proceso para el tratamiento de riesgos en … file2 curso de especialización dirección,...
Post on 28-Sep-2018
212 Views
Preview:
TRANSCRIPT
1
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridaden Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras
Críticas
Seminario“Tecnologías aplicadas a la protección IC”
2
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
ÍNDICE
5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
3. DECISIONES DE GESTIÓN DE RIESGOS
6. UNA METODOLOGÍA COMÚN: GR2SEC
4. ANÁLISIS DE RIESGOS FÍSICO Y LÓGICO
2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD
3
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
1. FUNDAMENTOS DEL
ANÁLISIS DE RIESGOS
4
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
El Análisis de Riesgos permite evaluar el nivel de
exposición que están soportando determinados
activos frente a diversas amenazas.
Aunque existen múltiples metodologías de Análisis de Riesgos,
casi todas coinciden en recoger, de un modo u otro, la relación
entre amenazas y activos
Casi todas las metodologías tienen en cuenta:
• Factibilidad de ocurrencia (si es posible, con qué probabilidad,
con qué frecuencia, cómo de vulnerable sería, etc.)
• Las consecuencias o impacto de esta materialización.
La Ley PIC considera la Probabilidad y el Impacto
Introducción
5
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
Objetivos del Análisis de Riesgos• Permite conocer frente a qué riesgos debe protegerse cada activo.
• Permite justificar la disposición de medidas de Seguridad, que serán
adecuadas y proporcionadas a los riesgos analizados.
• Es una herramienta fundamental para el establecimiento de una
estrategia de Seguridad.
• Es una pieza clave de cualquier ciclo de mejora continua en la
gestión de riesgos.
• Todo sistema de Seguridad debe partir de unos criterios de diseño
que necesariamente emanan de un análisis de riesgos.
• Toda medida que se implante debe tener como fin disminuir alguno
de los riesgos analizados. De lo contrario, dicha medida no tiene
sentido.
• Permite cumplir con requisitos legislativos.
6
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
“Apellidos” de la SeguridadSeguridad Laboral
Bienes PersonasMedio-
ambienteInformación
Naturales X
Técnicos X
Deliberados
Bienes PersonasMedio-
ambienteInformación
Naturales X X X
Técnicos X X X
Deliberados
Seguridad Industrial
Seguridad de la información Ciberseguridad
Bienes PersonasMedio-
ambienteInformación
Naturales X
Técnicos X
Deliberados X
Bienes PersonasMedio-
ambienteInformación
Naturales
Técnicos
Deliberados X X X X
Seguridad Física (Security)
7
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
Dos “Apellidos” próximos: Security
Seguridad Física, Seguridad de la información y Ciberseguridad
Bienes PersonasMedio-
ambienteInformación
Naturales X
Técnicos X
Deliberados X X X X
8
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
El enfoque de Seguridad del CNPICSeguridad integral frente a ataques
terroristas o grupos organizados
Tipo de Amenaza \ Criterios horizontalesEconomíaNacional
PersonasMedio-
ambienteServicios
esenciales
Naturales
Técnicos
Deliberados
Deliberados de origen terrorista o crimen organizado
X X X X
En este caso, los apellidos se centran en el tipo de consecuencias
(criterios horizontales) y no en los tipos de activos afectados
Aunque de acuerdo al alcance estricto de la misión del CNPIC
deberían atenderse exclusivamente los riesgos indicados, suelen
considerarse amenazas de otra naturaleza
9
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
El enfoque de Seguridad del CNPIC
Frente a otros enfoques de Análisis de Riesgos, la primera
aproximación al riesgo no considera el valor de los activos o de la
información de los mismos, sino la criticidad de los servicios
esenciales.
AMENAZAS
ACTUALES
SEGURIDAD
NACIONAL
SERVICIOS ESENCIALES
PARA LA POBLACIÓN
Infraestructuras estratégicas - Infraestructuras críticas (IC)
• Determinación de necesidades
• Establecimiento de prioridades
• Terrorismo
• Armas de destrucción masiva
• Cibercrimen
10
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
El enfoque de Seguridad del CNPIC
A falta de otras fuentes de inteligencia, el NAIC es un factor que no
debe ignorarse en los análisis de riesgos de los OC
11
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
2. ANÁLISIS DE RIESGOS EN
PROCESOS DE SEGURIDAD
12
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD
La seguridad como función dentro de una empresa se entiende
habitualmente como el área encargada de la prevención y
protección frente a ciertas amenazas o riesgos.
