Story Transcript
Gestión de Riesgos con Magerit
José A. Mañas Dep. de Ingeniería de Sistemas Informáticos Universidad Politécnica de Madrid
Definiciones
• Gestión del riesgo – actividades coordinadas para dirigir y controlar una organización con respecto al riesgo • NOTA: normalmente la gestión del riesgo incluye la apreciación del riesgo, el tratamiento del riesgo, la aceptación del riesgo y la comunicación del riesgo ISO/IEC Guía 73: 2002
Definiciones
•
Riesgo – combinación de la probabilidad de un suceso y su consecuencia 1. el término riesgo normalmente se utiliza únicamente cuando existe al menos la posibilidad de consecuencias negativas 2. en algunas situaciones, el riesgo proviene de la posibilidad de un desvío del resultado o del suceso previsto
ISO/IEC Guía 73: 2002
Informalidad • Se dice que una actividad es “arriesgada” cuando puede salir mal o puede salir bien; es decir, cuando no hay certeza de qué va a ocurrir • Se llama “riesgo” a la medida de lo que “probablemente ocurra”
Método de estimación
descubrimiento sucesos inciertos
indicadores consecuencias
IMPACTO ×
probabilidad estimación
RIESGO
Indicadores • Impacto – lo que puede suceder
• Riesgo – lo que probablemente ocurra
Subjetividad • La identificación de sucesos y la estimación de consecuencias y probabilidades son subjetivas porque no pueden ser objetivas hasta que el suceso se materializa • Ante sucesos materializados no analizamos riesgos: medimos daños
Subjetividad • Necesitamos opiniones cualificadas / creíbles / de confianza • Hay que poder razonar el por qué de las estimaciones realizadas • Sería muy interesante disponer de estimaciones normalizadas; ... un bonito sueño ...
Uso del análisis de riesgos • Para tomar decisiones • El riesgo no es necesariamente malo – el riesgo es compañero inseparable del beneficio – el beneficio (estimado subjetivamente) hay que compararlo con el riesgo (estimado subjetivamente) para tomar decisiones informadas
Tratamiento • El riesgo se trata – – – –
se evita se mitiga se transfiere se acepta
• El riesgo no se reduce a 0.0 el riesgo se trata hasta tener una relación beneficio / riesgo “óptima” que estamos dispuestos a aceptar
Tratamiento
estudio de los riesgos
punto de decisión
revisión periódica
se asume monitorización continua
se estudia mejor
estudio coste / beneficio
se trata
• transferencia • mitigación del riesgo: reducción de la exposición limitación del impacto
Gestión de riesgos Análisis de riesgos proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización Evaluación de los riesgos proceso en el que se coteja el riesgo estimado contra los criterios de la organización para determinar la importancia del riesgo Tratamiento de riesgos selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados
Análisis • Un buen análisis es la base – no se pueden tomar decisiones sin conocimiento – no se pueden justificar decisiones sin conocimiento – no se puede optimizar lo que se ignora
El análisis de riesgos no es simple
• Muchos activos
... lleva tiempo ... cuesta dinero ... no vale una vez y para siempre
– los sistemas son complejos
• Activos de muchos tipos – información, servicios, procesos, ... – equipamiento: aplicaciones, equipos, comunicaciones, ... – locales: recintos, edificios, áreas, ..., en el campo – personas: usuarios, operadores, desarrolladores, ...
• Muchas amenazas – y muchas formas de hilvanar las amenazas
• Muchísimas salvaguardas – gestión, técnicas, seguridad física, recursos humanos
Metodología de análisis de riesgos La complejidad se ataca metódicamente – una metodología es una aproximación sistemática • • • • •
para cubrir la mayor parte de lo que puede ocurrir para olvidar lo menos posible para explicar a los gerentes qué se necesita de ellos para explicar a los técnicos qué se espera de ellos para explicar a los usuarios – qué un uso decente del sistema – qué es una respuesta urgente – cómo se gestionan los incidentes
– una metodología necesita modelos • elementos: activos, amenazas, salvaguardas • métricas: impacto y riesgo
Magerit Metodología de análisis y gestión de riesgos de los sistemas de información – Pública • MAP : Ministerio para las Administraciones Públicas • version 1.0, 1997 • version 2.0, 2005 – http://www.csi.map.es/csi/pg5m20.htm
– Recomendación para la administración pública española
Pasos de análisis análisisRiesgos (SistemaInformación si) { Contexto contexto= establecerContexto (si); Set activos= getModeloValor(si); Set amenazas= getMapaAmenazas(si, activos); Riesgo potencial= calcula(activos, amenazas); Set salvaguardas= necesidad(activos, amenazas); evaluaEstadoActual(salvaguardas); Riesgo residual= calcula(activos, amenazas, salvaguardas); }
Pasos de análisis Set getModeloValor(SistemaInformación si) { do { Set activos= descubrimiento(si); relaciones(activos, si); valoración(activos, si); } until (dirección.aprueba(activos)); dirección.firma(informe(activos)); return activos; }
Valoración – Coste que supondría la ocurrencia de una amenaza • • • • •
valor de reposición valor de reconstrucción horas perdidas de trabajo lucro cesante daños y perjuicios
– No sólo importa lo que cuesta; importa [más] para qué vale
Aspectos de valoración – seguridad de las personas – información de carácter personal – obligaciones derivadas de la ley, del marco regulatorio, de contratos, etc. – capacidad para la persecución de delitos – intereses comerciales y económicos – pérdidas financieras – interrupción del servicio – orden público – política corporativa – otros valores intangibles
Dimensiones de valoración •
disponibilidad – ¿Qué importancia tendría que el activo no estuviera disponible?
