Presentación de PowerPoint

Metodología
deRiesgos
Riesgos
Metodologíade
de Análisis
Análisis de
para
Críticas
paraInfraestructuras
Infraestructuras Críticas
Pablo Castaño Delgado
Consultor de Ciberseguridad
Introducción: Ley PIC
Ley 8/2011, de 28 de abril: Iniciativa
legislativa para la protección de aquellas
infraestructuras que dan soporte a las
actividades fundamentales de la sociedad.
PPEs
PSO
Operadores
Críticos
PAO
FCSE
CNPIC
PES
Introducción: Ley PIC
PSO
1. Introducción.
2. Política general de seguridad del
operador y marco de gobierno.
3. Relación de Servicios Esenciales
Prestados por el Operador
Crítico.
4. Metodología de Análisis de
Riesgos.
5. Criterios de Aplicación de
Medidas de Seguridad Integral.
6. Documentación
complementaria.
PPE
1. Introducción.
2. Aspectos organizativos.
3. Descripción de la infraestructura
crítica.
4. Resultado del análisis de
riesgos.
5. Plan de acción propuesto (por
activo).
6. Documentación
complementaria.
Introducción:
Análisis de Riesgos para ICs
Adopción de
metodología
clásica de
AARR
Cálculo de
los valores
de riesgo
por activo
Análisis de
los valores
de riesgo
obtenidos
Ajuste de los
valores
Introducción:
Análisis de Riesgos para ICs
Adopción de
metodología
clásica de
AARR
Cálculo de
los valores
de riesgo
por activo
Análisis de
los valores
de riesgo
obtenidos
Ajuste de los
valores
Introducción:
Análisis de Riesgos para ICs
Adopción de
metodología
clásica de
AARR
Cálculo de
los valores
de riesgo
por activo
Análisis de
los valores
de riesgo
obtenidos
Ajuste de los
valores
Introducción:
Análisis de Riesgos para ICs
Adopción de
metodología
clásica de
AARR
Cálculo de
los valores
de riesgo
por activo
Análisis de
los valores
de riesgo
obtenidos
Ajuste de los
valores
Análisis de Riesgos: Metodologías
Metodología de Análisis de Riesgos
Principales Parámetros implicados
Magerit
• Valor del activo
• Probabilidad de ocurrencia
• Impacto
Mosler
• Importancia del Suceso
• Daños ocasionados
• Probabilidad
NIST SP 800 30
• Probabilidad de ocurrencia de la
amenaza
• Impacto
Mehari
•
•
•
•
Probabilidad intrínseca
Reducción de probabilidad resultante
Impacto intrínseco
Reducción de impacto resultante
Análisis de Riesgos en PIC
• Baja Probabilidad
Rango de valores para el Riesgo
• Alto impacto
AARR
General
AARR
PIC
Análisis de Riesgos en PIC
• Evolución del Contexto
Parámetros
Internos
Parámetros
Externos
AARR PIC:
Consideraciones especiales
• Amenazas no
abordables
• Amenazas ya
consideradas
AARR PIC:
Ámbito del AARR del PPE
¿Por qué?
¿Para qué?
Análisis de Riesgos en
marco PIC.
Análisis de Riesgos en TIC.
• Motivado por la Ley PIC.
• Proceso básico de la gestión
de la seguridad de la
información.
• Protección frente a
ataques terroristas.
• Alinear las necesidades del
negocio con la estrategia de
seguridad.
AARR PIC: Etapas básicas
• Etapa 1: Enumeración y clasificación de activos.
• Etapa 2: Agrupación de Activos.
• Etapa 3: Selección de Amenazas.
• Etapa 4: Cálculo del Riesgo Inherente.
• Etapa 5: Selección de Controles y Salvaguardas.
• Etapa 6: Cálculo del Riesgo Real.
AARR PIC: Cálculo del Riesgo
• Valor del activo: f (I, A)
– Implicación del activo en el servicio esencial.
– Accesibilidad física y lógica.
• Riesgo Inherente: RI = f (VA, VI, VR)
– VA: Valor del activo.
– VI = f (D1: personas afectadas, D2: perdidas económicas, D3: daños
medioambientales, D4: afección pública y social).
– VR = f (C1: capacidad de detección, C2: capacidad de respuesta, C3: resiliencia, C4:
capacidad de continuidad de negocio)
• Riesgo Real: R = f (RI, C, S)
– C: Controles.
– S: Salvaguardas.
Conclusión
• Fase temprana de la seguridad PIC.
• Cambio profundo del alcance del análisis.
– Cambio profundo del alcance de los parámetros.
• Trabajo posterior:
– FASE 1: Adaptar los parámetros de metodologías
existentes.
– FASE 2: Desarrollar una metodología propia.
Muchas gracias por su atención.
Pablo Castaño Delgado
[email protected]