Post on 17-Mar-2020
Identificación de Activos
Tangibles / Intangibles
Análisis de activos
y Amenazas 1
Evaluación de 3 Riesgos
Impactos / Mapa de Riesgos
Soluciones
Mitigación / Prevención 4
Metodología MAR-PF
2
2
Identificación de Activos
Tangibles / Intangibles 1
Metodología MAR-PF
3
TRABAJO No.3 ELABORE UNA TABLA CON LOS ACTIVOS CRÍTICOS A
PROTEGER EN SUS INSTALACIONES.
Ejemplo No Tipo de activo Activos
1 Personas • Autoridades del GACM • Trabajadores • Visitantes
2 Procesos Etapa 1 del proceso de construcción del NAICM
3 Infraestructura y
equipos
• Predio • Instalaciones eléctricas • Línea de tubería del Gas Natural • Red hidráulica • Maquinaria de construcción • Almacenes de materiales para la construcción • Vías de comunicación • Vehículos transportistas
4 Información
• Arquitectónica • De la red y comunicaciones • Del sistema de seguridad
4
Fuente: ISO 31000 5
Análisis de activos
y Amenazas
Metodología MAR-PF
2
6
La metodología
7
8
1. Especifique las consecuencias indeseables de la pérdida de cada uno de los activos.
2. Determine el nivel de las consecuencias indeseables.
Documente los niveles de las consecuencias utilizando una escala cualitativa para clasificarla.
3. Determine la probabilidad de ocurrencia.
Criticidad: Un objetivo es crítico cuando… debe crear una tabla que contenga los criterios de impacto
Accesibilidad: Un objetivo es accesible cuando un atacante puede alcanzar
el objetivo para realizar daño y salir del sitio sin ser detectado. La accesibilidad es la apertura del objetivo a la amenaza.
Recuperabilidad: La recuperabilidad se mide en el tiempo que tardará el sistema específico en recuperar su productividad. El efecto de una posible disminución en la demanda también se considera.
MÉTODO CARVER (Criticality, Accessibility, Recoverability, Vulnerability, Effect on Population, Recognizability)
9
Vulnerabilidad: Es una medida de la facilidad con la que pueden introducirse los adversarios (amenaza), para lograr el propósito del atacante una vez que se ha alcanzado el objetivo.
Efecto sobre la población: Es una medida del porcentaje % de productividad
del sistema dañado por el ataque a una instalación y está inversamente relacionada con la cantidad de instalaciones que producen el mismo producto o servicio.
Reconocimiento (ble)-identificable: Es el grado en que el objetivo puede ser identificado por un atacante sin confusión con otros objetivos o componentes.
MÉTODO CARVER (Criticality, Accessibility, Recoverability, Vulnerability, Effect on Population, Recognizability)
10
11
12
13
El término adversario se define como un individuo o grupo que puede presentar una gama amplia de amenazas a una instalación.
Responde principalmente a las preguntas hipotéticas de: Quién, cómo, cuándo, dónde y la capacidad que tiene el adversario para consumar su objetivo.
14
TRABAJO No. 4
Identificación de amenazas
1. ELABORE UNA TABLA DONDE IDENTIFIQUE LAS POSIBLES
AMENAZAS A SUS INSTALACIONES (ORIGEN, FACTOR
GENERADOR Y EVENTO).
2. RETOME SU TABLA CON EL LISTADO DE ACTIVOS CRÍTICOS
A PROTEGER.
3. IDENTIFIQUE LAS AMENAZAS PARA CADA UNO DE SUS
ACTIVOS.
EJERCICIO PROGRESIVO
15
Evaluación de 3 Riesgos
Impactos / Mapa de Riesgos
Metodología MAR-PF
16
La metodología
17
Menos mal que el agujero no está de este lado.
18
La operación de toda organización implica la exposición a diversos riesgos, es decir, la acción de manera invariable genera situaciones que hacen que los valores de la organización (activos) se vean expuestos (vulnerables) por distintas causas a peligros (amenazas), por lo que es necesario identificar y medir cada uno de los riesgos, para estar en condiciones de administrarlos.
Mediante la evaluación se podrán definir las prioridades de protección para los activos. El analista de riesgos deberá describir para cada activo las posibles amenazas (A), sus vulnerabilidades (V) y el impacto (I).
19
20
21
¿Qué puede salir mal?
¿Cuál es la probabilidad de que ocurra?
¿Cuáles son las consecuencias?
Método
Inductivo
Método
Deductivo
22
ELEMENTO EXPUESTO
RADIO DE ACCIÓN
RECURSO AFECTABLE
EXPOSICIÓN
EXPECTATIVA
“SUCESO”
Entrega
Resguardo
“SINIESTRO”
Robo
Fraude
De que un evento desencadenante, ya bien sea:
NEGATIVO
POSITIVO
Suceda durante un tiempo depende de la
“SINIESTRO”
“SUCESO”
EXPOSICIÓN.
EXPECTATIVA
¿Existe la POSIBILIDAD de que ocurra el evento?
