La próxima generación para evaluar el riesgo de la información

IRAM2
La próxima generación para
evaluar el riesgo de la
información
1 de Julio de 2015
Agenda
1. Antecedentes
2. La Ecuación del Riesgo
3. Panorama de IRAM2
4. Repaso de las Fases
5. Conclusiones y Preguntas
1.- Antecedentes
Information Risk Analysis Methodology (IRAM)
 El Information Risk Analysis Methodology del ISF permite que las
organizaciones analicen sus riesgos de información y seleccionen los
controles adecuados para mitigar dicho riesgo.
 IRAM se usa por organizaciones de gran prestigio y por el sector público
alrededor del mundo.
 Ha sido diseñada para ser sencilla, rigurosa y enfocada al negocio
 Se ha lanzado la nueva versión IRAM2 durante 2015
 IRAM2 ha sido rediseñada totalmente basada en:
o consultas extensivas con Profesionales de Seguridad de la Información
o aportaciones de Expertos en Riesgos a la Información
o últimas investigaciones y conceptos actualizados en riesgo a información
y seguridad.
www.securityforum.org
Copyright © 2015 Information Security Forum Limited
1.- Antecedentes
¿Qué es una Amenaza? – tipos, y Riesgos
El que te provocas tú
www.securityforum.org
El que te provocan
Copyright © 2015 Information Security Forum Limited
2.– La Ecuación del Riesgo
Frecuentemente el Riesgo se expresa como una combinación de dos factores
clave: la probabilidad de que un cierto evento tenga lugar y el impacto que
puede causar en un proceso, área u objetivo del negocio.
Estos dos factores clave conjuntamente se entienden en IRAM2 como la
ecuación del riesgo:
IRAM2 – La Ecuación del Riesgo de la Información
Para poder llevar a cabo la evaluación del riesgo de la información es
necesario reconstruir la ecuación del riesgo en la forma que IRAM2 llama la
ecuación del riesgo de la información:
3.- Panorama de IRAM2 – Po ié dolo todo Ju to…
El esquema siguiente muestra las seis fases de IRAM2 con codificación de
colores, para indicar la fase donde se determina cada factor del riesgo de la
información:
4.- Repaso de las Fases
Phases
Objectives
Steps
Phase A: Scoping
•
A.1 Develop a profile of the environment
A.2 Develop the scope for the assessment
•
Develop an understanding of the characteristics of the
organisation as a whole and of the environment to be assessed
Define and agree the scope of the environment to be assessed
Phase B: Business Impact
Assessment
•
•
Assess potential business impact to an organisation should
information assets be compromised
B.1 Identify the information assets
B.2 Assess business impact
Phase C: Threat
Profiling
•
Profile and prioritise all threats that are relevant to the
environment being assessed
Identify the potential ways that the highest priority threats
could manifest to cause harm to the environment being
assessed
C.1 Populate the threat landscape
C.2 Profile threats
C.3 Produce a prioritised threat landscape
C.4 Scope and map the threat events
C.5 Identify and map the information asset(s)
impacted by each threat event
Identify the vulnerabilities associated with each in-scope threat
event for the environment being assessed
Assess the degree of vulnerability of each component in the
environment being assessed to the in-scope threat events
D.1 Identify vulnerabilities and related controls
D.2 Assess the effectiveness of identified controls
D.3 Determine the control strength for each
combination of threat event and component
•
Phase D: Vulnerability
Assessment
•
•
Phase E: Risk Evaluation
•
Derive the residual risk rating for each risk
E.1 Derive the likelihood of success
E.2 Derive the residual likelihood
E.3 Determine the residual business impact rating
E.4 Derive the residual risk rating
Phase F: Risk Treatment
•
Determine a risk treatment approach for each identified risk
F.1 Evaluate each risk against the risk appetite
F.2 Create a risk treatment plan
F.3 Execute the risk treatment plan and validate
results
Fase A – Alca ce Scoping
El punto de partida de IRAM2 es el desarrollo de un perfil del entorno existente que
está siendo evaluado y definir y acordar con claridad el alcance (el área de
evaluación) con las partes interesadas.
Esta fase consiste en dos pasos:
Pasos:
Objetivo(s) de la Fase:
A.1: Desarrollo de un perfil del
entorno
Desarrollar un entendimiento de las características de la organización
en su conjunto y del entorno a ser evaluado
A.2: Desarrollar el alcance de la
evaluación
Definir y acordar el alcance del entorno a ser evaluado
Nota: Esta fase frecuentemente recibe un tratamiento insuficiente por profesionales de riesgo, pero por su importancia
IRAM2 la ha dado un énfasis extra.
