Análisis de Riesgos

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Análisis de Riesgos
Ramiro Cid | @ramirocid
1

2
Índice
1. Análisis de riesgos: Primer acercamiento Pág. 3
2. Activos Pág. 22
3. Amenazas Pág. 28
4. Vulnerabilidades Pág. 41
5. Impacto Pág. 43
6. Gestión de Riesgos Pág. 47
7. Cálculo del Riesgo Pág. 55
8. Comparativa de metodologías de análisis de riesgos Pág. 62

Análisis de riesgos: Primer acercamiento
“Corresponde al proceso de identificar los riesgos, desde el punto de vista
de la seguridad, determinando su magnitud e identificando las áreas que
requieren medidas de salvaguarda”.

Gestión global de Seguridad de un Sistema de Información
Fases:
Análisis y Gestión de
Riesgos
Determinar Objetivos y
Política de Seguridad
Establecer Planificación
de Seguridad
Implantar Salvaguardas
Monitorización y gestión
de Cambios en la
Seguridad

¿Qué es un Análisis de Riesgos?
¿qué hay que hacer para no verse
afectado por ellas?
? Documento donde se describe,
para su posterior análisis y
ayuda a la toma de decisiones...
¿qué hay en el sistema?
¿qué amenazas le afectan?

Plan Director de Seguridad
Análisis de Riesgo (Problemas encontrados) [A.R.]
Gestión de Riesgos (Propongo soluciones) [G.R.]
[A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]

Resumen del procedimiento de análisis
Gestión
del
riesgo
Identificación
y valoración de activos
Valoración de amenazas
y vulnerabilidades

Evaluación de riesgos y gastos
Gestión del riesgo:
Proceso de equilibrar el coste de protección con el coste de exposición.
Coste de Equilibrio
Nivel de Seguridad
Decisiones:
Aceptarlo
Asignación a terceros
Evitarlo
Riesgos Seguridad

¿Por qué realizarlo?
Permite identificar los riesgos de la seguridad de la información que
podrían afectar en el desarrollo de las actividades de negocio
Facilita la correcta selección de las medidas de seguridad a implantar
Creación de los plantes de contingencias en previsión de las amenazas
detectadas
Necesario en el diseño, implantación y certificación de un SGSI (es el
primer paso en la implementación de un SGSI)

Tipos de Análisis
Hay dos tipos de análisis de riesgos según las cosas que tienen en cuenta:
Intrínseco es aquel que se realiza sin tener en cuenta aquellas
contramedidas que ya se están aplicando.
Da como resultado el Riesgo Intrínseco
Residual es aquel que se realiza teniendo en cuenta las contramedidas ya
aplicadas.
Da como resultado el Riesgo Residual

Elementos del Análisis
Activos: Los activos son todos aquellos elementos que forman parte del
Sistema de Información.
Amenazas: Las amenazas son todas aquellas cosas que le pueden
suceder a los activos que se salen de la normalidad.
Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por
las amenazas para dañar a un activo (son los agujeros de seguridad).
Impacto: Consecuencia de la materialización de una amenaza sobre un
activo

Elementos del Análisis (continuación)
Controles: Son todos aquellos mecanismos que permiten reducir las
vulnerabilidades de los sistemas.
Riesgos: Son el resultado del análisis de riesgo.
El riesgo es una ponderación del valor del activo, la probabilidad que
suceda una amenaza y el impacto que tendría sobre el sistema.
Riesgo = Valor Activo + Probabilidad + Impacto

Relaciones
Incrementan
Poseen
GeneranGeneran
Protegen contra
Incrementan
Incrementan Exponen
Aprovechan las
RiesgosControles
Amenazas Vulnerabilidades
Requerimientos
de Seguridad
Activos
Valor de los activos e
impactos potenciales

Algunas Conclusiones
Lo que se pretende en la Gestión de riesgos es reducir la probabilidad y/o el impacto. La
amenaza no se puede reducir, lo que se intenta es eliminar la vulnerabilidad para que con
esto la probabilidad de ocurrencia de la amenaza disminuya o sino se trata de que el impacto
en caso de ocurrencia sea menor
Una buena práctica utilizada para empresas grandes es aplicar primero NIST para filtrar los
riesgos altos, luego se realiza sobre estos Magerit o CRAMM sobre estos

Metodologías (I): MAGERIT
Es una metodología de
Análisis y Gestión del
Riesgos de los sistemas de
información desarrolladas
por el Ministerio de
Administraciones Públicas.
Solo se aplica en el ámbito
español.

