ANALISISYGESTIONDERIESGOS, ANALISIS Y GESTION DE RIESGOS BASEFUNDAMENTALDELSGSI Caso:METODOLOGIAMAGERIT

ArmandoCarvajal GerenteConsultora GlobaltekSecurity armando.carvajal@globalteksecurity.com Msc M enseguridadinformticadelaUniversidadOberta d C l id d i f i d l U i id d Ob deCatalunya E Espaa EspecialistaenconstruccindesoftwarepararedesUniandes,Colombia Ing.Sistemas UniversidadIncca deColombia

Antecedentes

Por que medir el riesgo?

"La medicin es el primer paso para el control y la mejora. Si algo no se puede medir, no se puede entender. Si no se entiende, no se puede controlar. controlar Si no se puede controlar no se puede mejorar controlar, mejorar. H.James Harrington

Toda ti id d T d actividad para que logre los objetivos de g j manera eficiente debe ser p planeada y debe tener unos beneficios claros

UNA URBANIZACIN

UN CENTRO VACACIONAL

UN CRUCE DE AUTOPISTAS

IMPROVISANDO TAMBIEN SE CRECE ..

PERO LOS RESULTADOS NO SON LOS MEJORES

Y LOS COSTOS SE ELEVAN EN FORMA EXPONENCIAL

ELRIESGOOPERACIONAL

Es la posibilidad de incurrir en prdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la Tecnologa, la infraestructura o por la ocurrencia de g , p acontecimientos externos
Superfinanciera de Colombia

ACTORESDELASEGURIDAD ACTORES DE LA SEGURIDAD

Infraestructura

Administracin

Factor Humano

CircularesSuperfinanciera p

La Circular Externa 041 de 2007, aprob la implementacin del Sistema de Administracin de Riesgos Operativos

QUEESANLISISDERIESGOS?
Es l consideracin sistemtica del dao la l probable que puede causar en el negocio un fallo en la seguridad de la informacin informacin, con las consecuencias potenciales de p prdida de confidencialidad, integridad y , g disponibilidad de la informacin

CUANTOINVERTIRENSEGURIDADDELA INFORMACION?
La respuesta esta directamente relacionada con EL VALOR DEL ACTIVO A PROTEGER El valor de un activo depende de varios factores: No solo de su costo de adquisicin La informacin contenida en los activos Los procesos controlados El impacto en la organizacin cuando falle

Cuando debo invertir?

PROCESODEEVALUACION DELRIESGO
Amenazas
Aprovechan

Vulnerabilidades
Exponen

Aumentan Protegen de

Aumentan

Controles

Disminuyen y

Riesgos

Activos

Marcan Imponen Impactan si se materializan Aumenta

Tienen

Requerimientos de seguridad
Juan Carlos Reyes, Seltika, 2007

Valor de los Activos

Riesgo (1 de 2)
Es la posibilidad de que se p produzca un impacto sobre algn p g activo (Incurrir en perdidas)

Riesgo (2 de 2)
El control del riesgo como resultado del anlisis de riesgos, es un proceso complejo que parte de la determinacin de los activos y las amenazas

PROCESODEEVALUACION DELRIESGO
Amenazas
Aprovechan

Vulnerabilidades
Exponen

Aumentan Protegen de

Aumentan

Controles

Disminuyen y

Riesgos

Activos

Marcan Imponen Impactan si se materializan Aumenta

Tienen

Requerimientos de seguridad
Juan Carlos Reyes, Seltika, 2007

Valor de los Activos

Amenazas (1 de 4)
Las amenazas son los eventos que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos

Amenazas (2 de 4)
La consecuencia de la amenaza, si se materializa, es un incidente que modifica el estado de seguridad de los activos amenazados Es decir, hace pasar el activo de un ado a a o o o do o o estado inicial anterior conocido a otro posterior, que puede ser no deseable

Amenazas (3 de 4) ( )
Los activos estn expuestos a muchas clases de amenazas Las cuales pueden explotar sus vulnerabilidades

