Gestión de riesgos

dit-upm
Seguridad de la Información
gestión de riesgos
(versión corta)
José A. Mañas < http://www.dit.upm.es/~pepe/>
Dep. de Ingeniería de Sistemas Telemáticos
E.T.S. Ingenieros de Telecomunicación
Universidad Politécnica de Madrid
14 de octubre de 2015
sistema de información
dit
 Los ordenadores y redes de comunicaciones electrónicas, así
como los datos electrónicos almacenados, procesados,
recuperados o transmitidos por los mismos para su operación,
uso, protección y mantenimiento
 Los sistemas tienen una o dos misiones esenciales
1. custodiar datos
para que puedan ser utilizados por quien debe cuando quiera
2. prestar servicios

administrativos

comerciales

industriales
gestión de riesgos
2
puntos de vista
dit
 Los usuarios del SI ven la seguridad como
 confianza
 Los técnicos ven la seguridad como
 componentes, dispositivos, software, ...
 Los atacantes ven la seguridad como
 aquello que impide sus objetivos
 Los gestores ven la seguridad como
 gestión de riesgos
gestión de riesgos
The same solution that keeps out the bad
(specially it if mutates)
will also keep out the good.
3
P. Herzog
riesgos
dit
 Toda actividad está sujeta a riesgos
 riesgo = suceso no garantizado
puede ser positivo: éxito
puede ser negativo: incidente
 Toda actividad basada en sistemas TIC
está expuesta a riesgos operacionales (riesgos TIC)
 Es obligación del buen gobierno
 prevenir los riesgos
 estar preparados para reaccionar a lo improbable
 maximizar la posibilidades de
cumplir con la misión de la organización
 Gestionar los riesgos es un proceso
cuyo primer paso es conocerlos
gestión de riesgos
4
percepción del riesgo
dit
 Hay una tendencia natural a obviar lo que no se percibe
 “eso no me va a pasar a mi” | “eso nunca ocurre”
 Hay una tendencia natural a corregir lo que molesta
 incluso si no tiene mayores consecuencias
 El miedo paraliza
 La paranoia es irracional
 Aspectos reputacionales de la prevención de riesgos
 las medidas preventivas vienen lastradas por la merma de productividad
(los usuarios tienen a obviarlas)
 las medidas reactivas son [maniqueamente] explotadas
por las víctimas y sus corifeos
 risk allocation
 risk owner = who pays the bill?
gestión de riesgos
5
Common Criteria - ISO 15408
dit
valoran
propietarios
desean minimizar
imponen
para reducir
salvaguardas
que pueden
tener
reducidas por
vulnerabilidades
conscientes de
llevan a
atacantes
explotan
dan pie a
riesgo
sobre
incrementan
activos
amenazas
sobre
abusan de y/o pueden dañar
gestión de riesgos
6
gestión de riesgos
dit
activos
amenazas
vulnerabilidades
salvaguardas
tratamiento
del riesgo
riesgo
residual
gestión de riesgos
7
objetivos de la seguridad TIC
dit
 Mantener la confidencialidad de los datos almacenados,
procesados y transmitidos
 contra las filtraciones
 Mantener la integridad de los datos ...
 contra las manipulaciones
 Mantener la disponibilidad de los datos almacenados, así como
su disposición a ser compartidos
 contra la interrupción del servicio
 Asegurar la identidad de origen y destino (autenticidad)
 frente a la suplantación o engaño
 Asegurar la trazabilidad de las actuaciones
 capacidad de analizar para perseguir y aprender
gestión de riesgos
8
dit
asegurar todos los niveles
 Servicios
 Datos / información
 Datos / información
 Servicios
esencial: negocio
 Aplicaciones (software)
soporte
 Equipos informáticos (hardware)
 Redes de comunicaciones
 Soportes de información
 Equipamiento auxiliar
 Instalaciones (locales, etc.)
 Personal
gestión de riesgos
9
análisis (potencial)
dit
magerit
están expuestos a
activos
Interesan por su
amenazas
valor
causan una cierta
degradación
impacto
con una cierta
probabilidad
riesgo
gestión de riesgos
10
análisis (residual)
dit
magerit
están expuestos a
activos
Interesan por su
amenazas
valor
causan una cierta
degradación
residual
impacto
residual
con una cierta
tipo de activo
dimensión
amenaza
nivel de riesgo
gestión de riesgos
probabilidad
residual
riesgo
residual
salvaguardas
11
dit
 Preventivas
tipos de protección
 Administración
 Disuasorias
 Eliminación
 Concienciación
y formación
 Minimizan el impacto
 Correctivas
 Recuperación
gestión de riesgos
 Monitorización
 Detección
12
elementos de seguridad
dit
 Activos a proteger
 Amenazas sobre nuestros activos
 personas, cosas o eventos
 Contramedidas o salvaguardas que
 reducen las oportunidades o
 limitan el impacto
 Indicadores
 impacto de la materialización de las amenazas
 riesgo que se corre en un sistema real
gestión de riesgos
13
dit
tipos de activos
 Servicios
 Datos / información
 Datos / información
 Servicios
 Aplicaciones (software)
negocio
ingeniería
aprovisionamiento
 Equipos informáticos (hardware)
 Redes de comunicaciones
 Soportes de información
 Equipamiento auxiliar
 Instalaciones (locales, etc.)
 Personal
gestión de riesgos
14
dit
unos activos dependen de otros
información
esencial
servicios
software
equipamiento
[hw + com + si + aux]
instalaciones
gestión de riesgos
personal
15
acumulación y repercusión
dit
 Las dependencias crean la necesidad de proteger los activos
inferiores para que cumplan su misión última
 acumulación de responsabilidad
 Las dependencias hacen a los activos superiores víctimas
pasivas de los defectos de los inferiores
 repercusión de consecuencias
 Para ser prácticos o constructivos
 estudiamos qué le puede pasar a los activos de soporte
y lo valoramos en función de las consecuencias sobre los esenciales
gestión de riesgos
16
valoración
dit
 Coste que supondría la ocurrencia de una amenaza
 interrupción de servicio: indisponibilidad
 pérdida del secreto: no confidencialidad
 pérdida de la integridad: fraude
 pérdida de la autenticidad: falsedad
 pérdida de la trazabilidad: incapacidad para perseguir y aprender
 No sólo importa lo que cuesta;
importa [más] para qué vale
 Para un estudio comparativo basta alguna escala sencilla:
 0, 1, 2, ..., 10
 es más importante saber el valor relativo que el absoluto
 Para un estudio de costes se requiere una estimación ajustada
gestión de riesgos
17
valoración
dit
 Cualitativa
 hay cosas que no tienen precio
 intangibles

