casandra: un framework para la gestión del riesgo tecnológico
Upload: centro-de-investigacion-para-la-gestion-tecnologica-del-riesgo-cigtr
Post on 12-May-2015
598 views
DESCRIPTION
Ponencia / Lecture. Juan Manuel Vara. Miembro del Grupo de Investigación Kybele. Profesor de la Universidad Rey Juan Carlos Marcos López. Miembro del Grupo de Investigación Kybele. Profesor de la Universidad Rey Juan Carlos Rafael Ortega García. Director General de Innovation 4 Security. CIGTR Curso de Verano / Summer Course. Aranjuez, julio de 2013.TRANSCRIPT
METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
CASANDRA: un framework para la gestión del riesgo
tecnológico
Juan M. VaraMarcos López SanzEsperanza Marcos
Kybele Research GroupRey Juan Carlos
University
Rosa QuintanarSantiago MoralIT Risk, Fraud &
Security Innovation for Security,
BBVA
@Aranjuez, 9 de Julio de 2013
Cursos de verano Universidad Rey Juan Carlos
CASANDRA: un framework para la gestión del riesgo tecnológico- 2 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Agenda
• Metodologías tradicionales• Nuevos retos• Gestión de la intencionalidad
Motivación
• Vista general• Cadena de valor• Base de datos de incidentes• Metodología
CASANDRA
• Hasta ahora …• … lo que nos queda
Conclusiones
CASANDRA: un framework para la gestión del riesgo tecnológico- 3 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
)(riesgof
Frecuencia Incidente
ImpactoIncidente
MotivaciónModelos tradicionales
MAGERIT
NIST SP800-30
Modelos
tradicionales
de Análisis de
Riesgos
CASANDRA: un framework para la gestión del riesgo tecnológico- 4 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Deficiencias estructurales de los modelos tradicionalesModelos endógenosNo están basados en mediciones empíricasNo permiten incorporar los constantes cambios
MotivaciónModelos tradicionales
Pesados, poco flexibles y en general, poco recomendables para la toma de decisiones en un
mundo cada vez más globalizado
CASANDRA: un framework para la gestión del riesgo tecnológico- 5 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
MotivaciónContexto Actual
CASANDRA: un framework para la gestión del riesgo tecnológico- 6 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
VulnerabilidadesValor ValorVulnerabilidades
MotivaciónNuevos retos: nuevos tipos de riesgo
Cantidad y valor de los Activos
Riesgo para el atacante
Contexto actual
El factor determinante es el número de vulnerabilidades
El factor determinante es el valor para el atacante
CASANDRA: un framework para la gestión del riesgo tecnológico- 7 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
El factor determinante es el valor para el atacante
MotivaciónNuevos retos: nuevos tipos de riesgo
Cantidad y valor de los Activos
Riesgo para el atacante
Contexto actual
Tipos de riesgoRiesgo AccidentalRiesgo OportunistaRiesgo Intencional
CASANDRA: un framework para la gestión del riesgo tecnológico- 8 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
El factor determinante es el valor para el atacante
MotivaciónNuevos retos: nuevos tipos de riesgo
Cantidad y valor de los Activos
Riesgo para el atacante
Contexto Actual
Tipos de riesgoRiesgo AccidentalRiesgo OportunistaRiesgo Intencional
Probabilidad de que algo falle o se descomponga
Medido como disponibilidad
– Datos en espejo– Respaldos …
CASANDRA: un framework para la gestión del riesgo tecnológico- 9 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
El factor determinante es el valor para el atacante
MotivaciónNuevos retos: nuevos tipos de riesgo
Cantidad y valor de los Activos
Riesgo para el atacante
Contexto Actual
Tipos de riesgoRiesgo AccidentalRiesgo
OportunistaRiesgo Intencional
Tiene un factor intencional pero es NO dirigido
– Virus, worms …
CASANDRA: un framework para la gestión del riesgo tecnológico- 10 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
El factor determinante es el valor para el atacante
MotivaciónNuevos retos: nuevos tipos de riesgo
Cantidad y valor de los Activos
Riesgo para el atacante
Contexto Actual
Tipos de riesgoRiesgo AccidentalRiesgo OportunistaRiesgo Intencional
Ataque dirigido
CASANDRA: un framework para la gestión del riesgo tecnológico- 11 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
IT People
La intencionalidad como eje vertebradorLos incidentes de los que ningún atacante
puede obtener recompensa no son partede la seguridad de la información Los incidentes accidentales son un
subconjunto de los intencionales
MotivaciónGestión de la intencionalidad
Accidental
Intencional
Incidente de seguridad
CISO
CASANDRA: un framework para la gestión del riesgo tecnológico- 12 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
