Académique Documents
Professionnel Documents
Culture Documents
Responsable de Produccin
Cuevavaliente Ingenieros
ndice
1. Introduccin 2. Entorno Normativo 3. Fundamentos de la Metodologa 4. Etapas del Anlisis de Riesgos 5. Conclusiones
6. Referencias
1 Introduccin
Introduccin
Metodologa particular y concreta de Anlisis de Riesgos que permite unificar dos metodologas de anlisis de riesgos tradicionalmente independientes: riesgos lgicos y riesgos fsicos. Cumple con los estndares ISO 31000 e ISO 27001, lo que permite usar terminologa comn y el mismo ciclo de vida de gestin de riesgos Resuelve problemas muy habituales como son: Consideraciones opuestas de cules son los activos a proteger y su entorno Diferencias en los pasos a seguir Distintas normas y mejores prcticas sobre los que basar el proceso Nomenclatura y vocabulario diferente Mtodos de evaluacin y consecuencias a medir diferentes
2 Entorno Normativo
Fundamento normativo de la metodologa
Esta metodologa se ajusta al marco normativo de ISO 27001 para la gestin de Riesgos de Seguridad Lgica, y de ISO 31000 para la gestin de riesgos de Seguridad Fsica. Se emplea un modelo nico que surge de la unin de ambos: el modelo SGSC (modelo del Sistema de Gestin Corporativa de Seguridad)
Seguridad Fsica ISO 31000
Decisin y Compromiso
MODELO SGSC
SGSC: Sistema de Gestin Corporativa de Seguridad
Requerimientos Polticas
Diseo del Marco de Actuacin del SGSF
Actuacin
Seguimiento y Revisin del SGSF
Implementacin
Medicin del SGSI
Medicin SGSI:
Sistema de Gestin de Seguridad de la Informacin
4
SGSF:
Sistema de Gestin de Seguridad Fsica
3 Fundamentos de la Metodologa
Bases de la Metodologa
Metodologa basada en la confluencia de dos metodologas maduras de Anlisis de Riesgos que son especficas para cada sector: Seguridad Fsica: metodologa propia de Cuevavaliente, basada en ISO 31000, e implementada a travs de herramientas software propias. Tambin se utilizan algunos aspectos y recomendaciones del estndar AS/NZS 4360 [8] y su addendum en forma de gua: Risk Management Guidelines. Seguridad Lgica: MAGERIT II. Desarrollada por el Consejo Superior de Administracin Electrnica (CSAE). La metodologa MAGERIT II pretende dar respuesta a la dependencia que tiene la Administracin de las tecnologas de la informacin para el cumplimiento de su misin.
Gestin de ambos riesgos en un mismo proceso en el que amenazas y activos comparten indicadores y criterios, permitiendo su comparacin y evaluacin conjunta.
3 Fundamentos de la Metodologa
Aspectos adoptados de Magerit II
Activos Dependencias entre activos Valor de Sustitucin Activos Criticidad
Leyenda
Elemento
Dependencias Valor Estimado Amenazas Valor Calculado Probabilidad Impacto Probabilidad de Ocurrencia
Impacto
PASOS A SEGUIR:
Nivel de Riesgo Riesgo Intrnseco Nivel de Riesgo Madurez de Salvaguardas
Salvaguardas/ Controles
Salvaguardas
1. Determinar activos 2. Determinar amenazas 3. Estimar Impactos/probabilidad 4. Estimar el coste/criticidad 5. Estimar madurez de salvaguardas 6. Clculo de los riesgos
Riesgo Efectivo
3 Fundamentos de la Metodologa
Aspectos adoptados de Magerit II
La metodologa propuesta tiene en cuenta estas etapas, aunque las agrupa segn la estructura del estndar ISO 31000.
El mtodo propuesto por MAGERIT II da cumplimiento en lo establecido en: ISO 27005, epgrafe 4.2.1.d, Identificar Riesgos ISO 27005, epgrafe 4.2.1.e, Analizar y Evaluar Riesgos ISO 27001/2005, Sistemas de Gestin de Seguridad de la Informacin
3 Fundamentos de la Metodologa
Aspectos adoptados de las Normas ISO 31000 y AS/NZS 4360
Adopcin de las etapas definidas por las normas ISO 31000 y AS/NZS 4360, para una correcta gestin de los riesgos y su relacin para un continuo proceso de mejora.
ANLISIS DE RIESGOS ESTABLECIMIENTO DE CONTEXTO
IDENTIFICACIN DE RIESGOS
ANLISIS DE RIESGOS
EVALUACIN DE RIESGOS
MONITORIZACIN Y REVISIN
COMUNICACIN Y CONSULTA
3 Fundamentos de la Metodologa
Aspectos adoptados de las Normas ISO 31000 y AS/NZS 4360
Las etapas referidas por las normas son asumidas por los dos conjuntos de actividades: el Anlisis de Riesgos y la Propuesta de Medidas de Seguridad
REQUERIMIENTOS POLTICAS
MODELO SGSC
PLANIFICACIN
ESTABLECIMIENTO DEL CONTEXTO IDENTIFICACIN DE RIESGOS ANLISIS DE RIESGOS EVALUACIN DE RIESGOS MONITORIZACIN Y REVISIN RISK ASSESSMENT
COMMUNICACIN Y CONSULTA
GESTIN DE LA SEGURIDAD
IMPLEMENTACIN
TREAT RISKS
ACTUACIN
MEDICIN
10
11
Grupos de Amenazas Fsicas consideradas (de Metodologa de Cuevavaliente) Delincuencia Comn Crmenes Agresivos o Violentos Crimen Organizado y Terrorismo Grupos de Amenazas Lgicas consideradas (del catlogo Magerit II) Desastres Naturales De Origen Industrial Ataques Intencionados Errores y Fallos No Intencionados
12
13
Los resultados con la nueva metodologa han sido validados y comprobados respecto a los obtenidos con la metodologa tradicional, mantenindose la coherencia y la experiencia acumulada con las metodologas usadas previamente.
