IRAM2 La próxima generación para evaluar el riesgo de la información 1 de Julio de 2015 Agenda 1. Antecedentes 2. La Ecuación del Riesgo 3. Panorama de IRAM2 4. Repaso de las Fases 5. Conclusiones y Preguntas 1.- Antecedentes Information Risk Analysis Methodology (IRAM) El Information Risk Analysis Methodology del ISF permite que las organizaciones analicen sus riesgos de información y seleccionen los controles adecuados para mitigar dicho riesgo. IRAM se usa por organizaciones de gran prestigio y por el sector público alrededor del mundo. Ha sido diseñada para ser sencilla, rigurosa y enfocada al negocio Se ha lanzado la nueva versión IRAM2 durante 2015 IRAM2 ha sido rediseñada totalmente basada en: o consultas extensivas con Profesionales de Seguridad de la Información o aportaciones de Expertos en Riesgos a la Información o últimas investigaciones y conceptos actualizados en riesgo a información y seguridad. www.securityforum.org Copyright © 2015 Information Security Forum Limited 1.- Antecedentes ¿Qué es una Amenaza? – tipos, y Riesgos El que te provocas tú www.securityforum.org El que te provocan Copyright © 2015 Information Security Forum Limited 2.– La Ecuación del Riesgo Frecuentemente el Riesgo se expresa como una combinación de dos factores clave: la probabilidad de que un cierto evento tenga lugar y el impacto que puede causar en un proceso, área u objetivo del negocio. Estos dos factores clave conjuntamente se entienden en IRAM2 como la ecuación del riesgo: IRAM2 – La Ecuación del Riesgo de la Información Para poder llevar a cabo la evaluación del riesgo de la información es necesario reconstruir la ecuación del riesgo en la forma que IRAM2 llama la ecuación del riesgo de la información: 3.- Panorama de IRAM2 – Po ié dolo todo Ju to… El esquema siguiente muestra las seis fases de IRAM2 con codificación de colores, para indicar la fase donde se determina cada factor del riesgo de la información: 4.- Repaso de las Fases Phases Objectives Steps Phase A: Scoping • A.1 Develop a profile of the environment A.2 Develop the scope for the assessment • Develop an understanding of the characteristics of the organisation as a whole and of the environment to be assessed Define and agree the scope of the environment to be assessed Phase B: Business Impact Assessment • • Assess potential business impact to an organisation should information assets be compromised B.1 Identify the information assets B.2 Assess business impact Phase C: Threat Profiling • Profile and prioritise all threats that are relevant to the environment being assessed Identify the potential ways that the highest priority threats could manifest to cause harm to the environment being assessed C.1 Populate the threat landscape C.2 Profile threats C.3 Produce a prioritised threat landscape C.4 Scope and map the threat events C.5 Identify and map the information asset(s) impacted by each threat event Identify the vulnerabilities associated with each in-scope threat event for the environment being assessed Assess the degree of vulnerability of each component in the environment being assessed to the in-scope threat events D.1 Identify vulnerabilities and related controls D.2 Assess the effectiveness of identified controls D.3 Determine the control strength for each combination of threat event and component • Phase D: Vulnerability Assessment • • Phase E: Risk Evaluation • Derive the residual risk rating for each risk E.1 Derive the likelihood of success E.2 Derive the residual likelihood E.3 Determine the residual business impact rating E.4 Derive the residual risk rating Phase F: Risk Treatment • Determine a risk treatment approach for each identified risk F.1 Evaluate each risk against the risk appetite F.2 Create a risk treatment plan F.3 Execute the risk treatment plan and validate results Fase A – Alca ce Scoping El punto de partida de IRAM2 es el desarrollo de un perfil del entorno existente que está siendo evaluado y definir y acordar con claridad el alcance (el área de evaluación) con las partes interesadas. Esta fase consiste en dos pasos: Pasos: Objetivo(s) de la Fase: A.1: Desarrollo de un perfil del entorno Desarrollar un entendimiento de las características de la organización en su conjunto y del entorno a ser evaluado A.2: Desarrollar el alcance de la