inhabilitación de una misión

perjuicio de imagen

perjuicio a las relaciones
de la organización

...
 Cuantitativa
 el desembolso económico
que conllevaría
 euros
gestión de riesgos
18
valor cualitativo
dit
 Criterios homogéneos que permitan
 relativizar entre dimensiones
 compartir / combinar análisis
realizados por separado
10
muy alto
9
 uniformidad de conocimiento
8
alto
7
6
valor
10 - muy alto
8 - alto
5 - medio
2 - bajo
0 - despreciable
gestión de riesgos
criterio
daño muy grave
daño grave
daño importante
daño menor
daño irrelevante
5
medio
4
repercute en otros
queda en casa
3
2
bajo
1
0
despreciable
19
¿qué activos valoramos?
dit
 Los datos (información)
 sin duda
 Los servicios finales
 probablemente SÍ:
activos
esenciales
 es lo que entiende la Dirección
 Los demás activos
 probablemente
sólo tienen valor en función de los datos que manejan
y los servicios que habilitan
 ¿sólo?
gestión de riesgos
20
amenazas
dit
 Son los eventos que pueden desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas
inmateriales
naturales
terremotos, inundaciones, rayos, ...
accidentales
industriales
electricidad, emanaciones, ...
humanas: errores y omisiones
deliberadas
(intencionales)
gestión de riesgos
intercepción pasiva o activa
intrusión, espionaje, ...
robo, fraude, ...
21
análisis de amenazas
dit
 Identificación
 ¿qué puede ocurrir [que deba preocuparnos]?
 por experiencia (propia o ajena)
 por la propia naturaleza del activo (clase)
 Cuantificación
 probabilidad de ocurrencia

es difícil predecir el futuro (¿subjetivo?)

ARO – Annual Rate of Occurrence
tasa anual: 0.1 - 1 - 10 - 100
 consecuencias [sobre el valor de los activos]

es fácil imaginar el daño

0% - 1% - 10% - 100%
gestión de riesgos
22
indicadores
dit
IMPACTO
 Consecuencia que sobre un activo tiene la materialización de una
amenaza
 pérdida posible
RIESGO
 Estimación del grado de exposición a que una amenaza se
materialice sobre uno o más activos causando daños o perjuicios
a la organización
 pérdida probable
gestión de riesgos
23
estimación cualitativa
dit
impacto
probabilidad
gestión de riesgos
24
mitigación de riesgos
dit
impacto
potencial
residual
probabilidad
gestión de riesgos
25
tratamientos
dit
 Se evita
 eliminando activos
 cambio de arquitectura
 Se mitiga
 poniendo o mejorando salvaguardas
 Se transfiere | se comparte
 cualitativo: externalización
 cuantitativo: seguro
 Se acepta
 ... monitorización + reacción
analizar otro sistema
 hay que cuidar la reputación:

