Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Roberto Scarabella

cuevavaliente

Anuncio 
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad
en Infraestructuras Críticas y Estratégicas
Seminario
“Tecnologías aplicadas a la protección IC”
Proceso para el tratamiento de
Riesgos en Infraestructuras
Críticas
1
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
ÍNDICE
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD
3. DECISIONES DE GESTIÓN DE RIESGOS
4. ANÁLISIS DE RIESGOS FÍSICO Y LÓGICO
5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS
6. UNA METODOLOGÍA COMÚN: GR2SEC
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
2
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
1. FUNDAMENTOS DEL
ANÁLISIS DE RIESGOS
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
3
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
Introducción
El Análisis de Riesgos permite evaluar el nivel de
exposición que están soportando determinados
activos frente a diversas amenazas.
Aunque existen múltiples metodologías de Análisis de Riesgos,
casi todas coinciden en recoger, de un modo u otro, la relación
entre amenazas y activos
Casi todas las metodologías tienen en cuenta:
• Factibilidad de ocurrencia (si es posible, con qué probabilidad,
con qué frecuencia, cómo de vulnerable sería, etc.)
• Las consecuencias o impacto de esta materialización.
La Ley PIC considera la Probabilidad y el Impacto
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
4
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
Objetivos del Análisis de Riesgos
• Permite conocer frente a qué riesgos debe protegerse cada activo.
• Permite justificar la disposición de medidas de Seguridad, que serán
adecuadas y proporcionadas a los riesgos analizados.
• Es una herramienta fundamental para el establecimiento de una
estrategia de Seguridad.
• Es una pieza clave de cualquier ciclo de mejora continua en la
gestión de riesgos.
• Todo sistema de Seguridad debe partir de unos criterios de diseño
que necesariamente emanan de un análisis de riesgos.
• Toda medida que se implante debe tener como fin disminuir alguno
de los riesgos analizados. De lo contrario, dicha medida no tiene
sentido.
• Permite cumplir con requisitos legislativos.
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
5
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
“Apellidos” de la Seguridad
Seguridad Laboral
Bienes Personas
Seguridad Industrial
MedioInformación
ambiente
Bienes Personas
MedioInformación
ambiente
Naturales
X
Naturales
X
X
X
Técnicos
X
Técnicos
X
X
X
Deliberados
Deliberados
Seguridad de la información
Ciberseguridad
Bienes Personas
Seguridad Física
(Security)
MedioInformación
ambiente
Bienes Personas
Naturales
X
Naturales
Técnicos
X
Técnicos
Deliberados
X
Deliberados
X
X
MedioInformación
ambiente
X
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
X
6
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
Dos “Apellidos” próximos: Security
Seguridad Física, Seguridad de la
información y Ciberseguridad
Bienes Personas
Medioambiente
Información
Naturales
X
Técnicos
X
Deliberados
X
X
X
X
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
7
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
El enfoque de Seguridad del CNPIC
Seguridad integral frente a ataques
terroristas o grupos organizados
Tipo de Amenaza \ Criterios horizontales
Economía
MedioServicios
Personas
Nacional
ambiente esenciales
Naturales
Técnicos
Deliberados
Deliberados de origen terrorista o crimen
organizado
X
X
X
X
En este caso, los apellidos se centran en el tipo de consecuencias
(criterios horizontales) y no en los tipos de activos afectados
Aunque de acuerdo al alcance estricto de la misión del CNPIC
deberían atenderse exclusivamente los riesgos indicados, suelen
considerarse amenazas de otra naturaleza
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
8
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
El enfoque de Seguridad del CNPIC
AMENAZAS
ACTUALES
•
•
•
Terrorismo
Armas de destrucción masiva
Cibercrimen
SEGURIDAD
NACIONAL
•
•
Determinación de necesidades
Establecimiento de prioridades
SERVICIOS ESENCIALES
PARA LA POBLACIÓN
Infraestructuras estratégicas - Infraestructuras críticas (IC)
Frente a otros enfoques de Análisis de Riesgos, la primera
aproximación al riesgo no considera el valor de los activos o de la
información de los mismos, sino la criticidad de los servicios
esenciales.
