analisis de riesgos con o-ism3 ra
DESCRIPTION
TRANSCRIPT
![Page 1: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/1.jpg)
Vicente Aceituno Canal
696470328
© Inovement Spain 2014
Análisis de Riesgos
O-ISM3 RA
![Page 2: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/2.jpg)
Análisis de Riesgos
El Análisis de Riesgos se utiliza por motivos
de cumplimiento normativo, comunicación
del valor, para definir estrategia en
Seguridad y para la Gestión del Riesgo.
Existe un gran número de métodos de
Análisis de Riesgos.
![Page 3: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/3.jpg)
AU IT SB
FAIR
MAGERITCRAMM
Dutch A&K
EBIOS
ISAMM
ISO27005
MARION
MEHARI
MIGRA
OCTAVE
SP 800-30
ISFCanadian RM Guide
……Etc
![Page 4: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/4.jpg)
Análisis de Riesgos
Existen 10 grados de libertad para el diseño de un
método de Análisis de Riesgos, con múltiples
soluciones para cada uno.
Existen además distintas formas de combinar los
elementos de Análisis.
![Page 5: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/5.jpg)
Diseño de Método de RA
Impacto Activos Valor
Coste
Amenazas Frecuencia
Vulnerabilidades
Controles
Probabilidad
Exposición
![Page 6: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/6.jpg)
Análisis de Riesgos
La complejidad de la mayor parte de los
métodos de Análisis de Riesgos los hace
caros y poco ágiles.
O-ISM3 RA es un método de Análisis de
Riesgos que se ha diseñado para que sea
sencillo, y por lo tanto rápido y económico.
![Page 7: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/7.jpg)
GoalsAlcance
![Page 8: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/8.jpg)
Alcance
Aumentar el alcance incrementa el coste
del análisis,
Cuanto mayor es el alcance, más
significativo es el análisis.
O-ISM3 RA puede cubrir toda la empresa.
![Page 9: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/9.jpg)
GoalsEmpresa
![Page 10: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/10.jpg)
Profundidad(Nivel de Detalle)
![Page 11: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/11.jpg)
Profundidad de Modelado
Cuanto mas detallado es el modelo, más
complejo y costoso es.
La profundidad del modelado debería
corresponderse al de las decisiones que
queremos tomar.
Por eso O-ISM3 RA utiliza una profundidad
a nivel de gestión.
![Page 12: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/12.jpg)
Modelo TIC
Ninguno
Activos
Servidores, Bases de Datos, Redes, etc
(Purely Technical)
ISM3-RA utiliza Entornos
Environments
![Page 13: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/13.jpg)
Modelo de Negocio
La mayor parte de los métodos de análisis
de riesgos no usan Ninguno
ISM3-RA utiliza Funciones de Negocio.
![Page 14: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/14.jpg)
Profundidad de Gestión
![Page 15: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/15.jpg)
Funciones de Negocio
Todas las compañías realizan estas
funciones de negocio.
Researc
h
Fin
ancin
g /
Accountin
g
Legal
Sale
s
Rela
tionship
s
Pro
ductio
n
Main
tenance
Busin
ess
Inte
lligence
Govern
ance IT
Advertis
ing
Hum
an
Resourc
es
Infra
stru
ctu
re
Adm
inis
tratio
n
Pro
cure
ment
Logis
tics
![Page 16: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/16.jpg)
Funciones de Negocio
Todas las compañías realizan estas
funciones de negocio.
Que tienen distinta importancia en distintas
compañías.
Researc
h
Fin
ancin
g /
Accountin
g
Legal
Sale
s
Rela
tionship
s
Pro
ductio
n
Main
tenance
Busin
ess
Inte
lligence
Govern
ance IT
Advertis
ing
Hum
an
Resourc
es
Infra
stru
ctu
re
Adm
inis
tratio
n
Pro
cure
ment
Logis
tics
![Page 17: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/17.jpg)
No se pueden modelar a nivel de gestión
mediante Activos, Servidores o
Aplicaciones.
Si se puede modelar si nos guiamos por
como están distribuidas las
responsabilidades de gestión.