evaluación Definir y acordar el alcance del entorno a ser evaluado Nota: Esta fase frecuentemente recibe un tratamiento insuficiente por profesionales de riesgo, pero por su importancia IRAM2 la ha dado un énfasis extra. Fase B – Business Impact Assessment Una vez creado el perfil y acordado el alcance de la evaluación, el próximo paso es llevar a cabo una evaluación del impacto en el negocio (Business Impact Assessment o BIA). Esta fase consiste en dos pasos: Pasos: Objetivo(s) de la Fase: B.1: Identificar los activos de la información Evaluar el impacto potencial al negocio por si acaso la organización tiene una brecha de activos de la información B.2: Evaluar el impacto sobre el negocio Fase B: Business Impact Assessment es similar a la fase BIA en el IRAM original. No obstante, ha sido mejorada de manera importante para enfocarse en la identificación de activos de la información y en evaluar los impactos en el negocio. Fase C – Perfilado de Amenazas El propósito de perfilar las amenazas es identificar y priorizar las amenazas relevantes del entorno que está siendo evaluado y también para determinar cómo estas amenazas pueden manifestarse para dañar a dicho entorno. Esta fase consiste en cinco pasos: Pasos: Objetivo(s) de la Fase: C.1: Poblar el panorama de amenazas Perfilar y priorizar todas las amenazas que sean relevantes al entorno que está siendo evaluado C.2: Perfilar amenazas C.3: Producir un panorama priorizado de amenazas C.4: Determinar el alcance y mapear los eventos de amenaza Identificar las potenciales maneras en que las amenazas de más alta prioridad puedan causar daño al entorno que está siendo evaluado C.5 Identificar y mapear los activos de información que serán impactados por cada evento de amenaza La fase de perfilar amenazas es nueva en IRAM2 e incorpora muchos de las desarrollos importantes que han tenido lugar desde el lanzamiento de IRAM. Esta fase está construida en base a unos conceptos claves, que se explican en las siguientes diapositivas. Fase C - Conceptos de Perfilado de Amenazas • U a amenaza de t o de IRAM2 se defi e co o, cual uie cosa ue sea capaz po sus actos u o isio es, de causa daño a u activo de la i fo ació • U evento de amenaza es u a acció o u a o isió , i iciada po u a a e aza contra un activo, que sea capaz de causar daño. • IRAM2 defi e ca acte ísticas específicas de a e azas, co ocidas co o atributos de amenazas , pa a ayuda a dete i a su co po ta ie to. Fase D – Evaluación de Vulnerabilidades Esta fase de la evaluación implica identificar y evaluar las vulnerabilidades relacionadas con cada evento de amenaza que se encuentre dentro del alcance, para ayudar en la determinación de la probabilidad de que cada evento de amenaza tenga éxito al iniciar un evento de amenaza específico. Esta fase consiste en tres pasos: Pasos: D.1: Identificar vulnerabilidades y controles relacionados D.2: Evaluar la eficacia de los controles identificados D.3: Determinar la eficacia de los controles relevantes para cada evento de amenaza Objetivos(s) de la Fase: Identificar las vulnerabilidades asociadas con cada evento de amenaza que esté dentro del alcance para el entorno que está siendo evaluado Evaluar el grado de vulnerabilidad de cada componente en el entorno que está siendo evaluado, respecto a los eventos de amenaza que estén dentro del alcance Nota: Esta fase no es totalmente nueva en IRAM2, pero sí implica un planteamiento diferente a la metodología original, en que ahora se enfoca en medir la extensión de la vulnerabilidad mediante el grado de control. Fase D – Evaluación de Vulnerabilidades Una vulnerabilidad es una debilidad en personas, procesos o tecnologías dentro de un entorno, que pueda ser explotada por una o más amenazas. La eficacia del Control es una evaluación subjetiva de la eficacia colectiva (o falta de ella) de todos de los co t oles apeados a u co ju to específico de eve tos de a e aza y a u co po e te . E IRAM2 una vulnerabilidad es una característica que, combinada con la gravedad de la amenaza, se usa para ayudar en la determinación de la probabilidad de un evento de amenaza tenga éxito. (i.e. la probabilidad de éxito). Ejemplos de algunas vulnerabilidades comunes y controles relacionados, a continuación: Fase E – Evaluación del Riesgo Esta fase implica la evaluación