1 © Copyright 2014 EMC Corporation. All rights reserved.
Manuel Lorenzo – Solution Success Manager – EMEA South
Modelos de Control de Riesgo IT con
Archer
@RSAEMEA #RSAEMEASummit
La perspectiva única de RSA
2 © Copyright 2014 EMC Corporation. All rights reserved.
RISK
COMPLIANCE
GOVERNANCE
El “ciclo del GRC” Companies
Assets & Policies
Leverage
BUSINESS GOALS
To reach their
RISKS
This journey can be prevented by
CONTROLS
…which are mitigated by
REGULATIONS
And Controls are typically defined by…
VERIFIED which must periodically…
Which are part of
3 © Copyright 2014 EMC Corporation. All rights reserved.
La gestión del riesgo se está convirtiendo en una ventaja competitiva
La Gestión del Riesgo es el Proceso Clave
4 © Copyright 2014 EMC Corporation. All rights reserved.
¿Qué entendemos por Riesgo?
ISO 31000: “the effect of uncertainty on objectives”
El efecto puede ser una desviación positiva o negativa
sobre lo esperado
Las diferentes perspectivas del riego dependen del contexto:
5 © Copyright 2014 EMC Corporation. All rights reserved.
¡El “Universo del Riesgo” es complejo!
(*) Gartner - A Risk Hierarchy for Enterprise and IT Risk Managers
6 © Copyright 2014 EMC Corporation. All rights reserved.
Diferentes contextos, diferentes definiciones… Operational Risk (OpRisk)
The risk of direct or indirect losses resulting from inadequate or failed internal
processes, people, and technology or from external events
IT Risk
The business risk associated with the use, ownership, operation, involvement,
influence and adoption of IT within an enterprise
InfoSec Risk
The risk associated with the loss of Confidentiality, Integrity and Availability (CIA)
of Information due to threats targeting IT assets leveraging specific vulnerabilities
that eventually lead to an impact (mostly economic) to the business.
7 © Copyright 2014 EMC Corporation. All rights reserved.
¿Pero cuáles son las diferencias?
Ejemplos
Alcance • IT Risk: Activos • OpRisk: Procesos
Metodología • IT Risk: Octave, Fair, Magerit, … CUSTOM • OpRisk: pRCS, RCSA, CSA
Diferencias en la fase de Evaluación de Riesgos …
• Diferentes Interlocutores
• Diferentes Técnicas de Identificación de
Riesgos
• Diferenetes Alcances y Objetivos
• Diferentes Metodologías y Técnicas
• Diferentes evaluaciones: Cuantitativas,
Cualitativas
8 © Copyright 2014 EMC Corporation. All rights reserved.
Enfoquémonos en la IT/InfoSec Risk…
Gracias a la flexibilidad de la plataforma de RSA GRC, se puede
implementar cualquier proceso de riesgo, incluyendo IT/InfoSec
También soportamos una aproximación al riesgo alternativa, más
pragmática, que denominamos IT Security Risk Management
(IT.SRM) que aborda los riesgos mediante la gestión de
vulnerabilidades e incidentes
La visión de
• Un proceso con el ánimo de evaluar los riesgos asociados a los
activos a partir de las amenazas a los mismos mediante
vulnerabilidades específicas
• Proceso típicamente descrito en estándares como ISO-27005 &
ISO-31000
• Básicamente gestionando “Riesgos Potenciales”
El método
tradicional…
En GRC, la terminología es clave y puede llevarnos a diferentes interpretaciones: el caso del “IT/InfoSec Risk“ o “IT Security Risk”
9 © Copyright 2014 EMC Corporation. All rights reserved.
La aproximación tradicional a la Gestión de Riesgo IT
10 © Copyright 2014 EMC Corporation. All rights reserved.
InfoSec Risk: ¡Pensando diferente!
El riesgo es evaluado cualitativa o cuantitativamente a través de diferentes dominios:
• Confidencialidad, Integridad, Disponibilidad
• Traceabilidad, Autenticidad
• El Alcance es un conjunto Activos IT a los que se le asignan un Valor
• Los activos se organizan como una jerarquía dinámica (usualmente asociada también a una jerarquía de activos de negocio)
• Esto implica que el riesgo se propaga a través de la jerarquía
11 © Copyright 2014 EMC Corporation. All rights reserved.
