analisis de riesgos con o-ism3 ra
DESCRIPTION
TRANSCRIPT
Vicente Aceituno Canal
696470328
© Inovement Spain 2014
Análisis de Riesgos
O-ISM3 RA
Análisis de Riesgos
El Análisis de Riesgos se utiliza por motivos
de cumplimiento normativo, comunicación
del valor, para definir estrategia en
Seguridad y para la Gestión del Riesgo.
Existe un gran número de métodos de
Análisis de Riesgos.
AU IT SB
FAIR
MAGERITCRAMM
Dutch A&K
EBIOS
ISAMM
ISO27005
MARION
MEHARI
MIGRA
OCTAVE
SP 800-30
ISFCanadian RM Guide
……Etc
Análisis de Riesgos
Existen 10 grados de libertad para el diseño de un
método de Análisis de Riesgos, con múltiples
soluciones para cada uno.
Existen además distintas formas de combinar los
elementos de Análisis.
Diseño de Método de RA
Impacto Activos Valor
Coste
Amenazas Frecuencia
Vulnerabilidades
Controles
Probabilidad
Exposición
Análisis de Riesgos
La complejidad de la mayor parte de los
métodos de Análisis de Riesgos los hace
caros y poco ágiles.
O-ISM3 RA es un método de Análisis de
Riesgos que se ha diseñado para que sea
sencillo, y por lo tanto rápido y económico.
GoalsAlcance
Alcance
Aumentar el alcance incrementa el coste
del análisis,
Cuanto mayor es el alcance, más
significativo es el análisis.
O-ISM3 RA puede cubrir toda la empresa.
GoalsEmpresa
Profundidad(Nivel de Detalle)
Profundidad de Modelado
Cuanto mas detallado es el modelo, más
complejo y costoso es.
La profundidad del modelado debería
corresponderse al de las decisiones que
queremos tomar.
Por eso O-ISM3 RA utiliza una profundidad
a nivel de gestión.
Modelo TIC
Ninguno
Activos
Servidores, Bases de Datos, Redes, etc
(Purely Technical)
ISM3-RA utiliza Entornos
Environments
Modelo de Negocio
La mayor parte de los métodos de análisis
de riesgos no usan Ninguno
ISM3-RA utiliza Funciones de Negocio.
Profundidad de Gestión
Funciones de Negocio
Todas las compañías realizan estas
funciones de negocio.
Researc
h
Fin
ancin
g /
Accountin
g
Legal
Sale
s
Rela
tionship
s
Pro
ductio
n
Main
tenance
Busin
ess
Inte
lligence
Govern
ance IT
Advertis
ing
Hum
an
Resourc
es
Infra
stru
ctu
re
Adm
inis
tratio
n
Pro
cure
ment
Logis
tics
Funciones de Negocio
Todas las compañías realizan estas
funciones de negocio.
Que tienen distinta importancia en distintas
compañías.
Researc
h
Fin
ancin
g /
Accountin
g
Legal
Sale
s
Rela
tionship
s
Pro
ductio
n
Main
tenance
Busin
ess
Inte
lligence
Govern
ance IT
Advertis
ing
Hum
an
Resourc
es
Infra
stru
ctu
re
Adm
inis
tratio
n
Pro
cure
ment
Logis
tics
No se pueden modelar a nivel de gestión
mediante Activos, Servidores o
Aplicaciones.
Si se puede modelar si nos guiamos por
como están distribuidas las
responsabilidades de gestión.
Entornos
HostSSCC Terceros
SSAAOficinas
Usuarios
Móviles
Personal
Dependencias
O-ISM3 RA
HostSSCC Terceros
SSAAOficinasUsuarios
Móviles
Personal
Researc
h
Fin
ancin
g /
Accountin
g
Legal
Sale
s
Rela
tionship
s
Pro
ductio
n
Main
tenance
Busin
ess
Inte
lligence
Govern
ance IT
Advertis
ing
Hum
an
Resourc
es
Infra
stru
ctu
re
Adm
inis
tratio
n
Pro
cure
ment
Logis
tics
No hay ninguna lista
de amenazas
utilizada
universalmente.
No suele estar
disponible
información
suficiente para saber
como de probable es
una amenaza.
Amenazas
O-ISM3 RA usa una escala cualitativa de
probabilidad de la amenaza, de muy baja a
muy alta.
Probabilidad de la Amenaza
La multiplicidad y evolución de las amenazas las
hace difíciles de modelar.
Se usan a veces listas de cientos de elementos…
MAGERIT: Accidental Natural, Accidental
Industrial, Accidental Error, Deliberada, etc…
Contra Confidencialidad, contra Integridad, contra
Disponibilidad.
O-ISM3 RA usa 7 amenazas, gracias que las
clasifica por consecuencias y no por causas.
Taxonomía de Amenazas
1. Destrucción, Corrupción o
Perdida de información válida.
2. Destrucción incompleta de
información caducada.
3. Uso inapropiado de acceso
autorizado.
4. Falta de registro de acceso.
5. Acceso no autorizado, espionaje y
revelación de información válida.
6. Servicio insatisfactorio,
interrumpido o fallo de acceso
autorizado.
7. Obsolescencia de acceso a la
información.