Fases de MAGERIT
Toma de datos.
Procesos de la
Información
Dimensionamiento.
Establecimiento de
Parámetros
Análisis activos Y
salvaguardas
Establecimiento
impactos
Establecimiento
vulnerabilidades
Análisis de
amenazas
Análisis Riesgo
Intrínseco
Influencia de
salvaguardas
Análisis Riesgos
efectivo
Evaluación de
riesgos

Toma de datos y procesos de la información
Objetivos:
Definir el área de aplicación del estudio (alcance) y el objetivo final
del análisis de riesgos.
Tener una visión global del proceso de información en la
organización.
Establecer el grado de análisis en unidades homogéneas en todo el
alcance (granularidad)

Establecimiento de parámetros
Parámetros para valorar los activos y salvaguardas: Se debe asignar una
valoración económica a los activos.
Valoración real: valor que tiene para la empresa la reposición del activo en
las condiciones anteriores a la acción de la amenaza
Valoración estimada: medida subjetiva de la empresa que, considerando la
importancia del activo, le asigna un valor económico.
Valoración Rango Valor
Muy Alto Valor > 200.000€ 300.000€
Alto 100.000€< valor > 200.000€ 150.000€
Medio 50.000€< valor > 100.000€ 75.000€
Bajo 10.000€< valor > 50.000€ 30.000€
Muy bajo < 10.000€ 10.000€

Para la estimación de la vulnerabilidad, hay que estimar la frecuencia de
ocurrencia de las amenazas en una escala de tiempos.
Vulnerabilidad Rango Valor
Extrema Frecuencia 1 vez al día 0,997
Alta Frecuencia 1 vez cada 2 semanas 0,071
Frecuencia media 1 vez cada 2 meses 0,016
Baja Frecuencia 1 vez cada 6 meses 0,005
Muy baja Frecuencia 1 vez al año 0,003

Parámetros para la estimación del impacto, hay que estimar el grado de daño
producido por la amenaza en los activos
Impacto Valor
Muy alto 99%
Alto 75%
Medio 50%
Bajo 20%
Muy bajo 5%

Parámetros para estimar la influencia de las salvaguardas: disminuyen el
riesgo calculado (probabilidad o impacto)
Variación impacto/vulnerabilidad Valor
Muy alto 95%
Alto 75%
Medio 50%
Bajo 30%
Muy Bajo 10%

“Los activos son todos aquellos elementos que
forman parte del Sistema de Información”.
Definición de activos

Detección y Clasificación de activos
Activos físicos: Hardware
Los activos físicos son aquellas cosas que forman parte de la
empresa como material de ayuda a desempeñar una actividad.
Ejemplo: Ordenador, Impresora, ...
Activos lógicos: Software
Los activos lógicos son aquellos programas o datos que forman
parte del conocimiento de la empresa para desempeñar la
actividad. Ejemplo: BD, Intranet Corporativa, ...

Personal: Roles del Sistema
Los roles del personal relacionados con la seguridad, son todas aquellas
responsabilidades que hay que asumir en cuanto a la seguridad del
sistema.
Forum de seguridad
Responsable de seguridad
Operador de Copia de Seguridad
...

Entorno
Aire Acondicionado
Sistema Eléctrico
instalaciones adicionales
Imagen Corporativa
La fiabilidad, y la imagen de la empresa son uno de los activos más
importantes a la hora que los clientes depositen en ella su confianza.

Se clasifican según su:
Confidencialidad (libre, restringida, protegida, confidencial, etc.)
Autenticación (baja, normal, alta, crítica)
Integridad (bajo, normal, alto, crítico)
Disponibilidad (menos de una hora, menos de un día, menos de una
semana, más de una semana)

Valoración de activos
VALORACIÓN: Coste TOTAL que tendría para la empresa su pérdida:
Valor de reposición
Valor de configuración, puesta a punto, etc.
Valor de uso del activo
Valor de pérdida de oportunidad

“Las amenazas son todas aquellas cosas que le pueden
suceder a los activos que se salen de la normalidad”
Definición de amenazas

Tipo de amenazas
Las amenazas normalmente dependen del negocio de la empresa y del tipo de
sistema que se quiere proteger
Ejemplos:
Empresa de desarrollo de
sistemas
ISP
Colegio Profesional
Universidad

