subdirección general de tecnologías de la información y de las comunicaciones análisis y...
TRANSCRIPT
Subdirección General de Tecnologías de la Información y de las Comunicaciones
Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)
Evaluación y gestión Evaluación y gestión de los riesgos de los de los riesgos de los
sistemas de sistemas de información en el información en el
Ministerio de Ministerio de Economía y HaciendaEconomía y Hacienda
Subdirección General de Tecnologías de la Información y de las Comunicaciones
Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)
AgendaAgenda
Condiciones preliminaresPasos a dar:
– Definición clara y concisa del alcance– Decisión de abordarlo con personal
interno/externo– Recogida de información– Caracterización de activos y dependencias– Análisis de amenazas y valoración de riesgos– Toma de decisiones: salvaguardas– Plan Director de Seguridad– Reiniciar el ciclo
Reflexiones desde nuestra experiencia
Subdirección General de Tecnologías de la Información y de las Comunicaciones
Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)
Condiciones preliminaresCondiciones preliminares
• Para abordar un proyecto de Análisis y Gestión de Riesgos es necesario:
– Apoyo de la Alta Dirección– Dedicación de los recursos económicos y humanos
necesarios– Definición de la metodología y herramientas:
• MAGERIT y PILAR
Subdirección General de Tecnologías de la Información y de las Comunicaciones
Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)
Definición clara y concisa del alcanceDefinición clara y concisa del alcance
• Imprescindible la definición del proyecto desde su inicio– ¿Qué partes del organigrama abordará? Ámbito
– ¿Qué servicios / actividades incluir? Alcance
Subdirección General de Tecnologías de la Información y de las Comunicaciones
Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)
Decisión de abordarlo con personal interno/externoDecisión de abordarlo con personal interno/externo
• En función del alcance:– Interno. Limitado a una parte del organigrama o a un
sólo servicio/actividad (ej. Correo-e)– Externo. Más extenso, con supervisión.
• En ambos casos: necesidad de dedicar recursos suficientes (para hacer o para supervisar)
Subdirección General de Tecnologías de la Información y de las Comunicaciones
Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)
Recogida de informaciónRecogida de información
• Análisis diferencial respecto a norma ISO 17799:2005• Entrevistas• Formularios• Análisis de vulnerabilidades:
– Técnicas (hacking ético: test intrusión, etc.)– No técnicas (seguridad física, aspectos legales y
organizativos, análisis de procesos, revisión de los controles implantados, etc.)
Subdirección General de Tecnologías de la Información y de las Comunicaciones
Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)
Caracterización de activos y dependenciasCaracterización de activos y dependencias
• Inventariar y clasificar activos (desde el punto de vista del análisis de riesgos)
• Plasmar de manera estructurada y homogénea la información recogida en el paso anterior
• Nivel de detalle adecuado– No escaso: reflejo suficiente de la realidad– No excesivo: debemos poder gestionarlo y mantenerlo
• Paso fundamental, el resto depende de este modelo
Subdirección General de Tecnologías de la Información y de las Comunicaciones
Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)
Análisis de las amenazas y Análisis de las amenazas y valoración del riesgovaloración del riesgo
• Analizar las amenazas:
– Qué riesgos existen
– Clasificación por su criticidad
• Herramienta PILAR: útil (imprescindible si hay muchos activos)
– Sólo es una herramienta (potente, pero sólo una herramienta)
– La inteligencia y el sentido común los debe poner el usuario para detectar los falsos positivos y negativos que pueda sugerir la herramienta.
Subdirección General de Tecnologías de la Información y de las Comunicaciones
Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)
Toma de decisiones: salvaguardasToma de decisiones: salvaguardas
• Documento de Aplicabilidad (SOA, Statement of Applicability)– Recoge las conclusiones de los pasos anteriores– Identifica los riesgos y puede incluir recomendaciones de
decisión
Toma de decisiones: Tarea de la Alta Dirección.
Asumir Mitigar Transferir
Subdirección General de Tecnologías de la Información y de las Comunicaciones
Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)
Plan Director de SeguridadPlan Director de Seguridad
• Proyectos de implantación de salvaguardas para mitigar los riesgos
• Planificación temporal
• Planificación de recursos necesarios (económicos y humanos, internos y externos)
• Programa de Gestión del Cambio
• Cambio en la Cultura de Seguridad de la Organización
Subdirección General de Tecnologías de la Información y de las Comunicaciones
Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)
Reiniciar el cicloReiniciar el ciclo
• Mejora continua (Ciclo PDCA)– Foto única. Análisis de Riesgos no mantenido sirve de poco.
– Fotos periódicas. Actualmente es factible hacer revisiones periódicas.
– ...
– Vídeo. En el futuro …, herramientas que permitan mantener actualizado el inventario de activos, amenazas, riesgos y salvaguardas, de forma que generen informes de situación y de mejora automatizados.
• La Seguridad absoluta no existe
Subdirección General de Tecnologías de la Información y de las Comunicaciones
Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)
• Lleva tiempo la creación de una estructura de seguridad (Comité de Seguridad y Oficina de Seguridad), especialmente en el sector público, a pesar de contar con un fuerte apoyo de la Dirección
• Creemos en estas iniciativas y en los beneficios de llevarlas a cabo
• Plazo de ejecución del proyecto completo de 2 años, y luego ciclo continuo con personal interno
• Conciencia del personal interno: la seguridad no puede ser algo extraño al trabajo diario, debe formar parte de él
Reflexiones desde nuestra experienciaReflexiones desde nuestra experiencia