Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas Seminario “Tecnologías aplicadas a la protección IC” Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 1 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas ÍNDICE 1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS 2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD 3. DECISIONES DE GESTIÓN DE RIESGOS 4. ANÁLISIS DE RIESGOS FÍSICO Y LÓGICO 5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS 6. UNA METODOLOGÍA COMÚN: GR2SEC Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 2 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 3 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS Introducción El Análisis de Riesgos permite evaluar el nivel de exposición que están soportando determinados activos frente a diversas amenazas. Aunque existen múltiples metodologías de Análisis de Riesgos, casi todas coinciden en recoger, de un modo u otro, la relación entre amenazas y activos Casi todas las metodologías tienen en cuenta: • Factibilidad de ocurrencia (si es posible, con qué probabilidad, con qué frecuencia, cómo de vulnerable sería, etc.) • Las consecuencias o impacto de esta materialización. La Ley PIC considera la Probabilidad y el Impacto Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 4 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS Objetivos del Análisis de Riesgos • Permite conocer frente a qué riesgos debe protegerse cada activo. • Permite justificar la disposición de medidas de Seguridad, que serán adecuadas y proporcionadas a los riesgos analizados. • Es una herramienta fundamental para el establecimiento de una estrategia de Seguridad. • Es una pieza clave de cualquier ciclo de mejora continua en la gestión de riesgos. • Todo sistema de Seguridad debe partir de unos criterios de diseño que necesariamente emanan de un análisis de riesgos. • Toda medida que se implante debe tener como fin disminuir alguno de los riesgos analizados. De lo contrario, dicha medida no tiene sentido. • Permite cumplir con requisitos legislativos. Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 5 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS “Apellidos” de la Seguridad Seguridad Laboral Bienes Personas Seguridad Industrial MedioInformación ambiente Bienes Personas MedioInformación ambiente Naturales X Naturales X X X Técnicos X Técnicos X X X Deliberados Deliberados Seguridad de la información Ciberseguridad Bienes Personas Seguridad Física (Security) MedioInformación ambiente Bienes Personas Naturales X Naturales Técnicos X Técnicos Deliberados X Deliberados X X MedioInformación ambiente X Proceso para el tratamiento de Riesgos en Infraestructuras Críticas X 6 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS Dos “Apellidos” próximos: Security Seguridad Física, Seguridad de la información y Ciberseguridad Bienes Personas Medioambiente Información Naturales X Técnicos X Deliberados X X X X Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 7 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS El enfoque de Seguridad del CNPIC Seguridad integral frente a ataques terroristas o grupos organizados Tipo de Amenaza \ Criterios horizontales Economía MedioServicios Personas Nacional ambiente esenciales Naturales Técnicos Deliberados Deliberados de origen terrorista o crimen organizado X X X X En este caso, los apellidos se centran en el tipo de consecuencias (criterios horizontales) y no en los tipos de activos afectados Aunque de acuerdo al alcance estricto de la misión del CNPIC deberían atenderse exclusivamente los riesgos indicados, suelen considerarse amenazas de otra naturaleza Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 8 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS El enfoque de Seguridad del CNPIC AMENAZAS ACTUALES • • • Terrorismo Armas de destrucción masiva Cibercrimen SEGURIDAD NACIONAL • • Determinación de necesidades Establecimiento de prioridades SERVICIOS ESENCIALES PARA LA POBLACIÓN Infraestructuras estratégicas - Infraestructuras críticas (IC) Frente a otros enfoques de Análisis de Riesgos, la primera aproximación al riesgo no considera el valor de los activos o de la información de los mismos, sino la criticidad de los servicios esenciales. Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 9 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS El enfoque de Seguridad del CNPIC A falta de otras fuentes de inteligencia, el NAIC es un factor que no debe ignorarse en los análisis de riesgos de los OC Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 10 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 11 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD La Seguridad en las Empresas La seguridad como función dentro de una empresa se entiende habitualmente como el área encargada de la prevención y protección frente a ciertas amenazas o riesgos. Como se ha indicado, existen diversos apellidos para definir las diferentes Seguridades. • Riesgos laborales Safety • Seguridad industrial Seguridad Corporativa • Seguridad de la información (CISO) (CSO) • Seguridad física (Director de Seguridad) Para la alta dirección, el/las área/s de Seguridad se encargan de la gestión de ciertos riesgos operativos Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 12 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD Análisis de Riesgos Macro como apoyo a los Planes de Seguridad 1. Requerimientos y Políticas 2. Gestión de la Seguridad 1. Requerimientos y Políticas 2. Gestión de la Seguridad A. Riesgos 3. Planificación 6. Actuación 4. Implantación 5. Medición Plan de Seguridad Inicial 1. Requerimientos y Políticas 2. Gestión de la Seguridad A. Riesgos 3. Planificación 6. Actuación 4. Implantación 5. Medición A. Riesgos 3. Planificación 6. Actuación 4. Implantación 5. Medición Plan de Seguridad Planes de Seguridad de cambio de Paradigma Periódicos Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 13 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD Análisis de Riesgos Micro como apoyo a Auditorías y Anteproyectos Inspección del Sistema de Seguridad Actual REVISIÓN MEDIDAS EXISTENTES Visita Toma de Datos Estado actual y posibilidad de aprovechar equipos Análisis y Tratamiento de Riesgos ANÁLISIS DE RIESGOS ESTRATEGIAS DE PROTECCIÓN Y GRUPOS DE CONTROLES • • • Análisis de Riesgos Contexto Amenazas Riesgos Criterios de Medidas de Seguridad Propuesta Medidas de Seguridad a Disponer Anteproyecto Informe de deAuditoria Seguridad Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 14 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD Análisis de Riesgos en PSO y PPEs PSO INICIAL PPE INICIAL PSO + 2 AÑOS PSO + 4 AÑOS Metodología Análisis de Riesgos Análisis de Riesgo Inherente (Sin medidas) Metodología Análisis de Riesgos (Sin cambios) Metodología Análisis de Riesgos (Sin cambios) Propuesta de Controles (medidas Seguridad) PPE +2 AÑOS PPE +4 AÑOS Evaluación de Controles Evaluación de Controles Evaluación de Controles Análisis de Riesgo Residual (Con controles) Análisis de Riesgo Residual (Con controles) Análisis de Riesgo Residual (Con controles) Texto explicativo Entrada de datos (requiere experto) Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 15 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 3. DECISIONES DE GESTIÓN DE RIESGOS Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 16 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 3. DECISIONES DE GESTIÓN DE RIESGOS Ubicación de riesgos en Plano Probabilidad/Impacto IMPACTO YIHADISMO CIBERRIESGOS YIHADISMO CIBERRIESGOS Ley PIC PROBABILIDAD Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 17 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 3. DECISIONES DE GESTIÓN DE RIESGOS Agrupación de Riesgos IMPACTO B A ε = NR máximo soportable σ = NR mínimo aceptable α = Probabilidad límite β = Impacto Límite Impacto ≥ β C D E Probabilidad ≥ α NR = ε NR = σ PROBABILIDAD Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 18 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 3. DECISIONES DE GESTIÓN DE RIESGOS Alternativas de Gestión de Riesgos IMPACTO Alternativas posibles de gestión: Evitar o eliminar el Riesgo Seguridad R1 R1’ Seguros Impacto ≥ β E Transferir el Riesgo Aceptar el Riesgo Mitigar el Riesgo NR = σ PROBABILIDAD Probabilidad ≥ α GESTIÓN DE RIESGOS GRUPO A GRUPO B GRUPO C GRUPO D GRUPO E MITIGAR