Listado de amenazas
Accidentes
Errores
Amenazas Intencionales Presenciales
Amenazas Intencionales Remotas

Amenazas - Accidentes
Accidente físico
Incendio, explosión, inundación por roturas, emisiones radioeléctricas,
etc.
Avería
De origen físico o lógico, debida a un defecto de origen o durante el
funcionamiento del sistema.
Interrupción de Servicios esenciales
Energía
Agua
Telecomunicación
Accidente mecánico o electromagnético:
Choque
Caída
Radiación

Amenazas - Errores
Errores de utilización del sistema, provocados por un mal uso, ya sea
intencionado o no
Errores de diseño conceptuales que puedan llevar a un problema de
seguridad
Errores de desarrollo derivados de la implementación de alguna
aplicación o de la implantación de un sistema en producción

Amenazas - Errores
Errores de actualización o parcheado de sistemas y aplicaciones
Monitorización inadecuada
Errores de compatibilidad entre aplicaciones o librerías
Errores inesperados
Virus
Otros ¿?

Acceso físico no autorizado
Destrucción o sustracción
Acceso lógico no autorizado
Intercepción pasiva de la información
Sustracción y/o alteración de la información en tránsito

Indisponibilidad de recursos
Humanos: motivos de huelga, abandono, enfermedad,
baja temporal, etc
Técnicos: desvío del uso del sistema, bloqueo, etc
Filtración de datos a terceros: apropiación indebida de datos,
particularmente importante cuando los datos son de carácter
personal (LOPD)

Acceso lógico no autorizado
Acceso de un tercero no autorizado explotando una vulnerabilidad del
sistema para utilizarlo en su beneficio.
Suplantación del origen
Intercepción de una comunicación escuchando y/o falseando los datos
intercambiados

Gusanos
Virus que utilizan las capacidades de servidores y clientes de internet para
transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las
variantes.
Denegación de servicio
Contra el ancho de banda: Consumir todo el ancho de banda de la máquina
que se quiere aislar
Contra los recursos físicos del sistema: Consumir toda la memoria y los
recursos que la máquina utiliza para ofrecer su servicio

Debilidad o agujero en la organización de la seguridad
¡Una vulnerabilidad en si misma no produce daños.
Es un condicionante para que una amenaza afecte a un activo!
Definición de vulnerabilidad

Vulnerabilidades
El cruce de un activo sobre el que puede materializar una amenaza, da lugar
a una vulnerabilidad
Activo Amenaza Vulnerabilidad
01 - Servidor Fallo del sistema
eléctrico
Dependiente de la
corriente
Acceso lógico no
autorizado
Accesibilidad al
sistema

“Es la consecuencia de que una amenaza se materialice
sobre un activo”
Definición de impacto

Valoración de Impactos
Identificación de impactos:
Como el resultado de la agresión de una amenaza sobre un activo
El efecto sobre cada activo para poder agrupar los impactos en cadena según
la relación de activos
El valor económico representativo de las pérdidas producidas en cada activo
Las pérdidas pueden ser cuantitativas o cualitativas

Acción de las salvaguardas
Se analiza el efecto de las salvaguardas sobre los impactos y/o las
vulnerabilidades
Preventivas:
Disminuyen la vulnerabilidad
Nueva vulnerabilidad= (Vulnerabilidad+% disminución vulnerabilidad)
Curativas:
Disminuyen el impacto
Nuevo impacto= (Impacto+disminución impacto)

Evaluación de riesgos
Identifica el coste anual que supone la combinación de activo, amenaza,
vulnerabilidad e impacto.
Riesgo intrínseco
Valor activo * Vulnerabilidad * Impacto
Riesgo efectivo
Valor efectivo * Nueva vulnerabilidad * Nuevo Impacto= Valor activo *
(Vulnerabilidad * % Disminución Vulnerabilidad) * (Impacto * % Disminución
Impacto)= Riesgo intrínseco * % Disminución Vulnerabilidad * % Disminución
del Impacto

Gestión de Riesgos
Gestionar los riesgos identificados:
Determinar si el riesgo es aceptable
SI: Identificar y aceptar el riesgo residual
NO: Decidir sobre la forma de gestionar el riesgo
Forma de gestionar el riesgo:
Evitarlo: suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad
Transferido: cambiar un riesgo por otro: Outsourcing, seguros, etc.
Reducirlo: reducir la amenaza, vulnerabilidad, impacto
Asumirlo: Detectar y recuperar (Statu quo).
x

