análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas
DESCRIPTION
En esta presentación veremos cómo implementar el proceso de análisis y gestión de riesgos en el contexto de las infraestructuras críticas. Además, veremos cómo poder realizar el análisis de riesgos dinámicos en base a los incidentes que se producen en el día a día.TRANSCRIPT
![Page 1: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/1.jpg)
Análisis y Gestión de Riesgos en tiempo real. Gestión del
Riesgo con GlobalSGPIC®
Alejandro Delgado, Director de Operaciones
![Page 2: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/2.jpg)
Audisec: quiénes somos
AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en
el tratamiento de su activo más importante, sus datos, su información.
Experiencia en Consultoría, Implantación y auditoría de:
• Sistemas de Gestión de Seguridad de la Información (SGSI) ISO 27001
(LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
•Sistemas de Gestión de Servicios TI ISO 20000
(MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
•Planes de continuidad de Negocio ISO 22301
•Sistemas de gestión para Protección de Infraestructuras Críticas
•Calidad de Software, CMMI, SPICE
•Sistemas de protección de datos de carácter personal (LOPD)
•Esquema Nacional de Seguridad (ENS)
Desarrollo de proyectos de I + D + i
Desarrollo de productos para esos servicios: GlobalSUITE
![Page 3: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/3.jpg)
Audisec: quiénes somos
Primera empresa en España en obtener:
•La certificación ISO 27001 -> seguridad.
•La certificación ISO 20000 -> gestión eficaz y eficiente servicios.
•La certificación ISO 22301 -> continuidad y disponibilidad.
Señal de garantía a nuestros clientes.
![Page 4: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/4.jpg)
Introducción: LPIC y los análisis de riesgos
INTRODUCCIÓN
EL ANÁLISIS DE RIESGOS DE LOS PSO Y PPE
![Page 5: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/5.jpg)
Introducción: LPIC y los análisis de riesgos
LPIC exige realizar un análisis de riesgos. ¿Con qué objetivo?
Garantizar la continuidad de los servicios prestados por el operador crítico.
![Page 6: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/6.jpg)
¿Qué tipo de análisis de riesgos?, en el PSO leemos:
Metodología reconocida internacionalmente
Que valore impactos
Métricas para medición de riesgos residuales, aceptables, etc.
Análisis de riesgos a distintos niveles:
Corporación
Servicios Infraestructura crítica
Activos: servicios, instalaciones, personas, SSII, redes, etc.
Amenazas físicas y lógicas.
Introducción: LPIC y los análisis de riesgos
![Page 7: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/7.jpg)
Introducción: LPIC y los análisis de riesgos
• ¿A quien le cae y cómo tiene que hacerlo?
• ¿Cuánto se tarda?
• ¿Sirve para algo?
![Page 8: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/8.jpg)
Análisis de riesgos
EL ANÁLISIS DE RIESGOS
![Page 9: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/9.jpg)
Análisis de riesgos. Problemática
¿Quién debe encargarse?
No es trabajo de una persona -> todas las áreas de la
organización deben implicarse.
Según el tipo de organización:
Dpto. Riesgo Dpto. control interno
Dpto. auditoría.
Dpto. legal. Dpto. prevención de riesgos.
Etc…
¿Sistemas de información????
![Page 10: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/10.jpg)
Análisis de riesgos. Problemática
Departamento de Riesgo Corporativo (ERM) -> ¿cómo hacerlo?
Deben identificar TODAS las amenazas físicas y lógicas de la
organización.
Pero antes deben hacerse muchas otras cosas más…….
![Page 11: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/11.jpg)
Análisis de riesgos. Problemática. ISO 31000
![Page 12: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/12.jpg)
Análisis de riesgos. Problemática
NO es trabajo de un único departamento, aunque sea uno quien lo
lidere.