InfoSec Risk: Propagación de Riesgo
RS
RS
RskDev4a
RskMed3a RskApp7a
RS
RS
RskFac5a
R
RskDev4b
RskInfo7a
RS
London D.C Facility 5
ERP Server Device 4
Mail Media 3
SAP App 07
Invoice Information 8
Purchase Order Information 7
RS Manually-assessed Risk Scenario =
Asset Risk Propagation
CR
CR
CR CR
CR CR
AR
AR
AR
AR
AR
AR = Asset Risk
12 © Copyright 2014 EMC Corporation. All rights reserved.
La aproximación “Pragmáica” a la Gestión de Riesgo IT
La perspectiva “única” de RSA
13 © Copyright 2014 EMC Corporation. All rights reserved.
Las directrices actuales son diferentes de las del pasado
Negocio e IT son más
dinámicas que en el
pasado
Tecnología está cambiando
constantemente (Cloud,
BYOD, …) y define nuevas
amenazas
Los CyberAtaques están aumentando y
son más sofisticados: cualquier compañía es
un objetivo potencial
¿Es aún válida la aproximación tradicional a la gestión del riesgo?
(Las evaluaciones de riesgo están cada vez más extendidas, pero el
número de CyberAtaques exitosos cuentan otra historia)
Dado que las evaluaciones de riesgo se realizan una o dos veces al
año, ¿Estamos seguros de dominar todos los riesgos importantes?
14 © Copyright 2014 EMC Corporation. All rights reserved.
Gestionando el Riesgo IT: al modo de La solución de Archer IT Security Risk Management es un marco que
fomenta el foco en 4 áreas críticas para gestionar el Riesgo IT/InfoSec:
IT Security Risk
Management
Definir e implementar Políticas de Seguridad y los Estándares
Establecer y aprovechar el Contexto de Negocio
Identificar y corregir Vulnerabilidades
Detectar y Responder a ataques
15 © Copyright 2014 EMC Corporation. All rights reserved.
El origen de los riesgos: Qué estamos haciendo
Business Asset
Business Asset
Business Asset
Business Impact
IT Asset
IT Asset
IT Asset
Technical Impact
Vulnerability
Vulnerability
Vulnerability
Security Vulnerability
Attack Agent
Attack
Attack
Attack
Attack Vector
Attack
Vulnerability
IT Asset
Business Asset
The OWASP Model (https://www.owasp.org/index.php/Top_10_2010-
Main)
16 © Copyright 2014 EMC Corporation. All rights reserved.
El origen de los riesgos: Qué estamos haciendo
Business Asset
Business Asset
Business Asset
Business Impact
IT Asset
IT Asset
IT Asset
Technical Impact
Vulnerability
Vulnerability
Vulnerability
Security Vulnerability
Attack Agent
Attack
Attack
Attack
Attack Vector
Control
Security Controls
Attack
Vulnerability
X
The OWASP Model (https://www.owasp.org/index.php/Top_10_2010-
Main)
17 © Copyright 2014 EMC Corporation. All rights reserved.
El origen de los riesgos: Qué podemos hacer
Business Asset
Business Asset
Business Asset
Business Impact
IT Asset
IT Asset
IT Asset
Technical Impact
Vulnerability
Vulnerability
Vulnerability
Security Vulnerability
Attack Agent
Attack
Attack
Attack
Attack Vector
Control
Security Controls
Control Attack
Vulnerability
IT Asset
Business Asset
Impacto Técnico
Factible &
Efectivo
Factible &
Efectivo
Mejorar la eficiencia de la Detección de
Ataques
Mejorar la eficacia de la respuesta
antes Incidencias
Prevención de Amenazas Detección Ataques
Respuesta & Remediación
Posible ¡Difícil!
Se pueden identificar tres áreas:
The OWASP Model (https://www.owasp.org/index.php/Top_10_2010-
Main)
18 © Copyright 2014 EMC Corporation. All rights reserved.
La aproximación pragmática de
Prevención de Amenazas
Detección Ataques
Respuesta & Remediación
Archer Vulnerability Risk Management
Security Analytics/ECAT
Archer Security Operations
Management
Detección de Ataques y Respuesta Incidentes: mitiga el riesgo IT mejorando las capacidades de detección y haciendo más eficiente y efectivo el proceso de respuesta antes incidentes – El riesgo se mitiga actuando sobre el “impacto”
Prevención de Amenazas: mitiga el riesgo IT reduciendo las vulnerabilidades (riesgos “reales”, esperando a materializarse) importante para el negocio
– El riesgo se mitiga actuando sobre la “probabilidad”
19 © Copyright 2014 EMC Corporation. All rights reserved.