MITIGAR/ASEGURAR MITIGAR MITIGAR ACEPTAR Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 19 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 4. ANÁLISIS DE RIESGOS FÍSICO Y LÓGICO Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 20 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 4. ANÁLISIS DE RIESGOS FÍSICOS Y LÓGICOS Análisis de Riesgos Físico 1. Activos analizados: áreas físicas (escenarios/instalaciones) y personas 2. Catálogos de amenazas muy variados 3. Habitualmente se realiza considerando las medidas de Seguridad existentes, las cuales se evalúan o auditan como parte del análisis 4. En ocasiones, se analizan diversas franjas temporales (se analizan amenazas sobre activos en un tiempo determinado) 5. Poco implantado a través de herramientas 6. Hasta aparición de ISO 31000, no asociado a normativa 7. Realización obligatoria para realizar proyectos de sistemas de Seguridad y como parte de los PPEs 8. Metodologías más extendidas: Penta/Mosler y Cuantitativo-Mixto Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 21 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 4. ANÁLISIS DE RIESGOS FÍSICOS Y LÓGICOS Análisis de Riesgos Lógico 1. Activos analizados: Servicios, Comunicaciones, HW, SW, Personas… 2. Catálogos de amenazas estandarizados. Incluyen muchas físicas 3. Suelen analizarse amenazas, activos y dimensiones afectadas 4. Evaluación de probabilidad habitualmente basada en datos estadísticos 5. Dos fases: nivel de riesgo inherente (sin controles) y residual (con controles). Se suele evaluar la madurez de los controles según CMMI. 6. Implantado frecuentemente a través de herramientas, permitiendo PDCA 7. Asociado a normativas y legislación: ISO 2700X, ENS… 8. Salvo la administración, realización no obligatoria, pero sí extendida 9. Metodologías más extendidas: Magerit en administración en España Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 22 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 4. ANÁLISIS DE RIESGOS FÍSICOS Y LÓGICOS Procesos típicos comparados Proceso de Análisis de Riesgos Físico AUDITORÍA • • Análisis de Contexto Valoración de las medidas de Seguridad EVALUACIÓN • Requiere expertos • Subjetividad al interpretarse medidas DE RIESGOS EMPLEO DE RESULTADOS • • Justificar Inversiones Justificar miedos transmitidos Proceso de Análisis de Riesgos Lógico BIA • • Cada dueño valora sus activos Valoración de impacto EVALUACIÓN • Tablas con probabilidad por amenaza • Valoración de madurez de controles DE RIESGOS • EMPLEO DE • Justificar Inversiones Proceso de mejora continua RESULTADOS Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 23 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 24 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS Plan de Seguridad del Operador Índice PSO 1. Introducción. 1.1 Base Legal. 1.2 Objetivo de este Documento. 1.3 Finalidad y Contenido del PSO. 1.4 Método de Revisión y Actualización. 1.5 Protección y Gestión de la Información y Documentación 2. Política General de Seguridad del Operador y Marco de Gobierno. 2.1 Política General de Seguridad del Operador Crítico. 2.2 Marco de Gobierno de Seguridad. 2.2.1 Organización de la Seguridad y Comunicación. 2.2.2 Formación y Concienciación. 2.2.3 Modelo de Gestión Aplicado. 2.2.4 Comunicación. 3. Relación de Servicios Esenciales prestados por el Operador Crítico. 3.1 Identificación de los Servicios Esenciales. 3.2 Mantenimiento del Inventario de Servicios Esenciales. 3.3 Estudio de las Consecuencias de la Interrupción del Servicio Esencial. 3.4 Interdependencias 4. Metodología de Análisis de Riesgos. 4.1 Descripción de la Metodología de Análisis. 4.2 Tipologías de Activos que Soportan los Servicios Esenciales. 4.3 Identificación y Evaluación de Amenazas. 4.4 Valoración y Gestión de Riesgos. 5. Criterios de aplicación de medidas de seguridad integral. 6. Documentación complementaria. 6.1 Normativa, Buenas Prácticas y Regulatoria. 6.2 Coordinación con Otros Planes. Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 25 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS Plan de Protección Específico Índice PPE 1. Introducción. 1.1 Base Legal. 1.2 Objetivo de este Documento. 