Producción
ERM Sistemas de Información
Logística
Legal
Financiero
Continuidad de Negocio
Dirección
![Page 13: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/13.jpg)
Análisis de riesgos. Problemática
Definir el contexto permite identificar fuentes de riesgo que suelen
pasarse por alto
13
Organización
Sociedad
Cultura
Religión
Política
Leyes y normas
Economía
Partes
interesadas
Naturaleza
Etc.
Objetivos y Estrategia
Recursos y
Conocimiento
Sistemas de
Información
Cultura y Valores Contratos
Rendir
Cuentas
![Page 14: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/14.jpg)
Análisis de riesgos. Problemática
Proceso 1
ERM
Proceso 2
Proceso 1
Proceso 2
ERM
ERM ERM ERM
I Integración en los procesos de la organización
NO SI
![Page 15: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/15.jpg)
Análisis de riesgos. Problemática
Debe ser un proceso vivo -> una vez al año SI hace daño.
Un mapa de riesgos estático, hecho cada cierto tiempo, no sirve
para nada en el entorno de infraestructuras críticas.
Detectar riesgos en tiempo real nos hará ser proactivos.
![Page 16: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/16.jpg)
Análisis de riesgos. Problemática
¿Quién hace vigilancia constante de sus riesgos?
Un coche analiza las condiciones de la carretera, el contexto,
el tipo de frenada, el tipo de impacto, etc… y con esos datos
da una respuesta inmediata para evitar que la amenaza
cause un impacto, o al menos que se minimice.
Un banco analiza de forma constante cientos de parámetros
financieros para saber a qué riesgos financieros se expone con
cada operación.
Una persona cuando sale a la calle analiza en ese mismo
instante los riesgos de tomar un camino u otro y en base a esa
información toma una decisión inmediata sobre por dónde ir.
![Page 17: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/17.jpg)
Análisis de riesgos. Problemática
¿Quién hace vigilancia constante de sus riesgos?
o Cada día se crean 150.000 amenazas nuevas en la red.
o El 52% de esas amenazas solo vive 24 horas, pero puede
afectar a cualquier organización y causar daños devastadores.
o La NSA cifró en 750.000 millones de euros los costes de
incidentes de los ataques informáticos que EEUU sufrió durante 2012.
![Page 18: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/18.jpg)
Análisis de riesgos. Problemática
¿Quién hace vigilancia constante de sus riesgos?
o Cada día se crean 150.000 amenazas nuevas en la red.
o El 52% de esas amenazas solo vive 24 horas, pero puede
afectar a cualquier organización y causar daños devastadores.
o La NSA cifró en 750.000 millones de euros los costes de
incidentes de los ataques informáticos que EEUU sufrió durante 2012.
¿De qué sirve hacer gestión de riesgos
una vez al año?
![Page 19: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/19.jpg)
Análisis de riesgos
LAS SOLUCIONES
![Page 20: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/20.jpg)
Análisis de riesgos. Soluciones
¿Cuánto se tarda?, ¿cómo se puede implementar?
o Hay que identificar TODAS las amenazas que podrían
afectar a TODOS los activos.
o Hay que entrevistar a muchos departamentos.
o Hay que analizar datos y extraer conclusiones.
o Hay que planificar acciones para gestionar los riesgos y
medir su coste-beneficio.
o Hay que establecer mecanismos para poder medir riesgos
estáticos (modelo tradicional) y dinámicos (tiempo real).
![Page 21: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/21.jpg)
Análisis de riesgos. Soluciones
¿Cuánto se tarda?, ¿cómo se puede implementar?
o Hay que identificar TODAS las amenazas que podrían
afectar a TODOS los activos.
o Hay que entrevistar a muchos departamentos.
o Hay que analizar datos y extraer conclusiones.
o Hay que planificar acciones para gestionar los riesgos y
medir su coste-beneficio.
o Hay que establecer mecanismos para poder medir riesgos
estáticos (modelo tradicional) y dinámicos (tiempo real).
