Especializacin Seguridad en Redes

Telemticas

Anlisis y Gestin de
Riesgos
Seguridad Informtica I

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

QUE ES EL ANLISIS DE RIESGOS?

El anlisis de riesgo (tambin conocido

como evaluacin de riesgo o PHA por sus siglas
en ingles: Process Hazards Analysis) es el
estudio de las causas de las posibles amenazas,
y los daos y consecuencias que stas puedan
producir.
Este tipo de anlisis es ampliamente utilizado
como herramienta de gestin en estudios
financieros y de seguridad para identificar
riesgos (mtodos cualitativos) y otras para
evaluar
riesgos
(generalmente
de naturaleza cuantitativa).

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

PASOS PARA EL ANLISIS DE RIESGOS

1. Determinar los activos relevantes para la Organizacin, su
interrelacin y su valor, en el sentido de qu perjuicio
(coste) supondra su degradacin.
2. Determinar a qu amenazas estn expuestos aquellos
activos.
3. Determinar qu salvaguardas
eficaces son frente al riesgo.

hay

dispuestas

cun

4. Estimar el impacto, definido como el dao sobre el activo

derivado de la materializacin de la amenaza.
5. Estimar el riesgo, definido como el impacto ponderado con
la
tasa de ocurrencia (o expectacin de materializacin)
de la
amenaza.

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

MODELO DEL ANLISIS DE RIESGOS

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

1. Caracterizacin de Activos
La primera etapa del anlisis de riesgos es la
realizacin
de
un
inventario
de
activos,
entendiendo por activo segn MAGERIT: los
recursos del sistema de informacin o
relacionados con ste, necesarios para que la
Organizacin
funcione
correctamente
y
alcance los objetivos propuestos por su
direccin. Dicho de otro modo, los activos crticos
estn formados por todos los activos que se
consideran de importancia para el negocio de la
organizacin.

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

1. Caracterizacin de Activos
El activo esencial: informacin (datos)
-

Los servicios
Las aplicaciones informticas (software)
Los equipos informticos (hardware)
Los soportes de informacin
El equipamiento auxiliar
Las redes de comunicaciones
Las instalaciones
Las personas

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

1. Caracterizacin de Activos
La segunda etapa del anlisis de riesgos dentro de la
caracterizacin de activos supone establecer las dependencias
entre los distintos activos de un modo jerarquizado, evaluando
el grado de vinculacin entre activos y en funcin de los
parmetros
disponibilidad,
integridad,
confidencialidad,
autenticidad y trazabilidad
Para llevar a cabo la definicin de dependencias la metodologa
magerit propone una estructura de 5 capas, las cuales se
identifican a continuacin empezando por la inferior:
1. Entorno: equipamiento auxiliar, personal y
edificios.
2. Sistema
de
informacin: hardware,
software, comunicaciones y soportes.
3. Informacin: Datos.
4. Funciones de la organizacin: Servicios
finales.
5. Otros activos: Imagen, know how, etc.

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

1. Caracterizacin de Activos
capa 1: el entorno: activos que se precisan para garantizar
las siguientes capas
equipamiento y suministros: energa, climatizacin,
comunicaciones
personal: de direccin, de operacin, de desarrollo, etc.
otros: edificios, mobiliario, etc.
capa 2: el sistema de informacin propiamente dicho
equipos informticos (hardware)
aplicaciones (software)
comunicaciones
soportes de informacin: discos, cintas, etc.
capa 3: la informacin
datos
meta-datos: estructuras, ndices, claves de cifrado, etc.

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

1. Caracterizacin de Activos
capa 4: las funciones de la Organizacin, que justifican
la existencia del sistema de informacin y le dan finalidad
objetivos y misin
bienes y servicios producidos
capa 5: otros activos
credibilidad o buena imagen
conocimiento acumulado
independencia de criterio o actuacin
intimidad de las personas
integridad fsica de las personas

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

1. Caracterizacin de Activos

Dimensiones
su autenticidad: qu perjuicio causara no saber
exactamente quien hace o ha hecho cada cosa?
su confidencialidad: qu dao causara que lo
conociera quien no debe?
su integridad: qu perjuicio causara que
estuviera daado o corrupto?
su disponibilidad: qu perjuicio causara no
tenerlo o no poder utilizarlo?
la trazabilidad del uso del servicio: qu dao
causara no saber a quin se le presta tal servicio?
la trazabilidad del acceso a los datos: qu dao
causara no saber quin accede a qu datos y qu
hace con ellos?