Fase B – Business Impact Assessment
Una vez creado el perfil y acordado el alcance de la evaluación, el próximo paso es
llevar a cabo una evaluación del impacto en el negocio (Business Impact Assessment o
BIA).
Esta fase consiste en dos pasos:
Pasos:
Objetivo(s) de la Fase:
B.1: Identificar los activos de la
información
Evaluar el impacto potencial al negocio por si acaso la organización
tiene una brecha de activos de la información
B.2: Evaluar el impacto sobre el
negocio
Fase B: Business Impact Assessment es similar a la fase BIA en el IRAM original. No obstante, ha sido
mejorada de manera importante para enfocarse en la identificación de activos de la información y en
evaluar los impactos en el negocio.
Fase C – Perfilado de Amenazas
El propósito de perfilar las amenazas es identificar y priorizar las amenazas relevantes del
entorno que está siendo evaluado y también para determinar cómo estas amenazas pueden
manifestarse para dañar a dicho entorno.
Esta fase consiste en cinco pasos:
Pasos:
Objetivo(s) de la Fase:
C.1: Poblar el panorama de amenazas
Perfilar y priorizar todas las amenazas que sean
relevantes al entorno que está siendo evaluado
C.2: Perfilar amenazas
C.3: Producir un panorama priorizado de
amenazas
C.4: Determinar el alcance y mapear los
eventos de amenaza
Identificar las potenciales maneras en que las
amenazas de más alta prioridad puedan causar daño
al entorno que está siendo evaluado
C.5 Identificar y mapear los activos de
información que serán impactados por cada
evento de amenaza
La fase de perfilar amenazas es nueva en IRAM2 e incorpora muchos de las desarrollos
importantes que han tenido lugar desde el lanzamiento de IRAM. Esta fase está construida
en base a unos conceptos claves, que se explican en las siguientes diapositivas.
Fase C - Conceptos de Perfilado de Amenazas
•
U a amenaza de t o de IRAM2 se defi e co o, cual uie cosa ue sea capaz po
sus actos u o isio es, de causa daño a u activo de la i fo ació
•
U evento de amenaza es u a acció o u a o isió , i iciada po u a a e aza
contra un activo, que sea capaz de causar daño.
•
IRAM2 defi e ca acte ísticas específicas de a e azas, co ocidas co o atributos de
amenazas , pa a ayuda a dete i a su co po ta ie to.
Fase D – Evaluación de Vulnerabilidades
Esta fase de la evaluación implica identificar y evaluar las vulnerabilidades relacionadas
con cada evento de amenaza que se encuentre dentro del alcance, para ayudar en la
determinación de la probabilidad de que cada evento de amenaza tenga éxito al iniciar
un evento de amenaza específico.
Esta fase consiste en tres pasos:
Pasos:
D.1: Identificar vulnerabilidades y
controles relacionados
D.2: Evaluar la eficacia de los controles
identificados
D.3: Determinar la eficacia de los
controles relevantes para cada evento
de amenaza
Objetivos(s) de la Fase:
Identificar las vulnerabilidades asociadas con
cada evento de amenaza que esté dentro del
alcance para el entorno que está siendo
evaluado
Evaluar el grado de vulnerabilidad de cada
componente en el entorno que está siendo
evaluado, respecto a los eventos de amenaza
que estén dentro del alcance
Nota: Esta fase no es totalmente nueva en IRAM2, pero sí implica un planteamiento diferente a la
metodología original, en que ahora se enfoca en medir la extensión de la vulnerabilidad mediante el
grado de control.
Fase D – Evaluación de Vulnerabilidades
Una vulnerabilidad es una debilidad en personas, procesos o tecnologías dentro de un entorno, que
pueda ser explotada por una o más amenazas.
La eficacia del Control es una evaluación subjetiva de la eficacia colectiva (o falta de ella) de todos
de los co t oles apeados a u co ju to específico de eve tos de a e aza y a u co po e te . E
IRAM2 una vulnerabilidad es una característica que, combinada con la gravedad de la amenaza, se
usa para ayudar en la determinación de la probabilidad de un evento de amenaza tenga éxito. (i.e. la
probabilidad de éxito).
Ejemplos de algunas vulnerabilidades comunes y controles relacionados, a continuación:
Fase E – Evaluación del Riesgo
Esta fase implica la evaluación de cada riesgo mediante los valores derivados de los
factores de riesgo, para determinar el valor del riesgo residual.
