Seguridad Inform

atica

Seguridad Informatica
Analsis de Riesgo

Francisco Medina L
opez correo@franciscomedina.net
http://seguridad.franciscomedina.net

Facultad de Contadura y Administraci

on
Universidad Nacional Autonoma de M exico

16 de agosto de 2012
Seguridad Inform
atica
Objetivo

Objetivo

Explicar como se realiza el analisis de

riesgos en seguridad informatica.
Seguridad Inform
atica
Agenda

1 Introducci
on
Definiciones
Administracion del Riesgo

2 An
alisis de Riesgo
Aspectos generales
Pasos para realizar un analisis de riesgo

3 Conclusiones
Seguridad Inform
atica
Introducci
on
Definiciones

1 Introducci
on
Definiciones
Administracion del Riesgo

2 An
alisis de Riesgo

3 Conclusiones
Seguridad Inform
atica
Introducci
on
Definiciones

Que es seguridad?
Seguridad Inform
atica
Introducci
on
Definiciones

Que es seguridad?
Que es informatica?
Seguridad Inform
atica
Introducci
on
Definiciones

Que es seguridad?
Que es informatica?
Que entendemos por seguridad informatica?
Seguridad Inform
atica
Introducci
on
Definiciones

Activo

Definicion
Recursos que estan tratando de proteger

Pueden ser datos, sistemas, personas, edificios, propiedades,

etc.
El valor o la criticidad del activo determina las medidas de
seguridad a implementar.

Las personas son su activo mas valioso.

Seguridad Inform
atica
Introducci
on
Definiciones

Vulnerabilidad

Definicion
Cualquier debilidad que puede explotarse para causar perdida o
da
no al sistema.

Condicion que podra permitir que una amenaza se materialice

con mayor frecuencia, impacto o ambas.
Una vulnerabilidad puede ser la ausencia o debilidad en los
controles administrativos, tecnicos o fsicos.

El punto mas debil de seguridad de un sistema consiste en el punto

de mayor vulnerabilidad de ese sistema.
Seguridad Inform
atica
Introducci
on
Definiciones

Amenaza

Definicion
Evento o circunstancia cuya ocurrencia podra impactar en forma
negativa a una organizaci
on.

La amenazas explotan (toman ventaja de) las vulnerabilidades.

La entidad que toma ventaja de una vulnerabilidad, suele
referirse como agente de la amenaza (Threat Agent).
Seguridad Inform
atica
Introducci
on
Definiciones

Categorias de Amenazas

1 Naturales
2 Causados por el hombre
Intencionales
No intencionales
Seguridad Inform
atica
Introducci
on
Definiciones

Ejemplo de relacion Amenaza y Vulnerabilidad

Si usamos como ejemplo un tipo de malware como un gusano, la

amenaza es Conficker; este se esparce por tres diferentes vectores:
1 Falta de la actualizaci
on MS08-067 (http://technet.
microsoft.com/en-us/security/bulletin/ms08-067).
2 Dispositivos de almacenamiento USB infectados que ejectuan
el comando autorun en sistemas operativos Windows.
3 Contrase
nas debiles usadas en recursos compartidos.
Seguridad Inform
atica
Introducci
on
Definiciones

Riesgo

Definicion
Probabilidad de que un agente de amenaza explote una
vulnerabilidad, en combinaci
on con el impacto que esto ocasiona.

Se conoce por riesgo a la combinaci

on de probabilidad de
ocurrencia e impacto de una amenaza.
Seguridad Inform
atica
Introducci
on
Definiciones

Contramedidas o Controles

Definicion

Cualquier tipo de medida que permita detectar, prevenir o

minimizar el riesgo asociado con la ocurrencia de una
amenaza especfica.

