Subdirección General de Tecnologías de la Información y de las Comunicaciones

Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)

Evaluación y gestión Evaluación y gestión de los riesgos de los de los riesgos de los

sistemas de sistemas de información en el información en el

Ministerio de Ministerio de Economía y HaciendaEconomía y Hacienda

Subdirección General de Tecnologías de la Información y de las Comunicaciones

Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)

AgendaAgenda

Condiciones preliminaresPasos a dar:

– Definición clara y concisa del alcance– Decisión de abordarlo con personal

interno/externo– Recogida de información– Caracterización de activos y dependencias– Análisis de amenazas y valoración de riesgos– Toma de decisiones: salvaguardas– Plan Director de Seguridad– Reiniciar el ciclo

Reflexiones desde nuestra experiencia

Subdirección General de Tecnologías de la Información y de las Comunicaciones

Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)

Condiciones preliminaresCondiciones preliminares

• Para abordar un proyecto de Análisis y Gestión de Riesgos es necesario:

– Apoyo de la Alta Dirección– Dedicación de los recursos económicos y humanos

necesarios– Definición de la metodología y herramientas:

• MAGERIT y PILAR

Subdirección General de Tecnologías de la Información y de las Comunicaciones

Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)

Definición clara y concisa del alcanceDefinición clara y concisa del alcance

• Imprescindible la definición del proyecto desde su inicio– ¿Qué partes del organigrama abordará? Ámbito

– ¿Qué servicios / actividades incluir? Alcance

Subdirección General de Tecnologías de la Información y de las Comunicaciones

Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)

Decisión de abordarlo con personal interno/externoDecisión de abordarlo con personal interno/externo

• En función del alcance:– Interno. Limitado a una parte del organigrama o a un

sólo servicio/actividad (ej. Correo-e)– Externo. Más extenso, con supervisión.

• En ambos casos: necesidad de dedicar recursos suficientes (para hacer o para supervisar)

Subdirección General de Tecnologías de la Información y de las Comunicaciones

Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)

Recogida de informaciónRecogida de información

• Análisis diferencial respecto a norma ISO 17799:2005• Entrevistas• Formularios• Análisis de vulnerabilidades:

– Técnicas (hacking ético: test intrusión, etc.)– No técnicas (seguridad física, aspectos legales y

organizativos, análisis de procesos, revisión de los controles implantados, etc.)

Subdirección General de Tecnologías de la Información y de las Comunicaciones

Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)

Caracterización de activos y dependenciasCaracterización de activos y dependencias

• Inventariar y clasificar activos (desde el punto de vista del análisis de riesgos)

• Plasmar de manera estructurada y homogénea la información recogida en el paso anterior

• Nivel de detalle adecuado– No escaso: reflejo suficiente de la realidad– No excesivo: debemos poder gestionarlo y mantenerlo

• Paso fundamental, el resto depende de este modelo

Subdirección General de Tecnologías de la Información y de las Comunicaciones

Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)

Análisis de las amenazas y Análisis de las amenazas y valoración del riesgovaloración del riesgo

• Analizar las amenazas:

– Qué riesgos existen

– Clasificación por su criticidad

• Herramienta PILAR: útil (imprescindible si hay muchos activos)

– Sólo es una herramienta (potente, pero sólo una herramienta)

– La inteligencia y el sentido común los debe poner el usuario para detectar los falsos positivos y negativos que pueda sugerir la herramienta.

Subdirección General de Tecnologías de la Información y de las Comunicaciones

Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)

Toma de decisiones: salvaguardasToma de decisiones: salvaguardas

• Documento de Aplicabilidad (SOA, Statement of Applicability)– Recoge las conclusiones de los pasos anteriores– Identifica los riesgos y puede incluir recomendaciones de

decisión

Toma de decisiones: Tarea de la Alta Dirección.

Asumir Mitigar Transferir

Subdirección General de Tecnologías de la Información y de las Comunicaciones

Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)

Plan Director de SeguridadPlan Director de Seguridad

• Proyectos de implantación de salvaguardas para mitigar los riesgos

• Planificación temporal

• Planificación de recursos necesarios (económicos y humanos, internos y externos)

• Programa de Gestión del Cambio

• Cambio en la Cultura de Seguridad de la Organización

Subdirección General de Tecnologías de la Información y de las Comunicaciones

Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)

Reiniciar el cicloReiniciar el ciclo

• Mejora continua (Ciclo PDCA)– Foto única. Análisis de Riesgos no mantenido sirve de poco.

– Fotos periódicas. Actualmente es factible hacer revisiones periódicas.

– ...

– Vídeo. En el futuro …, herramientas que permitan mantener actualizado el inventario de activos, amenazas, riesgos y salvaguardas, de forma que generen informes de situación y de mejora automatizados.

• La Seguridad absoluta no existe

Subdirección General de Tecnologías de la Información y de las Comunicaciones

Análisis y Gestión de Riesgos. Experiencia práctica MEH (II)

• Lleva tiempo la creación de una estructura de seguridad (Comité de Seguridad y Oficina de Seguridad), especialmente en el sector público, a pesar de contar con un fuerte apoyo de la Dirección

• Creemos en estas iniciativas y en los beneficios de llevarlas a cabo

• Plazo de ejecución del proyecto completo de 2 años, y luego ciclo continuo con personal interno

• Conciencia del personal interno: la seguridad no puede ser algo extraño al trabajo diario, debe formar parte de él

Reflexiones desde nuestra experienciaReflexiones desde nuestra experiencia