La intencionalidad como eje vertebradorOrganizativamente
Seguridad = Confidencialidad + Integridad + DisponibilidadEstratégicamente
Se considera la delincuencia organizada como un stakeholder másOperativamente
Monitorizar los efectos de los modus operandi en organización y ejecución
Tecnológicamente Juegos de suma cero: ↑Atacante ↔ ↓Defensor
MotivaciónGestión de la intencionalidad
Ser el más resistente Ser el menos rentable
→ CIO VS CISO
Rentabilidad
Beneficios
Riesgo
Ingresos Gastos
Riesgo
Rentabilidad
CASANDRA: un framework para la gestión del riesgo tecnológico- 13 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Agenda
• Metodologías tradicionales• Nuevos retos• Gestión de la intencionalidad
Motivación
• Vista general• Cadena de valor• Base de datos de incidentes• Metodología
CASANDRA
• Hasta ahora …• … lo que nos queda
Conclusiones
CASANDRA: un framework para la gestión del riesgo tecnológico- 14 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Modelo CASANDRA
Adaptado para el análisis del fraude considerando el factor intencional de los ataques Omite riesgos accidentales, aspectos regulatorios, etc.
Se basa en la cadena de valor que define el modelo de negocio de la delincuencia organizada
Parte de la explotación de una Base de Datos de Incidentes (BDI) de seguridad reales Conocimiento
CASANDRAVista general
Modelo de toma de decisiones sobre riesgos IT basado en el análisis de la realidad, la rentabilidad de los ataques y la
existencia de patrones de ataque y defensa
CASANDRA
RiesgoIntencional
BDICadena
de Valor
RiesgoIntencional
Cadena de Valor BDI
CASANDRA: un framework para la gestión del riesgo tecnológico- 15 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Modelo de negocio de la delincuencia organizada
Conjunto habilitador del fraude (CHF) Todos los activos o vulnerabilidades que permiten a la
Delincuencia Organizada la comisión de un fraude determinado. Elemento habilitador del fraude (EHF)
Cada uno de los activos o vulnerabilidades individuales que forman parte del CHF se denomina Elemento habilitador del fraude (EHF)
Conjunto habilitador del fraude
Elementos habilitadores del
fraude
Métodos de
preparación
€ €€$
$$ ££
£Propósito del fraude
Métodos de ejecución
CASANDRACadena de valor
CASANDRA
RiesgoIntencional
BDICadena
de Valor
Cadena de Valor
CASANDRA: un framework para la gestión del riesgo tecnológico- 16 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Modelo de negocio de la delincuencia organizada
CASANDRACadena de valor
Elementos habilitadores del Fraude
Métodos de preparación
Conjunto habilitador del fraude
Métodos de jecución
Fraude
Conjunto habilitador del fraude
Elementos habilitadores del
fraude
Métodos de
preparación
€ €€$
$$ ££
£Propósito del fraude
Métodos de ejecución
CASANDRA
RiesgoIntencional
BDICadena
de Valor
Cadena de Valor
CASANDRA: un framework para la gestión del riesgo tecnológico- 17 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
CASANDRACadena de valor
http://www.getmemedia.com
La defensa contra el fraude se fundamenta en el
análisis de dicha cadena de valor y en la definición de
las acciones aplicables contra los métodos de
preparación y de ejecución
CASANDRA
RiesgoIntencional
BDICadena
de Valor
Cadena de Valor
CASANDRA: un framework para la gestión del riesgo tecnológico- 18 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Conocimiento de la realidadIncidentes pasados indican máximos de
Riesgo/BeneficioLa “localización” permite particularizar los
análisis para dominios concretos
Mayor probabilidad de ocurrencia
Mayor priorización defensiva
CASANDRABase de datos de incidentes
AVI Álgebra de Venn
de Incidentes
CASANDRA
RiesgoIntencional
BDICadena
de Valor
BDI
CASANDRA: un framework para la gestión del riesgo tecnológico- 19 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
La base de datos de incidentes Ubicar incidentesPriorizar y analizar coste-beneficio de medidas
CASANDRABase de Datos de Incidentes (BDI)
CASANDRA
RiesgoIntencional
BDICadena
de Valor
BDI
http://www.flickr.com/photos/mpmb/62190843/
CASANDRA: un framework para la gestión del riesgo tecnológico- 20 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Modelo de datos (simplificado )
CASANDRABase de datos de incidentes (BDI)
CASANDRA
RiesgoIntencional
BDICadena
de Valor
BDI
CASANDRA: un framework para la gestión del riesgo tecnológico- 21 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Procesos asociados a la BDI
CASANDRABase de Datos de Incidentes (BDI)
CASANDRA
RiesgoIntencional
BDICadena
de Valor
BDI
¿Hay nuevos tipos de
incidentes a incluir en la
BDI?