Ejemplos:
Contrase
nas robustas.
Mecanismos de control de acceso.
Antivirus

El estandar ISO/IEC 27002:2005 define 133 controles

Seguridad Inform
atica
Introducci
on
Definiciones

Tipos de Controles

Controles Administrativos
Administracion de responsabilidades necesarias para proteger
los activos.
Controles Suaves. (Polticas, procedimientos, guas, estandares)
Controles T
ecnicos.
Mecanismos l
ogicos de protecci
on.
Software o Hardware
Controles Fsicos
Destinados a proteger las instalaciones.
Seguridad Inform
atica
Introducci
on
Definiciones

Relacion entre los diferentes conceptos de seguridad

Fuente: Shon Harris, CISSP All-In-One Exam Guide, McGraw-Hill Professional, 2007, p. 63
Seguridad Inform
atica
Introducci
on
Definiciones

Relacion entre los diferentes conceptos de seguridad

Fuente: Shon Harris, CISSP All-In-One Exam Guide, McGraw-Hill Professional, 2007, p. 63
Seguridad Inform
atica
Introducci
on
Administraci
on del Riesgo

1 Introducci
on
Definiciones
Administracion del Riesgo

2 An
alisis de Riesgo

3 Conclusiones
Seguridad Inform
atica
Introducci
on
Administraci
on del Riesgo

Introduccion

Administracion del Riesgo Information Risk Management (IRM)

Proceso de identificar, analizar, determinar, mitigar, y transferir o
aceptar el riesgo.

La cultura, procesos y estructuras que estan dirigidas hacia la

administracion efectiva de oportunidades potenciales y efectos
adversos
Proceso compuesto por las siguientes fases:
1 Analisis de riesgos Risk assessment
2 Tratamiento de riesgos
Seguridad Inform
atica
Introducci
on
Administraci
on del Riesgo

De que se trata la Administracion del Riesgo?

1 Que pude pasar (amenaza)?

2 Si pasa, que tan malo puede ser (impacto de la amenaza)?
3 Que tan seguido puede pasar (frecuencia de la amenaza)?
4 Que tan seguro estoy de las respuestas anteriores
(reconocimiento de inseguridad)?
5 Que puedo hacer(mitigar el riesgo)?
6 Cuanto me costara (anualizado)?
7 Dicho costo es efectivo (Relaci
on costo/beneficio)?
Seguridad Inform
atica
Introducci
on
Administraci
on del Riesgo

Estandares relativos a la administracion del riesgo

ISO / IEC 27005:2008 Information technology Security

techniques Information security risk management. (conocido
coloquialmente como ISO 27005)
ISACAs Risk IT Framework
The open Groups Factor Analysis for Information Risk
(FAIR) model
Una lista mas extensa puede consultarse en el sitio:
http://www.iso27000.es/herramientas.html#section7b
Seguridad Inform
atica
Introducci
on
Administraci
on del Riesgo

La administracion del riesgo

Seguridad Inform
atica
An
alisis de Riesgo
Aspectos generales

1 Introducci
on

2 An
alisis de Riesgo
Aspectos generales
Pasos para realizar un analisis de riesgo

3 Conclusiones
Seguridad Inform
atica
An
alisis de Riesgo
Aspectos generales

Definicion

Analisis de Riesgo
Identificacion de vulnerabilidades y amenazas, analisis de
probabilidad de ocurrencia e impacto y analisis de las medidas para
aceptar, evitar o transferir el riesgo.

Es la principal herramienta a utilizar como parte del proceso

de Adminisracion de Riesgos.
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

1 Introducci
on

2 An
alisis de Riesgo
Aspectos generales
Pasos para realizar un analisis de riesgo

3 Conclusiones
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Identificacion de Activos

Tangibles
Datos
Software
Computadoras, equipos de comunicaciones, cableado.
Intangibles
Privacidad
Seguridad y salud de los empleados
Imagen y reputaci
on
Continuidad de las actividades
Moral del empleado
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Valoracion de activos

Por qu
e es necesario el activo?
Operaciones y actividades que se veran afectadas si el recurso
no se encuentra disponible.
Responsabilidades en caso de que el recurso sea
comprometido.
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Identificacion de amenazas y vulnerabilidades

Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Analisis de controles

Identificar los controles ya implementados y analizar su

vigencia y efectividad.
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Determinacion del riesgo

Definicion
El riesgo es una combinaci
on entre la probabilidad de ocurrencia y
el impacto.

