dit-upm Seguridad de la Información gestión de riesgos (versión corta) José A. Mañas < http://www.dit.upm.es/~pepe/> Dep. de Ingeniería de Sistemas Telemáticos E.T.S. Ingenieros de Telecomunicación Universidad Politécnica de Madrid 14 de octubre de 2015 sistema de información dit Los ordenadores y redes de comunicaciones electrónicas, así como los datos electrónicos almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento Los sistemas tienen una o dos misiones esenciales 1. custodiar datos para que puedan ser utilizados por quien debe cuando quiera 2. prestar servicios administrativos comerciales industriales gestión de riesgos 2 puntos de vista dit Los usuarios del SI ven la seguridad como confianza Los técnicos ven la seguridad como componentes, dispositivos, software, ... Los atacantes ven la seguridad como aquello que impide sus objetivos Los gestores ven la seguridad como gestión de riesgos gestión de riesgos The same solution that keeps out the bad (specially it if mutates) will also keep out the good. 3 P. Herzog riesgos dit Toda actividad está sujeta a riesgos riesgo = suceso no garantizado puede ser positivo: éxito puede ser negativo: incidente Toda actividad basada en sistemas TIC está expuesta a riesgos operacionales (riesgos TIC) Es obligación del buen gobierno prevenir los riesgos estar preparados para reaccionar a lo improbable maximizar la posibilidades de cumplir con la misión de la organización Gestionar los riesgos es un proceso cuyo primer paso es conocerlos gestión de riesgos 4 percepción del riesgo dit Hay una tendencia natural a obviar lo que no se percibe “eso no me va a pasar a mi” | “eso nunca ocurre” Hay una tendencia natural a corregir lo que molesta incluso si no tiene mayores consecuencias El miedo paraliza La paranoia es irracional Aspectos reputacionales de la prevención de riesgos las medidas preventivas vienen lastradas por la merma de productividad (los usuarios tienen a obviarlas) las medidas reactivas son [maniqueamente] explotadas por las víctimas y sus corifeos risk allocation risk owner = who pays the bill? gestión de riesgos 5 Common Criteria - ISO 15408 dit valoran propietarios desean minimizar imponen para reducir salvaguardas que pueden tener reducidas por vulnerabilidades conscientes de llevan a atacantes explotan dan pie a riesgo sobre incrementan activos amenazas sobre abusan de y/o pueden dañar gestión de riesgos 6 gestión de riesgos dit activos amenazas vulnerabilidades salvaguardas tratamiento del riesgo riesgo residual gestión de riesgos 7 objetivos de la seguridad TIC dit Mantener la confidencialidad de los datos almacenados, procesados y transmitidos contra las filtraciones Mantener la integridad de los datos ... contra las manipulaciones Mantener la disponibilidad de los datos almacenados, así como su disposición a ser compartidos contra la interrupción del servicio Asegurar la identidad de origen y destino (autenticidad) frente a la suplantación o engaño Asegurar la trazabilidad de las actuaciones capacidad de analizar para perseguir y aprender gestión de riesgos 8 dit asegurar todos los niveles Servicios Datos / información Datos / información Servicios esencial: negocio Aplicaciones (software) soporte Equipos informáticos (hardware) Redes de comunicaciones Soportes de información Equipamiento auxiliar Instalaciones (locales, etc.) Personal gestión de riesgos 9 análisis (potencial) dit magerit están expuestos a activos Interesan por su amenazas valor causan una cierta degradación impacto con una cierta probabilidad riesgo gestión de riesgos 10 análisis (residual) dit magerit están expuestos a activos Interesan por su amenazas valor causan una cierta degradación residual impacto residual con una cierta tipo de activo dimensión amenaza nivel de riesgo gestión de riesgos probabilidad residual riesgo residual salvaguardas 11 dit Preventivas tipos de protección Administración Disuasorias Eliminación Concienciación y formación Minimizan el impacto Correctivas Recuperación gestión de riesgos Monitorización Detección 12 elementos de seguridad dit Activos a proteger Amenazas sobre nuestros activos personas, cosas