Y todo esto, con el mínimo de recursos y
los mejores resultados
![Page 22: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/22.jpg)
Herramientas GlobalSuite
SGPIC: Sistemas de gestión para la protección de
las infraestructuras críticas
![Page 23: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/23.jpg)
Índice del PSO
Cumplimiento de todos
los requisitos
técnicos por parte de
GlobalSGPIC.
![Page 24: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/24.jpg)
Introducción a GlobalSGPIC
GlobalSuite es la herramienta gracias a la cual podrá implantar y mantener cualquier Sistema de
Gestión basado en las normas ISO 27001, ISO 20000, ISO 22301, Esquema Nacional de Seguridad
(ENS), Ley de Protección de Datos (LOPD), y también con los requisitos para ayudar a la
implantación y mantenimiento de SGPICs (Sistemas de Gestión para la Protección de
Infraestructuras Críticas).
GlobalSuite permite implantar y gestionar sistemas de gestión ya sea de manera individual así
como ampliarlos a otros sistemas de manera integrada. Cumple también con el ciclo de gestión
PDCA de otros estándares como ISO 9001, ISO 14001, etc. permitiendo su llevanza de manera
integrada con los anteriores o bien de manera separada.
![Page 25: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/25.jpg)
GlobalSGPIC : : Modelado de Árbol de Activos
![Page 26: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/26.jpg)
GlobalSGPIC.:. Análisis .:. Gestión de Riesgos
GlobalSuite identifica amenazas y vulnerabilidades para todos los activos de la
organización
![Page 27: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/27.jpg)
GlobalSGPIC . : : . BIA :: Impacto interrupción Servicios
![Page 28: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/28.jpg)
BIAs y Riesgos
Encuestas y consolidación de Riesgos y BIAs
GlobalSGPIC . : : . Encuestas a los departamentos
![Page 29: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/29.jpg)
BIAs y Riesgos
CONSOLIDADOS
BIAs, encuestas y consolidación de BIAs
GlobalSGPIC . : : . Encuestas a los departamentos
BIAs y Riesgos
BIAs y Riesgos
BIAs y Riesgos
BIAs y Riesgos
![Page 30: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/30.jpg)
Riesgos legales, operacionales, financieros, de seguridad, etc. y a
diferentes niveles: servicio, proceso, activos, infraestructuras, etc.
Análisis coste-beneficio de los planes de tratamiento
GlobalSGPIC . : : . Mapas de riesgos
![Page 31: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/31.jpg)
Gestión de incidentes asociados al mapa de riesgos en el momento
de ocurrencia del incidente
GlobalSGPIC . : : . Mapas de riesgos
![Page 32: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/32.jpg)
GlobalSGPIC . : : . Plan de Gestión de Incidentes
![Page 33: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/33.jpg)
GlobalSGPIC . : : . Plan de Continuidad
![Page 34: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/34.jpg)
GlobalSGPIC . : : . Activación del Plan de Continuidad
![Page 35: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/35.jpg)
GlobalSGPIC . : : . Métricas para riesgos
![Page 36: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/36.jpg)
Contenido del PSO y cumplimiento con GlobalSGPIC
Interconexiones con otros sistemas
Tan importante como la funcionalidad es la capacidad que una
herramienta pueda tener para “hablar” con sistemas ya existentes en
las organizaciones.
GlobalSGPIC puede comunicarse de manera automática con la mayoría de
sistemas de información. Ejemplos: controladores de dominio, sistemas de
ticketing, sistemas de gestión de incidencias, sistemas de monitorización
y autodescubrimiento de activos, gestores de proyectos, etc.
![Page 37: Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas](https://reader033.vdocuments.net/reader033/viewer/2022052412/558297cad8b42a94688b4746/html5/thumbnails/37.jpg)
Más información
MADRID – BARCELONA – CIUDAD REAL –
BOGOTÁ – MÉXICO D.F. – BUENOS AIRES –
LIMA – SANTIAGO DE CHILE
Visítenos en nuestra web www.audisec.es