Amenazas (4 de 4)
Los controles de seguridad que se implementen se seleccionarn teniendo en cuenta las vulnerabilidades vulnerabilidades, no las amenazas (*)

PROCESODEEVALUACION DELRIESGO
Amenazas
Aprovechan

Vulnerabilidades
Exponen

Aumentan Protegen de

Aumentan

Controles

Disminuyen y

Riesgos

Activos

Marcan Imponen Impactan si se materializan Aumenta

Tienen

Requerimientos de seguridad
Juan Carlos Reyes, Seltika, 2007

Valor de los Activos

Vulnerabilidades(1de4)
Falla Falla, error, causa

Vulnerabilidades(2de4)
Tambin se le conoce a la vulnerabilidad como una lne abilidad na debilidad Agujero, falla o error en la seguridad del sistema de informacin

Vulnerabilidades(3de4)
En s misma no causa dao, es una condicin o un conjunto de condiciones que pueden permitir a una amenaza afectar a un activo f

Vulnerabilidades(4de4) ( )
Una propiedad de la relacin p p entre un activo y una amenaza, amenaza Si no se gestiona adecuadamente permitir a la amenaza materializarse

Impacto (1 de 2)
Es la consecuencia sobre un activo de la materializacin de una amenaza

Impacto (2 de 2) p ( )
El impacto mide la diferencia entre el estado de seguridad de un activo Lo hace antes y despus de la materializacin d una amenaza l de

PROCESODEEVALUACION DELRIESGO
Amenazas
Aprovechan

Vulnerabilidades
Exponen

Aumentan Protegen de

Aumentan

Controles

Disminuyen y

Riesgos

Activos

Marcan Imponen Impactan si se materializan Aumenta

Tienen

Requerimientos de seguridad
Juan Carlos Reyes, Seltika, 2007

Valor de los Activos

Riesgo Intrinseco
Es el estudio que se realiza sin tener en consideracin las diferentes medidas de seguridad que ya estn implantadas en una organizacin

RiesgoResidual Riesgo Residual

Es el estudio que se realiza teniendo en Eselestudioqueserealizateniendoen consideracinlasmedidasdeseguridadquela organizacinyatieneimplantadas organizacin ya tiene implantadas

QUEHACERDESPUESDELANLISISDE RIESGOS? Gestin de los riesgos detectados que soporta la identificacin, seleccin y adopcin de controles con base a los riesgos identificados y a la reduccin de esos riesgos a un nivel aceptable definido por la ALTA direccin. ISO 27002:2005 (antes 17799:2005) ayuda en esta tarea

SGSI
La organizacin debe entender la seguridad como un Identificar proceso que nunca termina
Retroalimentar y Medir riesgos y amenazas

Identifique

Evale E

Mida a

Controlar y (minimizar) las amenazas

Controle

Evaluar el impacto .

La organizacin d b entender l seguridad como un L i i debe t d la id d proceso que nunca termina g p p La inseguridad es una propiedad inherente a los recursos informticos y la gestin es la nica forma de medirla y aminorarla
PLANEAR HACER VERFICAR ACTUAR

SGSI

MEJORAS CONTINUAS

MetodologaMagerit Metodologa Magerit

METODOLOGIAS/HERRAMIENTAS
@Risk LAVA (Los Alamos Vulnerability Analysis) Analyze des Risques Programmes LRAM&ALRAM ([Automated] Livermore Risk AnalyZ AROME+ BDS Risk Assesor BDSS (Bayesian Decision Support System) Buddy System COBRA CONTROL-IT CRITI_CALC CRAMM CCTA Risk Analysis and Management Methods DDIS (Datenschutz-und-datensicherheits Informations System) MAGERIT MINIRISK PREDICT PSICHE RANK-IT RISAN RiskCALC RiskWatch SBA (Security by Analysis) SISSI XRM (eXpert Risk Management) Analysis)