Gestión de Riesgos
Identificar requisitos de
seguridad
Identificar requisitos de
seguridad
¿Hacemos
algo?
¿Reducimos
riesgos?
Eliminar el origen del
riesgo, o transferido
Proceso de reducción de
nivel de riesgo
Selección de controles

Gestión de riesgos
Una vez se tiene decidido que es lo que hay que hacer se elaborar el:
PLAN DE ACCIÓN
Establecer prioridades
Plantear un análisis de coste-beneficio
Hacer la selección definitiva de controles a implantar
Asignar responsabilidades
Desarrollar un plan de gestión de riesgos
Implantar los controles

Resumen. Vulnerabilidad /Impacto y Riesgo
intrínseco22.502,
4 5 6
Personal de
desarrollo de SW
y HW PC's desarrollo PC's hardware
PC's entorno de
pruebas DIA AÑO
EN-003 SI-001 SI-002 SI-003
Nº Código Nombre 50000 10000 10000 2500
1 A1-001
Incendio en oficinas
0,003 50% 0,003 50% 0,003 50%
- 13,70 13,70 3,42 30,82 11.249,3
3 A2-001
Avería hardware
0,005 50% 0,005 50% 0,005 50%
- 27,40 27,40 6,85 61,65 22.502,2
5 P1-001
Acceso físico a oficinas
0,003 5% 0,003 5% 0,003 5%
- 1,37 1,37 0,34 3,08 1.124,2
6 P2-001
Acceso lógico interno a los
sistemas
0,005 50% 0,005 50% 0,005 50%
- 27,40 27,40 6,85 61,65 22.502,2
8 P5-002
No disponibilidad de personal
0,00274 50%
68,49 - - - 68,49 24.998,8
Riesgo intrínseco anual por activo 24.998,8 € 25.502, € 25.502 € 6.372,9 €
---
82.376,7

Metodologías: NIST ST 800-30
Metodología de origen Americano que se apoya en los siguientes pasos:
Determinación del sistema
Identificación de vulnerabilidades
Identificación de amenazas
Estudio de las salvaguardas
Determinación de la probabilidad
Determinación del Riesgo
Análisis del impacto

Probabilidad de la
amenaza
Impacto
Bajo (10) Medio (50) Alto (100)
Alto (1.0) Bajo Medio Alto
Medio (0.5) Bajo Medio Medio
Bajo (0.1) Bajo Bajo Bajo

Nivel de
riesgo
Acciones
Alto
Aplica medidas para controlar el riesgo de forma
inmediata
Medio
Aplica medidas para controlar el riesgo en un
periodo de tiempo razonable
Bajo
Analizar si aceptar el riesgo o aplicar medidas de
control

Activo Vulnerabilidad Amenaza Fuente Característica
Director
General
No cláusula de
exclusividad
Oferta
competencia
X X X 0,5 100 Medio
Base
Datos
Cliente
Mala
configuración
Publicación
de datos
privados
X X 0,1 100 Bajo
Imagen
Política firewall
inadecuada
Cambio
contenido
Web
X X 0,1 100 Bajo
Natural
Humana
Entorno
Disponibilidad
Confidencialidad
Integridad
Probabilidad
Impacto
Riesgo

Cálculo del Riesgo
El riesgo es una ponderación del valor del activo, la probabilidad que suceda
y el impacto que tendría sobre el sistema.
Valor (+) probabilidad (+) impactoValor (+) probabilidad (+) impactoValor (+) probabilidad (+) impactoValor (+) probabilidad (+) impacto

Riesgo
Probabilidad 1 2 3 4 5
Impacto 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
Valor
1 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11
2 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12
3 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13
4 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14
5 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14 11 12 13 14 15
de 3 a 7 No es necesario control
de 8 a 10 Control recomendado
de 11 a 15 Control obligatorio

