Embed Size (px)
Citation preview
Metodología de Análisis de Riesgos para Infraestructuras Críticas
Metodología de Análisis de Riesgos para Infraestructuras Críticas
Pablo Castaño Delgado Consultor de Ciberseguridad
Introducción: Ley PIC
Ley 8/2011, de 28 de abril: Iniciativa legislativa para la protección de aquellas infraestructuras que dan soporte a las actividades fundamentales de la sociedad.
PSO PPEs
PAO PES
Operadores Críticos
FCSE CNPIC
PSO 1. Introducción.
2. Política general de seguridad del operador y marco de gobierno.
3. Relación de Servicios Esenciales Prestados por el Operador Crítico.
4. Metodología de Análisis de Riesgos.
5. Criterios de Aplicación de Medidas de Seguridad Integral.
6. Documentación complementaria.
PPE 1. Introducción.
2. Aspectos organizativos.
3. Descripción de la infraestructura crítica.
4. Resultado del análisis de riesgos.
5. Plan de acción propuesto (por activo).
6. Documentación complementaria.
Introducción: Ley PIC
Adopción de metodología
clásica de AARR
Cálculo de los valores de riesgo por activo
Análisis de los valores de riesgo obtenidos
Ajuste de los valores
Introducción: Análisis de Riesgos para ICs
Adopción de metodología
clásica de AARR
Cálculo de los valores de riesgo por activo
Análisis de los valores de riesgo obtenidos
Ajuste de los valores
Introducción: Análisis de Riesgos para ICs
Adopción de metodología
clásica de AARR
Cálculo de los valores de riesgo por activo
Análisis de los valores de riesgo obtenidos
Ajuste de los valores
Introducción: Análisis de Riesgos para ICs
Adopción de metodología
clásica de AARR
Cálculo de los valores de riesgo por activo
Análisis de los valores de riesgo obtenidos
Ajuste de los valores
Introducción: Análisis de Riesgos para ICs
Análisis de Riesgos: Metodologías
Metodología de Análisis de Riesgos Principales Parámetros implicados
Magerit • Valor del activo • Probabilidad de ocurrencia • Impacto
Mosler • Importancia del Suceso • Daños ocasionados • Probabilidad
NIST SP 800 30 • Probabilidad de ocurrencia de la
amenaza • Impacto
Mehari
• Probabilidad intrínseca • Reducción de probabilidad resultante • Impacto intrínseco • Reducción de impacto resultante
• Baja Probabilidad
• Alto impacto
Análisis de Riesgos en PIC
Rango de valores para el Riesgo
AARR General
AARR PIC
• Evolución del Contexto
Parámetros Internos Parámetros
Externos
Análisis de Riesgos en PIC
AARR PIC: Consideraciones especiales
• Amenazas ya consideradas
• Amenazas no abordables
AARR PIC: Ámbito del AARR del PPE
Análisis de Riesgos en TIC.
• Motivado por la Ley PIC.
Análisis de Riesgos en marco PIC.
• Proceso básico de la gestión de la seguridad de la información.
¿Por qué?
¿Para qué?
• Protección frente a ataques terroristas.
• Alinear las necesidades del negocio con la estrategia de seguridad.
AARR PIC: Etapas básicas
• Etapa 1: Enumeración y clasificación de activos.
• Etapa 2: Agrupación de Activos.
• Etapa 3: Selección de Amenazas.
• Etapa 4: Cálculo del Riesgo Inherente.
• Etapa 5: Selección de Controles y Salvaguardas.
• Etapa 6: Cálculo del Riesgo Real.
AARR PIC: Cálculo del Riesgo • Valor del activo: f (I, A)
– Implicación del activo en el servicio esencial.
– Accesibilidad física y lógica.
• Riesgo Inherente: RI = f (VA, VI, VR)
– VA: Valor del activo.
– VI = f (D1: personas afectadas, D2: perdidas económicas, D3: daños
medioambientales, D4: afección pública y social).
– VR = f (C1: capacidad de detección, C2: capacidad de respuesta, C3: resiliencia, C4: capacidad de continuidad de negocio)
• Riesgo Real: R = f (RI, C, S)
– C: Controles.
– S: Salvaguardas.
Conclusión
• Fase temprana de la seguridad PIC.
• Cambio profundo del alcance del análisis. – Cambio profundo del alcance de los parámetros.
• Trabajo posterior: – FASE 1: Adaptar los parámetros de metodologías
existentes.
– FASE 2: Desarrollar una metodología propia.