¿Genera una modificación en
el nivel de riesgo del ámbito a proteger?
¿Es necesario desplegar medidas tácticas
urgentes?
¿Es necesario recalificar algún tipo de activo
protegido?
¿Hay que hacer algún cambio en los planes
estratégicos de medio y largo
plazo?
CASANDRA: un framework para la gestión del riesgo tecnológico- 22 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
¿Hay nuevos tipos de
incidentes a incluir en la
BDI?
¿Genera una modificación en
el nivel de riesgo del ámbito a proteger?
¿Es necesario desplegar medidas tácticas
urgentes?
¿Es necesario recalificar algún tipo de activo
protegido?
¿Hay que hacer algún cambio en los planes
estratégicos de medio y largo
plazo?
Procesos asociados a la BDI
CASANDRABase de Datos de Incidentes (BDI)
CASANDRA
RiesgoIntencional
BDICadena
de Valor
BDI
CASANDRA: un framework para la gestión del riesgo tecnológico- 23 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
NO SUCEDE SI SUCEDE SUCEDE SECTOR FINANCIERO SUCEDE GRUPO SE REPITE
GRUPO
Métodos depreparación
Métodos deejecución
CASANDRADefinición de estrategias defensivas
MEX3MEX2
MEX1
EHFA
MPA1
MPA2
CHFXMPA3
EHFB
MPB1
MPB2MPB3
EHFC
MPC1
MPC2
MPC3
MPA2 MPA1 MPA3
MEX3MEX2MEX1
MPC1 MPC2MPC3 MPB1MPB2 MPB3
CASANDRA: un framework para la gestión del riesgo tecnológico- 24 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
NO SUCEDE SI SUCEDE SUCEDE SECTOR FINANCIERO SUCEDE GRUPO SE REPITE
GRUPO
Métodos depreparación
Métodos deejecución
CASANDRADefinición de estrategias defensivas
MEX3MEX2
MEX1
EHFA
MPA1
MPA2
CHFXMPA3
EHFB
MPB1
MPB2MPB3
EHFC
MPC1
MPC2
MPC3
MPA2 MPA1
MEX3MEX2MEX1
MPC1 MPC2MPC3 MPB1MPB2 MPB3 MPA3
CASANDRA: un framework para la gestión del riesgo tecnológico- 25 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Agenda
• Metodologías tradicionales• Nuevos retos• Gestión de la intencionalidad
Motivación
• Vista general• Cadena de valor• Base de datos de incidentes• Metodología
CASANDRA
• Hasta ahora …• … lo que nos queda
Conclusiones
Metodología
CASANDRA: un framework para la gestión del riesgo tecnológico- 26 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Metodología CASANDRA
4 fases:
CASANDRAMetodología
Aplicación del modelo de toma de decisiones sobre riesgos IT basado en el análisis de la realidad, la rentabilidad de los ataques y la existencia de patrones de ataque y defensa
Análisis del entorno Análisis de escenarios de fraude
Definición de políticas Definición del plan de acción
Propósitos del fraude
Elementos a proteger
Métodos de ejecución
Habilitadores del fraude
Métodos de preparación
Análisis de acciones mitigadoras
Plan de acción detallado
Análisis de alternativas
Riesgos asumidos
Política de seguridad
Análisis gap
Diábolos de fraude
CASANDRA: un framework para la gestión del riesgo tecnológico- 27 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Metodología CASANDRA
CASANDRAMetodología
Aplicación del modelo de toma de decisiones sobre riesgos IT basado en el análisis de la realidad, la rentabilidad de los ataques y la existencia de patrones de ataque y defensa
Elementos a proteger
Elemento del sistema Descripción
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
---4
---
7
8
9
CASANDRA: un framework para la gestión del riesgo tecnológico- 28 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Fase I: Análisis del entorno
CASANDRAMetodología
Identificar los diferentes elementos que deben tenerse en cuenta en el análisis del ámbito de
seguridad consideradoPropósitos del fraudeMétodos de ejecución