Esta fase consiste en cuatro pasos:
Pasos:
Objetivo(s) de la Fase:
E.1: Determinar la probabilidad de éxito
Determinar el riesgo residual para cada riesgo
E.2: Determinar la probabilidad residual
E.3: Determinar el impacto residual
E.4: Determinar el riesgo residual
Nota: Esta fase es nueva en IRAM2
Fase E Pasos – Poniéndolo todo junto
E.1 – Probabilidad de Éxito (Likelihood of success, LOS): basado solo en la gravedad de la
amenaza y la eficacia del control (sin pensar en el motivo de la amenaza, ni tampoco
pensar en su posible impacto, de momento)
E.2 – Probabilidad Residual (Residual Likelihood): combinar la Probabilidad de Iniciación
(Likelihood of Initiation, LoI) con la Probabilidad de Éxito (LoS)
E.3 – Impacto Residual (Residual Impact): aparte de los pasos E.1 y E.2, suponiendo que
el evento ocurra, se calcula el impacto al negocio contando con los controles (conocido
como tasación residual del impacto en el negocio, residual business impact rating)
E.4 – Riesgo Residual (Residual Risk): La Probabilidad Residual x el Impacto Residual
Fase F – Tratamiento del Riesgo
Esta fase implica informar sobre la evaluación del riesgo residual al propietario del
riesgo para que tome las decisiones correspondientes, sobre un plan de
tratamiento y validación.
Esta fase consiste en tres pasos:
Pasos:
Objetivo(s) de la Fase:
F.1: Evaluar el apetito del riesgo
Determinar un tratamiento de riesgos por cada riesgo identificado
F.2: Crear el plan de tratamiento del riesgo
F.3: Llevar a cabo el tratamiento y validar
resultados
Esta fase es nueva en IRAM2 y se apoya en la fase previa de Selección de Controles. Pone de
manifiesto la importancia de comprender el apetito de riesgo de las organizaciones para
orientar el proceso de tratamiento del riesgo. Además cubre todas las formas de tratamiento
del riesgo, en vez de solamente la 'mitigación´.
IRAM2 en ISF Live
El grupo de interés de IRAM representa una comunidad
creciente de Miembros que utilizan y se interesan por IRAM.
Personas autorizadas a este grupo pueden acceder mediante:
https://www.isflive.org/groups/iram-programme
IRAM2 Training
La formación de Miembros en IRAM2 se lleva a cabo utilizando una variedad de
métodos, que incluyen:
•
•
•
•
Webcasts periódicas para Miembros en cualquier lugar del mundo
Nivel 1 llevado a cabo en los Capítulos Regionales
Talleres de Nivel 2 que se ofrecen a personas con experiencia
Services To Assist para Miembros que requieran ayuda especifica o sesiones
a medida
IRAM2 Automatización
Para apoyar a los Miembros adoptar e implantar IRAM2 el ISF está explorando
los requerimientos para automatizar la metodología. Actividades claves
incluyen:
• Iniciar conversaciones con varios vendedores sobre el desarrollo de una
aplicación IRAM2
• Determinar el flujo de trabajo para una evaluación de riesgos utilizando el
IRAM2
• Desarrollar una especificación funcional para una aplicación automatizada
• Comenzar el programa de trabajo para entregar una aplicación IRAM2 como
un servicio durante 2015
Los Miembros puedan contribuir a este ejercicio ya!
5.- Conclusiones
• La gestión de riesgos en términos generales y particularmente
de la información, es una de las responsabilidades más
importantes que tiene la Dirección de las Organizaciones.
• Está apoyada por legislaciones aplicables a muchos sectores
que exige llevar a cabo un análisis de riesgo cada cierto tiempo
• Permite saber con mayor detalle el perfil realista de riesgo de la
Organización para rentabilizar mejor las decisiones sobre
evaluación de riesgos
• .. Y debe repetirse cada cuanto tiempo, y cada vez que una
organización encuentre o hace cambios importantes en sus
productos/servicios o en su entorno
5.- Conclusiones – Próximos Pasos
• La metodología IRAM2 está disponible para miembros del ISF
sin coste extra
• La metodología IRAM2 se puede adquirir por no-miembros con
un coste determinado.
• Otros productos del ISF, como Standard of Good Practice y
Benchmark darán mucho apoyo en varias fases de IRAM2
• Una vez adquirido IRAM2 sugerimos que se implanta la
etodología e
odo piloto pa a ap e de có o se e caje
en vuestras organizaciones
• .. Y después desarrollarla en fases
¿Preguntas?
Gracias