Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué?...
Transcript of Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué?...
![Page 1: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/1.jpg)
Metodología de Análisis de Riesgos para Infraestructuras Críticas
Metodología de Análisis de Riesgos para Infraestructuras Críticas
Pablo Castaño Delgado Consultor de Ciberseguridad
![Page 2: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/2.jpg)
Introducción: Ley PIC
Ley 8/2011, de 28 de abril: Iniciativa legislativa para la protección de aquellas infraestructuras que dan soporte a las actividades fundamentales de la sociedad.
PSO PPEs
PAO PES
Operadores Críticos
FCSE CNPIC
![Page 3: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/3.jpg)
PSO 1. Introducción.
2. Política general de seguridad del operador y marco de gobierno.
3. Relación de Servicios Esenciales Prestados por el Operador Crítico.
4. Metodología de Análisis de Riesgos.
5. Criterios de Aplicación de Medidas de Seguridad Integral.
6. Documentación complementaria.
PPE 1. Introducción.
2. Aspectos organizativos.
3. Descripción de la infraestructura crítica.
4. Resultado del análisis de riesgos.
5. Plan de acción propuesto (por activo).
6. Documentación complementaria.
Introducción: Ley PIC
![Page 4: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/4.jpg)
Adopción de metodología
clásica de AARR
Cálculo de los valores de riesgo por activo
Análisis de los valores de riesgo obtenidos
Ajuste de los valores
Introducción: Análisis de Riesgos para ICs
![Page 5: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/5.jpg)
Adopción de metodología
clásica de AARR
Cálculo de los valores de riesgo por activo
Análisis de los valores de riesgo obtenidos
Ajuste de los valores
Introducción: Análisis de Riesgos para ICs
![Page 6: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/6.jpg)
Adopción de metodología
clásica de AARR
Cálculo de los valores de riesgo por activo
Análisis de los valores de riesgo obtenidos
Ajuste de los valores
Introducción: Análisis de Riesgos para ICs
![Page 7: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/7.jpg)
Adopción de metodología
clásica de AARR
Cálculo de los valores de riesgo por activo
Análisis de los valores de riesgo obtenidos
Ajuste de los valores
Introducción: Análisis de Riesgos para ICs
![Page 8: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/8.jpg)
Análisis de Riesgos: Metodologías
Metodología de Análisis de Riesgos Principales Parámetros implicados
Magerit • Valor del activo • Probabilidad de ocurrencia • Impacto
Mosler • Importancia del Suceso • Daños ocasionados • Probabilidad
NIST SP 800 30 • Probabilidad de ocurrencia de la
amenaza • Impacto
Mehari
• Probabilidad intrínseca • Reducción de probabilidad resultante • Impacto intrínseco • Reducción de impacto resultante
![Page 9: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/9.jpg)
• Baja Probabilidad
• Alto impacto
Análisis de Riesgos en PIC
Rango de valores para el Riesgo
AARR General
AARR PIC
![Page 10: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/10.jpg)
• Evolución del Contexto
Parámetros Internos Parámetros
Externos
Análisis de Riesgos en PIC
![Page 11: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/11.jpg)
AARR PIC: Consideraciones especiales
• Amenazas ya consideradas
• Amenazas no abordables
![Page 12: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/12.jpg)
AARR PIC: Ámbito del AARR del PPE
Análisis de Riesgos en TIC.
• Motivado por la Ley PIC.
Análisis de Riesgos en marco PIC.
• Proceso básico de la gestión de la seguridad de la información.
¿Por qué?
¿Para qué?
• Protección frente a ataques terroristas.
• Alinear las necesidades del negocio con la estrategia de seguridad.
![Page 13: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/13.jpg)
AARR PIC: Etapas básicas
• Etapa 1: Enumeración y clasificación de activos.
• Etapa 2: Agrupación de Activos.
• Etapa 3: Selección de Amenazas.
• Etapa 4: Cálculo del Riesgo Inherente.
• Etapa 5: Selección de Controles y Salvaguardas.
• Etapa 6: Cálculo del Riesgo Real.
![Page 14: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/14.jpg)
AARR PIC: Cálculo del Riesgo • Valor del activo: f (I, A)
– Implicación del activo en el servicio esencial.
– Accesibilidad física y lógica.
• Riesgo Inherente: RI = f (VA, VI, VR)
– VA: Valor del activo.
– VI = f (D1: personas afectadas, D2: perdidas económicas, D3: daños
medioambientales, D4: afección pública y social).
– VR = f (C1: capacidad de detección, C2: capacidad de respuesta, C3: resiliencia, C4: capacidad de continuidad de negocio)
• Riesgo Real: R = f (RI, C, S)
– C: Controles.
– S: Salvaguardas.
![Page 15: Presentación de PowerPoint · 2015-06-25 · de la seguridad de la información. ¿Por qué? ¿Para qué? • Protección frente a ataques terroristas. • Alinear las necesidades](https://reader031.fdocuments.mx/reader031/viewer/2022031106/5ba5b96909d3f235188d3544/html5/thumbnails/15.jpg)
Conclusión
• Fase temprana de la seguridad PIC.
• Cambio profundo del alcance del análisis. – Cambio profundo del alcance de los parámetros.
• Trabajo posterior: – FASE 1: Adaptar los parámetros de metodologías
existentes.
– FASE 2: Desarrollar una metodología propia.