Cuando la posibilidad se cuantifica se llama
PROBABILIDAD
SI (RUTA, HORARIO, CAPACITACIÓN, EQUIPO, CONTROLES
SELECCIÓN DE PERSONAL)
POSIBILIDAD SI/NO
NO ES POR ESTADÍSTICA, SINO POR EL MOMENTO ESPECÍFICO.
PROBABILIDAD
ES UN CONCEPTO MATEMÁTICO
Cálculo matemático de las posibilidades que existen
de que una cosa se cumpla o suceda al azar.
LA EXPECTATIVA DE QUE SUCEDA UN EVENTO NEGATIVO O
POSITIVO ES DETERMINADA POR:
AMENAZA - OPORTUNIDAD
FACTOR DE EXPOSICIÓN:
NUMERO DE VECES QUE SE REALIZA UNA ACTIVIDAD
PONTENCIALMENTE GENERADORA DE UN EVENTO
FACTOR DE PROBABILIDAD:
DADA LA ACTIVIDAD, QUE TAN FACIL SE PUEDE GENERAR UN
EVENTO SI EXISTE LA EXPOSICIÓN
Tablas de evaluación (AVI).
Vulnerabilidad
Amenaza
Impacto
RIESGO
29
Tabla de valoración de la Amenaza (A)
1. QUIÉN O QUIÉNES SON LOS POSIBLES ACTORES.
2. CON QUÉ MEDIOS CUENTAN PARA QUE SE MATERIALICE LA AMENAZA.
3. CUÁLES SON LOS MOTIVOS PARA HACERLO.
4. CUÁLES SERÍAN LAS CONSECUENCIAS.
30
Vulnerabilidad (V)
“Conjunto de condiciones y procesos que se generan por efecto de factores físicos, tecnológicos, sociales, económicos y ambientales que aumentan la posibilidad de que una persona, comunidad o instalación pueda ser susceptible de sufrir daños humanos y materiales frente al impacto de los peligros o amenazas”.
Manuel Sánchez Gómez Merelo Consultor Internacional de Seguridad Director para Europa de la World Security Federation (WSF).
“Debilidad de los activos o de las medidas de seguridad que pueden ser aprovechadas o superadas por una amenaza para ocasionar un daño”.
Servicio de Protección Federal. Guía Base para la Elaboración de Análisis de Riesgos.
31
Tabla de valoración de la Vulnerabilidad (V)
32
Impacto (I)
La estimación de la consecuencia se basa en la respuesta a ¿qué sucedió? ¿qué pudo ocurrir? o ¿qué podría ocurrir?
Ya ocurrió Podría ocurrir
Pasado -> ESTADÍSTICA Futuro -> PROBABILÍSTICA
Sin
iest
ro
Rie
sgo
La estimación de la probabilidad se basa en información histórica respecto de casos ocurridos anteriormente en similares condiciones en las instalaciones o en otras entidades del ramo.
33
Tabla de valoración del Impacto (I)
34
Evaluación del riesgo
ER = A x V x I
35
Evaluación del riesgo
ER = A x V x I
36
Nivel de aceptabilidad
37
Nivel de aceptabilidad
38
Ejemplo de la evaluación de un escenario de Riesgo
39
# Activo Riesgo Amenaza Vulnerabilidad
(A) (V)
Impacto
(I) ER Nivel de
aceptabilidad
1
Personas Funcionarios-
Intimidación
2
2
5
20
Tolerable
2 Personas Personal-Robo 4 4 3 48 Inaceptable
3 Equipo Servidor-Daños 4 3 5 60 Inadmisible
4
Equipo Subestación-
Sabotaje
2
4
4
32 Inaceptable
5
Instalación
Bloqueo entrada
5
4
3
60 Inadmisible
6
Instalación Amenaza de
bomba
5
2
5
50
Inaceptable
Ejemplo de resultado de Evaluación del Riesgo (ER)
40
Tabla de nivel de nivel de prioridad
# Activo Riesgo Amenaza Vulnerabilidad
(A) (V)
Impacto
(I) ER Nivel de
aceptabilidad
3 Equipo Servidor-Daños 4 3 5 60 Inadmisible
Inadmisible
5
Instalación
Bloqueo entrada
5
4
3
60
6
Instalación Amenaza de
bomba
5
2
5
50
Inaceptable
Inaceptable
Inaceptable
2 Personas Personal-Robo 4 4 3 48
4
Equipo Subestación-
Sabotaje
2
4
4
32
1
Personas Funcionarios-
Intimidación
2
2
5
20
Tolerable
41
TRABAJO No. 5
EJERCICIO PROGRESIVO
1. ELABORE UNA TABLA PARA EVALUACIÓN DEL RIESGO
2. REALICE LA EVALUACIÓN DEL RIESGO DE SUS ACTIVOS
CONFORME A LA FÓRMULA
3. ELABORE UNA TABLA CON LOS DATOS ORDENADOS POR
NIVEL DE PRIORIDAD
ER = A × V × I
# Activo Riesgo Amenaza Vulnerabilidad
(A) (V)
Impacto
(I) ER Nivel de
Aceptabilidad
42