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
9
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
1. FUNDAMENTOS DEL ANÁLISIS DE RIESGOS
El enfoque de Seguridad del CNPIC
A falta de otras fuentes de inteligencia, el NAIC es un factor que no
debe ignorarse en los análisis de riesgos de los OC
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
10
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
2. ANÁLISIS DE RIESGOS EN
PROCESOS DE SEGURIDAD
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
11
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD
La Seguridad en las Empresas
La seguridad como función dentro de una empresa se entiende
habitualmente como el área encargada de la prevención y
protección frente a ciertas amenazas o riesgos.
Como se ha indicado, existen diversos apellidos para definir las
diferentes Seguridades.
• Riesgos laborales
Safety
• Seguridad industrial
Seguridad Corporativa
• Seguridad de la información (CISO)
(CSO)
• Seguridad física (Director de Seguridad)
Para la alta dirección, el/las área/s de Seguridad se encargan de la
gestión de ciertos riesgos operativos
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
12
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD
Análisis de Riesgos Macro como apoyo a
los Planes de Seguridad
1. Requerimientos y
Políticas
2. Gestión de la
Seguridad
1. Requerimientos y
Políticas
2. Gestión de la
Seguridad
A. Riesgos
3. Planificación
6. Actuación
4. Implantación
5. Medición
Plan de Seguridad
Inicial
1. Requerimientos y
Políticas
2. Gestión de la
Seguridad
A. Riesgos
3. Planificación
6. Actuación
4. Implantación
5. Medición
A. Riesgos
3. Planificación
6. Actuación
4. Implantación
5. Medición
Plan de Seguridad
Planes de Seguridad
de cambio de Paradigma
Periódicos
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
13
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD
Análisis de Riesgos Micro como apoyo a
Auditorías y Anteproyectos
Inspección
del Sistema
de Seguridad
Actual
REVISIÓN
MEDIDAS
EXISTENTES
Visita Toma
de Datos
Estado actual
y posibilidad
de aprovechar
equipos
Análisis y Tratamiento de Riesgos
ANÁLISIS
DE
RIESGOS
ESTRATEGIAS DE
PROTECCIÓN Y
GRUPOS DE
CONTROLES
•
•
•
Análisis de
Riesgos
Contexto
Amenazas
Riesgos
Criterios de
Medidas de
Seguridad
Propuesta
Medidas de
Seguridad a
Disponer
Anteproyecto
Informe de
deAuditoria
Seguridad
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
14
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
2. ANÁLISIS DE RIESGOS EN PROCESOS DE SEGURIDAD
Análisis de Riesgos en PSO y PPEs
PSO INICIAL
PPE INICIAL
PSO + 2 AÑOS
PSO + 4 AÑOS
Metodología
Análisis de Riesgos
Análisis de
Riesgo Inherente
(Sin medidas)
Metodología
Análisis de Riesgos
(Sin cambios)
Metodología
Análisis de Riesgos
(Sin cambios)
Propuesta de
Controles
(medidas Seguridad)
PPE +2 AÑOS
PPE +4 AÑOS
Evaluación de
Controles
Evaluación de
Controles
Evaluación de
Controles
Análisis de Riesgo
Residual
(Con controles)
Análisis de Riesgo
Residual
(Con controles)
Análisis de Riesgo
Residual
(Con controles)
Texto explicativo
Entrada de datos (requiere experto)
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
15
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
3. DECISIONES DE GESTIÓN DE
RIESGOS
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
16
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
3. DECISIONES DE GESTIÓN DE RIESGOS
Ubicación de riesgos en Plano
Probabilidad/Impacto
IMPACTO
YIHADISMO
CIBERRIESGOS
YIHADISMO
CIBERRIESGOS
Ley PIC
PROBABILIDAD
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
17
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
3. DECISIONES DE GESTIÓN DE RIESGOS
Agrupación de Riesgos
IMPACTO
B
A
ε = NR máximo soportable
