Modelo Unificado de Anlisis de Riesgos de Seguridad Fsica y Lgica

T22: Contenidos mnimos de los Planes Estratgicos Sectoriales

Enrique Bilbao Lzaro

Responsable de Produccin

Cuevavaliente Ingenieros

ndice
1. Introduccin 2. Entorno Normativo 3. Fundamentos de la Metodologa 4. Etapas del Anlisis de Riesgos 5. Conclusiones

6. Referencias

1 Introduccin
Introduccin
Metodologa particular y concreta de Anlisis de Riesgos que permite unificar dos metodologas de anlisis de riesgos tradicionalmente independientes: riesgos lgicos y riesgos fsicos. Cumple con los estndares ISO 31000 e ISO 27001, lo que permite usar terminologa comn y el mismo ciclo de vida de gestin de riesgos Resuelve problemas muy habituales como son: Consideraciones opuestas de cules son los activos a proteger y su entorno Diferencias en los pasos a seguir Distintas normas y mejores prcticas sobre los que basar el proceso Nomenclatura y vocabulario diferente Mtodos de evaluacin y consecuencias a medir diferentes

2 Entorno Normativo
Fundamento normativo de la metodologa
Esta metodologa se ajusta al marco normativo de ISO 27001 para la gestin de Riesgos de Seguridad Lgica, y de ISO 31000 para la gestin de riesgos de Seguridad Fsica. Se emplea un modelo nico que surge de la unin de ambos: el modelo SGSC (modelo del Sistema de Gestin Corporativa de Seguridad)
Seguridad Fsica ISO 31000
Decisin y Compromiso

MODELO SGSC
SGSC: Sistema de Gestin Corporativa de Seguridad

Seguridad Lgica ISO 27001

Requerimientos de la Seguridad de la Informacin Seguridad de la Informacin gestionada

Requerimientos Polticas
Diseo del Marco de Actuacin del SGSF

Gestin de la Seguridad Planificacin

Plan del SGSI

Mejora continua del SGSF

Implementacin del SGSF

Mantenimiento y mejora del SGSI

Implementacin del SGSI

Actuacin
Seguimiento y Revisin del SGSF

Implementacin
Medicin del SGSI

Medicin SGSI:
Sistema de Gestin de Seguridad de la Informacin
4

SGSF:
Sistema de Gestin de Seguridad Fsica

3 Fundamentos de la Metodologa
Bases de la Metodologa
Metodologa basada en la confluencia de dos metodologas maduras de Anlisis de Riesgos que son especficas para cada sector: Seguridad Fsica: metodologa propia de Cuevavaliente, basada en ISO 31000, e implementada a travs de herramientas software propias. Tambin se utilizan algunos aspectos y recomendaciones del estndar AS/NZS 4360 [8] y su addendum en forma de gua: Risk Management Guidelines. Seguridad Lgica: MAGERIT II. Desarrollada por el Consejo Superior de Administracin Electrnica (CSAE). La metodologa MAGERIT II pretende dar respuesta a la dependencia que tiene la Administracin de las tecnologas de la informacin para el cumplimiento de su misin.

Gestin de ambos riesgos en un mismo proceso en el que amenazas y activos comparten indicadores y criterios, permitiendo su comparacin y evaluacin conjunta.

3 Fundamentos de la Metodologa
Aspectos adoptados de Magerit II
Activos Dependencias entre activos Valor de Sustitucin Activos Criticidad

Leyenda
Elemento

Dependencias Valor Estimado Amenazas Valor Calculado Probabilidad Impacto Probabilidad de Ocurrencia

Impacto

PASOS A SEGUIR:
Nivel de Riesgo Riesgo Intrnseco Nivel de Riesgo Madurez de Salvaguardas

Salvaguardas/ Controles

Salvaguardas

1. Determinar activos 2. Determinar amenazas 3. Estimar Impactos/probabilidad 4. Estimar el coste/criticidad 5. Estimar madurez de salvaguardas 6. Clculo de los riesgos