1.3 Finalidad y Contenido del PPE 1.4 Método de Revisión y Actualización. 1.5 Protección y Gestión de la Información y Documentación 2. Aspectos Organizativos. 2.1 Organigrama de Seguridad. 2.2 Delegados de Seguridad de las Infraestructuras Críticas. 2.3 Mecanismos de Coordinación. 2.4 Mecanismos y Responsables de Aprobación. 3. Descripción de la Infraestructura Crítica. 3.1 Datos Generales de la infraestructura crítica. 3.2 Activos/Elementos de la infraestructura crítica. 3.3 Interdependencias. 4. Resultados del Análisis de Riesgos. 4.1 Amenazas Consideradas. 4.2 Medidas de Seguridad Integral existentes. 4.2.1 Organizativas o de Gestión. 4.2.2 Operacionales o Procedimentales. 4.2.3 De Protección o Técnicas. 4.3 Valoración de Riesgos. 5. Plan de Acción propuesto (por activo). 6. Documentación complementaria. Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 26 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS Principales escollos del AR en OC Algunas de las dificultades más habitualmente encontradas son: • Existencia de análisis de riesgos previos con otro objeto: • Considerando impacto al negocio y no a la Sociedad • Con metodologías dispares de Seguridad Física y Lógica • Centrado en activos, no en servicios esenciales • Escalas de impacto incompatibles con consecuencias analizadas por CNPIC • Función de Seguridad integral no desarrollada en la compañía: • Falta de concienciación de Seguridad, dificultades para obtener información de los servicios, procesos y activos • Responsables sin capacidad de toma de decisiones • Áreas de Seguridad física y de información muy distantes Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 27 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS Principales herramientas disponibles Para solventar los problemas indicados, se dispone de ciertas herramientas al alcance de los Operadores Críticos: • Concienciación de la Dirección, mediante carta recibida por el más alto representante de cada empresa desde el Ministerio del Interior. Deben involucrarse en una política de Seguridad integral. • Obligaciones legales: • De presentación de PSO y PPE, incluyendo información sobre análisis de riesgos • De designar interlocutores únicos de Seguridad Responsable de Seguridad y Enlace en general Responsable de Seguridad de la información (CISO) Delegados de Seguridad en cada IC • Soporte del CNPIC en el proceso Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 28 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 6. UNA METODOLOGÍA CÓMÚN: Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 29 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 6. UNA METODOLOGÍA COMÚN: GR2SEC Metodología propia de Cuevavaliente MAGERIT + ISO 27000 • Esquema general de Magerit. • Propuesta de controles de ambos. • Identificación de activos según Magerit. • Lista de amenazas según Magerit. • • • • ISO 31000 + AS/NZS 4360 • Esquema general de ISO 31000. • Análisis de Riesgos según AS/NZS 4360. • Lista de amenazas y de Medidas de Seguridad según GRSec31000. Tratamiento unificado de todo tipo de Riesgos Propuesta de controles automática para todos los riesgos deliberados Análisis de madurez de controles para riesgos deliberados Permite generar un proceso de mejora continua en gestión de riesgos Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 30 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 6. UNA METODOLOGÍA COMÚN: GR2SEC Etapas de la metodología Las etapas que componen la metodología forman parte de un ciclo de mejora continua, ubicándose en las fases de: • Planificación: Permitiendo definir el contexto (activos, amenazas y tiempos) Obteniendo el riesgo inherente tras analizar sus componentes • Implantación: • Proponiendo los controles (medidas) paliativos • Evaluando su estado actual y obteniendo con ello el riesgo residual IMPLANTACIÓN PLANIFICACIÓN Identificación de Riesgos Contexto Identificación Activos Identificación Amenazas Identificación Tiempos Situaciones de Riesgo Asignación Dimensiones Análisis de Riesgos Probabilidad Inherente Impacto Nivel Riesgo Inherente Evaluación de Riesgos Agrupación de Riesgos Gestión de Riesgos Tratamiento de Riesgos Propuesta de