o eventos Contramedidas o salvaguardas que reducen las oportunidades o limitan el impacto Indicadores impacto de la materialización de las amenazas riesgo que se corre en un sistema real gestión de riesgos 13 dit tipos de activos Servicios Datos / información Datos / información Servicios Aplicaciones (software) negocio ingeniería aprovisionamiento Equipos informáticos (hardware) Redes de comunicaciones Soportes de información Equipamiento auxiliar Instalaciones (locales, etc.) Personal gestión de riesgos 14 dit unos activos dependen de otros información esencial servicios software equipamiento [hw + com + si + aux] instalaciones gestión de riesgos personal 15 acumulación y repercusión dit Las dependencias crean la necesidad de proteger los activos inferiores para que cumplan su misión última acumulación de responsabilidad Las dependencias hacen a los activos superiores víctimas pasivas de los defectos de los inferiores repercusión de consecuencias Para ser prácticos o constructivos estudiamos qué le puede pasar a los activos de soporte y lo valoramos en función de las consecuencias sobre los esenciales gestión de riesgos 16 valoración dit Coste que supondría la ocurrencia de una amenaza interrupción de servicio: indisponibilidad pérdida del secreto: no confidencialidad pérdida de la integridad: fraude pérdida de la autenticidad: falsedad pérdida de la trazabilidad: incapacidad para perseguir y aprender No sólo importa lo que cuesta; importa [más] para qué vale Para un estudio comparativo basta alguna escala sencilla: 0, 1, 2, ..., 10 es más importante saber el valor relativo que el absoluto Para un estudio de costes se requiere una estimación ajustada gestión de riesgos 17 valoración dit Cualitativa hay cosas que no tienen precio intangibles inhabilitación de una misión perjuicio de imagen perjuicio a las relaciones de la organización ... Cuantitativa el desembolso económico que conllevaría euros gestión de riesgos 18 valor cualitativo dit Criterios homogéneos que permitan relativizar entre dimensiones compartir / combinar análisis realizados por separado 10 muy alto 9 uniformidad de conocimiento 8 alto 7 6 valor 10 - muy alto 8 - alto 5 - medio 2 - bajo 0 - despreciable gestión de riesgos criterio daño muy grave daño grave daño importante daño menor daño irrelevante 5 medio 4 repercute en otros queda en casa 3 2 bajo 1 0 despreciable 19 ¿qué activos valoramos? dit Los datos (información) sin duda Los servicios finales probablemente SÍ: activos esenciales es lo que entiende la Dirección Los demás activos probablemente sólo tienen valor en función de los datos que manejan y los servicios que habilitan ¿sólo? gestión de riesgos 20 amenazas dit Son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales naturales terremotos, inundaciones, rayos, ... accidentales industriales electricidad, emanaciones, ... humanas: errores y omisiones deliberadas (intencionales) gestión de riesgos intercepción pasiva o activa intrusión, espionaje, ... robo, fraude, ... 21 análisis de amenazas dit Identificación ¿qué puede ocurrir [que deba preocuparnos]? por experiencia (propia o ajena) por la propia naturaleza del activo (clase) Cuantificación probabilidad de ocurrencia es difícil predecir el futuro (¿subjetivo?) ARO – Annual Rate of Occurrence tasa anual: 0.1 - 1 - 10 - 100 consecuencias [sobre el valor de los activos] es fácil imaginar el daño 0% - 1% - 10% - 100% gestión de riesgos 22 indicadores dit IMPACTO Consecuencia que sobre un activo tiene la materialización de una amenaza pérdida posible RIESGO Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización pérdida probable gestión de riesgos 23 estimación cualitativa dit impacto probabilidad gestión de riesgos 24 mitigación de riesgos dit impacto potencial residual probabilidad gestión de riesgos 25 tratamientos dit Se evita eliminando activos cambio de arquitectura Se mitiga poniendo o mejorando salvaguardas Se transfiere | se comparte cualitativo: externalización cuantitativo: seguro Se acepta ... monitorización + reacción analizar otro sistema hay que cuidar la reputación: departamento de comunicación departamento legal