ID Método de ejecución Descripción Propósitos de fraude
RAR-DO
Riesgo para Entidad
ME 1P2 –P3 – n
ME 2P1 –P2 – n
ME 3
P1 –P2 –P4 –P5 –P9 –
n
ME 4
P1 –P2 –P3 –P4 –P5 –P8 –P9 –
n
ME 5
P2 –P3 –P4 –P8 –P9 –
n
CASANDRA: un framework para la gestión del riesgo tecnológico- 29 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Fase I: Análisis del entorno
CASANDRAMetodología
Identificar los diferentes elementos que deben tenerse en cuenta en el análisis del ámbito de
seguridad consideradoHabilitadores del fraude
Propósitos de Fraude
CHF P
1
P
2
P
3
P
4
P
5
P
6
P
7
P
8
P
9
CHF1 x
CHF2 - x
CHF3 x -
CHF4 - x
CHF5 - - x -
CHF6 - - - x -
CHF7 - - x -
CHF8 x x
CHF9
CHF10
CHF11
CHF12 x x x x x x x
CHF13 x x x x x x x
CASANDRA: un framework para la gestión del riesgo tecnológico- 30 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Fase I: Análisis del entorno
CASANDRAMetodología
Identificar los diferentes elementos que deben tenerse en cuenta en el análisis del ámbito de
seguridad consideradoMétodos de preparación
ID Método de preparación Descripción EHA
Histórico
Riesgo para BBVA
MP 1EHA6 –
n
MP 2
EHA5 –EHA6 –
n
MP 3 EHA7 – n
MP 4
EHA9 –
EHA10 –
EHA11 –
EHA6 –
EHA7 –
n
MP 5
EHA12 –
EHA6 – n
CASANDRA: un framework para la gestión del riesgo tecnológico- 31 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Fase I: Análisis del entorno
CASANDRAMetodología
Identificar los diferentes elementos que deben tenerse en cuenta en el análisis del ámbito de
seguridad considerado
Métodos de preparación
EHF MP
1
MP
2
MP
3
MP
4
MP
5
MP
6
MP
7
MP
8
MP
9
MP
10
MP
11
MP
12
MP
13
MP
14
MP
15
EHF1 x x x x x x X x x x x x x
EHF2 x x X X x X X x x x x x
EHF3 x x X X x X X x x x x
EHF4 x x x x x X x x X x x
EHF5 x x x x x X x
EHF6 x x x x x x x x x x x
EHF7 X x x X x x x x x
EHF8 x x X X x x X X x x x
EHF9 x x
EHF10 x x
EHF11 x x
EHF12 x x
EHF13 X
EHF14 x x xEHF15 x
EHA > 50% de métodos de preparación > 25% de métodos de preparación < 25% de métodos de preparación
Métodos de preparación: > 50% de EHA > 25% de EHA < 25% de EHA
Habilitadores del fraude Métodos de preparación
CASANDRA: un framework para la gestión del riesgo tecnológico- 32 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Fase II: Análisis de escenarios de fraude
4 fases:
CASANDRAMetodología
Se realiza una representación gráfica de los elementos clave
involucrados en el fraude
Diábolos de fraude
CASANDRA: un framework para la gestión del riesgo tecnológico- 33 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Fase II: Análisis de escenarios de fraude
CASANDRAMetodología
Se realiza una representación gráfica de los elementos clave involucrados en el fraudeAnálisis de acciones mitigadoras
ID Acción DescripciónMétodos de preparación
Métodos de ejecuciónValoración cualitativa
C €
R
C €
R
C €
R
C €
R
CASANDRA: un framework para la gestión del riesgo tecnológico- 34 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Fase III: Definición de políticas
CASANDRAMetodología
Se define el posicionamiento de la empresa para cada ámbito de seguridad: es el que define la Política de Seguridad
Política de seguridad
Med
ida
1
Riesgo 0
Estándar del mercadoM
edid
a 2
Med
ida
3
Med
ida
4
Med
ida
5
Med
ida
6
CASANDRA: un framework para la gestión del riesgo tecnológico- 35 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Fase III: Definición de políticas
CASANDRAMetodología
Se define el posicionamiento de la empresa para cada ámbito de seguridad: es el que define la Política de Seguridad