departamento de comunicación

departamento legal
gestión de riesgos
26
zonas de impacto y riesgo
dit
impacto
4
1
2
3
probabilidad
gestión de riesgos
27
equilibrio valor-coste
dit
valor | coste
coste de la protección
inherente
potencial
riesgo residual
óptimo
nivel de protección
gestión de riesgos
28
informe de riesgos
dit
 opciones para pasar de una situación (indeseable) a otra mejor
 descripción de los riesgos

activo(s) + amenaza + impacto + probabilidad = riesgo
 solución propuesta

(a(s) + a + i + p) /residual = riesgo /residual

cambio de activos

cambio | introducción de salvaguardas

costes de implantación + recurrentes
 para que alguien tome una decisión
análisis
gestión de riesgos
informe
tratamiento
29
conclusiones
dit
 Cuantificar el riesgo y demostrar que está bajo control
 es necesario
 es laborioso
 es recurrente
 Es el fundamento de la gestión de la seguridad
gestión de riesgos
30
dit
el análisis de riesgos no es simple
 Muchos activos
 los sistemas son complejos
 Activos de muchos tipos
... lleva tiempo
... cuesta dinero
... no vale una vez y para siempre
 información, servicos
 equipamiento: aplicaciones, equipos, comunicaciones, ...
 locales: recintos, edificios, áreas, ..., en el campo
 personas: usuarios, operadores, desarrolladores, ...
 Muchas amenazas
 y muchas formas de hilvanar las amenazas
 Muchísimas salvaguardas
 gestión, técnicas, seguridad física, recursos humanos
gestión de riesgos
31
¿cuándo?
dit
 El análisis de riesgo muestra su máxima eficacia cuando se
realiza antes del despliegue de un sistema
 y las salvaguardas se incorporan al diseño de la solución
 Es necesario cuando
 un sistema se hace cargo de nuevas o más importantes misiones
que aquellas para las que fue diseñado

morir de éxito
 cambia el perfil de vulnerabilidad

gestión de riesgos
ej. exposición a Internet
32
bibliografía
dit
 Magerit v3 - 2012
 Metodología de análisis y gestión de riesgos de los sistemas de
información
 http://administracionelectronica.gob.es/
 PILAR
 implementación de magerit++
 http://www.pilar-tools.com/es/
gestión de riesgos
33
bibliografía multimedia
dit
 Intypedia
 Lección 11. Análisis y gestión de riesgos
 Diciembre de 2011
 Vídeo: http://www.youtube.com/watch?v=EgiYIIJ8WnU
 Vídeos del VI Ciclo de Conferencias UPM TASSI 2010
 Gestión de Riesgos en Sistemas de Información
 Vídeo: http://www.youtube.com/watch?v=-lbbPJd_adE
gestión de riesgos
34
referencias
dit
 USA : NIST SP-800-30:2002
Risk Management Guide for Information Technology Systems

The only mandatory requirement under the FISMA security standards
and guidance is the application of the NIST Risk Management
Framework — everything else is negotiable.
 AS/NZ : AS/NZS 4360:2004
Risk management

gestión de riesgos
Risk management involves managing to achieve an appropriate balance
between realizing opportunities for gains while minimizing losses.
35
bibliografía
dit
 US: NIST SP 800-30 Rev.1 Sept. 2012
Guide for Conducting Risk Assessments
 AS/NZ : AS/NZS 4360:2004
Risk management
 DE : IT-Grundschutz
 https://www.bsi.bund.de/cln_174/EN/Topics/ITGrundschutz/itgrundsc
hutz_node.html
 FR : EBIOS
 Expression des Besoins et Identification des Objectifs de Sécurité
 http://www.ssi.gouv.fr/site_article173.html
gestión de riesgos
36
bibliografía
dit
 UNE-ISO 31000:2010
Gestión del riesgo – Principios y directrices
 UNE-ISO/IEC Guía 73:2010
Gestión del riesgo – Vocabulario
 US: SP 800-39:2011
Managing Information Security Risk: Organization, Mission, and
Information System View
 US: SP 800-37 Rev. 1, 2010
Guide for Applying the Risk Management Framework to Federal
Information Systems: A Security Life Cycle Approach
 ISACA
 The Risk IT Framework (2010)
 The Risk IT Practitioner Guide (2009)
gestión de riesgos
37
dit
bibliografía
 UNE-EN 31010:2011
Gestión del riesgo – Técnicas de apreciación del riesgo
 UNE 71504:2008
Metodología de análisis y gestión de riesgos
de los sistemas de información
 ISO/IEC 27005:2011
Information technology -- Security techniques -- Information
security risk management
gestión de riesgos
38
dit
libros
 Information Security Risk Analysis, Third Edition
Thomas R. Peltier
Mar 12, 2010
 Managing Information Security Risks:
The OCTAVE (SM) Approach
Christopher Alberts, and Audrey Dorofee
Jul 19, 2002
gestión de riesgos
39