Análisis y Gestión de Riesgos.pdf

Seguridad Informtica I

Especializacin Seguridad en Redes Telemticas

Anlisis y Gestin de Riesgos

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

QUE ES EL ANLISIS DE RIESGOS?

El anlisis de riesgo (tambin conocidocomo evaluacin de riesgo o PHA por sus siglasen ingles: Process Hazards Analysis) es elestudio de las causas de las posibles amenazas,y los daos y consecuencias que stas puedanproducir.

Este tipo de anlisis es ampliamente utilizadocomo herramienta de gestin en estudiosfinancieros y de seguridad para identificarriesgos (mtodos cualitativos) y otras paraevaluar riesgos (generalmentede naturaleza cuantitativa).

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

PASOS PARA EL ANLISIS DE RIESGOS

1. Determinar los activos relevantes para la Organizacin, suinterrelacin y su valor, en el sentido de qu perjuicio(costo) supondra su degradacin.

2. Determinar a qu amenazas estn expuestos aquellosactivos.

3. Determinar qu salvaguardas hay dispuestas y cuneficaces son frente al riesgo.

4. Estimar el impacto, definido como el dao sobre el activoderivado de la materializacin de la amenaza.

5. Estimar el riesgo, definido como el impacto ponderado conla tasa de ocurrencia (o expectacin de materializacin)de la amenaza.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

MODELO DEL ANLISIS DE RIESGOS

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

1. Caracterizacin de Activos

La primera etapa del anlisis de riesgos es larealizacin de un inventario de activos,entendiendo por activo segn MAGERIT: losrecursos del sistema de informacin orelacionados con ste, necesarios para que laOrganizacin funcione correctamente yalcance los objetivos propuestos por sudireccin. Dicho de otro modo, los activos crticosestn formados por todos los activos que seconsideran de importancia para el negocio de laorganizacin.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

1. Caracterizacin de Activos

El activo esencial: informacin (datos)

- Los servicios - Las aplicaciones informticas (software) - Los equipos informticos (hardware)- Los soportes de informacin - El equipamiento auxiliar - Las redes de comunicaciones - Las instalaciones - Las personas

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

1. Caracterizacin de Activos

La segunda etapa del anlisis de riesgos dentro de lacaracterizacin de activos supone establecer las dependenciasentre los distintos activos de un modo jerarquizado, evaluandoel grado de vinculacin entre activos y en funcin de losparmetros disponibilidad, integridad, confidencialidad,autenticidad y trazabilidad

Para llevar a cabo la definicin de dependencias la metodologamagerit propone una estructura de 5 capas, las cuales seidentifican a continuacin empezando por la inferior:

1. Entorno: equipamiento auxiliar, personal y

edificios.

2. Sistema de informacin: hardware,

software, comunicaciones y soportes.

3. Informacin:Datos.

4. Funciones de la organizacin: Servicios

finales.

5. Otros activos: Imagen, know how, etc.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

1. Caracterizacin de Activos

capa 1: el entorno: activos que se precisan para garantizar las siguientes capas

equipamiento y suministros: energa, climatizacin, comunicaciones personal: de direccin, de operacin, de desarrollo, etc. otros: edificios, mobiliario, etc.

capa 2: el sistema de informacin propiamente dicho equipos informticos (hardware) aplicaciones (software) comunicaciones soportes de informacin: discos, cintas, etc.

capa 3: la informacin datos meta-datos: estructuras, ndices, claves de cifrado, etc.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

1. Caracterizacin de Activos

capa 4: las funciones de la Organizacin, que justifican la existencia del sistema de informacin y le dan finalidad

objetivos y misin bienes y servicios producidos

capa 5: otros activos credibilidad o buena imagen conocimiento acumulado independencia de criterio o actuacin intimidad de las personas integridad fsica de las personas

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

1. Caracterizacin de Activos

Dimensiones

su autenticidad: qu perjuicio causara no saberexactamente quien hace o ha hecho cada cosa?

su confidencialidad: qu dao causara que loconociera quien no debe?

su integridad: qu perjuicio causara queestuviera daado o corrupto?

su disponibilidad: qu perjuicio causara notenerlo o no poder utilizarlo?

la trazabilidad del uso del servicio: qu daocausara no saber a quin se le presta tal servicio?

la trazabilidad del acceso a los datos: qu daocausara no saber quin accede a qu datos y quhace con ellos?