σ = NR mínimo aceptable
α = Probabilidad límite
β = Impacto Límite
Impacto ≥ β
C
D
E
Probabilidad ≥ α
NR = ε
NR = σ
PROBABILIDAD
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
18
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
3. DECISIONES DE GESTIÓN DE RIESGOS
Alternativas de Gestión de Riesgos
IMPACTO
Alternativas posibles de gestión:
 Evitar o eliminar el Riesgo
Seguridad
R1
R1’
Seguros
Impacto ≥ β
E
 Transferir el Riesgo
 Aceptar el Riesgo
 Mitigar el Riesgo
NR = σ
PROBABILIDAD
Probabilidad ≥ α
GESTIÓN DE RIESGOS
GRUPO A
GRUPO B
GRUPO C
GRUPO D
GRUPO E
MITIGAR
MITIGAR/ASEGURAR
MITIGAR
MITIGAR
ACEPTAR
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
19
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
4. ANÁLISIS DE RIESGOS
FÍSICO Y LÓGICO
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
20
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
4. ANÁLISIS DE RIESGOS FÍSICOS Y LÓGICOS
Análisis de Riesgos Físico
1. Activos analizados: áreas físicas (escenarios/instalaciones) y personas
2. Catálogos de amenazas muy variados
3. Habitualmente se realiza considerando las medidas de Seguridad
existentes, las cuales se evalúan o auditan como parte del análisis
4. En ocasiones, se analizan diversas franjas temporales (se analizan
amenazas sobre activos en un tiempo determinado)
5. Poco implantado a través de herramientas
6. Hasta aparición de ISO 31000, no asociado a normativa
7. Realización obligatoria para realizar proyectos de sistemas de Seguridad
y como parte de los PPEs
8. Metodologías más extendidas: Penta/Mosler y Cuantitativo-Mixto
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
21
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
4. ANÁLISIS DE RIESGOS FÍSICOS Y LÓGICOS
Análisis de Riesgos Lógico
1. Activos analizados: Servicios, Comunicaciones, HW, SW, Personas…
2. Catálogos de amenazas estandarizados. Incluyen muchas físicas
3. Suelen analizarse amenazas, activos y dimensiones afectadas
4. Evaluación de probabilidad habitualmente basada en datos estadísticos
5. Dos fases: nivel de riesgo inherente (sin controles) y residual (con
controles). Se suele evaluar la madurez de los controles según CMMI.
6. Implantado frecuentemente a través de herramientas, permitiendo PDCA
7. Asociado a normativas y legislación: ISO 2700X, ENS…
8. Salvo la administración, realización no obligatoria, pero sí extendida
9. Metodologías más extendidas: Magerit en administración en España
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
22
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
4. ANÁLISIS DE RIESGOS FÍSICOS Y LÓGICOS
Procesos típicos comparados
Proceso de Análisis de Riesgos Físico
AUDITORÍA
•
•
Análisis de Contexto
Valoración de las medidas de Seguridad
EVALUACIÓN • Requiere expertos
• Subjetividad al interpretarse medidas
DE RIESGOS
EMPLEO DE
RESULTADOS
•
•
Justificar Inversiones
Justificar miedos transmitidos
Proceso de Análisis de Riesgos Lógico
BIA
•
•
Cada dueño valora sus activos
Valoración de impacto
EVALUACIÓN • Tablas con probabilidad por amenaza
• Valoración de madurez de controles
DE RIESGOS
•
EMPLEO DE •
Justificar Inversiones
Proceso de mejora continua
RESULTADOS
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
23
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
5. ANÁLISIS DE RIESGOS DE
OPERADORES CRÍTICOS
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
24
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS
Plan de Seguridad del Operador
Índice PSO
1. Introducción.
1.1 Base Legal.
1.2 Objetivo de este Documento.
1.3 Finalidad y Contenido del PSO.
1.4 Método de Revisión y Actualización.
1.5 Protección y Gestión de la Información y
Documentación
2. Política General de Seguridad del Operador y
Marco de Gobierno.