Como se ha indicado, existen diversos apellidos para definir las
diferentes Seguridades.
• Riesgos laborales
• Seguridad industrial
• Seguridad de la información (CISO)
• Seguridad física (Director de Seguridad)
Para la alta dirección, el/las área/s de Seguridad se encargan de la
gestión de ciertos riesgos operativos
La Seguridad en las Empresas
SafetySeguridad Corporativa
(CSO)
13
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD
Análisis de Riesgos Macro como apoyo a los Planes de Seguridad
A. RiesgosA. Riesgos A. Riesgos
1. Requerimientos y Políticas
3. Planificación
2. Gestión de la Seguridad
5. Medición
6. Actuación 4. Implantación
1. Requerimientos y Políticas
3. Planificación
2. Gestión de la Seguridad
5. Medición
6. Actuación 4. Implantación
1. Requerimientos y Políticas
3. Planificación
2. Gestión de la Seguridad
5. Medición
6. Actuación 4. Implantación
Planes de Seguridad Periódicos
Plan de SeguridadInicial
Plan de Seguridad de cambio de Paradigma
14
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
Visita Toma de Datos
2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD
Análisis de Riesgos Micro como apoyo a Auditorías y Anteproyectos
Análisis y Tratamiento de Riesgos
Criterios de Medidas de Seguridad
Análisis de Riesgos
• Contexto
• Amenazas
• Riesgos
Propuesta Medidas de Seguridad a
Disponer
Informe de Auditoria
ANÁLISIS DERIESGOS
ESTRATEGIAS DEPROTECCIÓN Y GRUPOS DE CONTROLES
Inspección del Sistema de Seguridad
Actual
Estado actual y posibilidad
de aprovechar equipos
REVISIÓN MEDIDAS EXISTENTES
Anteproyecto de Seguridad
15
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD
Análisis de Riesgos en PSO y PPEs
Análisis de Riesgo Inherente
(Sin medidas)
Análisis de Riesgo Residual
(Con controles)
Propuesta de Controles
(medidas Seguridad)
Evaluación de Controles
PPE INICIAL
Análisis de Riesgo Residual
(Con controles)
Evaluación de Controles
PPE +2 AÑOS
Análisis de Riesgo Residual
(Con controles)
Evaluación de Controles
PPE +4 AÑOS
PSO INICIAL
Metodología Análisis de Riesgos
PSO + 2 AÑOS
Metodología Análisis de Riesgos
(Sin cambios)
PSO + 4 AÑOS
Metodología Análisis de Riesgos
(Sin cambios)
Texto explicativo
Entrada de datos (requiere experto)
16
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
3. DECISIONES DE GESTIÓN DE
RIESGOS
17
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
3. DECISIONES DE GESTIÓN DE RIESGOS
Ubicación de riesgos en Plano Probabilidad/Impacto
YIHADISMO
CIBERRIESGOS
PROBABILIDAD
YIHADISMO
CIBERRIESGOS
Ley PIC
IMPACTO
18
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
3. DECISIONES DE GESTIÓN DE RIESGOS
Agrupación de Riesgos
C
IMPACTO
B A
DE
PROBABILIDAD
NR = ε
ε = NR máximo soportable
NR = σ
Impacto ≥ β
σ = NR mínimo aceptable
α = Probabilidad límite
β = Impacto Límite
Probabilidad ≥ α
19
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
3. DECISIONES DE GESTIÓN DE RIESGOS
Alternativas de Gestión de Riesgos
IMPACTO
Seguros
E
R1
R1’
Seguridad
PROBABILIDADNR = σ
Impacto ≥ β
Probabilidad ≥ α
Alternativas posibles de gestión:
GESTIÓN DE RIESGOS
GRUPO A MITIGARGRUPO B MITIGAR/ASEGURARGRUPO C MITIGARGRUPO D MITIGARGRUPO E ACEPTAR
Evitar o eliminar el Riesgo Transferir el Riesgo Aceptar el Riesgo Mitigar el Riesgo
20
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
4. ANÁLISIS DE RIESGOS
FÍSICO Y LÓGICO
21
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
4. ANÁLISIS DE RIESGOS FÍSICOS Y LÓGICOS
1. Activos analizados: áreas físicas (escenarios/instalaciones) y personas
2. Catálogos de amenazas muy variados
3. Habitualmente se realiza considerando las medidas de Seguridad
existentes, las cuales se evalúan o auditan como parte del análisis
4. En ocasiones, se analizan diversas franjas temporales (se analizan
amenazas sobre activos en un tiempo determinado)
5. Poco implantado a través de herramientas
6. Hasta aparición de ISO 31000, no asociado a normativa
7. Realización obligatoria para realizar proyectos de sistemas de Seguridad
y como parte de los PPEs
8. Metodologías más extendidas: Penta/Mosler y Cuantitativo-Mixto
Análisis de Riesgos Físico
22
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
4. ANÁLISIS DE RIESGOS FÍSICOS Y LÓGICOS
1. Activos analizados: Servicios, Comunicaciones, HW, SW, Personas…
2. Catálogos de amenazas estandarizados. Incluyen muchas físicas
3. Suelen analizarse amenazas, activos y dimensiones afectadas
4. Evaluación de probabilidad habitualmente basada en datos estadísticos
5. Dos fases: nivel de riesgo inherente (sin controles) y residual (con
controles). Se suele evaluar la madurez de los controles según CMMI.