•
integridad – ¿Qué importancia tendría que el activo fuera modificado fuera de control?
•
confidencialidad – ¿Qué importancia tendría que el activo fuera conocido por personas no autorizadas?
•
autenticidad – ¿Qué importancia tendría que quien accede al activo no sea realmente quien se cree?
•
trazabilidad | imputabilidad (accountability) – ¿Qué importancia tendría que no quedara constancia del uso del activo?
Valoración – Cuantitativa • el desembolso económico que conllevaría • prácticamente siempre se hace en euros
– Cualitativa • hay cosas que no tienen precio • intangibles – – – –
inhabilitación de una misión perjuicio de imagen perjuicio a las relaciones de la organización ...
Valor cualitativo – Criterios homogéneos que permitan • relativizar entre dimensiones • compartir / combinar análisis realizados por separado • uniformidad de conocimiento
10
muy alto
9 8
alto
7 6
valor 10 - muy alto 8 - alto 5 - medio 2 - bajo 0 - despreciable
criterio daño muy grave daño grave daño importante daño menor daño irrelevante
5
medio
4
repercute en otros queda en casa
3 2
bajo
1 0
despreciable
Valor cuantitativo (euros) • si no ocurre nada: – B1 = beneficios_1 – gastos_1
• si se materializa la amenaza: – B2 = beneficios_2 – gastos_2
• consecuencias del suceso: – VALOR = B1 – B2 (beneficios_1 – beneficios_2) + (gastos_2 – gastos_1) 0.0 b1 g1 b2 g2
euros
cual y cuan
• Se puede hacer un análisis cualitativo no cuantitativo – para tomar las decisiones “de bulto”
• No se debe hacer un análisis cuantitativo no cualitativo – porque no sólo es dinero
• Se debe hacer análisis cuantitativo y cualitativo – para tomar las decisiones “finas”
Herramientas
• Necesarias para – atajar la complejidad – mantener el análisis al día – analizar “what if ...”
• Convenientes para – capturar el sistema – aplicar un método sistemáticamente – comunicar el riesgo – explicar el por qué de las conclusiones
Análisis (potencial)
están expuestos a
activos activos Interesan por su
amenazas amenazas
valor valor
causan una cierta
degradación degradación impacto impacto con una cierta
probabilidad probabilidad riesgo riesgo
Análisis (residual) están expuestos a
activos activos Interesan por su
amenazas amenazas
causan una cierta
valor valor degradación degradación residual residual impacto impacto residual residual
con una cierta
tipo de activo dimensión amenaza nivel de riesgo
probabilidad probabilidad residual residual riesgo riesgo residual residual
salvaguardas salvaguardas
Soporte a la gestión activos amenazas impacto y riesgo potenciales evaluación de salvaguardas EAR PILAR
progreso salvaguardas
programas de seguridad
impacto y riesgo residuales
costes & beneficios
plan de seguridad
Soporte al alineamiento
• Los “de arriba” deben entender las consecuencias de los incidentes técnicos • Los “de abajo” deben entender el valor de los componentes técnicos • Todos deben saber – qué deben proteger – en qué medida
Informes de estado
Cumplimiento de perfiles
ISO/IEC - 17799 / 27001
Análisis de riesgos • Las entradas: – ¿qué tenemos que proteger? – ¿qué tenemos que proteger? – conócete a ti mismo
NEGOCIO RECURSOS
• La tarea: – ¿qué quiere la otra parte? – ¿cómo puede la otra parte conseguirlo? – conoce a tu adversario
• La conclusión: – somos vulnerables en tal medida
¿Cuándo? – El análisis de riesgo muestra su máxima eficacia cuando se realiza antes del despliegue de un sistema • y las salvaguardas se incorporan al diseño de la solución
– Es necesario cuando • un sistema se hace cargo de nuevas o más importantes misiones que aquellas para las que fue diseñado – morir de éxito
• cambia el perfil de vulnerabilidad – ej. exposición a Internet
SGSI Sistema de Gestión de la Seguridad de la Información
Plan planificación planificación
Act
Do
mantenimiento mantenimiento yymejora mejora
implementación implementación yyoperación operación
Check monitorización monitorización yyevaluación evaluación
Certificación y acreditación análisis de riesgos
modelo de valor mapa de riesgos
gestión de riesgos
salvaguardas
auditoría evaluación de seguridad
resultados de evaluación
certificación acreditación
registro
Riesgos del análisis de riesgos 1.
Lo que se olvida – – –
2.
recursos propios ignorados o subestimados recursos ajenos desconocidos o subestimados hay que tener más de una opinión
La auto-complacencia – – –
3.
estamos suficientemente bien hay que controlar que seguimos tan bien como creemos hay que revisar continuamente y adaptarse a las circunstancias
La incomunicación – –
la dirección no se entera hay que saber transmitir información que informe
Referencias – Magerit v2 – MAP, 2005 • Metodología de análisis y gestión de riesgos de los sistemas de información • http://www.csi.map.es/csi/pg5m20.htm • Código de buenas prácticas para la Gestión de la Seguridad de la Información
– EAR – Entorno de Análisis de Riesgos • PILAR – Herramienta de análisis y gestión – http://www.ar-tools.com/
• con soporte del CCN – https://www.ccn-cert.cni.es/