2.1 Política General de Seguridad del Operador
Crítico.
2.2 Marco de Gobierno de Seguridad.
2.2.1 Organización de la Seguridad y Comunicación.
2.2.2 Formación y Concienciación.
2.2.3 Modelo de Gestión Aplicado.
2.2.4 Comunicación.
3. Relación de Servicios Esenciales prestados por el
Operador Crítico.
3.1 Identificación de los Servicios Esenciales.
3.2 Mantenimiento del Inventario de Servicios
Esenciales.
3.3 Estudio de las Consecuencias de la Interrupción
del Servicio Esencial.
3.4 Interdependencias
4. Metodología de Análisis de Riesgos.
4.1 Descripción de la Metodología de Análisis.
4.2 Tipologías de Activos que Soportan los Servicios
Esenciales.
4.3 Identificación y Evaluación de Amenazas.
4.4 Valoración y Gestión de Riesgos.
5. Criterios de aplicación de medidas de seguridad
integral.
6. Documentación complementaria.
6.1 Normativa, Buenas Prácticas y Regulatoria.
6.2 Coordinación con Otros Planes.
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
25
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS
Plan de Protección Específico
Índice PPE
1. Introducción.
1.1 Base Legal.
1.2 Objetivo de este Documento.
1.3 Finalidad y Contenido del PPE
1.4 Método de Revisión y Actualización.
1.5 Protección y Gestión de la Información y
Documentación
2. Aspectos Organizativos.
2.1 Organigrama de Seguridad.
2.2 Delegados de Seguridad de las Infraestructuras
Críticas.
2.3 Mecanismos de Coordinación.
2.4 Mecanismos y Responsables de Aprobación.
3. Descripción de la Infraestructura Crítica.
3.1 Datos Generales de la infraestructura crítica.
3.2 Activos/Elementos de la infraestructura crítica.
3.3 Interdependencias.
4. Resultados del Análisis de Riesgos.
4.1 Amenazas Consideradas.
4.2 Medidas de Seguridad Integral existentes.
4.2.1 Organizativas o de Gestión.
4.2.2 Operacionales o Procedimentales.
4.2.3 De Protección o Técnicas.
4.3 Valoración de Riesgos.
5. Plan de Acción propuesto (por activo).
6. Documentación complementaria.
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
26
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS
Principales escollos del AR en OC
Algunas de las dificultades más habitualmente encontradas son:
• Existencia de análisis de riesgos previos con otro objeto:
• Considerando impacto al negocio y no a la Sociedad
• Con metodologías dispares de Seguridad Física y Lógica
• Centrado en activos, no en servicios esenciales
• Escalas de impacto incompatibles con consecuencias
analizadas por CNPIC
• Función de Seguridad integral no desarrollada en la compañía:
• Falta de concienciación de Seguridad, dificultades para
obtener información de los servicios, procesos y activos
• Responsables sin capacidad de toma de decisiones
• Áreas de Seguridad física y de información muy distantes
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
27
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
5. ANÁLISIS DE RIESGOS DE OPERADORES CRÍTICOS
Principales herramientas disponibles
Para solventar los problemas indicados, se dispone de ciertas
herramientas al alcance de los Operadores Críticos:
• Concienciación de la Dirección, mediante carta recibida por el
más alto representante de cada empresa desde el Ministerio del
Interior. Deben involucrarse en una política de Seguridad integral.
• Obligaciones legales:
• De presentación de PSO y PPE, incluyendo información
sobre análisis de riesgos
• De designar interlocutores únicos de Seguridad
 Responsable de Seguridad y Enlace en general
 Responsable de Seguridad de la información (CISO)
 Delegados de Seguridad en cada IC
• Soporte del CNPIC en el proceso
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
28
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
6. UNA METODOLOGÍA CÓMÚN:
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
29
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
6. UNA METODOLOGÍA COMÚN: GR2SEC
Metodología propia de Cuevavaliente
MAGERIT + ISO 27000
• Esquema general de Magerit.