Magerit
Unametodologaexitosamuyprobadaesla creadaporel ConsejoSuperiorde creada por el Consejo Superior de InformticadeEspaasobreelAnlisisy GestindeRiesgosdelossistemasde Gestin de Riesgos de los sistemas de Informacin La primera versin se hizo en 1997 Laprimeraversinsehizoen1997, actualmenteexistelaversinII

Magerit
MAGERIT:MetodologadeAnlisisyGestin deRiesgosdelosSistemasdeInformacin de Riesgos de los Sistemas de Informacin Elaspectopositivodeestametodologaes queelresultadoseexpresaenvalores que el resultado se expresa en valores econmicos

ObjetivosMagerit Objetivos Magerit

1.Concienciaralosresponsablesdelos sistemasdeinformacindelaexistenciade riesgosydelanecesidaddeatajarlosatiempo 2.Ofrecerunmtodosistemticopara analizartalesriesgos

ObjetivosMagerit Objetivos Magerit

3.Ayudaradescubriryplanificarlasmedidas y yp oportunasparamantenerlosriesgosbajo control 4.ApoyarlapreparacinalaOrganizacin paraprocesosdeevaluacin,auditora, para procesos de evaluacin auditora certificacinoacreditacin,segn correspondaencadacaso corresponda en cada caso

Ventajasdemagerit
Lasdecisionesquedebantomarseyque tenganqueservalidadasporladireccin estarnfundamentadasysernfcilmente defendibles

Desventajasdemagerit
Porelcontrario,elhechodetenerque traducirdeformadirectatodaslas valoracionesenvaloreseconmicoshaceque laaplicacindeestametodologasea realmentecostosa

Dondeconsigolametodologa versinII?
http://www.csi.map.es/ htt // i /

EjemplometodologaMagerit

Establecimiento deParmetros
Tabla Costo de Activos MA Muy alto 2.100.000 2 100 000 A Alto 300.000 72.000 M Medio B Bajo 4.000 Explicacion:

De acuerdo a los activos se les da una categora

EF MF F FN PF

Tabla Vulnerabilidad de los activos Extremadamente frecuente 1 0,071 Muy Frecuente Frecuente 0,016 Frecuencia Normal 0,005 Poco Frecuente 0,003

Clasificacin numrica Cl ifi i i de la vulnerabilidad que puede presentar el activo

Tabla Degradacin de los activos (Impacto) A Alta 90 50 M Media B Baja 10

Clasificacin del nivel de impacto que puede tener un activo

Valoracion deactivos
Cdigo 90 51 22 68 Nombre Imagen Organizacional Bases de datos Desarrollo Servidor WEB valor 2.100.000 72.000 300.000 4.000

2.476.000

Estos son los cuatro activos elegidos del archivo excel: Imagen Organizacional, Bases de datos, Desarrollo y servidor web

Amenazasglobales
Cd go Cdigo A1 A2 A4 A3 Amenaza e a a Incendio oficinas Danio de Hardware Acceso a oficinas no autorizado Vulnerabilidad Impacto u e ab dad pacto PF EF 0,003 A 1 M 0,071 B 0,005 B 90 50 10 10 Activos ct os Riesgo Intrnseco t seco 6.685 1.238.000 17.580 1.238 1.263.503 2.476.000 2.476.000 2.476.000 2.476.000 9.904.000

MF FN No disponibilidad del Personal

TOTAL

Aca se hace el anlisis de amenazas y la formula utilizada para calcular el Riesgo Intrinseco seria: Valor de los activos * Vulnerabilidad * (Impacto/100) = Riesgo Intrinseco

Controlesporamenazas
Dism. Vulnerabilidad Amenaza A1 A2 A4 S12 S14 S02 S04 S06 S08 A3 S10 A Control A M A M M A 90 60 90 60 60 90 90 M A M M M A M 60 90 60 60 60 90 60 Dism. Impacto

