Presentación de PowerPoint
Transcripción
Presentación de PowerPoint
Metodología deRiesgos Riesgos Metodologíade de Análisis Análisis de para Críticas paraInfraestructuras Infraestructuras Críticas Pablo Castaño Delgado Consultor de Ciberseguridad Introducción: Ley PIC Ley 8/2011, de 28 de abril: Iniciativa legislativa para la protección de aquellas infraestructuras que dan soporte a las actividades fundamentales de la sociedad. PPEs PSO Operadores Críticos PAO FCSE CNPIC PES Introducción: Ley PIC PSO 1. Introducción. 2. Política general de seguridad del operador y marco de gobierno. 3. Relación de Servicios Esenciales Prestados por el Operador Crítico. 4. Metodología de Análisis de Riesgos. 5. Criterios de Aplicación de Medidas de Seguridad Integral. 6. Documentación complementaria. PPE 1. Introducción. 2. Aspectos organizativos. 3. Descripción de la infraestructura crítica. 4. Resultado del análisis de riesgos. 5. Plan de acción propuesto (por activo). 6. Documentación complementaria. Introducción: Análisis de Riesgos para ICs Adopción de metodología clásica de AARR Cálculo de los valores de riesgo por activo Análisis de los valores de riesgo obtenidos Ajuste de los valores Introducción: Análisis de Riesgos para ICs Adopción de metodología clásica de AARR Cálculo de los valores de riesgo por activo Análisis de los valores de riesgo obtenidos Ajuste de los valores Introducción: Análisis de Riesgos para ICs Adopción de metodología clásica de AARR Cálculo de los valores de riesgo por activo Análisis de los valores de riesgo obtenidos Ajuste de los valores Introducción: Análisis de Riesgos para ICs Adopción de metodología clásica de AARR Cálculo de los valores de riesgo por activo Análisis de los valores de riesgo obtenidos Ajuste de los valores Análisis de Riesgos: Metodologías Metodología de Análisis de Riesgos Principales Parámetros implicados Magerit • Valor del activo • Probabilidad de ocurrencia • Impacto Mosler • Importancia del Suceso • Daños ocasionados • Probabilidad NIST SP 800 30 • Probabilidad de ocurrencia de la amenaza • Impacto Mehari • • • • Probabilidad intrínseca Reducción de probabilidad resultante Impacto intrínseco Reducción de impacto resultante Análisis de Riesgos en PIC • Baja Probabilidad Rango de valores para el Riesgo • Alto impacto AARR General AARR PIC Análisis de Riesgos en PIC • Evolución del Contexto Parámetros Internos Parámetros Externos AARR PIC: Consideraciones especiales • Amenazas no abordables • Amenazas ya consideradas AARR PIC: Ámbito del AARR del PPE ¿Por qué? ¿Para qué? Análisis de Riesgos en marco PIC. Análisis de Riesgos en TIC. • Motivado por la Ley PIC. • Proceso básico de la gestión de la seguridad de la información. • Protección frente a ataques terroristas. • Alinear las necesidades del negocio con la estrategia de seguridad. AARR PIC: Etapas básicas • Etapa 1: Enumeración y clasificación de activos. • Etapa 2: Agrupación de Activos. • Etapa 3: Selección de Amenazas. • Etapa 4: Cálculo del Riesgo Inherente. • Etapa 5: Selección de Controles y Salvaguardas. • Etapa 6: Cálculo del Riesgo Real. AARR PIC: Cálculo del Riesgo • Valor del activo: f (I, A) – Implicación del activo en el servicio esencial. – Accesibilidad física y lógica. • Riesgo Inherente: RI = f (VA, VI, VR) – VA: Valor del activo. – VI = f (D1: personas afectadas, D2: perdidas económicas, D3: daños medioambientales, D4: afección pública y social). – VR = f (C1: capacidad de detección, C2: capacidad de respuesta, C3: resiliencia, C4: capacidad de continuidad de negocio) • Riesgo Real: R = f (RI, C, S) – C: Controles. – S: Salvaguardas. Conclusión • Fase temprana de la seguridad PIC. • Cambio profundo del alcance del análisis. – Cambio profundo del alcance de los parámetros. • Trabajo posterior: – FASE 1: Adaptar los parámetros de metodologías existentes. – FASE 2: Desarrollar una metodología propia. Muchas gracias por su atención. Pablo Castaño Delgado [email protected]