Analisis Riesgos Informacion

Download Analisis Riesgos Informacion

Post on 11-Oct-2015

19 views

Category:

Documents

2 download

Embed Size (px)

TRANSCRIPT

  • FACULTAD DE INFORMTICA UNIVERSIDAD POLITCNICA DE MADRID

    UNIVERSIDAD POLITCNICA DE MADRID

    FACULTAD DE INFORMTICA

    TRABAJO FIN DE CARRERA

    ANLISIS DE RIESGOS DE SEGURIDAD DE LA INFORMACIN

    AUTOR: Juan Manuel Matalobos Veiga TUTOR: Jos Domingo Carrillo Verdn

  • La sociedad y la familia

    se parecen al arco de un palacio;

    quitas una piedra y todo se derrumba.

    A mi familia.

  • Anlisis de riesgos de Seguridad de la Informacin Mayo 2009

    i

    AGRADECIMIENTOS Quiero agradecer a mi mujer, Mara Amelia y a mis hijos, Juan Manuel y Mara

    Amelia, porque son el motivo, la inspiracin y el apoyo que me anima siempre a

    avanzar y a mejorar.

    Tambin quiero agradecer a mis padres, Juan Manuel y Blanca, a mi hermana

    Blanca Susana, y en general a toda la familia que me ha dado todo lo que soy.

    A mi tutor Jos Carrillo, que me ha permitido presentar este proyecto y me ha

    ayudado a desarrollarlo.

    A Vctor Maojo, que me ha apoyado largos aos con infinita paciencia.

    A la lista interminable de amigos, compaeros y profesores que me han ayudado,

    inspirado, retado, enseado y corregido, y de esa forma me han facilitado el camino que

    he seguido hasta ahora.

  • Mayo 2009 Anlisis de riesgos de Seguridad de la Informacin

    ii

  • Anlisis de riesgos de Seguridad de la Informacin Mayo 2009

    iii

    NDICE

    ndice de contenidos

    Agradecimientos ................................................................................................................i

    ndice................................................................................................................................iii

    ndice de contenidos................................................................................................... iii

    ndice de figuras ......................................................................................................... ix

    ndice de tablas.......................................................................................................... xii

    Glosario ...........................................................................................................................xv

    Glosario de trminos ................................................................................................. xv

    Glosario de abreviaturas......................................................................................... xxiv

    Resumen......................................................................................................................xxvii

    1. Introduccin ................................................................................................................1

    1.1. Seguridad de la Informacin.............................................................................. 1

    1.2. Anlisis de riesgos ............................................................................................. 3

    1.3. Consideracin del riesgo.................................................................................... 5

    2. Objetivos .....................................................................................................................9

    2.1. Racionalizar la inversin en seguridad de la informacin. ................................ 9

    2.2. Formalizar la toma de decisiones..................................................................... 12

    2.3. Cumplir con las normativas aplicables ............................................................ 13

    3. Planteamiento del problema......................................................................................17

    4. Estado de la cuestin.................................................................................................19

    4.1. Anlisis de riesgos de seguridad de la informacin......................................... 19

    4.1.1. Conceptos generales ............................................................................... 19

  • Mayo 2009 Anlisis de riesgos de Seguridad de la Informacin

    iv

    4.1.1.1. Elementos del modelo..................................................................... 19 4.1.1.2. Prdida esperada (Single Loss Expectancy SLE) ........................ 20 4.1.1.3. Prdida anual esperada (Annual Loss Expectancy ALE) ............ 21 4.1.1.4. Clculo del efecto de las salvaguardas............................................ 22 4.1.1.5. Relaciones entre los activos ............................................................ 23 4.1.1.6. Mtodos cualitativos ....................................................................... 25 4.1.1.7. Mtodos mixtos............................................................................... 30 4.1.1.8. Ejemplo ........................................................................................... 30

    4.1.2. ISO TR 13335:1997 Tecnologa de la informacin Guas para la

    gestin de la seguridad de las TI ............................................................ 37

    4.1.3. ISO/IEC 27005:2008 Tecnologas de la informacin Tcnicas de

    seguridad Gestin del riesgo de seguridad de la informacin............. 41

    4.1.4. UNE 71504:2008 Metodologa de anlisis y gestin de riesgos para los

    sistemas de informacin ......................................................................... 44

    4.1.5. BS 7799-3:2006 Sistemas de Gestin de Seguridad de la Informacin

    Parte 3: Guas para la gestin de riesgos de seguridad de la informacin

    47

    4.1.6. AS/NZS 4360:2004 Gestin de riesgos.................................................. 49

    4.1.7. MAGERIT Metodologa de Anlisis y GEstin de Riesgos de IT ..... 50

    4.1.8. OCTAVE Operationally Critical Threat, Asset and Vulnerability

    Evaluation............................................................................................... 52

    4.1.9. CRAMM CCTA Risk Analysis and Management Method................. 56

    4.1.10. NIST SP 800-30 Gua de gestin de riesgos para sistemas de tecnologa

    de la informacin.................................................................................... 59

    4.1.11. IRAM Information Risk Analysis Methodologies .............................. 62

    4.1.12. CORAS COnstruct a platform for Risk Analysis of Security critical

    systems ................................................................................................... 63

    4.1.13. SOMAP Security Officers Management and Analysis Project........... 65

    4.1.14. FAIR Factor Analysis of Information Risk......................................... 67

    4.1.15. Otras metodologas................................................................................. 70

    4.1.16. Metodologas comerciales...................................................................... 71

    4.1.17. Tablas comparativas ............................................................................... 72

    4.2. Otros tipos de anlisis de riesgos..................................................................... 82

  • Anlisis de riesgos de Seguridad de la Informacin Mayo 2009

    v

    4.2.1. Enterprise Risk Management (ERM) ..................................................... 82

    4.2.2. Strategic Risk Management (SRM)........................................................ 83

    4.2.3. Evaluacin de riesgo financiero ............................................................. 84

    4.2.4. Basilea II y Solvencia II ......................................................................... 84

    4.2.5. Anlisis de riesgos de auditoria.............................................................. 85

    4.2.6. Anlisis de riesgos de proyectos............................................................. 85

    4.2.7. Anlisis de vulnerabilidades................................................................... 86

    4.2.8. Riesgos laborales .................................................................................... 86

    4.2.9. Proteccin de infraestructuras crticas.................................................... 87

    5. Plan de proyecto........................................................................................................91

    5.1. Fases del proyecto............................................................................................ 91

    5.2. Planificacin del proyecto................................................................................ 93

    5.3. Equipo de trabajo ............................................................................................. 94

    6. Fase I: Definicin de la metodologa ........................................................................99

    6.1. Definicin de requerimientos........................................................................... 99

    6.2. Desarrollo del modelo.................................................................................... 100

    6.2.1. Modelo de la metodologa .................................................................... 100

    6.2.2. Fases de la metodologa........................................................................ 102

    6.2.2.1. Valoracin de procesos de negocio...............................................102 6.2.2.2. Valoracin de activos de informacin...........................................103 6.2.2.3. Valoracin de recursos de informacin.........................................107 6.2.2.4. Dependencias entre activos y recursos de informacin ................108 6.2.2.5. Valoracin de vulnerabilidades.....................................................109 6.2.2.6.