• Propuesta de controles de ambos.
• Identificación de activos según Magerit.
• Lista de amenazas según Magerit.
•
•
•
•
ISO 31000 + AS/NZS 4360
• Esquema general de ISO 31000.
• Análisis de Riesgos según AS/NZS 4360.
• Lista de amenazas y de Medidas de
Seguridad según GRSec31000.
Tratamiento unificado de todo tipo de Riesgos
Propuesta de controles automática para todos los riesgos deliberados
Análisis de madurez de controles para riesgos deliberados
Permite generar un proceso de mejora continua en gestión de riesgos
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
30
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
6. UNA METODOLOGÍA COMÚN: GR2SEC
Etapas de la metodología
Las etapas que componen la metodología
forman parte de
un ciclo de mejora continua, ubicándose en las fases de:
•
Planificación:
 Permitiendo definir el contexto (activos, amenazas y tiempos)
 Obteniendo el riesgo inherente tras analizar sus componentes
•
Implantación:
•
Proponiendo los controles (medidas) paliativos
•
Evaluando su estado actual y obteniendo con ello el riesgo residual
IMPLANTACIÓN
PLANIFICACIÓN
Identificación de
Riesgos
Contexto
Identificación Activos
Identificación
Amenazas
Identificación
Tiempos
Situaciones de
Riesgo
Asignación
Dimensiones
Análisis de
Riesgos
Probabilidad
Inherente
Impacto
Nivel Riesgo
Inherente
Evaluación de
Riesgos
Agrupación de
Riesgos
Gestión de
Riesgos
Tratamiento de Riesgos
Propuesta de Controles
Evaluación Controles Existentes
Nivel de Riesgo Residual
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
31
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
6. UNA METODOLOGÍA COMÚN: GR2SEC
Esquema de la metodología
SERVICIOS ESENCIALES
Soportados por:
•
•
•
•
•
•
•
•
Dimensión Física
Confidencialidad
Integridad
Disponibilidad
Trazabilidad de Datos
Trazabilidad de Servicio
Autenticidad de Datos
Autenticidad de Servicio
•
•
•
•
Frecuencia histórica
Explotar vulnerabilidad
Nivel Amenaza (NAIC)
Variables Seg. Física:
• Atractivo
• Vulnerabilidad
• A,B, C, D o E
• Decisión:
• Evitar o Eliminar
• Transmitir
• Aceptar
• Mitigar
TIEMPOS
ACTIVOS
Afectan a:
AMENAZAS
DIMENSIONES
SITUACIONES DE
RIESGO
•
•
•
•
•
•
•
•
•
Información/Datos
Personas
Software
Hardware
Dispositivos/soporte información
Comunicaciones
Instalaciones
Servicios Prestados
Terceros
• Riesgos Físicos Deliberados:
• Delincuencia Ordinaria
• Crímenes Agresivos y violentos
• Terrorismo/Crimen Organizado
• Riesgos Lógicos Deliberados
Producen:
PROBABILIDAD
DE OCURRENCIA
AGRUPACIÓN
DE RIESGOS
Mitigar:
• Ámbitos afectados:
• Definidos internamente
• Definidos por terceros (CNPIC)
IMPACTO
NIVEL DE RIESGO
INTRÍNSECO
PROPUESTA DE
CONTROLES
NIVEL DE RIESGO
RESIDUAL
Reducen:
CONTROLES
EXISTENTES
MADUREZ DE
CONTROLES
• Según CMMI
• Riesgos Físicos:
• Cobertura
• Nivel de implantación
• Apego a mejores prácticas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
32
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
6. UNA METODOLOGÍA COMÚN: GR2SEC
Análisis de Riesgos en PSO y PPEs con
PSO INICIAL
PPE INICIAL
PSO + 2 AÑOS
PSO + 4 AÑOS
Metodología
Análisis de Riesgos
Análisis de
Riesgo Inherente
(Sin medidas)
Metodología
Análisis de Riesgos
(Sin cambios)
Metodología
Análisis de Riesgos
(Sin cambios)
Propuesta de
Controles
(medidas Seguridad)
PPE +2 AÑOS
PPE +4 AÑOS
Evaluación de