Riesgos asumidosRiesgo 0
Estándar del mercado
Med
ida
2
Med
ida
3
Med
ida
4
Med
ida
5
Med
ida
6
Med
ida
1
CASANDRA: un framework para la gestión del riesgo tecnológico- 36 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Fase III: Definición de políticas
CASANDRAMetodología
Se define el posicionamiento de la empresa para cada ámbito de seguridad: es el que define la Política de Seguridad
Plan de acciónRiesgo 0
Estándar del mercado
11 2
3
45
6M
edid
a 2
Med
ida
3
Med
ida
4
Med
ida
5
Med
ida
6
Med
ida
1
CASANDRA: un framework para la gestión del riesgo tecnológico- 37 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Fase IV: Definición del plan de acción
CASANDRAMetodología
Estudiar las distintas alternativas identificadas en el análisis de escenarios de fraude desde el punto de
vista riesgo/beneficioAnálisis de alternativas
Análisis de las acciones a acometerTOTAL
TOTAL
??Complejidad Mitigación del riesgo
Análisis de las acciones a desestimar
A1.R2.A1 0 € 0 € 1.000 €A1.R7.A1 0 € 0 € 0 €A1.R9.A1 0 € 0 € 0 €A1.R8.A1 0 € 0 € 0 €
TOTAL 0 € 0 € 1.000 €
??Complejidad Mitigación del riesgo
Acción 3Acción 6
Acción 4Acción 1
Acción 2
Acción 7
Leyenda de acciones:
Acción 1 Acción 2 Acción 3 Acción 4 Acción 5 Acción 6 Acción 7
Acción 5
CASANDRA: un framework para la gestión del riesgo tecnológico- 38 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Fase IV: Definición del plan de acción
CASANDRAMetodología
Estudiar las distintas alternativas identificadas en el análisis de escenarios de fraude desde el punto de
vista riesgo/beneficioPlan de acción detallado
INTRODUCCIÓNY ANTECEDENTES DESCRIPCIÓN RESPONSABILIDADES
OBJETIVOS DEPENDENCIAS PRESUPUESTO
. Pr 1 0 € 8.000 €ALCANCE– ÁMBITODEAPLICACIÓN FACTORESCLAVEDE ÉXITO Pr 2 0 €
. Pr 3 1.000 €Pr 4 0,6 0TOTAL 1.000 € 8.000 €
ANÁLISISCUALITATIVO ESTRATEGIADE EJECUCIÓNY DESPLIEGUE PLANIFICACIÓN
T0
Q1 Q2 Q3 Q4
C €
R
A1.R1.A1A1.R1.A6A1.R1.A7
A1.R3.A4
CASANDRA: un framework para la gestión del riesgo tecnológico- 39 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Agenda
• Metodologías tradicionales• Nuevos retos• Gestión de la intencionalidad
Motivación
• Vista general• Cadena de valor• Base de datos de incidentes• Metodología
CASANDRA
• Hasta ahora …• … lo que nos queda
Conclusiones
CASANDRA: un framework para la gestión del riesgo tecnológico- 40 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
ConclusionesHasta ahora …
http://www.flickr.com/photos/mpmb/62190843/Análisis del entorno Análisis de escenarios de fraude
Definición de políticas Definición del plan de acción
Propósitos del fraude
Elementos a proteger
Métodos de ejecución
Habilitadores del fraude
Métodos de preparación
Análisis de acciones mitigadoras
Plan de acción detallado
Análisis de alternativas
Riesgos asumidos
Política de seguridad
Análisis gap
Diábolos de fraude
CASANDRA: un framework para la gestión del riesgo tecnológico- 41 -
@Aranjuez 09/07/2013METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
Lo que nos queda …
Conclusiones… lo que nos queda
http://www.flickr.com/photos/zeusandhera/
METODOLOGÍA DE ANÁLISIS DE LA INTENCIONALIDAD EN INTERNET Y REDES COMPLEJAS
CASANDRA: un framework para la gestión del riesgo
tecnológico
Juan M. VaraMarcos López SanzEsperanza Marcos
Kybele Research GroupRey Juan Carlos
University
Rosa QuintanarSantiago MoralIT Risk, Fraud &
Security Innovation for Security,
BBVA
@Aranjuez, 9 de Julio de 2013
Cursos de verano Universidad Rey Juan Carlos