Riesgo Efectivo

Riesgo Efectivo Nivel de Riesgo

Riesgo Mitigado Nivel de Riesgo

3 Fundamentos de la Metodologa
Aspectos adoptados de Magerit II
La metodologa propuesta tiene en cuenta estas etapas, aunque las agrupa segn la estructura del estndar ISO 31000.
El mtodo propuesto por MAGERIT II da cumplimiento en lo establecido en: ISO 27005, epgrafe 4.2.1.d, Identificar Riesgos ISO 27005, epgrafe 4.2.1.e, Analizar y Evaluar Riesgos ISO 27001/2005, Sistemas de Gestin de Seguridad de la Informacin

ISO 27002/2005, 2005 Manual de Buenas Prcticas de Gestin de Seguridad de la Informacin

ISO 27005/2008, Gestin de Riesgos de Seguridad de Informacin ISO 15408-1/2009 , Criterios de Evaluacin de Seguridad de la Informacin

3 Fundamentos de la Metodologa
Aspectos adoptados de las Normas ISO 31000 y AS/NZS 4360
Adopcin de las etapas definidas por las normas ISO 31000 y AS/NZS 4360, para una correcta gestin de los riesgos y su relacin para un continuo proceso de mejora.
ANLISIS DE RIESGOS ESTABLECIMIENTO DE CONTEXTO

IDENTIFICACIN DE RIESGOS

ANLISIS DE RIESGOS

EVALUACIN DE RIESGOS

TRATAMIENTO DE LOS RIESGOS

PROPUESTA DE MEDIDAS DE SEGURIDAD

MONITORIZACIN Y REVISIN

COMUNICACIN Y CONSULTA

ASESORAMIENTO DEL RIESGO

3 Fundamentos de la Metodologa
Aspectos adoptados de las Normas ISO 31000 y AS/NZS 4360
Las etapas referidas por las normas son asumidas por los dos conjuntos de actividades: el Anlisis de Riesgos y la Propuesta de Medidas de Seguridad
REQUERIMIENTOS POLTICAS

MODELO SGSC
PLANIFICACIN
ESTABLECIMIENTO DEL CONTEXTO IDENTIFICACIN DE RIESGOS ANLISIS DE RIESGOS EVALUACIN DE RIESGOS MONITORIZACIN Y REVISIN RISK ASSESSMENT

COMMUNICACIN Y CONSULTA

GESTIN DE LA SEGURIDAD

IMPLEMENTACIN
TREAT RISKS

ACTUACIN

MEDICIN

4 Etapas del Anlisis de Riesgos

Resumen de las etapas
A. Establecimiento de Contexto Activos Amenazas Tiempos B. Identificacin de Riesgos Situaciones de Riesgo C. Anlisis de Riesgos Impacto Probabilidad Criticidad Nivel de Necesidad de Salvaguardas D. Evaluacin de Riesgos Riesgo Intrnseco Riesgo Reducido Riesgo Efectivo

10

4 Etapas del Anlisis de Riesgos

A. Establecimiento de Contexto
Activos: todos aquellos bienes, espacios, procesos y cualquier otro elemento de consideracin que sea susceptible de sufrir las consecuencias de una amenaza.
Proceso de Seleccin e Identificacin de Activos: Analizar los procesos clave de la organizacin/instalacin considerada Listado de los activos requeridos por estos procesos Identificar, enumerar y clasificarlos entre 9 categoras adoptadas de MAGERIT II Identificar la ubicacin fsica de los activos considerados Tipos de Activos: Tipos de Activos Fsicos considerados Escenarios Tipos de Activos Lgicos considerados Servicios Aplicaciones (Software) Redes de Comunicaciones Equipamiento Auxiliar Personal

Datos/informacin Equipos Informticos (Hardware) Soportes de informacin Instalaciones

11

4 Etapas del Anlisis de Riesgos

A. Establecimiento de Contexto
Amenazas: Contingencias o riesgos especficos de los activos analizados, dependientes de su del entorno y circunstancias, cuya potencial materializacin debe ser baremada.
Cada amenaza considerada pertenece a uno de los siguientes Tipos de Amenaza:

Grupos de Amenazas Fsicas consideradas (de Metodologa de Cuevavaliente) Delincuencia Comn Crmenes Agresivos o Violentos Crimen Organizado y Terrorismo Grupos de Amenazas Lgicas consideradas (del catlogo Magerit II) Desastres Naturales De Origen Industrial Ataques Intencionados Errores y Fallos No Intencionados

12

4 Etapas del Anlisis de Riesgos

B. Identificacin de Riesgos
En esta etapa las combinaciones aplicables de activos-tiempos-amenazas son consideradas.
Cada posible combinacin de activo-tiempo-amenaza se denomina Situacin de Riesgo. El conjunto de ellas generan el Mapa de Riesgos. La dimensin de Tiempos se obvia con frecuencia en los riesgos de origen lgico, con lo que es frecuente disponer de situaciones de riesgo lgicas de dos dimensiones (activoamenaza).

13

4 Etapas del Anlisis de Riesgos

C. Anlisis de Riesgos
El Anlisis de Riesgos Fsico se ha basado tradicionalmente en parmetros cuantitativos.
El Anlisis de Riesgos Fsicos y Lgicos unificado se simplifica, utilizando escalas cualitativas para los parmetros considerados.

Los resultados con la nueva metodologa han sido validados y comprobados respecto a los obtenidos con la metodologa tradicional, mantenindose la coherencia y la experiencia acumulada con las metodologas usadas previamente.
Parmetros que deben analizarse y estimarse: Parmetros a considerar para cada Situacin de Riesgo Impacto Probabilidad Nivel de Necesidad de Salvaguardas Parmetros a considerar para cada Activo Criticidad

14

4 Etapas del Anlisis de Riesgos

C. Anlisis de Riesgos- Parmetros para cada Situacin de Riesgo
Impacto: Medida de las consecuencias que puede sufrir un activo, en caso de materializacin de una amenaza en un tiempo determinado.
El impacto se valora para cada situacin de riesgo considerada, asumiendo uno de los siguientes valores:
IMPACTO Impacto Muy Alto/Muy Grave o Severo para la Organizacin Impacto Alto/Grave para la Organizacin Impacto Medio/Moderado/Importante para la Organizacin Impacto Bajo/Menor para la Organizacin Impacto Muy Bajo/Irrelevante para la Organizacin

MA A M B MB

15

4 Etapas del Anlisis de Riesgos

C. Anlisis de Riesgos- Parmetros para cada Situacin de Riesgo
Probabilidad de Ocurrencia de Riegos Lgicos: suele basarse en estudios estadsticos sobre la materializacin de sucesos, averas o amenazas.
Probabilidad de Ocurrencia de Riesgos Fsicos deliberados: se refiere a un indicador no probabilstico que pretende indicar el grado de materializacin de una amenaza. Como tal, es el resultado de multiplicar dos indicadores: Atractivo: en qu medida es atractivo para el potencial agente de la amenaza el llevarla a cabo. Se debe evaluar desde la perspectiva del sujeto actuante terico. Vulnerabilidad: indicador de cun sencillo es llevar a cabo una amenaza en el activo y tiempo considerados, considerndose que no existen salvaguardas. En ambos casos (riesgos fsicos y lgicos), la Probabilidad podr tomar uno de los siguientes valores:
PROBABILIDAD MA Probabilidad Muy Alta de Ocurrencia del Evento/Evento Probablemente ocurra A Probabilidad Alta de Ocurrencia del Evento/Evento Posible M Probabilidad Moderada de Ocurrencia del Evento/Evento Improbable B Probabilidad Baja de Ocurrencia del Evento/Evento Raro MB Probabilidad Muy Baja de Ocurrencia del Evento/Evento Muy Raro
16