Ejemplo de Análisis de riesgos
Internet
Explorer (6.0;
5.5; 5.0; 4.01)
3 E01 - Errores de utilización Susceptible a errores humanos de
utilización
1 1 5
3 E02 - Errores de diseño,
integración y explotación
Susceptible a errores humanos en los
procesos de diseño, integración y/o
explotación
3 3 9
3 E04 - Inadecuación de
monitorización, trazabilidad,
registro del tráfico de información
Existencia de una falta de revisión de
logs, o de un proceso inadecuado de
dicha revisión
3 1 7
3 E07 - Errores de actualización Susceptible de no estar correctamente
actualizado
3 2 8
3 AP03 - Acceso lógico no autorizado
con alteración o sustracción de la
información, en tránsito o de
configuración
Debilidad en el control de acceso
lógico al S.O.
4 3 10
Uso descuidado de los sistemas por
parte de los trabajadores, dejando sus
terminales accesibles
2 3 8
3 AT02 - Acceso lógico no autorizado
con corrupción o destrucción de
información en tránsito o de
configuración
lógico al S.O.
4 3 10
Debilidad en el sistema antivirus 1 3 7
3 AT03 - Acceso lógico no autorizado
con modificación (inserción y/o
repetición) de información en
tránsito
lógico al S.O.
4 3 10

Cálculos
técnicos (de
simulacione
s
4 E01- Errores de utilización Los empleados comenten errores durante
la realización de las diferentes tareas que
pueden provocar la destrucción o
modificación de las informaciones
1 2 7
4 E05 - Errores relacionados con
la formación y la concienciación
del personal
Uso descuidado de la información en papel
por parte de los trabajadores, dejando
información confidencial accesible
4 3 11
4 AP06 - Robo y sabotaje Uso descuidado o inadecuado de los
controles de acceso físico al edificio
3 5 12
Posibilidad de enviar información a través
del correo electrónico sin ningún control
de direcciones, tanto de remitente como de
recepción
3 5 12
No está controlada la destrucción de los
soportes en los que se guarda la
información (destructora de papel, borrado
seguro de las informaciones, etc.)
2 5 11
4 AT01 - Acceso lógico no
autorizado con sustracción
Las informaciones enviadas no viajan
encriptadas con los que podría ser posible
interceptar y obtener dichas informaciones
2 4 10
4 AT03 - Acceso lógico no
autorizado con modificación de
información en tránsito
Las informaciones enviadas no viajan
encriptadas ni firmados con los que podría
ser posible interceptar y modificar dichas
informaciones
2 3 9
Ejemplo de Análisis de riesgos

Contramedidas
Según el riesgo
Recomendaciones a la dirección una serie de contramedidas que pueden
aplicar a su sistema para paliar el riesgo obtenido, ya sea intrínseco o
residual

Evaluación de riesgos y gastos
Es necesario conocer su COSTE (anual) / VALOR
Es necesario determinar claramente la RESPONSABILIDAD sobre cada
activo
Es necesario conocer qué AUTORIDAD existe

Referencias06
Documentación para ampliar conocimientos:
BSI e ISO:
1. Normas BSI: http://www.bsi-global.com
2. Web oficial de la ISO: http://www.iso.org/
3. Wikipedia (ISO 17799): http://es.wikipedia.org/wiki/ISO/IEC_17799
4. Wikipedia (ISO): http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n
Metodologías de Análisis de riesgos:
1. Web de AENOR (Asociación Española de Normalización y Certificación) http://www.aenor.es/
2. Buscador de normas AENOR http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp
3. Magerit: Web del Consejo Superior de Administración Electrónica http://www.csi.map.es/
4. CRAMM: http://www.cramm.com/
5. NIST SP 800-30: Web oficial de la Nist: http://www.csrc.nist.gov/index.html
6. NIST SP 800-30: Publicaciones de la Nist: http://www.csrc.nist.gov/publications/nistpubs/
7. Octave: http://www.cert.org/octave/

Comparativa de Metodologías – Valoración de los elementos de
análisis:
Activo Valoracion Amenaza Vulnerabilidad
Probabilida
d que
ocurra
Impacto Riesgo
Magerit Activo X
Valor del
Activo
(medido en €)
Amenaza Y No lo requiere
Frecuencia
Z
% del valor del activo que
se pierde sí el impacto se
produce
Valor de la perdida diaria que
resulta de la multiplicacion
del valor del activo con la
probabilidad de ocurrencia
de la amenaza
CRAMM Activo X [1-5] Amenaza Y Vulnerabilidad W
Frecuencia
Z [1-5]
[1-5] Escala [3 a 15]
NIST SP 800-
30
Activo X
Alto-Medio-
Bajo
Amenaza Y Vulnerabilidad W
Frecuencia
Z Alto-
Medio-Bajo
Alto-Medio-Bajo Alto, medio y bajo
Octave Activo X
Busca el
riesgo más
alto es un
árbol de
desición
Amenaza Y Vulnerabilidad W
Frecuencia
Z
Busca el riesgo más alto es
un árbol de desición