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

1. Caracterizacin de ActivosValoracin

Factores

Costo de reposicin: adquisicin e instalacin.

Costo de mano de obra (especializada) invertida enrecuperar (el valor) del activo.

Lucro cesante: prdida de ingresos.

Capacidad de operar: confianza de los usuarios yproveedores que se traduce en una prdida de actividad oen peores condiciones econmicas.

Sanciones por incumplimiento de la ley u obligacionescontractuales.

Dao a otros activos, propios o ajenos.

Dao a personas.

Daos medioambientales.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

1. Caracterizacin de Activos

VALORACIN

- Cuantitativa (con una cantidad numrica).

- Cualitativa (en alguna escala de niveles)

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

2. CARACTERIZACIN DE AMENAZAS

Una vez finalizada la parte de activos, se debe en primerlugar identificar las amenazas que afectan a los activos.Una vez identificadas las amenazas, se debe establecerla valoracin de las amenazas, mediante los siguientesdos parmetros:

degradacin: cun perjudicado resultara el activo.

frecuencia: cada cunto se materializa la amenaza.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

3. CARACTERIZACIN DE SALVAGUARDAS

Para poder obtener el nivel de riesgo al que la entidadactualmente est sometida, es necesario tener encuenta en el anlisis de riesgos las salvaguardasimplantados en la entidad. Estas salvaguardas afectandel siguiente modo al riesgo:

Reduciendo la frecuencia de las amenazas:medidas preventivas para limitar la materializacin dela amenaza.

Limitando el impacto: medidas correctoras y enmenor medida detectivas, las cuales mitigan elimpacto ante la materializacin de la amenaza o loque es lo mismo, disminuyen el factor de degradacinde valor.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

3. CARACTERIZACIN DE SALVAGUARDAS

La salvaguarda ideal es 100% eficaz, lo que implicaque:

Es tericamente idnea. Est perfectamente desplegada, configurada y

mantenida. Se emplea siempre. Existen procedimientos claros de uso normal y

en caso de incidencias. Los usuarios estn formados y concienciados. Existen controles que avisan de posibles fallos.

Entre una eficacia del 0% para aquellas que estn deadorno y el 100% para aquellas que son perfectas, seestimar un grado de eficacia real en cada casoconcreto.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

4. DETERMINAR EL IMPACTO

Impacto acumulado: Es el calculado sobre un activo teniendoen cuenta:

Su valor acumulado (el propio mas el acumulado de losactivos que dependen de l).

Las amenazas a que est expuesto

Impacto repercutido: Es el calculado sobre un activo teniendoen cuenta:

Su valor propio. Las amenazas a que estn expuestos los activos de los

que depende.

Se denomina impacto a la medida del dao sobre el activoproducido por la materializacin de una amenaza. Conociendo elvalor de los activos (en varias dimensiones) y la degradacinque causan las amenazas, se obtiene el impacto que estastendran sobre el sistema.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

5. DETERMINAR EL RIESGO

Se denomina riesgo a la medida del dao probable sobre unsistema. Conociendo el impacto de las amenazas sobre losactivos, es posible obtener el riesgo sin ms que tener encuenta la probabilidad de ocurrencia.

Riesgo acumulado: Es el calculado sobre un activo teniendoen cuenta:

El impacto acumulado sobre un activo debido a unaamenaza y,

La frecuencia de la amenaza.