4 Etapas del Anlisis de Riesgos

C. Anlisis de Riesgos- Parmetros para cada Activo
Criticidad: Consecuencias que se estiman o asignan a cada dimensin de Seguridad en los activos considerados, independiente de amenazas o tiempos.
La metodologa considera la estimacin de la criticidad para la Organizacin, en caso de ocurrencia, para cada combinacin aplicable de las siguiente consecuencias de amenazas y las dimensiones de Seguridad y que se veran afectadas por estas consecuencias:
CONSECUENCIAS Y DIMENSIONES DE SEGURIDAD A CONSIDERAR CONSECUENCIAS DIMENSIONES CRTICAS A ESTIMAR Activos de Seguridad Fsica: Daos fsicos sufridos Reduccin del Beneficio Activos de Seguridad Lgica: Disponibilidad Consecuencias en la Salud y Daos a las Personas Activos de Seguridad Lgica: Integridad Daos a la Herencia Socio-Cultural Activos de Seguridad Lgica: Confidencialidad Comunidad, Gobierno, Reputacin y Medios Consecuencias Legales Reduccin del Beneficio

17

4 Etapas del Anlisis de Riesgos

C. Anlisis de Riesgos- Parmetros para cada Activo
Las salvaguardas reducen ciertos riesgos a travs de 2 vas:
Reduciendo el impacto de las amenazas Reduciendo la probabilidad o frecuencia de ocurrencia

La necesidad de salvaguardas: (o carencia de salvaguardas existentes), es inversamente proporcional al nivel de salvaguardas que afectan a un activo. Se calculan siguiendo un modelo propio similar al modelo CMMI, obteniendo valores cuantitativos:
NIVEL DE NECESIDAD DE SALVAGUARDAS Activos Fsicos MB B M MA MA MA Activos Lgicos MB M A MA MA MA

NIVEL CMMI Optimizado Gestionado Definido Repetible Inicial No Existente

18

4 Etapas del Anlisis de Riesgos

C. Anlisis de Riesgos- Parmetros para cada Activo
Niveles CMMI y Necesidades de Salvaguardas:
GRADO DE MADUREZ Y NECESIDAD DE SALVAGUARDAS PARA RIESGOS FSICOS GRADO DE MADUREZ 5 4 3 2 1 0 NECESIDAD DE SALVAGUARDAS MB B M MA MA MA NIVEL CMMI OPTIMIZADO GESTIONADO DEFINIDO REPETIBLE INICIAL NO EXISTENTE PRACTICAS DE GESTIN DE SEGURIDAD FSICA Las salvaguardas han sido implementadas y revisadas hasta un nivel de "best practice", sobre la base de mejora continua. Las salvaguardas han sido implementadas. Se conocen las necesidades y se han planteado las necesidades a implementar basadas en "best practices". Se conocen las necesidades y se han planteado las necesidades a implementar, aunque no basadas en "best practices". Se conocen las necesidades, aunque no se han planteado las salvaguardas a implementar para solventarlas. No se conocen las necesidades.

GRADO DE MADUREZ Y NECESIDAD DE SALVAGUARDAS PARA RIESGOS LGICOS GRADO DE MADUREZ 5 4 3 2 1 0 NECESIDAD DE SALVAGUARDAS MB M A MA MA MA NIVEL CMMI OPTIMIZADO GESTIONADO DEFINIDO REPETIBLE INICIAL NO EXISTENTE PRACTICAS DE GESTIN DE SEGURIDAD LGICA Los procesos han sido revisados hasta un nivel de best practice, sobre la base de una mejora continua. Los procesos estn en mejora continua y proporcionan mejores prcticas. Se usan herramientas automatizadas de manera aislada o fragmentada. La organizacin asegura que el control se planifica, documenta, ejecuta, monitoriza y controla. Los procesos han evolucionado de forma de que se siguen procedimientos similares para realizar la misma tarea. No existe formacin ni comunicacin de procedimientos estndar y la responsabilidad recae en el individuo. No existen procesos estndar aunque existen planteamientos ad hoc que se utilizan en cada situacin. Ausencia total de procesos reconocibles.