Controles
Evaluación de
Controles
Evaluación de
Controles
Análisis de Riesgo
Residual
(Con controles)
Análisis de Riesgo
Residual
(Con controles)
Análisis de Riesgo
Residual
(Con controles)
Texto explicativo
Entrada de datos periódica (cliente con formación mínima)
Entrada de datos (requiere experto)
Resultados generados automáticamente
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
33
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
6. UNA METODOLOGÍA COMÚN: GR2SEC
Herramientas del proceso unificado
Árbol de Activos
Interdependencias
Proveedor
Telefónica
Compañía Móvil
Información
Soportes de
Información
SW
IMPACTO
Muy Grave
Servicio
esencial
Equipos Auxiliares
Proceso de Análisis de Riesgos
Suministro Servicio
Esencial
Órdenes operación
Proceso
Importante
Moderado
PLC
Nulo
HW
Comunicaciones
Servidores SCADA
UMTS
BBDD SCADA
RTB
Perímetro
ADSL
Fibra óptica
LEYENDA
Proceso esencial
Caseta de
Seguridad
Resto edificios
Interior Parcela
Almacén
Edificio
Transformación
Edificio Principal
Empaquetado
Interdependencias
Personal
C. transformación
Empresa eléctrica
Procesos del
Negocio
Activos de
Información
Electricidad
Información
Activos
Físicos
Procesado
CPD
Instalaciones
Servicios
Muy Importante
Lectura de sensores
Proceso
SCADA
Grave
Entradas de
compañía eléctrica
Técnicos de
operación
Estaciones
transformadoras
Evaluación
homogénea
Empresa
transporte
Personal de
Sistemas
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
34
Curso de Especialización
Dirección, Organización y Gestión de la Seguridad en Infraestructuras Críticas y Estratégicas
6. UNA METODOLOGÍA COMÚN: GR2SEC
Implantación mediante herramientas
informáticas
1. Información muy compleja requiere quedar registrada y ser
visualizada o modificada según responsabilidades
2. Los procesos de mejora continua requieren repetir los análisis y
valorar la mejora
3. La homogenización requiere catálogos estandarizados y
automatización en la propuesta de medidas (controles de Seguridad)
4. El análisis de riesgos no es un fin en sí mismo. Es también una
herramienta de venta y justificación interna de las áreas que
gestionan riesgo
5. Cuevavaliente Ingenierosofrece:
• Herramienta
(www.gr2sec.com) diseñada para OC
• Implantación de la metodología en otras herramientas existentes
Proceso para el tratamiento de Riesgos en Infraestructuras Críticas
35
Documentos relacionados
preguntas de los ciudadanos y organizaciones al pleno
preguntas de los ciudadanos y organizaciones al pleno
Organización Institucional y Funciones
Organización Institucional y Funciones
Descargue nuestro catalogo
Descargue nuestro catalogo
Organigrama Ministerio de Fomento
Organigrama Ministerio de Fomento
PROPUESTA DEL GT CONSTRUCCIÓN DE LA CNSST EN
PROPUESTA DEL GT CONSTRUCCIÓN DE LA CNSST EN
anexo_iiic_declaracion_personal_funcionario_resolucion_22-4-13.pdf
anexo_iiic_declaracion_personal_funcionario_resolucion_22-4-13.pdf
Num056 015
Num056 015
ayudas financieras para mejora y acceso de grandes instalaciones
ayudas financieras para mejora y acceso de grandes instalaciones
Creación y mejora de infraestructuras y equipamientos a pequeña
Creación y mejora de infraestructuras y equipamientos a pequeña
Procedimiento para ejeccución de tareas críticas
Procedimiento para ejeccución de tareas críticas
Descargar
Anuncio
Anuncio