Controles Evaluación Controles Existentes Nivel de Riesgo Residual Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 31 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 6. UNA METODOLOGÍA COMÚN: GR2SEC Esquema de la metodología SERVICIOS ESENCIALES Soportados por: • • • • • • • • Dimensión Física Confidencialidad Integridad Disponibilidad Trazabilidad de Datos Trazabilidad de Servicio Autenticidad de Datos Autenticidad de Servicio • • • • Frecuencia histórica Explotar vulnerabilidad Nivel Amenaza (NAIC) Variables Seg. Física: • Atractivo • Vulnerabilidad • A,B, C, D o E • Decisión: • Evitar o Eliminar • Transmitir • Aceptar • Mitigar TIEMPOS ACTIVOS Afectan a: AMENAZAS DIMENSIONES SITUACIONES DE RIESGO • • • • • • • • • Información/Datos Personas Software Hardware Dispositivos/soporte información Comunicaciones Instalaciones Servicios Prestados Terceros • Riesgos Físicos Deliberados: • Delincuencia Ordinaria • Crímenes Agresivos y violentos • Terrorismo/Crimen Organizado • Riesgos Lógicos Deliberados Producen: PROBABILIDAD DE OCURRENCIA AGRUPACIÓN DE RIESGOS Mitigar: • Ámbitos afectados: • Definidos internamente • Definidos por terceros (CNPIC) IMPACTO NIVEL DE RIESGO INTRÍNSECO PROPUESTA DE CONTROLES NIVEL DE RIESGO RESIDUAL Reducen: CONTROLES EXISTENTES MADUREZ DE CONTROLES • Según CMMI • Riesgos Físicos: • Cobertura • Nivel de implantación • Apego a mejores prácticas Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 32 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 6. UNA METODOLOGÍA COMÚN: GR2SEC Análisis de Riesgos en PSO y PPEs con PSO INICIAL PPE INICIAL PSO + 2 AÑOS PSO + 4 AÑOS Metodología Análisis de Riesgos Análisis de Riesgo Inherente (Sin medidas) Metodología Análisis de Riesgos (Sin cambios) Metodología Análisis de Riesgos (Sin cambios) Propuesta de Controles (medidas Seguridad) PPE +2 AÑOS PPE +4 AÑOS Evaluación de Controles Evaluación de Controles Evaluación de Controles Análisis de Riesgo Residual (Con controles) Análisis de Riesgo Residual (Con controles) Análisis de Riesgo Residual (Con controles) Texto explicativo Entrada de datos periódica (cliente con formación mínima) Entrada de datos (requiere experto) Resultados generados automáticamente Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 33 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 6. UNA METODOLOGÍA COMÚN: GR2SEC Herramientas del proceso unificado Árbol de Activos Interdependencias Proveedor Telefónica Compañía Móvil Información Soportes de Información SW IMPACTO Muy Grave Servicio esencial Equipos Auxiliares Proceso de Análisis de Riesgos Suministro Servicio Esencial Órdenes operación Proceso Importante Moderado PLC Nulo HW Comunicaciones Servidores SCADA UMTS BBDD SCADA RTB Perímetro ADSL Fibra óptica LEYENDA Proceso esencial Caseta de Seguridad Resto edificios Interior Parcela Almacén Edificio Transformación Edificio Principal Empaquetado Interdependencias Personal C. transformación Empresa eléctrica Procesos del Negocio Activos de Información Electricidad Información Activos Físicos Procesado CPD Instalaciones Servicios Muy Importante Lectura de sensores Proceso SCADA Grave Entradas de compañía eléctrica Técnicos de operación Estaciones transformadoras Evaluación homogénea Empresa transporte Personal de Sistemas Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 34 Curso de Especialización Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas 6. UNA METODOLOGÍA COMÚN: GR2SEC Implantación mediante herramientas informáticas 1. Información muy compleja requiere quedar registrada y ser visualizada o modificada según responsabilidades 2. Los procesos de mejora continua requieren repetir los análisis y valorar la mejora 3. La homogenización requiere catálogos estandarizados y automatización en la propuesta de medidas (controles de Seguridad) 4. El análisis de riesgos no es un fin en sí mismo. Es también una herramienta de venta y justificación interna de las áreas que gestionan riesgo 5. Cuevavaliente Ingenierosofrece: • Herramienta (www.gr2sec.com) diseñada para OC • Implantación de la metodología en otras herramientas existentes Proceso para el tratamiento de Riesgos en Infraestructuras Críticas 35