Comparativa de Metodologías:
Puntos a
Destacar
Magerit CRAMM NIST SP 800-30 Octave
País que la
creo
España Reino Unido Estados Unidos Estados Unidos
Responsable
del Producto
Secretaría de Estado para la
Administración Pública
Cramm. El cual pertenece a
Siemens
National Institute of Standards and
Technology (NIST)
Software Engineering Institute
(SEI) y Carnegie Mellon
University (CMU)
WebSite
Versión 1:
http://www.csi.map.es/csi/pg5m
22.htm
Versión 2:
http://www.csi.map.es/csi/pg5m
20.htm
http://www.cramm.com/
http://www.csrc.nist.gov/index.html
Publicaciones:
http://www.csrc.nist.gov/publication
s/nistpubs/
http://www.cert.org/octave/
Versiones
Versión 1 (1997)
Versión 2 (2006)
Ultima versión: CRAMM NATO
V5.3
Publicación 800-30 (2002)
OCTAVESM Method Version
2.0
Herramienta
para aplicar la
metodología
Herramientas:
* PILAR
* CHINCHON
Un gran numero de
herramientas de analisis y
gestión de la información
resultante de estas (ejemplo:
CRAMM Express)
Según lo investigado, la norma no
especifica un producto en concreto
para el analisis
Según lo investigado, la norma
no especifica un producto en
concreto para el analisis, habla
genericamente de 'Vulnerability
Evaluation Tools'
Principales
Conceptos
Activos, amenazas,
vulnerabilidades, impactos,
riesgos y salvaguardas
Activos, amenazas,
vulnerabilidades, riesgos,
salvaguardas (contramedidas)
Amenazas, vulnerabilidades,
riesgos, controles
Activos, amenazas,
vulnerabilidades, riesgos

Puntos a
Destacar
Fases
1- Planificación del Proyecto de Riesgos
(como consideraciones iniciales para
arrancar el proyecto de Análisis y
Gestión de Riesgos)
2- Análisis de riesgos (Se identifican y
valoran las diversas entidades,
obteniendo una evaluación del riesgo,
así como una estimación del umbral de
riesgo deseable)
3- Gestión de riesgos (Se identifican las
funciones y servicios de salvaguarda
reductoras del riesgo)
4- Selección de salvaguardas (plan de
implantación de los mecanismos de
salvaguarda elegidos)
1- Identificación y valoración de
activos (se identifican los activos
físicos, software, y los activos de
datos que conforman los sistemas de
información)
2- Valoración de las amenazas y
vulnerabilidades (determinar cuál es la
probabilidad de que esos problemas
ocurran)
3- Selección y recomendación de
contramedidas (CRAMM contiene una
gran librería de más de 3000
contramedidas organizadas en 70
grupos)
1- Iniciación (identificar riesgos es usado
para soportar el desarrollo de los
requerimientos del sistema)
2- Desarrollo o adquisición (El sistema IT es
diseñado, expresado y propuesto o
construido)
3- Implementación (los activos de seguridad
del sistema son configurados, habilitados,
testeados y verificados
4- Operación o mantenimiento (las
actividades de mantenimiento para la
reducción del riesgo son realizadas)
5- Disposición (las actividades de
administración de riesgos son realizadas en
los componentes del sistema)
1- Construcción de las vulnerabilidades
basadas en los activos (visión
organizacional)
2- Identificación de las vulnerabilidades
de la infraestructura (visión tecnológica)
3- Desarrollo de estrategia de
seguridad y planes de mitigación de las
vulnerabilidades (estrategia y plan de
desarrollo)
Principales
Características
* Habla de análisis algorítmico con 3
modelos: cualitativo, cuantitativo y
escalonado
* En la versión 2 posee 3 documentos:
Catalogo, Metodo y Tecnicas
* > 400 tipos de activos
* 38 tipos de amenazas
* > 25 tipos de impactos
* 7 medidas de riesgo
* > 3500 controles
* Otorga gran importancia a los controles
* Habla de perfiles claves dentro de la
organización respecto a la responsabilidad
de la administración del riesgo
* Posee 'Self-Direction'. Una pequeño
equipo del personal de la misma
organización es involucrado en los
procesos de implementación de la
metodología (personal de IT y de otros
departamentos)
* Creación de un pequeño equipo
interdiciplinario de analisis de la
información
* Acercamiento basado en workshop
donde personas de distintos niveles de
la organización trabajan para identificar
las vulnerabilidades basandose en los
activos
* Catalogos de la información:
Catalogos de practicas, Perfil de
activos, catalogo de vulnerabilidades
* Habla de un balance entre 3 aspectos:
Tecnología, Riesgo Operacional y
Prácticas de seguridad