6. Implantado frecuentemente a través de herramientas, permitiendo PDCA
7. Asociado a normativas y legislación: ISO 2700X, ENS…
8. Salvo la administración, realización no obligatoria, pero sí extendida
9. Metodologías más extendidas: Magerit en administración en España
Análisis de Riesgos Lógico
23
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
4. ANÁLISIS DE RIESGOS FÍSICOS Y LÓGICOS
Procesos típicos comparados
AUDITORÍA
EVALUACIÓN DE RIESGOS
EMPLEO DE RESULTADOS
• Requiere expertos
• Subjetividad al interpretarse medidas
• Análisis de Contexto
• Valoración de las medidas de Seguridad
• Justificar Inversiones
• Justificar miedos transmitidos
BIA
EVALUACIÓN DE RIESGOS
EMPLEO DE RESULTADOS
• Tablas con probabilidad por amenaza
• Valoración de madurez de controles
• Cada dueño valora sus activos
• Valoración de impacto
• Justificar Inversiones
• Proceso de mejora continua
Proceso de Análisis de Riesgos Físico Proceso de Análisis de Riesgos Lógico
24
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
5. ANÁLISIS DE RIESGOS DE
OPERADORES CRÍTICOS
25
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS
Plan de Seguridad del OperadorÍndice PSO
1. Introducción.
1.1 Base Legal.
1.2 Objetivo de este Documento.
1.3 Finalidad y Contenido del PSO.
1.4 Método de Revisión y Actualización.
1.5 Protección y Gestión de la Información y
Documentación
2. Política General de Seguridad del Operador y
Marco de Gobierno.
2.1 Política General de Seguridad del Operador
Crítico.
2.2 Marco de Gobierno de Seguridad.
2.2.1 Organización de la Seguridad y Comunicación.
2.2.2 Formación y Concienciación.
2.2.3 Modelo de Gestión Aplicado.
2.2.4 Comunicación.
3. Relación de Servicios Esenciales prestados por el
Operador Crítico.
3.1 Identificación de los Servicios Esenciales.
3.2 Mantenimiento del Inventario de Servicios
Esenciales.
3.3 Estudio de las Consecuencias de la Interrupción
del Servicio Esencial.
3.4 Interdependencias
4. Metodología de Análisis de Riesgos.
4.1 Descripción de la Metodología de Análisis.
4.2 Tipologías de Activos que Soportan los Servicios
Esenciales.
4.3 Identificación y Evaluación de Amenazas.
4.4 Valoración y Gestión de Riesgos.
5. Criterios de aplicación de medidas de seguridad
integral.
6. Documentación complementaria.
6.1 Normativa, Buenas Prácticas y Regulatoria.
6.2 Coordinación con Otros Planes.
26
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS
Plan de Protección EspecíficoÍndice PPE
1. Introducción.
1.1 Base Legal.
1.2 Objetivo de este Documento.
1.3 Finalidad y Contenido del PPE
1.4 Método de Revisión y Actualización.
1.5 Protección y Gestión de la Información y
Documentación
2. Aspectos Organizativos.
2.1 Organigrama de Seguridad.
2.2 Delegados de Seguridad de las Infraestructuras
Críticas.