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

1. Caracterizacin de Activos
Valoracin
Factores

Coste de reposicin: adquisicin e instalacin.

Coste de mano de obra (especializada) invertida en
recuperar (el valor) del activo.
Lucro cesante: prdida de ingresos.
Capacidad de operar: confianza de los usuarios y
proveedores que se traduce en una prdida de actividad o
en peores condiciones econmicas.
Sanciones por incumplimiento de la ley u obligaciones
contractuales.
Dao a otros activos, propios o ajenos.

Dao a personas.
Daos medioambientales.

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

1. Caracterizacin de Activos
VALORACIN
- Cuantitativa (con una cantidad numrica).
- Cualitativa (en alguna escala de niveles)

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

2. CARACTERIZACIN DE AMENAZAS
Una vez finalizada la parte de activos, se debe en primer
lugar identificar las amenazas que afectan a los activos.
Una vez identificadas las amenazas, se debe establecer
la valoracin de las amenazas, mediante los siguientes
dos parmetros:
degradacin: cun perjudicado resultara el activo.
frecuencia: cada cunto se materializa la amenaza.

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

3. CARACTERIZACIN DE SALVAGUARDAS

Para poder obtener el nivel de riesgo al que la entidad

actualmente est sometida, es necesario tener en
cuenta en el anlisis de riesgos las salvaguardas
implantados en la entidad. Estas salvaguardas afectan
del siguiente modo al riesgo:
Reduciendo la frecuencia de las amenazas:
medidas preventivas para limitar la materializacin de
la amenaza.

Limitando el impacto: medidas correctoras y en

menor medida detectivas, las cuales mitigan el
impacto ante la materializacin de la amenaza o lo
que es lo mismo, disminuyen el factor de degradacin
de valor.

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

3. CARACTERIZACIN DE SALVAGUARDAS

La salvaguarda ideal es 100% eficaz, lo que implica

que:
Es tericamente idnea.
Est perfectamente desplegada, configurada y
mantenida.
Se emplea siempre.
Existen procedimientos claros de uso normal y
en caso de incidencias.
Los usuarios estn formados y concienciados.
Existen controles que avisan de posibles fallos.
Entre una eficacia del 0% para aquellas que estn de
adorno y el 100% para aquellas que son perfectas, se
estimar un grado de eficacia real en cada caso
concreto.

Anlisis de Riesgos
A
N
A
L
I
S
I
S

4. DETERMINAR EL IMPACTO

Se denomina impacto a la medida del dao sobre el activo

producido por la materializacin de una amenaza. Conociendo el
valor de los activos (en varias dimensiones) y la degradacin
que causan las amenazas, se obtiene el impacto que estas
tendran sobre el sistema.

G
E
S
T
I
O
N

Impacto acumulado: Es el calculado sobre un activo teniendo

en cuenta:
Su valor acumulado (el propio mas el acumulado de los
activos que dependen de l).
Las amenazas a que est expuesto

D
E
R
I
E
S
G
O
S

Impacto repercutido: Es el calculado sobre un activo teniendo

en cuenta:
Su valor propio.
Las amenazas a que estn expuestos los activos de los
que depende.

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

5. DETERMINAR EL RIESGO
Se denomina riesgo a la medida del dao probable sobre un
sistema. Conociendo el impacto de las amenazas sobre los
activos, es posible obtener el riesgo sin ms que tener en
cuenta la probabilidad de ocurrencia.
Riesgo acumulado: Es el calculado sobre un activo teniendo
en cuenta:
El impacto acumulado sobre un activo debido a una
amenaza y,
La frecuencia de la amenaza.
Riesgo repercutido: Es el calculado sobre un activo
teniendo en cuenta:
El impacto repercutido sobre un activo debido a una
amenaza y,
La frecuencia de la amenaza.

Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

MODELO DEL ANLISIS DE RIESGOS

Gestin de Riesgos
A
N
A
L
I
S
I
S

INTERPRETACIN

Interpretacin de los valores de impacto y riesgo

residuales

Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

Si el valor residual es igual al valor potencial, las salvaguardas

existentes no valen para nada, tpicamente
no porque no haya nada hecho, sino porque hay elementos
fundamentales sin hacer.
Si el valor residual es despreciable, ya est. Esto no quiere
decir descuidar la guardia; pero si afrontar el da con cierta
confianza.
Mientras el valor residual sea ms que despreciable, hay una
cierta exposicin.

Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

SELECCIN DE SALVAGUARDAS
1. Establecer una poltica de la Organizacin al respecto:
directrices generales de quin es responsable de cada
cosa.

2. Establecer una norma: objetivos a satisfacer para

poder decir con propiedad que la amenaza ha sido
conjurada.
3. Establecer unos procedimientos:
a paso de qu hay que hacer.

instrucciones paso

4. Desplegar salvaguardas tcnicas que efectivamente

se enfrenten a las amenazas con capacidad para
conjurarlas.
5. Desplegar controles que permitan saber que todo lo
anterior est funcionando segn lo previsto.

Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

EQUILIBRIO ENTRE:
Salvaguardas tcnicas: en aplicaciones, equipos y
comunicaciones.

Salvaguardas fsicas: protegiendo el entorno de

trabajo de las personas y los equipos.
Medidas de organizacin: de prevencin y gestin
de las incidencias.
Poltica de personal:
eslabn imprescindible
contratacin, formacin
reporte de incidencias,
disciplinarias.

que, a fin de cuentas, es el

y ms delicado: poltica de
permanente, Organizacin de
plan de reaccin y medidas

Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

GRADO DE SEGURIDAD

Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

ESPECIFICACIONES TECNICAS
1. Anlisis mediante tablas
Estimacin del impacto

Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

ESPECIFICACIONES TECNICAS
1. Anlisis mediante tablas
Estimacin del riesgo

Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

ESPECIFICACIONES TECNICAS
2. Anlisis algortmico.
Un modelo cualitativo

Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

ESPECIFICACIONES TECNICAS
2. Anlisis algortmico.
Un modelo cuantitativo
Ejemplo.
Sea un activo valorado en 1.000.000, que es vctima de una amenaza que lo degrada un 90%.
El impacto es de cuanta
1.000.000 x 90% = 900.000
Si la frecuencia estimada es de 0,1, el riesgo es de cuanta
900.000 x 0,1 = 90.000
Si las salvaguardas tienen un 90% de eficacia sobre el impacto, el impacto residual es
900.000 x (1 0,9) = 90.000
Si las salvaguardas tienen un 50% de eficacia sobre la frecuencia, la frecuencia residual queda
en
0,1 x (1 0,5) = 0,05
El riesgo residual queda en
90.000 x 0,05 = 4.500
La eficacia combinada de las salvaguardas es
1 (1 90%) x (1 50%) = 95%
Si las cantidades son euros y las frecuencias anuales, la prdida posible es de 90.000 euros y la
prdida anual se estima en 4.500 euros.

Gestin de Riesgos
A
N
A
L
I
S
I
S

ESPECIFICACIONES TECNICAS
Tcnicas generales

1. Anlisis coste beneficio.

2. Diagramas de flujo de datos (DFD).

Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

3. Diagramas de procesos (SADT).

4. Tcnicas grficas: GANTT, histogramas,
diagramas de Pareto y de torta.
5. Tcnicas de planificacin y gestin de proyectos
(PERT).

6. Sesiones de trabajo: entrevistas, reuniones y

presentaciones.
7. Valoraciones Delphi.

Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

GRAFICA DE ESTADO

Anlisis y Gestin de Riesgos

A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S

.?

Muchas gracias por su tiempo