Gestión de RiesgosGestión de Riesgoscon Mageritcon Magerit
José A. Mañas Dep. de Ingeniería de Sistemas Informáticos
Universidad Politécnica de Madrid<http://www.dit.upm.es/~pepe/>
Definiciones
• Gestión del riesgo– actividades coordinadas para dirigir y
controlar una organización con respecto al riesgo
• NOTA: normalmente la gestión del riesgo incluye la apreciación del riesgo, el tratamiento del riesgo, la aceptación del riesgo y la comunicación del riesgo
ISO/IEC Guía 73: 2002
Definiciones
• Riesgo– combinación de la probabilidad de un
suceso y su consecuencia1. el término riesgo normalmente se utiliza
únicamente cuando existe al menos la posibilidad de consecuencias negativas
2. en algunas situaciones, el riesgo proviene de la posibilidad de un desvío del resultado o del suceso previsto
ISO/IEC Guía 73: 2002
Informalidad
• Se dice que una actividad es “arriesgada” cuando puede salir mal o puede salir bien;es decir, cuando no hay certeza de qué va a ocurrir
• Se llama “riesgo” a la medida de lo que “probablemente ocurra”
Método de estimación
sucesosinciertos
descubrimiento
consecuencias
estimación
IMPACTO
RIESGO
probabilidad
×
indicadores
Subjetividad
• La identificación de sucesosy la estimación de consecuencias y probabilidades son subjetivasporque no pueden ser objetivas hasta que el suceso se materializa
• Ante sucesos materializados no analizamos riesgos:medimos daños
Subjetividad
• Necesitamos opiniones cualificadas / creíbles / de confianza
• Hay que poder razonar el por qué de las estimaciones realizadas
• Sería muy interesante disponer de estimaciones normalizadas;... un bonito sueño ...
Uso del análisis de riesgos
• Para tomar decisiones• El riesgo no es necesariamente malo
– el riesgo es compañero inseparable del beneficio
– el beneficio (estimado subjetivamente)hay que compararlo conel riesgo (estimado subjetivamente)para tomar decisiones informadas
Tratamiento
• El riesgo se trata– se evita– se mitiga– se transfiere– se acepta
• El riesgo no se reduce a 0.0el riesgo se trata hasta tener una relación beneficio / riesgo “óptima”que estamos dispuestos a aceptar
Tratamiento
punto de decisiónmonitorización continua
estudio coste / beneficio
estudio de los riesgos revisión periódica
• transferencia• mitigación del riesgo:
reducción de la exposiciónlimitación del impacto
se trata
se asume
se estudia mejor
Gestión de riesgos
Análisis de riesgos proceso sistemático para estimar la magnitud
de los riesgos a que está expuesta una organización
Evaluación de los riesgos proceso en el que se coteja el riesgo estimado
contra los criterios de la organización para determinar la importancia del riesgo
Tratamiento de riesgos selección e implantación de salvaguardas
para conocer, prevenir, impedir, reducir o controlar los riesgos identificados
Análisis
• Un buen análisis es la base– no se pueden tomar decisiones
sin conocimiento– no se pueden justificar decisiones
sin conocimiento– no se puede optimizar lo que se ignora
El análisis de riesgos no es simple
• Muchos activos– los sistemas son complejos
• Activos de muchos tipos– información, servicios, procesos, ...– equipamiento: aplicaciones, equipos, comunicaciones,
...– locales: recintos, edificios, áreas, ..., en el campo– personas: usuarios, operadores, desarrolladores, ...
• Muchas amenazas– y muchas formas de hilvanar las amenazas
• Muchísimas salvaguardas– gestión, técnicas, seguridad física, recursos humanos
... lleva tiempo... cuesta dinero
... no vale una vez y para siempre
Metodología de análisis de riesgos
La complejidad se ataca metódicamente– una metodología es una aproximación
sistemática• para cubrir la mayor parte de lo que puede ocurrir• para olvidar lo menos posible• para explicar a los gerentes qué se necesita de ellos• para explicar a los técnicos qué se espera de ellos• para explicar a los usuarios
– qué un uso decente del sistema– qué es una respuesta urgente– cómo se gestionan los incidentes
– una metodología necesita modelos• elementos: activos, amenazas, salvaguardas• métricas: impacto y riesgo
Magerit
Metodología de análisis y gestión de riesgos de los sistemas de información – Pública
• MAP : Ministerio para las Administraciones Públicas• version 1.0, 1997• version 2.0, 2005
– http://www.csi.map.es/csi/pg5m20.htm
– Recomendación para la administración pública española
Pasos de análisis
análisisRiesgos (SistemaInformación si) {Contexto contexto= establecerContexto (si);Set<Activo> activos= getModeloValor(si);Set<Amenaza> amenazas=
getMapaAmenazas(si, activos);Riesgo potencial= calcula(activos, amenazas);Set<Salvaguarda> salvaguardas=
necesidad(activos, amenazas);evaluaEstadoActual(salvaguardas);Riesgo residual=
calcula(activos, amenazas, salvaguardas);}
Pasos de análisis
Set<Activos> getModeloValor(SistemaInformación si) {do {
Set<Activo> activos= descubrimiento(si);relaciones(activos, si);valoración(activos, si);
} until (dirección.aprueba(activos));dirección.firma(informe(activos));return activos;
}
Valoración
– Coste que supondría la ocurrencia de una amenaza
• valor de reposición• valor de reconstrucción• horas perdidas de trabajo• lucro cesante• daños y perjuicios
– No sólo importa lo que cuesta; importa [más] para qué vale
Aspectos de valoración
– seguridad de las personas– información de carácter personal– obligaciones derivadas de la ley, del marco
regulatorio, de contratos, etc.– capacidad para la persecución de delitos– intereses comerciales y económicos– pérdidas financieras– interrupción del servicio– orden público– política corporativa– otros valores intangibles
Dimensiones de valoración
• disponibilidad– ¿Qué importancia tendría que el activo no estuviera
disponible?• integridad
– ¿Qué importancia tendría que el activo fuera modificado fuera de control?