2.3 Mecanismos de Coordinación.
2.4 Mecanismos y Responsables de Aprobación.
3. Descripción de la Infraestructura Crítica.
3.1 Datos Generales de la infraestructura crítica.
3.2 Activos/Elementos de la infraestructura crítica.
3.3 Interdependencias.
4. Resultados del Análisis de Riesgos.
4.1 Amenazas Consideradas.
4.2 Medidas de Seguridad Integral existentes.
4.2.1 Organizativas o de Gestión.
4.2.2 Operacionales o Procedimentales.
4.2.3 De Protección o Técnicas.
4.3 Valoración de Riesgos.
5. Plan de Acción propuesto (por activo).
6. Documentación complementaria.
27
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
Algunas de las dificultades más habitualmente encontradas son:
• Existencia de análisis de riesgos previos con otro objeto:
• Considerando impacto al negocio y no a la Sociedad
• Con metodologías dispares de Seguridad Física y Lógica
• Centrado en activos, no en servicios esenciales
• Escalas de impacto incompatibles con consecuencias
analizadas por CNPIC
• Función de Seguridad integral no desarrollada en la compañía:
• Falta de concienciación de Seguridad, dificultades para
obtener información de los servicios, procesos y activos
• Responsables sin capacidad de toma de decisiones
• Áreas de Seguridad física y de información muy distantes
Principales escollos del AR en OC
5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS
28
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
Para solventar los problemas indicados, se dispone de ciertas
herramientas al alcance de los Operadores Críticos:
• Concienciación de la Dirección, mediante carta recibida por el
más alto representante de cada empresa desde el Ministerio del
Interior. Deben involucrarse en una política de Seguridad integral.
• Obligaciones legales:
• De presentación de PSO y PPE, incluyendo información
sobre análisis de riesgos
• De designar interlocutores únicos de Seguridad
Responsable de Seguridad y Enlace en general
Responsable de Seguridad de la información (CISO)
Delegados de Seguridad en cada IC
• Soporte del CNPIC en el proceso
Principales herramientas disponibles
5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS
29
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
6. UNA METODOLOGÍA CÓMÚN:
30
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
Metodología propia de Cuevavaliente
6. UNA METODOLOGÍA COMÚN: GR2SEC
• Esquema general de Magerit.
• Propuesta de controles de ambos.
• Identificación de activos según Magerit.
• Lista de amenazas según Magerit.
MAGERIT + ISO 27000 ISO 31000 + AS/NZS 4360
• Esquema general de ISO 31000.
• Análisis de Riesgos según AS/NZS 4360.
• Lista de amenazas y de Medidas de
Seguridad según GRSec31000.
• Tratamiento unificado de todo tipo de Riesgos
• Propuesta de controles automática para todos los riesgos deliberados
• Análisis de madurez de controles para riesgos deliberados
• Permite generar un proceso de mejora continua en gestión de riesgos
31
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
Etapas de la metodología
6. UNA METODOLOGÍA COMÚN: GR2SEC
Contexto
Identificación Activos
Identificación Amenazas
Identificación Tiempos
Identificación de Riesgos
Análisis de Riesgos
Probabilidad Inherente
Impacto
Nivel Riesgo Inherente
Evaluación de Riesgos
Situaciones de Riesgo
Asignación Dimensiones
Tratamiento de Riesgos
PLANIFICACIÓN IMPLANTACIÓN
Propuesta de Controles
Evaluación Controles Existentes
Nivel de Riesgo Residual
Agrupación de Riesgos
Gestión de Riesgos
Las etapas que componen la metodología forman parte de
un ciclo de mejora continua, ubicándose en las fases de:
• Planificación:
Permitiendo definir el contexto (activos, amenazas y tiempos)
Obteniendo el riesgo inherente tras analizar sus componentes
• Implantación:
• Proponiendo los controles (medidas) paliativos
• Evaluando su estado actual y obteniendo con ello el riesgo residual
32
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
Esquema de la metodología
6. UNA METODOLOGÍA COMÚN: GR2SEC