Puntos a
Destacar
Aplicación
* Analisis de riesgos
* Gestión del riesgos
* Plan Director de Seguridad
Quien lleva a
cabo la
metodología
* Pequeño grupo
interdiciplinario conformado
por empleados de la misma
empresa
* Pequeño grupo interdiciplinario
conformado por empleados de la
misma empresa
conformado por empleados de la
misma empresa
conformado por empleados de
la misma empresa
Costo
* No tiene costo, ya que es una
normativa de libre aplicación
* Plantea un analisis de costo
beneficio, expresa una formula
de ROI (Retorno de la
inversión)
La versión 4 costaba por el año
2001:
* Para una compañía comercial:
£2800 + £850 al año de
mantenimiento
* Para agencias y departamentos
del estado britanico: £1600 +
£850 al año de mantenimiento
* Habla de costo relacionado con el
beneficio, otorgando una condición
relativa al costo de un plan director
de seguridad, siempre que el costo
sea menor al costo del riesgo
analizado y solventado, el costo
será bajo
* Uso Interno: Gratuito
* Uso Externo: Se debe comprar
la licencia al SEI si se quiere
implementar la metodología a un
tercero
Resultado
del analisis
(outputs)
Resultados ordinales y
cardinales
* Tabla de valorazión del riesgo
sobre los activos (escala de 1 a
10)
* Lista de controles recomendados
* Resultados de la documentación
Fase 1: Activos Critivos,
requerimientos criticos para
activos criticos, vulnerabilidades
de activos criticos, lista de
practicas de seguridad actuales,
lista de vulnerabilidades
actuales de la organización
Fase 2: Componentes clave,
vulnerabilidades tecnologicas
actuales
Fase 3: Riesgos de los activos
críticos, metricas del riesgo,
estrategia de protección, planes
de mitigación del riesgo

Comparativa de Metodologías – Ventajas:
Puntos a
Destacar
Magerit CRAMM
NIST SP
800-30
Octave
Ventajas
Ambito de
Aplicación
N/A
Se puede aplicar a
nivel internacional
(CRAMM v.5.1 ha
sido usado en 23
países)
Internacional Internacional
Derecho de
Utilización
Su utilización no
requiere autorización
previa del Ministerio
de Administraciones
Públicas
N/A N/A
* Uso interno:
Ilimitado
Herramienta
para aplicar la
metodología
Gratuita pero limitada.
Se puede solicitar una
versión ampliada
Una gran cantidad
de herramientas de
aplicación de la
metodología.
N/A N/A
Certificación
Facilita la
certificación: ISO
17999
Facilitar la
certificación de BS
7799 e ISO 17999
Facilita la
certificación:
ISO 17999
Facilita la
certificación: ISO
17999

Comparativa de Metodologías – Desventajas:
Puntos a
Destacar
Desventajas
Ambito de
Aplicación
* Solo de puede aplicar a nivel
nacional (sólo en España) por lo
que no se está certificado
internacionalmente
* No se puede aplicar en
empresas multinacionales que
precisen aplicar una unica
metodología de analisis de
riesgo para todos los países
N/A N/A N/A
Derecho de
Utilización
N/A
* Hay que pagar
el costo de la
licencia (más alla
del costo de la
implementación
del analisis y del
mantenimiento)
* Hay que pagar el
costo de la licencia
(más alla del costo
de la
implementación
del analisis y del
mantenimiento)
* Uso externo:
Limitado al pago
de la licencia para
su utilización

¿Dudas? ¿preguntas?
¡¡ Muchas Gracias !!
ramiro@ramirocid.com
@ramirocid
http://www.linkedin.com/in/ramirocid
http://ramirocid.com http://es.slideshare.net/ramirocid
http://www.youtube.com/user/cidramiro
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

Análisis de Riesgos

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Análisis de Riesgos

Similaire à Análisis de Riesgos (20)

Plus de Ramiro Cid

Plus de Ramiro Cid (20)

Dernier

Dernier (10)

Análisis de Riesgos