• confidencialidad– ¿Qué importancia tendría que el activo fuera conocido por
personas no autorizadas?• autenticidad
– ¿Qué importancia tendría que quien accede al activo no sea realmente quien se cree?
• trazabilidad | imputabilidad (accountability) – ¿Qué importancia tendría que no quedara constancia del uso
del activo?
Valoración
– Cuantitativa• el desembolso económico que conllevaría• prácticamente siempre se hace en euros
– Cualitativa• hay cosas que no tienen precio• intangibles
– inhabilitación de una misión– perjuicio de imagen– perjuicio a las relaciones de la organización– ...
Valor cualitativo
– Criterios homogéneos que permitan• relativizar entre dimensiones• compartir / combinar análisis
realizados por separado• uniformidad de conocimiento
9
7
6
4
1
8 alto
5 medio
3
2 bajo
despreciable0
10 muy alto
valor criterio10 - muy alto daño muy grave
8 - alto daño grave repercute en otros5 - medio daño importante queda en casa2 - bajo daño menor
0 - despreciable daño irrelevante
Valor cuantitativo (euros)
• si no ocurre nada:– B1 = beneficios_1 – gastos_1
• si se materializa la amenaza:– B2 = beneficios_2 – gastos_2
• consecuencias del suceso:– VALOR = B1 – B2
(beneficios_1 – beneficios_2) + (gastos_2 – gastos_1)
euros0.0
b1g1b2g2
cual y cuan
• Se puede hacer un análisis cualitativo no cuantitativo– para tomar las decisiones “de bulto”
• No se debe hacer un análisis cuantitativo no cualitativo– porque no sólo es dinero
• Se debe hacer análisis cuantitativo y cualitativo– para tomar las decisiones “finas”
Herramientas
• Necesarias para– atajar la complejidad– mantener el análisis al día– analizar “what if ...”
• Convenientes para– capturar el sistema– aplicar un método sistemáticamente– comunicar el riesgo– explicar el por qué de las conclusiones
Análisis (potencial)
activosactivos
amenazasamenazas
probabilidadprobabilidad
impactoimpacto
valorvalor
riesgoriesgo
Interesan por su
degradación
están expuestos a
degradacióncausan una cierta
con una cierta
Análisis (residual)
activosactivos
amenazasamenazas
probabilidadresidual
probabilidadresidual
impactoresidual
impactoresidual
valorvalor
riesgoresidualriesgo
residual
Interesan por su
degradaciónresidual
están expuestos a
degradaciónresidual
causan una cierta
con una cierta
tipo de activodimensiónamenaza
nivel de riesgosalvaguardassalvaguardas
Soporte a la gestión
EARPILAR
programas de seguridad
activosamenazas
impacto y riesgo potenciales
evaluación de salvaguardas
progresosalvaguardas
plan de seguridad
costes & beneficiosimpacto y riesgo residuales
Soporte al alineamiento
• Los “de arriba” deben entender las consecuencias de los incidentes técnicos
• Los “de abajo” deben entender el valor de los componentes técnicos
• Todos deben saber– qué deben proteger– en qué medida
Análisis de riesgos
• Las entradas:– ¿qué tenemos que proteger? NEGOCIO– ¿qué tenemos que proteger? RECURSOS– conócete a ti mismo
• La tarea:– ¿qué quiere la otra parte?– ¿cómo puede la otra parte conseguirlo?– conoce a tu adversario
• La conclusión:– somos vulnerables en tal medida
¿Cuándo?
– El análisis de riesgo muestra su máxima eficacia cuando se realiza antes del despliegue de un sistema
• y las salvaguardas se incorporan al diseño de la solución
– Es necesario cuando• un sistema se hace cargo de nuevas o más
importantes misiones que aquellas para las que fue diseñado
– morir de éxito• cambia el perfil de vulnerabilidad
– ej. exposición a Internet
planificaciónplanificaciónPlan
monitorizacióny evaluación
monitorizacióny evaluación
Check
implementacióny operación
implementacióny operación
Do
mantenimientoy mejora
mantenimientoy mejora
Act
SGSI
Sistema de Gestión de la Seguridad de la Información
análisisde riesgos
certificación
resultados deevaluación
registro
modelode valor
mapade riesgos
gestiónde riesgos salvaguardas
acreditación
auditoríaevaluación
de seguridad
Certificación y acreditación
Riesgos del análisis de riesgos
1. Lo que se olvida– recursos propios ignorados o subestimados– recursos ajenos desconocidos o subestimados– hay que tener más de una opinión
2. La auto-complacencia– estamos suficientemente bien– hay que controlar que seguimos tan bien como creemos– hay que revisar continuamente y adaptarse a las
circunstancias3. La incomunicación
– la dirección no se entera– hay que saber transmitir información que informe
Referencias
– Magerit v2 – MAP, 2005• Metodología de análisis y gestión de riesgos de los
sistemas de información• http://www.csi.map.es/csi/pg5m20.htm• Código de buenas prácticas para la Gestión de la
Seguridad de la Información– EAR – Entorno de Análisis de Riesgos
• PILAR – Herramienta de análisis y gestión– http://www.ar-tools.com/
• con soporte del CCN– https://www.ccn-cert.cni.es/