,3 = 12 30 * 0,3 = 10 20 * 0,3 = 6 10 * 0,2 = 2
19 Security Xperts
>Evaluación de riesgos
> Explotación del análisis de riesgos
> Relación de riesgos priorizados Apoyo a la decisión para:
Planificación de la implantación de controles
Asignación de recursos
Nivel de
Descripción y acciones necesarias
riesgos
Es imperativo aplicar de forma extremadamente urgente un proceso de identificación e implantación de salvaguardas preventivas y
reactivas. Este proceso, hasta su conclusión, debe ser considerado como el proceso de máxima prioridad para la Organización, aún cuando
Muy Alto
pueda interferir temporalmente con procesos críticos del negocio o pueda interrumpir temporalmente su operatividad. Este riesgo NUNCA se
puede asumir
Es necesario aplicar tan pronto como sea posible un proceso de identificación e implantación de salvaguardas preventivas y reactivas. Este
proceso, hasta su conclusión, debe ser considerado como un proceso de alta prioridad para la Organización. El retraso o interrupción
Alto
temporal de este proceso sólo debe estar justificado por motivos de continuidad de la operatividad del negocio o de alguno de sus procesos
críticos. Este riesgo NUNCA se debe asumir
Es necesario aplicar en un período razonable de tiempo un proceso de identificación e implantación de salvaguardas preventivas y
reactivas. Este proceso debe ser considerado como un proceso de prioridad estándar y su ejecución puede ser interrumpida temporalmente
Medio cuando interfiera con los procesos críticos del negocio. No es recomendable asumir este riesgo y sólo se debería hacer en circunstancias
excepcionales. Es factible demorar la implantación de salvaguardas, pero sin dejar pasar más de 1 año desde la finalización del presente
análisis
Bajo El responsable de los activos deberá ponderar si es necesario implantar salvaguardas o si por el contrario se asume el riesgo. En caso de
que tome la decisión de aplicar salvaguardas pero demorando su implantación, no debería dejar pasar más de 1 año desde la finalización
del presente análisis. El proceso de implantación de salvaguardas debe ser considerado como un proceso de prioridad estándar y su
Muy Bajo ejecución puede ser interrumpida temporalmente cuando interfiera con procesos del negocio (no necesariamente críticos)
20 Security Xperts
> Evaluación de riesgos
> Implantar un proceso general de Gestión de Riesgos
> Establecer el nivel de riesgo aceptable
• Informe de Aplicabilidad (SOA)
Nivel de riesgo Riesgo Opciones de Tratamiento Riesgo Análisis de Responsable Fecha limite Responsable
tratamiento del del riesgo residual coste / de la del
riesgo beneficio implementació seguimiento
n del riesgo
21 Security Xperts
> Más allá del análisis de riesgos (II)
> Hacia la implantación de un SGSI
> Formalizar la gestión de la seguridad
> Establecer procesos de gestión de la seguridad:
• Siguiendo la metodología PDCA:
– P -“plan”: necesario disponer de un análisis de riesgos
– D - “do”: decisiones basadas en el análisis de riesgos
– C – “check”: revisar / medir la eficacia de los controles en base a los resultados del
análisis de riesgos
– A – “act”: realizar en caso necesario de nuevo el A.R. con un alcance más reducido
22 Security Xperts
>Gestionando los riesgos
Objetivo: reducir las posibilidades de que un evento cause un impacto en mis
activos
Una vez analizado el riesgo, es preciso gestionarlo:
Se acepta el riesgo
Se mitiga mediante la implantación de salvaguardas/ controles
Si implanto salvaguardas:
¿Cuánto cuestan?
¿Son efectivas en costes?
Se transfiere:
A un proveedor de servicios vinculado mediante SLA
Mediante una póliza de cobertura de riesgo electrónico
23 Security Xperts
>Gestionando los riesgos: tareas centrales
Establecimiento de una política de gestión de riesgos
Existencia de controles internos
Formación y financiación de un equipo de análisis de riesgos
Organización de tareas
Adiestramiento en el uso de software de gestión de riesgos
Establecimiento de metodologías y herramientas
Diversos enfoques de gestión del riesgo
Básico: según normas estándar o experiencias en el sector
Informal: basado en la propia experiencia
Detallado: basado en metodologías y herramientas formales
Enfoque combinado: (UNE 71501-2)
Primera etapa: análisis de riesgo de alto nivel
En función de este resultado, se determinan análisis de riesgos con
alcances más específicos
24 Security Xperts
>Gestionando los riesgos: tareas centrales
Identificación y medición del riesgo
Sensibilización de la dirección general
Comprensión y aceptación del nivel de riesgo “aceptable”
Tamaño del proyecto y posibles limitaciones
Selección de salvaguardas:
Reducción del riesgo después de implantar las salvaguardas
salvaguardas
Informe final
Reevaluaciones periódicas
25 Security Xperts
>La opción de la transferencia del riesgo
> ¿Qué se ha hecho hasta ahora?
> Implantación de medidas tecnológicas:
> Software Antivirus
> Firewalls
> Sistemas de Detección de Intrusos
> Cifrado
> Back-ups
> Filtrado de contenidos, actualizaciones de software, etc
….la mayoría de estas defensas, por su naturaleza, no pueden ser 100% efectivas
26 Security Xperts
> Transfiriendo el riesgo
> El nivel de riesgo al que está sometido una organización nunca puede erradicarse
totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos que
es preciso dedicar para minimizar estos riesgos y un cierto nivel de confianza que se
puede considerar suficiente (nivel de riesgo aceptable)
(a menor confianza mayor riesgo)
Seguridad perfecta
Grado de confianza
Riesgo
Seguridad perfecta
Grado de confianza
Riesgo
29 Security Xperts
> Transfiriendo el riesgo
> Ejemplos de reclamaciones de terceros cubiertas por las pólizas de riesgo
electrónico:
30 Security Xperts
> Transfiriendo el riesgo
31 Security Xperts
> Transfiriendo el riesgo
•Los gastos de una consultora de relaciones públicas para mitigar los daños
producidos a la reputación por cualquier siniestro que esté cubierto bajo la
póliza
32 Security Xperts
> Ejemplo de cobertura (I)
> Por ejemplo, si una compañía sufre un ataque de virus maligno, la póliza se haría cargo
de varias maneras:
> Los gastos del personal técnico o de consultores en seguridad que reparen sus
sistemas y restablezcan sus datos.
> Si un tercero le hace responsable de sus pérdidas, los gastos legales incurridos y
los daños que le sean imputados.
> Los gastos de un consultor de relaciones públicas para minimizar los daños a su
reputación.
33 Security Xperts
> Ejemplo de cobertura (II)
> Cobertura en protección de datos:
> Los gastos de una consultora de relaciones públicas para mitigar los daños
producidos a su reputación por cualquier siniestro cubierto bajo la póliza.
> Esta cobertura está condicionada a una Evaluación satisfactoria por parte de firma
profesional independiente sobre el cumplimiento de la LOPD con carácter previo
34 Security Xperts
¿Preguntas?
Muchas Gracias
fernando.aparicio@securityxperts.es
35 Security Xperts
Creative Commons Attribution-NoDerivs 2.0
You are free:
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:
For any reuse or distribution, you must make clear to others the license terms
of this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.