Parmetros que deben analizarse y estimarse: Parmetros a considerar para cada Situacin de Riesgo Impacto Probabilidad Nivel de Necesidad de Salvaguardas Parmetros a considerar para cada Activo Criticidad
14
MA A M B MB
15
17
La necesidad de salvaguardas: (o carencia de salvaguardas existentes), es inversamente proporcional al nivel de salvaguardas que afectan a un activo. Se calculan siguiendo un modelo propio similar al modelo CMMI, obteniendo valores cuantitativos:
NIVEL DE NECESIDAD DE SALVAGUARDAS Activos Fsicos MB B M MA MA MA Activos Lgicos MB M A MA MA MA
18
GRADO DE MADUREZ Y NECESIDAD DE SALVAGUARDAS PARA RIESGOS LGICOS GRADO DE MADUREZ 5 4 3 2 1 0 NECESIDAD DE SALVAGUARDAS MB M A MA MA MA NIVEL CMMI OPTIMIZADO GESTIONADO DEFINIDO REPETIBLE INICIAL NO EXISTENTE PRACTICAS DE GESTIN DE SEGURIDAD LGICA Los procesos han sido revisados hasta un nivel de best practice, sobre la base de una mejora continua. Los procesos estn en mejora continua y proporcionan mejores prcticas. Se usan herramientas automatizadas de manera aislada o fragmentada. La organizacin asegura que el control se planifica, documenta, ejecuta, monitoriza y controla. Los procesos han evolucionado de forma de que se siguen procedimientos similares para realizar la misma tarea. No existe formacin ni comunicacin de procedimientos estndar y la responsabilidad recae en el individuo. No existen procesos estndar aunque existen planteamientos ad hoc que se utilizan en cada situacin. Ausencia total de procesos reconocibles.
19
Riesgo Reducido: Nivel de Riesgo o medida del dao probable sobre un sistema, una vez consideradas las salvaguardas que pudieran proteger a ste. Se calcula para cada Situacin de Riesgo El resultado se toma de una tablas de Riesgo Intrnseco vs. Nivel de Necesidad de Salvaguardas, comn para ambos tipos de riesgos
20
* *
Riesgo intrnseco
* *
Riesgo Efectivo
Impacto
21
4 Conclusiones
Conclusiones e Impactos
Nueva metodologa propuesta, fruto de la experiencia de Cuevavaliente Ingenieros con sus partners expertos en Seguridad Lgica.
Presenta una solucin prctica a uno de los problemas ms complejos en el diseo de un Sistema de Gestin de Seguridad Fsica y Lgica. Actualmente se est empezando a utilizar con xito en diferentes empresas espaolas Permite proponer Planes de Seguridad comunes a la Alta Direccin de las organizaciones. En el caso de Espaa, y otros pases europeos, permite cumplir con la legislacin especfica de Proteccin de Infraestructuras Crticas, donde se exige a las empresas que operan servicios crticos a la ciudadana, que presenten Planes de Conjuntos de Seguridad Fsica y Lgica.
22
5 Referencias
Referencias
[1] Legislacin sobre Infraestructuras Crticas Espaola: a) Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las infraestructuras crticas. b) Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas. [2] Alfonso Bilbao, Enrique Bilbao, Koldo Pecia; Physical and Logical Security Risk Analysis Model, International Carnahan Conference on Security Technology Proceedings, Barcelona 2011 [3] Alfonso Bilbao; TUAR, a model of Risk Analysis in the Security Field, International Carnahan Conference on Security Technology Proceedings, Atlanta 1992 [4] Alfonso Bilbao, Enrique Bilbao, Alejandro Castillo; A risk management method based on the AS/NZS 4360 Standard, International Carnahan Conference on Security Technology Proceedings, Ottawa 2008 [5] Metodologa MAGERIT II; Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Ministerio de Administraciones Pblicas de Espaa. http://www.csi.map.es/csi/pg5m20.htm
23
5 Referencias
Referencias
[6] ISO/IEC 27001 (BS7799-2:2002): Information security management systems Requirements [7] ISO 31000 Risk management Principles and guidelines [8] AS/NZS 4360:2004 Standard Risk Management; Standards Australia/Standards New Zealand, 2004 [9] HB 436:2004 Risk Management Guidelines. Companion to AS/NZS 4360:2004; Standards Australia/Standards New Zealand, 2004 [10] ISO/IEC 27001 / 2005 Information security management systems Requirements [11] ISO/IEC 27002 / 2005 Code of practice for information security management [12] ISO/IEC 27005 / 2008 Information security risk management [13] ISO/IEC 15408-1 / 2009 Common Criteria for Information Technology Security Evaluation [14] www.cuevavaliente.com
24
Fin de la presentacin
Muchas gracias
25