gestión de riesgos 26 zonas de impacto y riesgo dit impacto 4 1 2 3 probabilidad gestión de riesgos 27 equilibrio valor-coste dit valor | coste coste de la protección inherente potencial riesgo residual óptimo nivel de protección gestión de riesgos 28 informe de riesgos dit opciones para pasar de una situación (indeseable) a otra mejor descripción de los riesgos activo(s) + amenaza + impacto + probabilidad = riesgo solución propuesta (a(s) + a + i + p) /residual = riesgo /residual cambio de activos cambio | introducción de salvaguardas costes de implantación + recurrentes para que alguien tome una decisión análisis gestión de riesgos informe tratamiento 29 conclusiones dit Cuantificar el riesgo y demostrar que está bajo control es necesario es laborioso es recurrente Es el fundamento de la gestión de la seguridad gestión de riesgos 30 dit el análisis de riesgos no es simple Muchos activos los sistemas son complejos Activos de muchos tipos ... lleva tiempo ... cuesta dinero ... no vale una vez y para siempre información, servicos equipamiento: aplicaciones, equipos, comunicaciones, ... locales: recintos, edificios, áreas, ..., en el campo personas: usuarios, operadores, desarrolladores, ... Muchas amenazas y muchas formas de hilvanar las amenazas Muchísimas salvaguardas gestión, técnicas, seguridad física, recursos humanos gestión de riesgos 31 ¿cuándo? dit El análisis de riesgo muestra su máxima eficacia cuando se realiza antes del despliegue de un sistema y las salvaguardas se incorporan al diseño de la solución Es necesario cuando un sistema se hace cargo de nuevas o más importantes misiones que aquellas para las que fue diseñado morir de éxito cambia el perfil de vulnerabilidad gestión de riesgos ej. exposición a Internet 32 bibliografía dit Magerit v3 - 2012 Metodología de análisis y gestión de riesgos de los sistemas de información http://administracionelectronica.gob.es/ PILAR implementación de magerit++ http://www.pilar-tools.com/es/ gestión de riesgos 33 bibliografía multimedia dit Intypedia Lección 11. Análisis y gestión de riesgos Diciembre de 2011 Vídeo: http://www.youtube.com/watch?v=EgiYIIJ8WnU Vídeos del VI Ciclo de Conferencias UPM TASSI 2010 Gestión de Riesgos en Sistemas de Información Vídeo: http://www.youtube.com/watch?v=-lbbPJd_adE gestión de riesgos 34 referencias dit USA : NIST SP-800-30:2002 Risk Management Guide for Information Technology Systems The only mandatory requirement under the FISMA security standards and guidance is the application of the NIST Risk Management Framework — everything else is negotiable. AS/NZ : AS/NZS 4360:2004 Risk management gestión de riesgos Risk management involves managing to achieve an appropriate balance between realizing opportunities for gains while minimizing losses. 35 bibliografía dit US: NIST SP 800-30 Rev.1 Sept. 2012 Guide for Conducting Risk Assessments AS/NZ : AS/NZS 4360:2004 Risk management DE : IT-Grundschutz https://www.bsi.bund.de/cln_174/EN/Topics/ITGrundschutz/itgrundsc hutz_node.html FR : EBIOS Expression des Besoins et Identification des Objectifs de Sécurité http://www.ssi.gouv.fr/site_article173.html gestión de riesgos 36 bibliografía dit UNE-ISO 31000:2010 Gestión del riesgo – Principios y directrices UNE-ISO/IEC Guía 73:2010 Gestión del riesgo – Vocabulario US: SP 800-39:2011 Managing Information Security Risk: Organization, Mission, and Information System View US: SP 800-37 Rev. 1, 2010 Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach ISACA The Risk IT Framework (2010) The Risk IT Practitioner Guide (2009) gestión de riesgos 37 dit bibliografía UNE-EN 31010:2011 Gestión del riesgo – Técnicas de apreciación del riesgo UNE 71504:2008 Metodología de análisis y gestión de riesgos de los sistemas de información ISO/IEC 27005:2011 Information technology -- Security techniques -- Information security risk management gestión de riesgos 38 dit libros Information Security Risk Analysis, Third Edition Thomas R. Peltier Mar 12, 2010 Managing Information Security Risks: The OCTAVE (SM) Approach Christopher Alberts, and Audrey Dorofee Jul 19, 2002 gestión de riesgos 39
© Copyright 2024