Tema 33. ENS y gestión de riesgos

Real Decreto que define el ENS

RD 311/2022

Dimensiones de seguridad del ENS (ACIDT)

• Autenticidad

• Confidencialidad

• Integridad

• Disponibilidad

• Trazabilidad

Definición de seguridad de la información según RD 311/2022

Capacidad de las redes y sistemas de información de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa la autenticidad, confidencialidad, integridad y disponibilidad de los datos…

¿Que es un SGSI?

Sistema Gestor de la Seguridad de la Información. Son sistemas clave para la gestión de la seguridad de la información de forma continua.

Formas de gestionar un riesgo

• Evitando las circunstancias que lo provocan

• Reduciendo las posibilidades de que suceda

• Asumir que puede ocurrir y prever recursos para actuar en caso necesario

Tareas mínimas en la gestión de riesgos

• Análisis de los riesgos

• Tratamiento de los riesgos

¿Que es un activo?

Componente o funcionalidad de un sistema de información susceptible de ser atacado de forma deliberada o accidental con consecuencias para la organización

¿Cuales son los activos básicos de una organización?

• Información que maneja.

• Servicios que presta.

¿Que es una amenaza?

Evento que puede originar un incidente provocando daños materiales o inmateriales

Tipos de amenazas

• Desastres naturales

• De origen industrial

• Errores o fallos no intencionados

• Ataques intencionados

¿Que es un desastre?

Interrupción que provoca que la información crítica de un sistema quede inoperante durante un periodo de tiempo. Requiere esfuerzos para recuperar su estado operativo

Tipos de desastre

• Desastre natural

• Origen humano

• Indisponibilidad de servicios externos

¿Que es el impacto?

Medida del daño sobre un activo derivado de la materialización de la amenaza

Definición de incidente

Cualquier evento que no forma parte de la operativa normal de un servicio, que causa o puede causar interrupción o reducción de la calidad de este

Definición de riesgo

Probabilidad de que se materialice una vulnerabilidad

Frase que resume lo que es la gestión de riesgos y sus componentes

Los sistema (activos) pueden tener vulnerabilidades que se pueden explotar debido a que están expuestos a amenazas. La probabilidad de que esto pase y tenga éxito es el riesgo. El impacto es el daño que causa en nuestra organización. Para prevenirlos y minimizar el riesgo hay que implementar medidas de seguridad y salvaguardas (contrapartidas). Lo que gestiona todo esto es la gestión de riesgos.

¿Que es Magerit?

Metodología para el análisis de riesgos creada para las AAPP

Definición básica del análisis de riesgos

Proceso sistemático para estimar la magnitud de los riesgos a los que está expuesta una organización

¿Cuantas fases tiene el análisis de riesgos según Magerit?

6

Tipos de activos

• Esenciales. Información que se maneja o servicio que presta un sistema

• Relevantes. SW, HW, soporte de información, redes, etc…

Fases del análisis del riesgo según Magerit

• 1. Caracterización de los activos

• 2. Caracterización de las amenazas

• 3. Determinación del impacto

• 4. Determinación del riesgo potencial según la probabilidad y el impacto

• 5. Caracterización de las salvaguardas

• 6. Estimación del estado del riesgo

Definición de tratamiento de los riesgos

Conjunto de tareas dentro de la gestión de los riesgos dedicadas a la modificación del estado de los riesgos identificados durante la fase de análisis. Permite organizar las defensas o medidas de seguridad hasta obtener el nivel residual de riesgo que se desea asumir

Estrategias de tratamiento de riesgos (ACME)

• Aceptar

• Compartir/transferir

• Mitigar

• Evitar

Tipos de controles para estrategias de evitar o mitigar riesgos

• PREVENTIVOS

• DETECTIVOS

• CORRECTIVOS

Marcos de referencia relacionados con el análisis y gestión de riesgos

• ISOS

• COBIT

• COSO

• Magerit 3.0

ISOS relacionadas con en análisis y gestión de riesgos

• ISO/IEC 27000:2018:

  • ISO/IEC 27000:2018. Descripción general y vocabulario

  • ISO/IEC 27001:2018. Norma principal de la familia y la que define los requisitos de SGSI

  • ISO/IEC 27005:2018. Fases del análisis de riesgos

• ISO 31000:2018. Estandar internacional para la gestión de riesgos en organizaciones, incluyendo análisis y tratamiento

Procesos que se llevan a cabo mediante análisis de riesgos según Magerit 3.0

• Evaluación

• Certificación

• Auditorías

• Acreditación

Informes más importantes que genera Magerit para análisis de riesgos

• Mapa de valor

• Mapa de riesgos

• Declaración de aplicabilidad

• Evaluación de salvaguardas

• Informe de insuficiencias o vulnerabilidades

• Estado de riesgo

Técnicas usadas en Magerit para la gestión de riesgos

• Técnicas específicas análisis de riesgos

  • Tablas estimación del impacto y el riesgo

  • Análisis algorítmico

  • Árboles de ataque

• Técnicas generales

  • Técnicas gráficas

  • Sesiones de trabajo

  • Valoración Dephi. Técnica cualitativa basada en cuestionarios para identificar y solución de problemas

Definición de EAR

Entorno de Análisis de Riesgos. Herramientas para el análisis y gestión de riesgos siguiendo metodología Magerit

¿Quien desarrolla y financia parcialmente EAR?

El CCN

Variantes de EAR

• PILAR. Versión integra de la herramienta

• PILAR basic. Versión sencilla para PYMES y AAPP

• Micro PILAR. Versión reducida para hacer análisis de riesgos rápidos

• RMAT. Personalización de herramientas