Ahora relacionamos cada amenaza con su respectivo control/salvaguardas y asignamos un valor de disminucin de la vulnerabilidad como disminucin del impacto por cada control/salvaguarda asignado

Riesgoefectivoxactivo
RIESGO EFECTIVO
ACTIVOS
A1 Incend Oficinas dio Am menazas

AMENAZAS
A2 Danio en Hardware e A4 Acceso a Oficinas o no autorizado a A3 No dis sponibilidad de Personal P RIESGO EFECTIVO POR ACTIVO 0,071 10 0,005 10 90 60

Vulnerabilidad Impacto (%)

0,003 90

1 50

Disminucin de Vulnerabilidad (%) ( ) Cdigo 90 51 22 68 Valor del Activo Descripcin del Activo Disminucin de Impacto (%)

90 60

60 90

99,84 , 99,36

2.100.000Imagen Organizacional 72.000Bases de datos 300.000Desarrollo 4.000Servidor web

RIESGO EFECTIVO POR AMENAZA

227 42.000 0,1527 8 1.440 0,0052 32 6.000 0,0218 0 80,0000 0,0003

267 49.520 0,1800

42 1 6 0
50

42.269 1.449 6.038 81

49.837

Ahora calculamos el riesgo efectivo por amenaza y por activo: Riesgo Efectivo = Riesgo Intrinseco * ( 1 - Disminucion de la vulnerabilidad)*(1-Disminucion vulnerabilidad)*(1 Disminucion del impacto)

Quemiralaaltagerencia?

Conclusiones Finales

Valor de Activos

Riesgo Intrnseco

Riesgo Efectivo

2.476.000

1.263.503

49.837

TOT

2.476.000

1.263.503

49.837

El riesgo intrnseco para este estudio es de 51.03% del valor de los activos y el riesgo efectivo es de 2.01%

Planificar
Definir: Alcance Poltica g Metodologa

Identificar y Analizar
Identificar: Activos Amenazas Vulnerabilidades Analizar: Anali ar Riesgos

La direccin
Decidir tratamiento de riesgos g Aceptar riesgo residual

Costo/beneficios

Reducir
Controles: Seleccionar Implantar

Transferir
Seguros Proveedores

Aceptar

Evitar
Cesar la actividad que lo origina

No hacer nada

CONCLUSIONES
La forma de conseguir el mayor beneficio en seguridad de la informacin es contar con una adecuada evaluacin de riesgos riesgos, que oriente las inversiones, que minimicen el impacto en casos de incidentes No importa la metodologa que se seleccione

CONCLUSIONES
La seguridad de la informacin no es una responsabilidad nicamente del rea de tecnologa debe fluir desde la alta gerencia hacia todos los procesos de negocios

CONCLUSIONES
Un comit de seguridad de la informacin compuesto por cada jefe de rea genera mas compromiso para hacer cumplir las polticas de seguridad de la informacin

CONCLUSIONES
Si la seguridad de la informacin depende nicamente d IT entonces l probabilidad es d l i de la b bilid d del 100% de que no se implemente

CONCLUSIONES
Los recursos financieros de una organizacin deben invertirse de la mejor manera mirando siempre el retorno de inversin

CONCLUSIONES
La organizacin debe entender la seguridad como un proceso que nunca termina La inseguridad es una propiedad inherente a los recursos informticos y la gestin es la nica forma de medirla y aminorarla

BIBLIOGRAFA
Maestria en seguridad i f i id d informatica (h :// i (http //www.uoc.edu) (http://www.uoc.edu), d ), Daniel Cruz Allende g ( p // p ) Creadoresdelametodologia (http://www.csi.map.es) BCI (TheBussiness ContinuityInstitute)www.thebci.org CRAMMwww.cramm.com esCERT http://escert.upc.edu FIRSThttp://www.first.org/ ISO ISOwww.iso.org i ITILhttp://www.itil.co.uk/ MAGERIT www csi map es/csi/pg5m20 htm MAGERITwww.csi.map.es/csi/pg5m20.htm

Preguntasyaportes