An
alisis Cualitativo de Riesgos
Utiliza elementos de la organizaci on como opinion, mejores
practicas, intuici
on, experiencia, etc. para ponderar el riesgo y
sus componentes.
Aplicable a todas las situaciones
An
alisis Cuantitativo de Riesgos
Asigna valores monetarios (objetivos) a cada componente de la
evaluaci
on de riesgos y a cada potencial perdida.
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Analisis Cualitativo de Riesgos

Definicion
El Analisis de Riesgo Cualitativo, a diferencia del Cuantitativo, es
un modelo basado en escenarios mas que en calculos.

En lugar de asignar el costo exacto respecto de las posibles

perdidas, en este escenario se ponderan en escala, los riesgos,
costos y efectos de una amenaza en relaci on del activo.
Este tipo de procesos, conjuga: juicio, experiencia e intuicion.
Tecnicas y Metodos utilizados:
Lluvia de ideas (Brainstorming), Tenicas Delphi, Cuestionarios,
Listas (Checklist), Entrevistas, . . .
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Pasos del Analisis Cualitativo de Riesgos

1 Definicion de:
Niveles de probabilidad de ocurrencia de las amenazas
Niveles de impacto de las amenazas
Niveles de riesgo (en funci
on a las anteriores)
2 Clasificacion de las amenazas en cuanto a su probabilidad de
ocurrencia e impacto.
3 Estimacion del riesgo
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Matriz de evaluacion de riesgo

Fuente: Pentest Magazine, Agosto 2012

Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Ejemplo: Matriz analisis de riesgo

Fuente: http://protejete.wordpress.com/gdr_principal/matriz_riesgo/
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Analisis Cuantitativo de Riesgos

Definicion
Asigna valores monetarios a cada componente de la evaluacion de
riesgos y a cada potencial perdida.

Pasos:
1 Asignar valores a los activos.
2 Estimar la perdida potencial por cada amenaza.
3 Analizar las amenazas.
4 Estimar la perdida anual.
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

2. Estimar la perdida potencial por cada amenaza

Factor de Exposicion (EF): Porcentaje de perdida sobre el

valor del un activo generado por la da
no provocado por una
amenaza.

Expectativa de Perdida Individual (SLE): Valor monetario

asociado a un evento determinado. Representa la perdida
producida por una amenaza determinada en forma individual.
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

3. Analizar las amenzas

Tasa de Ocurrencia Anual (ARO): Representa la frecuencia

estimada de ocurrencia de un evento (amenaza), dentro del
periodo de un a
no.
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

4. Estimar la perdida anual

Expectativa de Perdida Anualizada (ALE): Representa la

perdida anual producida por una amenaza determinada
individual..
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Ejemplo de calculo de riesgo usando Analisis Cuantitativo

Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Que obtenemos luego de realizar un Analisis Cuantitativo

de Riesgos?

Valor de los activos (en dinero).

Posibles amenazas a los activos.
Probabilidad de ocurrencia de cada amenaza.
Posible perdida anual por cada amenaza.
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Cuantitativo vs Cualitativo (2)

Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Reporte

Documento que se entrega a la alta direcci on enumerando los

principales riesgos que pueden afectar la continuidad de las
operaciones de una organizacion.
Debe incluir:
Resumen ejecutivo.
Grafica que exponga los riesgos mas relevantes para la
organizacion.
Explicacion de los riesgos
Conclusiones.
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo

Ejemplo de Reporte
Seguridad Inform
atica
Conclusiones

Resumen

El exito del analisis de riesgo depende de dos factores:

Experiencia y pericia del experto en seguridad que realiza el
analisis.
Informaci on disponible.
El riesgo esta compuesto por Impacto y Probabilidad de
ocurrencia
La aplicacion del analisis puramente cuantitativo
sencillamente NO es posible.
Seguridad Inform
atica
Conclusiones

Conclusiones
Seguridad Inform
atica
Referencias bibliogr
aficas

Referencias bibliograficas I

Steve Purser.
A Practical Guide to Managing Information Security, Artech
House.
Erik Banks
Practical Risk Management, Wiley.
Shon. Harris.
CISSP All-In-One Exam Guide, McGraw-Hill Professional.