VRM
Catálogo Activos
Descubrimiento de
Vulnerabilidades Clasificación Resolución
Seguimiento/ Informes
Escanear Todas las Redes Contexto Negocio Priorizando Según
el Riesgo Solucionar/Excepción
KPIs Dashboards
VRM Vulnerability
Scanner
RSA VRM
Resultado Scanner
Contexto de
Negocio Inteligencia de
Amenazas
+ +
= Vulnerabilidades Priorizadas
Workflow
KPI
Informes
Escalabilidad
Velocidad
Precisión
Σ
20 © Copyright 2014 EMC Corporation. All rights reserved.
Aproximación Tradicional vs. Complementarias, no alternativas!
Característica Aproximación Tradicional Aproximación de RSA
Objetivo Identificar, Evaluar, Remediar los riesgos mediante metodologías (Octave, FAIR, Magerit, Mehari, …)
Mitigar los riesgos haciendo los procesos de gestión de vulnerabilidades y la respuesta antes incidentes más efectivos y eficientes
Identificación del Riesgo
Identificar riesgos que pueden o no materializarse (riesgos potenciales)
Vulnerabilidades reales, esperando a una amenaza que las aproveches (aproximación pragmática)
Mitigación del Riesgo
Creación de planes de remediación y controles. No siempre alineados con las necesidades de negocio.
Ofrecer herramientas para solucionar las vulnerabilidades que más impactan a los procesos de negocio y gestionar los incidentes eficientemente
Frecuencia
Generalmente una o dos veces al año. ¡El resultado puede estar desactualizado cuando se termina el informe!
Básicamente en Tiempo Real. Solucionando las vulnerabilidades según se descubren y gestionando de forma inmediata los incidentes.
Medible Sí, dependiendo del modelo de evaluación
Sí, pero se necesita definir un algoritmo: f(#incidentes, #vulnerabilidades)
21 © Copyright 2014 EMC Corporation. All rights reserved.
Uniendo el Riesgo IT/InfoSec con el Riesgo Operacional
22 © Copyright 2014 EMC Corporation. All rights reserved.
Desde el Riesgo IT/InfoSec al OpRisk
Order to Cash Process
Order Management Sub Process
Domestic Sales Business Unit
Product Delivery Sub Process
Invoice Management Sub Process
Credit Collection Sub Process
RS
RS
RskDev4a
RskMed3a RskApp7a
RS
RS
RskFac5a
R
RskDev4b
RskInfo7a
RS
London D.C Facility 5
ERP Server Device 4
Mail Media 3
SAP App 07
Invoice Information 8
Purchase Order Information 7
RS Manually-assessed Risk Scenario =
Asset Risk Propagation
CR
CR
CR CR
CR CR
Process Risk Propagation
CR
CR
CR
CR
CR
CR = Cumulative Risk
AR
AR
AR
AR
AR
PR = Process Risk AR = Asset Risk
PR
PR
PR
PR
Op Risk
23 © Copyright 2014 EMC Corporation. All rights reserved.
El Escenario Final RSA puede Gestionar
Domestic
Sales Business Unit
London
D.C
ERP
Server
Mail SAP
Invoice Purchase
Order Order to Cash
Process
Order
Management
Product
Delivery
Invoice
Management
Credit
Collection
EMEA
Division
Company
ICT BUSINESS
I.S.R.A. Tools
OpRisk Tools
Risk Hierarchy Risk
Hierarchy Risk Hierarchy
• IT y Negocio pueden independientemente evaluar sus propios riesgos.
• Los procesos son el punto ideal de convergencia de los riesgos IT/InfoSec y Operacional.
• GRC Archer ayuda a proporcionar a los responsables una visión única y unificada del riesgo
24 © Copyright 2014 EMC Corporation. All rights reserved.
Conclusiones El riesgo es un concepto complejo: ¡existen diferentes ámbitos, aproximaciones y metodologías!
Hoy en día, debido al contexto de negocio e IT, es obligatorio alcanzar la apropiada visibilidad de los riesgos para tener una ventaja competitiva
Con respecto al Riesgo IT, puede ayudar tanto con la aproximación tradicional como con una aproximación única y pragmática a la mitigación de riesgos (Archer IT.SRM)
La aproximación de es complementaria y no alternativa a la aproximación tradicional de evaluación de riesgos
EMC, RSA, the EMC logo and the RSA logo are trademarks of EMC Corporation in the U.S. and other countries.