de cada riesgo mediante los valores derivados de los factores de riesgo, para determinar el valor del riesgo residual. Esta fase consiste en cuatro pasos: Pasos: Objetivo(s) de la Fase: E.1: Determinar la probabilidad de éxito Determinar el riesgo residual para cada riesgo E.2: Determinar la probabilidad residual E.3: Determinar el impacto residual E.4: Determinar el riesgo residual Nota: Esta fase es nueva en IRAM2 Fase E Pasos – Poniéndolo todo junto E.1 – Probabilidad de Éxito (Likelihood of success, LOS): basado solo en la gravedad de la amenaza y la eficacia del control (sin pensar en el motivo de la amenaza, ni tampoco pensar en su posible impacto, de momento) E.2 – Probabilidad Residual (Residual Likelihood): combinar la Probabilidad de Iniciación (Likelihood of Initiation, LoI) con la Probabilidad de Éxito (LoS) E.3 – Impacto Residual (Residual Impact): aparte de los pasos E.1 y E.2, suponiendo que el evento ocurra, se calcula el impacto al negocio contando con los controles (conocido como tasación residual del impacto en el negocio, residual business impact rating) E.4 – Riesgo Residual (Residual Risk): La Probabilidad Residual x el Impacto Residual Fase F – Tratamiento del Riesgo Esta fase implica informar sobre la evaluación del riesgo residual al propietario del riesgo para que tome las decisiones correspondientes, sobre un plan de tratamiento y validación. Esta fase consiste en tres pasos: Pasos: Objetivo(s) de la Fase: F.1: Evaluar el apetito del riesgo Determinar un tratamiento de riesgos por cada riesgo identificado F.2: Crear el plan de tratamiento del riesgo F.3: Llevar a cabo el tratamiento y validar resultados Esta fase es nueva en IRAM2 y se apoya en la fase previa de Selección de Controles. Pone de manifiesto la importancia de comprender el apetito de riesgo de las organizaciones para orientar el proceso de tratamiento del riesgo. Además cubre todas las formas de tratamiento del riesgo, en vez de solamente la 'mitigación´. IRAM2 en ISF Live El grupo de interés de IRAM representa una comunidad creciente de Miembros que utilizan y se interesan por IRAM. Personas autorizadas a este grupo pueden acceder mediante: https://www.isflive.org/groups/iram-programme IRAM2 Training La formación de Miembros en IRAM2 se lleva a cabo utilizando una variedad de métodos, que incluyen: • • • • Webcasts periódicas para Miembros en cualquier lugar del mundo Nivel 1 llevado a cabo en los Capítulos Regionales Talleres de Nivel 2 que se ofrecen a personas con experiencia Services To Assist para Miembros que requieran ayuda especifica o sesiones a medida IRAM2 Automatización Para apoyar a los Miembros adoptar e implantar IRAM2 el ISF está explorando los requerimientos para automatizar la metodología. Actividades claves incluyen: • Iniciar conversaciones con varios vendedores sobre el desarrollo de una aplicación IRAM2 • Determinar el flujo de trabajo para una evaluación de riesgos utilizando el IRAM2 • Desarrollar una especificación funcional para una aplicación automatizada • Comenzar el programa de trabajo para entregar una aplicación IRAM2 como un servicio durante 2015 Los Miembros puedan contribuir a este ejercicio ya! 5.- Conclusiones • La gestión de riesgos en términos generales y particularmente de la información, es una de las responsabilidades más importantes que tiene la Dirección de las Organizaciones. • Está apoyada por legislaciones aplicables a muchos sectores que exige llevar a cabo un análisis de riesgo cada cierto tiempo • Permite saber con mayor detalle el perfil realista de riesgo de la Organización para rentabilizar mejor las decisiones sobre evaluación de riesgos • .. Y debe repetirse cada cuanto tiempo, y cada vez que una organización encuentre o hace cambios importantes en sus productos/servicios o en su entorno 5.- Conclusiones – Próximos Pasos • La metodología IRAM2 está disponible para miembros del ISF sin coste extra • La metodología IRAM2 se puede adquirir por no-miembros con un coste determinado. • Otros productos del ISF, como Standard of Good Practice y Benchmark darán mucho apoyo en varias fases de IRAM2 • Una vez adquirido IRAM2 sugerimos que se implanta la etodología e odo piloto pa a ap e de có o se e caje en vuestras organizaciones • .. Y después desarrollarla en fases ¿Preguntas? Gracias