Riesgo repercutido: Es el calculado sobre un activoteniendo en cuenta:

El impacto repercutido sobre un activo debido a unaamenaza y,

La frecuencia de la amenaza.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis de Riesgos

MODELO DEL ANLISIS DE RIESGOS

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Gestin de Riesgos

INTERPRETACIN

Interpretacin de los valores de impacto y riesgo residuales

Si el valor residual es igual al valor potencial, las salvaguardasexistentes no valen para nada, tpicamenteno porque no haya nada hecho, sino porque hay elementosfundamentales sin hacer.

Si el valor residual es despreciable, ya est. Esto no quieredecir descuidar la guardia; pero si afrontar el da con ciertaconfianza.

Mientras el valor residual sea ms que despreciable, hay unacierta exposicin.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Gestin de Riesgos

SELECCIN DE SALVAGUARDAS

1. Establecer una poltica de la Organizacin al respecto:directrices generales de quin es responsable de cadacosa.

2. Establecer una norma: objetivos a satisfacer parapoder decir con propiedad que la amenaza ha sidoconjurada.

3. Establecer unos procedimientos: instrucciones pasoa paso de qu hay que hacer.

4. Desplegar salvaguardas tcnicas que efectivamentese enfrenten a las amenazas con capacidad paraconjurarlas.

5. Desplegar controles que permitan saber que todo loanterior est funcionando segn lo previsto.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Gestin de Riesgos

EQUILIBRIO ENTRE:

Salvaguardas tcnicas: en aplicaciones, equipos ycomunicaciones.

Salvaguardas fsicas: protegiendo el entorno detrabajo de las personas y los equipos.

Medidas de organizacin: de prevencin y gestinde las incidencias.

Poltica de personal: que, a fin de cuentas, es eleslabn imprescindible y ms delicado: poltica decontratacin, formacin permanente, Organizacin dereporte de incidencias, plan de reaccin y medidasdisciplinarias.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Gestin de Riesgos

GRADO DE SEGURIDAD

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Gestin de Riesgos

ESPECIFICACIONES TECNICAS

1. Anlisis mediante tablas

Estimacin del impacto

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Gestin de Riesgos

ESPECIFICACIONES TECNICAS

1. Anlisis mediante tablas

Estimacin del riesgo

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Gestin de Riesgos

ESPECIFICACIONES TECNICAS

2. Anlisis algortmico.

Un modelo cualitativo

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Gestin de Riesgos

ESPECIFICACIONES TECNICAS

2. Anlisis algortmico.

Un modelo cuantitativo

Ejemplo.

Sea un activo valorado en 1.000.000, que es vctima de una amenaza que lo degrada un 90%.

El impacto es de cuanta

1.000.000 x 90% = 900.000

Si la frecuencia estimada es de 0,1, el riesgo es de cuanta

900.000 x 0,1 = 90.000

Si las salvaguardas tienen un 90% de eficacia sobre el impacto, el impacto residual es

900.000 x (1 0,9) = 90.000

Si las salvaguardas tienen un 50% de eficacia sobre la frecuencia, la frecuencia residual queda

en

0,1 x (1 0,5) = 0,05

El riesgo residual queda en

90.000 x 0,05 = 4.500

La eficacia combinada de las salvaguardas es

1 (1 90%) x (1 50%) = 95%

Si las cantidades son euros y las frecuencias anuales, la prdida posible es de 90.000 euros y la

prdida anual se estima en 4.500 euros.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Gestin de Riesgos

ESPECIFICACIONES TECNICAS

Tcnicas generales

1. Anlisis coste beneficio.

2. Diagramas de flujo de datos (DFD).

3. Diagramas de procesos (SADT).

4. Tcnicas grficas: GANTT, histogramas,

diagramas de Pareto y de torta.

5. Tcnicas de planificacin y gestin de proyectos

(PERT).

6. Sesiones de trabajo: entrevistas, reuniones y

presentaciones.

7. Valoraciones Delphi.

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Gestin de Riesgos

GRAFICA DE ESTADO

AN

A

L

I

S

I

S

Y

G

E

S

T

I

O

N

D

E

R

I

E

S

G

O

S

Anlisis y Gestin de Riesgos

.?

Muchas gracias por su tiempo