Entornos
HostSSCC Terceros
SSAAOficinas
Usuarios
Móviles
Personal
![Page 18: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/18.jpg)
Dependencias
![Page 19: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/19.jpg)
O-ISM3 RA
HostSSCC Terceros
SSAAOficinasUsuarios
Móviles
Personal
Researc
h
Fin
ancin
g /
Accountin
g
Legal
Sale
s
Rela
tionship
s
Pro
ductio
n
Main
tenance
Busin
ess
Inte
lligence
Govern
ance IT
Advertis
ing
Hum
an
Resourc
es
Infra
stru
ctu
re
Adm
inis
tratio
n
Pro
cure
ment
Logis
tics
![Page 20: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/20.jpg)
No hay ninguna lista
de amenazas
utilizada
universalmente.
No suele estar
disponible
información
suficiente para saber
como de probable es
una amenaza.
Amenazas
![Page 21: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/21.jpg)
O-ISM3 RA usa una escala cualitativa de
probabilidad de la amenaza, de muy baja a
muy alta.
Probabilidad de la Amenaza
![Page 22: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/22.jpg)
La multiplicidad y evolución de las amenazas las
hace difíciles de modelar.
Se usan a veces listas de cientos de elementos…
MAGERIT: Accidental Natural, Accidental
Industrial, Accidental Error, Deliberada, etc…
Contra Confidencialidad, contra Integridad, contra
Disponibilidad.
O-ISM3 RA usa 7 amenazas, gracias que las
clasifica por consecuencias y no por causas.
Taxonomía de Amenazas
![Page 23: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/23.jpg)
1. Destrucción, Corrupción o
Perdida de información válida.
2. Destrucción incompleta de
información caducada.
3. Uso inapropiado de acceso
autorizado.
4. Falta de registro de acceso.
5. Acceso no autorizado, espionaje y
revelación de información válida.
6. Servicio insatisfactorio,
interrumpido o fallo de acceso
autorizado.
7. Obsolescencia de acceso a la
información.
![Page 24: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/24.jpg)
Impacto
![Page 25: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/25.jpg)
A veces se calcula en Euros
Alto – Medio – Bajo
Magerit: Disponibilidad, integridad,
Confidencialidad, Autenticidad, Trazabilidad.
O-ISM3 RA: Escala cualitativa. Cuanto más
dependan y más importantes sean las Funciones
de Negocio en el Entorno, mayor Impacto.
Impacto
![Page 26: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/26.jpg)
Controles
(ISO27001
PCI DSS
NIST
O-ISM3, etc)
![Page 27: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/27.jpg)
Controles ISO 27002
Controles PCI DSS
Controles Cobit
Listas a medida
O-ISM3 RA usa procesos O-ISM3, pero se
fácilmente adaptable a las otras taxonomías de
controles.
Taxonomía de Controles
![Page 28: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/28.jpg)
Alcance a nivel corporativo
Modelado a un nivel suficientemente bajo para
obtener un análisis significativo, pero
suficientemente alto para reducir la complejidad y
el coste, y aumentar la agilidad.
Resultados útiles para comprender la situación
actual, comunicar el estado del riesgo y crear
planes de acción.