19

4 Etapas del Anlisis de Riesgos

D. Evaluacin de Riesgos
Riesgo Intrnseco: Medida del dao probable sobre un sistema sin considerar las salvaguardas que pudieran proteger a ste.
Se calcula para cada Situacin de Riesgo El resultado se toma de unas tablas de Impacto vs. Probabilidad, diferentes para los riesgos fsicos y lgicos

Riesgo Reducido: Nivel de Riesgo o medida del dao probable sobre un sistema, una vez consideradas las salvaguardas que pudieran proteger a ste. Se calcula para cada Situacin de Riesgo El resultado se toma de una tablas de Riesgo Intrnseco vs. Nivel de Necesidad de Salvaguardas, comn para ambos tipos de riesgos

20

4 Etapas del Anlisis de Riesgos

D. Evaluacin de Riesgos
Riesgo Efectivo: Nivel de Riesgo o medida de dao probable al que est sometido el activo tras la valoracin de las salvaguardas implantadas en la actualidad, tomando en consideracin el valor propio del activo (criticidad).
Se calcula para cada Situacin de Riesgo La criticidad a considerar es la mxima de las criticidades que se hayan calculado para las combinaciones de Consecuencias y Dimensiones de Seguridad que afecten al Activo. El resultado se toma de una tablas de Riesgo Reducido vs. Nivel de Necesidad de Salvaguardas, comn para ambos tipos de riesgos
Necesidad de Salvaguardas Probabilidad Riesgo Reducido Mxima (Criticidad)

* *
Riesgo intrnseco

* *

Riesgo Efectivo

Impacto

Tabla especfica/matriz de clculo

21

4 Conclusiones
Conclusiones e Impactos
Nueva metodologa propuesta, fruto de la experiencia de Cuevavaliente Ingenieros con sus partners expertos en Seguridad Lgica.
Presenta una solucin prctica a uno de los problemas ms complejos en el diseo de un Sistema de Gestin de Seguridad Fsica y Lgica. Actualmente se est empezando a utilizar con xito en diferentes empresas espaolas Permite proponer Planes de Seguridad comunes a la Alta Direccin de las organizaciones. En el caso de Espaa, y otros pases europeos, permite cumplir con la legislacin especfica de Proteccin de Infraestructuras Crticas, donde se exige a las empresas que operan servicios crticos a la ciudadana, que presenten Planes de Conjuntos de Seguridad Fsica y Lgica.

22

5 Referencias
Referencias
[1] Legislacin sobre Infraestructuras Crticas Espaola: a) Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las infraestructuras crticas. b) Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas. [2] Alfonso Bilbao, Enrique Bilbao, Koldo Pecia; Physical and Logical Security Risk Analysis Model, International Carnahan Conference on Security Technology Proceedings, Barcelona 2011 [3] Alfonso Bilbao; TUAR, a model of Risk Analysis in the Security Field, International Carnahan Conference on Security Technology Proceedings, Atlanta 1992 [4] Alfonso Bilbao, Enrique Bilbao, Alejandro Castillo; A risk management method based on the AS/NZS 4360 Standard, International Carnahan Conference on Security Technology Proceedings, Ottawa 2008 [5] Metodologa MAGERIT II; Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Ministerio de Administraciones Pblicas de Espaa. http://www.csi.map.es/csi/pg5m20.htm

23

5 Referencias
Referencias
[6] ISO/IEC 27001 (BS7799-2:2002): Information security management systems Requirements [7] ISO 31000 Risk management Principles and guidelines [8] AS/NZS 4360:2004 Standard Risk Management; Standards Australia/Standards New Zealand, 2004 [9] HB 436:2004 Risk Management Guidelines. Companion to AS/NZS 4360:2004; Standards Australia/Standards New Zealand, 2004 [10] ISO/IEC 27001 / 2005 Information security management systems Requirements [11] ISO/IEC 27002 / 2005 Code of practice for information security management [12] ISO/IEC 27005 / 2008 Information security risk management [13] ISO/IEC 15408-1 / 2009 Common Criteria for Information Technology Security Evaluation [14] www.cuevavaliente.com

24

Fin de la presentacin

Muchas gracias

25