• A,B, C, D o E
• Decisión:
• Evitar o Eliminar
• Transmitir
• Aceptar
• Mitigar
• Dimensión Física
• Confidencialidad
• Integridad
• Disponibilidad
• Trazabilidad de Datos
• Trazabilidad de Servicio
• Autenticidad de Datos
• Autenticidad de Servicio
• Frecuencia histórica
• Explotar vulnerabilidad
• Nivel Amenaza (NAIC)
• Variables Seg. Física:
• Atractivo
• Vulnerabilidad
• Según CMMI
• Riesgos Físicos:
• Cobertura
• Nivel de implantación
• Apego a mejores prácticas
• Ámbitos afectados:
• Definidos internamente
• Definidos por terceros (CNPIC)
• Riesgos Físicos Deliberados:
• Delincuencia Ordinaria
• Crímenes Agresivos y violentos
• Terrorismo/Crimen Organizado
• Riesgos Lógicos Deliberados
• Información/Datos
• Personas
• Software
• Hardware
• Dispositivos/soporte información
• Comunicaciones
• Instalaciones
• Servicios Prestados
• Terceros
CONTROLES EXISTENTES
ACTIVOS
IMPACTO
DIMENSIONES
SITUACIONES DE RIESGO
AMENAZAS
NIVEL DE RIESGO INTRÍNSECO
PROPUESTA DE CONTROLES
NIVEL DE RIESGO RESIDUAL
MADUREZ DE CONTROLES
PROBABILIDAD DE OCURRENCIA
AGRUPACIÓN DE RIESGOS
Afectan a:
Producen:
Reducen:
Mitigar:
TIEMPOS
SERVICIOS ESENCIALESSoportados por:
33
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
6. UNA METODOLOGÍA COMÚN: GR2SEC
Análisis de Riesgos en PSO y PPEs
Análisis de Riesgo Inherente
(Sin medidas)
Análisis de Riesgo Residual
(Con controles)
Propuesta de Controles
(medidas Seguridad)
Evaluación de Controles
PPE INICIAL
Análisis de Riesgo Residual
(Con controles)
Evaluación de Controles
PPE +2 AÑOS
Análisis de Riesgo Residual
(Con controles)
Evaluación de Controles
PPE +4 AÑOS
PSO INICIAL
Metodología Análisis de Riesgos
PSO + 2 AÑOS
Metodología Análisis de Riesgos
(Sin cambios)
PSO + 4 AÑOS
Metodología Análisis de Riesgos
(Sin cambios)
Texto explicativo
Entrada de datos (requiere experto)
Entrada de datos periódica (cliente con formación mínima)
Resultados generados automáticamente
Análisis de Riesgo Residual
(Con controles)
Propuesta de Controles
(medidas Seguridad)
Análisis de Riesgo Residual
(Con controles)
Análisis de Riesgo Residual
(Con controles)
Evaluación de Controles
Evaluación de Controles
con
34
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
6. UNA METODOLOGÍA COMÚN: GR2SEC
Herramientas del proceso unificado
Árbol de Activos Proceso de Análisis de Riesgos
Servicios
Procesos del Negocio
Activos de Información
Activos Físicos
Evaluación homogénea
Interior Parcela
CPD
Perímetro
Edificio Principal
Resto edificiosCaseta de
Seguridad
Almacén
Instalaciones
Personal
HW
SW
Interdepen-
dencias
Servicio
esencialSuministro Servicio
Esencial
Proveedor
Estaciones
transformadoras
Entradas de
compañía eléctrica
C. transformación
Empresa eléctrica
InformaciónÓrdenes operación
Proceso
Lectura de sensores
Proceso
SCADA
Servidores SCADA BBDD SCADA
Comunicaciones UMTS RTB ADSL Fibra óptica
PLC
Personal de
Sistemas
Compañía Móvil Telefónica
Técnicos de
operación
Interdependencias Empresa
transporte
Edificio
Transformación
Empaquetado
Procesado
IMPACTO
Grave
Muy Importante
Importante
Moderado
Nulo
Muy Grave
LEYENDA
Proceso esencial
Electricidad
Información
Equipos Auxiliares
Soportes de
Información
35
Curso de EspecializaciónDirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
Implantación mediante herramientas informáticas
6. UNA METODOLOGÍA COMÚN: GR2SEC
1. Información muy compleja requiere quedar registrada y ser
visualizada o modificada según responsabilidades
2. Los procesos de mejora continua requieren repetir los análisis y
valorar la mejora
3. La homogenización requiere catálogos estandarizados y
automatización en la propuesta de medidas (controles de Seguridad)
4. El análisis de riesgos no es un fin en sí mismo. Es también una
herramienta de venta y justificación interna de las áreas que
gestionan riesgo
5. Cuevavaliente Ingenierosofrece:
• Herramienta (www.gr2sec.com) diseñada para OC
• Implantación de la metodología en otras herramientas existentes
top related