Resumiendo
![Page 29: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/29.jpg)
Ejemplo O-ISM3 RA
Internal
NetworkDMZ
Mobile
Users
Internal
Users
WiFi
Networks
Govern
ance
Infra
stru
ctu
re
Hum
an
Resourc
es
Pro
ductio
n
Logis
tics
Adm
inis
tratio
nIT
Advertis
ing
Researc
h
Pro
cure
ment
Sale
s
Busin
ess
Inte
lligence
Fin
ancin
g /
Accountin
g
Main
tenance
Rela
tionship
s
Legal
![Page 30: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/30.jpg)
Ejemplo O-ISM3 RA
Internal
NetworkDMZ
Mobile
Users
Internal
Users
WiFi
Networks
Govern
ance
Infra
stru
ctu
re
Hum
an
Resourc
es
Pro
ductio
n
Logis
tics
Adm
inis
tratio
nIT
Advertis
ing
Researc
h
Pro
cure
ment
Sale
s
Busin
ess
Inte
lligence
Fin
ancin
g /
Accountin
g
Main
tenance
Rela
tionship
s
Legal
![Page 31: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/31.jpg)
Ejemplo O-ISM3 RA
0
20
40
60
80
100
120
Relative Weight of Business Functions
Researc
h
Fin
ancin
g /
Accountin
g
Legal
Sale
s
Rela
tionship
s
Pro
ductio
n
Main
tenance
Busin
ess
Inte
lligence
Govern
ance IT
Advertis
ing
Hum
an
Resourc
es
Infra
stru
ctu
re
Adm
inis
tratio
n
Pro
cure
ment
Logis
tics
![Page 32: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/32.jpg)
0,0000
0,1000
0,2000
0,3000
0,4000
0,5000
0,6000
0,7000
0,8000
Internet SSCC Oficinas Host SSAA Terceros Usuarios Mobiles
Personal
Relative Protection per Environment
Ejemplo O-ISM3 RA
HostSSCC Terceros
SSAAOficinasUsuarios
Móviles
Personal
![Page 33: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/33.jpg)
Ejemplo O-ISM3 RA
0
2000
4000
6000
8000
10000
12000
Internet SSCC Oficinas Host SSAA Terceros Usuarios
Mobiles
Personal
Relative Environment Criticality
HostSSCC Terceros
SSAAOficinasUsuarios
Móviles
Personal
![Page 34: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/34.jpg)
0,000000
0,200000
0,400000
0,600000
0,800000
1,000000
1,200000
1,400000
1,600000
1,800000
SSCC Oficinas Host SSAA Terceros Usuarios Mobiles Personal
Risk to Environment
Ejemplo O-ISM3 RA
HostSSCC Terceros
SSAAOficinasUsuarios
Móviles
Personal
![Page 35: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/35.jpg)
0,00000000
1,00000000
2,00000000
3,00000000
4,00000000
5,00000000
6,00000000
7,00000000
8,00000000
SSCC Oficinas Host SSAA Terceros Usuarios Mobiles
Risk to Technical Environment per Threat Improper recording of access to information or systems /
(anon or otherwise)
Unauthorized access, eavesdropping, theft and disclosure of information or systems AND
Improper use of authorized access to information or systems
Failure to destroy expired information or systems &
Failure to stop systems at will
Underperformance OR Interruption of valid system services &
Failure of authorized access
Aging of information &Outdated systems
Destruction /Corruption /
Loss of valid information or systems
Ejemplo O-ISM3 RA
HostSSCC Terceros
SSAAOficinasUsuarios
Móviles
Personal
![Page 36: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/36.jpg)
02000400060008000
10000120001400016000
Relative Reliance on Environments
Ejemplo O-ISM3 RA
Researc
h
Fin
ancin
g /
Accountin
g
Legal
Sale
s
Rela
tionship
s
Pro
ductio
n
Main
tenance
Busin
ess
Inte
lligence
Govern
ance IT
Advertis
ing
Hum
an
Resourc
es
Infra
stru
ctu
re
Adm
inis
tratio
n
Pro
cure
ment
Logis
tics
![Page 37: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/37.jpg)
0,000000
0,500000
1,000000
1,500000
2,000000
2,500000
Risk per Business Function
Personal
Usuarios Mobiles
Terceros
SSAA
Host
Oficinas
SSCC
Ejemplo O-ISM3 RA
Researc
h
Fin
ancin
g /
Accountin
g
Legal
Sale
s
Rela
tionship
s
Pro
ductio
n
Main
tenance
Busin
ess
Inte
lligence
Govern
ance IT
Advertis
ing
Hum
an
Resourc
es
Infra
stru
ctu
re
Adm
inis
tratio
n
Pro
cure
ment
Logis
tics
![Page 38: Analisis de Riesgos con O-ISM3 RA](https://reader031.vdocuments.pub/reader031/viewer/2022013107/54c55f1b4a7959aa2d8b4758/html5/thumbnails/38.jpg)