Impacto
A veces se calcula en Euros
Alto – Medio – Bajo
Magerit: Disponibilidad, integridad,
Confidencialidad, Autenticidad, Trazabilidad.
O-ISM3 RA: Escala cualitativa. Cuanto más
dependan y más importantes sean las Funciones
de Negocio en el Entorno, mayor Impacto.
Impacto
Controles
(ISO27001
PCI DSS
NIST
O-ISM3, etc)
Controles ISO 27002
Controles PCI DSS
Controles Cobit
Listas a medida
O-ISM3 RA usa procesos O-ISM3, pero se
fácilmente adaptable a las otras taxonomías de
controles.
Taxonomía de Controles
Alcance a nivel corporativo
Modelado a un nivel suficientemente bajo para
obtener un análisis significativo, pero
suficientemente alto para reducir la complejidad y
el coste, y aumentar la agilidad.
Resultados útiles para comprender la situación
actual, comunicar el estado del riesgo y crear
planes de acción.
Resumiendo
Ejemplo O-ISM3 RA
Internal
NetworkDMZ
Mobile
Users
Internal
Users
WiFi
Networks
Govern
ance
Infra
stru
ctu
re
Hum
an
Resourc
es
Pro
ductio
n
Logis
tics
Adm
inis
tratio
nIT
Advertis
ing
Researc
h
Pro
cure
ment
Sale
s
Busin
ess
Inte
lligence
Fin
ancin
g /
Accountin
g
Main
tenance
Rela
tionship
s
Legal
Ejemplo O-ISM3 RA
Internal
NetworkDMZ
Mobile
Users
Internal
Users
WiFi
Networks
Govern
ance
Infra
stru
ctu
re
Hum
an
Resourc
es
Pro
ductio
n
Logis
tics
Adm
inis
tratio
nIT
Advertis
ing
Researc
h
Pro
cure
ment
Sale
s
Busin
ess
Inte
lligence
Fin
ancin
g /
Accountin
g
Main
tenance
Rela
tionship
s
Legal
Ejemplo O-ISM3 RA
0
20
40
60
80
100
120
Relative Weight of Business Functions
Researc
h
Fin
ancin
g /
Accountin
g
Legal
Sale
s
Rela
tionship
s
Pro
ductio
n
Main
tenance
Busin
ess
Inte
lligence
Govern
ance IT
Advertis
ing
Hum
an
Resourc
es
Infra
stru
ctu
re
Adm
inis
tratio
n
Pro
cure
ment
Logis
tics
0,0000
0,1000
0,2000
0,3000
0,4000
0,5000
0,6000
0,7000
0,8000
Internet SSCC Oficinas Host SSAA Terceros Usuarios Mobiles
Personal
Relative Protection per Environment
Ejemplo O-ISM3 RA
HostSSCC Terceros
SSAAOficinasUsuarios
Móviles
Personal
Ejemplo O-ISM3 RA
0
2000
4000
6000
8000
10000
12000
Internet SSCC Oficinas Host SSAA Terceros Usuarios
Mobiles
Personal
Relative Environment Criticality
HostSSCC Terceros
SSAAOficinasUsuarios
Móviles
Personal
0,000000
0,200000
0,400000
0,600000
0,800000
1,000000
1,200000
1,400000
1,600000
1,800000
SSCC Oficinas Host SSAA Terceros Usuarios Mobiles Personal
Risk to Environment
Ejemplo O-ISM3 RA
HostSSCC Terceros
SSAAOficinasUsuarios
Móviles
Personal
0,00000000
1,00000000
2,00000000
3,00000000
4,00000000
5,00000000
6,00000000
7,00000000
8,00000000
SSCC Oficinas Host SSAA Terceros Usuarios Mobiles
Risk to Technical Environment per Threat Improper recording of access to information or systems /
(anon or otherwise)
Unauthorized access, eavesdropping, theft and disclosure of information or systems AND
Improper use of authorized access to information or systems
Failure to destroy expired information or systems &
Failure to stop systems at will
Underperformance OR Interruption of valid system services &
Failure of authorized access
Aging of information &Outdated systems
Destruction /Corruption /
Loss of valid information or systems
Ejemplo O-ISM3 RA
HostSSCC Terceros
SSAAOficinasUsuarios
Móviles
Personal
02000400060008000
10000120001400016000
Relative Reliance on Environments
Ejemplo O-ISM3 RA
Researc
h
Fin
ancin
g /
Accountin
g
Legal
Sale
s
Rela
tionship
s
Pro
ductio
n
Main
tenance
Busin
ess
Inte
lligence
Govern
ance IT
Advertis
ing
Hum
an
Resourc
es
Infra
stru
ctu
re
Adm
inis
tratio
n
Pro
cure
ment
Logis
tics
0,000000
0,500000
1,000000
1,500000
2,000000
2,500000
Risk per Business Function
Personal
Usuarios Mobiles
Terceros
SSAA
Host
Oficinas
SSCC
Ejemplo O-ISM3 RA
Researc
h
Fin
ancin
g /
Accountin
g
Legal
Sale
s
Rela
tionship
s
Pro
ductio
n
Main
tenance
Busin
ess
Inte
lligence
Govern
ance IT
Advertis
ing
Hum
an
Resourc
es
Infra
stru
ctu
re
Adm
inis
tratio
n
Pro
cure
ment
Logis
tics
