1. Libros y videos
  2. Resiliencia cibernética en la empresa
  3. Análisis de riesgos con EBIOS
Extrait - Resiliencia cibernética en la empresa Retos, normas y buenas prácticas
Extractos del libro
Resiliencia cibernética en la empresa Retos, normas y buenas prácticas Volver a la página de compra del libro

Análisis de riesgos con EBIOS

Introducción

Como continuación del capítulo anterior sobre la gestión de riesgos según la norma ISO 27001 y la necesidad de realizar análisis de riesgos, este capítulo presenta una situación práctica utilizando la metodología de análisis de riesgos EBIOS aplicada a un ejemplo, el servicio de alojamiento soberano "Cloud-IaaS" comercializado por Cloud.es Este análisis de riesgos es un documento obligatorio en el marco del proceso de certificación ISO 27001 emprendido por Cloud.es

Presentación del método EBIOS

1. Definición

"El método EBIOS (Expresión de las necesidades e identificación de los objetivos de seguridad) permite evaluar y tratar los riesgos. También proporciona todos los elementos necesarios para la comunicación dentro de la organización y con sus socios, así como para validar la gestión de riesgos. Se trata, por tanto, de una herramienta completa de gestión de riesgos", EBIOS - Método de gestión de riesgos, versión del 25 de enero de 2010, ANSSI/ACE/BAC.

2. Enfoque por módulos

El método EBIOS se basa en un enfoque iterativo de cinco módulos:

  • Módulo 1: estudio del contexto

  • Módulo 2: estudio de los acontecimientos temidos

  • Módulo 3: estudio de escenarios de amenazas

  • Módulo 4: análisis de riesgos

  • Módulo 5: estudio de las medidas de seguridad

3. Visión general

images/04RI01.png

Módulos EBIOS

Módulo 1: estudio del contexto

1. Definición del marco de gestión de riesgos

a. Delimitación del estudio de riesgos

En el contexto de la futura certificación ISO 27001, el objetivo del estudio es presentar los resultados del análisis de riesgos relativos a la seguridad del sistema de información que compone el servicio de alojamiento propuesto y, en última instancia, gestionar los riesgos de la SI y elaborar la política de SI.

El servicio de alojamiento Cloud-IaaS consta de tres elementos fundamentales:

  • Recursos humanos, organizados en una entidad denominada TaskForceCloud (TFC).

  • Una infraestructura técnica denominada Cloud-Infra.

  • Un contrato para un servicio de alojamiento de datos de Infraestructura como Servicio que utiliza centros de datos en Francia y servidores pertenecientes a la empresa francesa Cloud.es Este servicio "Cloud-IaaS" está disponible en dos versiones: Estándar y Premium:

Oferta estándar

Oferta Premium

Cloud-IaaS Estándar

Nivel de garantía (SLA)

Plata/Oro

Opciones de escalabilidad

(opciones)

Cloud-IaaS Premium

Nivel de garantía (SLA)

Plata/Oro

Opciones de escalabilidad

(opciones)

Por tanto, debe elaborarse una política de seguridad de los sistemas de información (PSSI).

De cara a 2021, Cloud.es prevé tres tipos de acciones para reforzar su capacidad como anfitrión de datos:

  • Implantación de un sistema de gestión de la seguridad de la información (SGSI) para el alojamiento y la externalización de servicios críticos y sensibles.

  • 27001 Lead Implementer formación para CISOs.

  • Formación de auditor jefe 27001 para el RPD.

images/04RI02.png

Terminología del estudio de caso EBIOS

b. Descripción del contexto general

Organización estudiada

La organización estudiada en el marco del proceso de gestión de riesgos es TFC, una división especializada en el alojamiento IaaS. Esta división está adscrita al departamento BU (Business Unit) y se encarga de implementar el servicio de alojamiento de datos de Cloud.es.

Actores de la gestión de riesgos

Las funciones y responsabilidades en la gestión de riesgos son las siguientes:

  • El Consejero Delegado (CEO) es plenamente responsable de los riesgos de la empresa.

  • El Director Técnico (CTO): es responsable de la investigación y el desarrollo de la empresa....

Definición de los criterios de gestión de riesgos

Los criterios de gestión de riesgos utilizados son los siguientes:

Acción

Criterio de gestión del riesgo (norma elegida para llevar a cabo la acción)

Acontecimientos temidos

Estimación de los acontecimientos temidos (módulo 2 del método EBIOS)

Los acontecimientos temidos se estiman en términos de gravedad utilizando la escala definida a tal efecto (escala de nivel de gravedad ECH-NIV-GRA).

Evaluación de los acontecimientos temidos (módulo 2)

Los sucesos temidos se clasifican en orden descendente de probabilidad (escala de niveles de probabilidad ECH-NIV-VRA).

Escenarios de amenaza

Estimación de escenarios de amenaza (módulo 3)

Los escenarios de amenaza se analizan utilizando la identificación de fuentes de amenaza y la probabilidad de cada escenario de amenaza se estima utilizando la escala de probabilidad.

Evaluación de los escenarios de amenaza (módulo 3)

Los escenarios de amenaza se evalúan en orden descendente de probabilidad.

Riesgos

Evaluación de riesgos (módulo 4)

La gravedad de un riesgo es igual a la gravedad del suceso temido.

La probabilidad de un riesgo es igual a la probabilidad máxima de todos los escenarios de amenaza vinculados al suceso temido considerado (en el caso de un terremoto que provoque inundaciones y un corte de electricidad; el riesgo final es tener los servidores...

Identificación de los bienes

1. Identificación de los activos esenciales, sus relaciones y sus custodios

A efectos de este estudio, Cloud.es ha seleccionado los siguientes procesos como activos esenciales (activos intangibles):

Procesos esenciales

Información esencial

Custodios

Utilización de la infraestructura Cloud-Infra

Cartografía de la base de infraestructuras

Seguimiento en tiempo real e informes de seguimiento

Política administrativa de gestión de copias de seguridad/restauración de datos

Política de acceso a los datos

PSSI

Plan de recuperación en caso de catástrofe (DRP)

TFC

Aprovechamiento de los servicios Cloud-IaaS

Cartografía de la base de infraestructuras

Asignación de servicios alojados

Seguimiento en tiempo real e informes de seguimiento

Política de gestión del almacenamiento de datos sanitarios

Política de copias de seguridad de datos sanitarios

Política de archivo de datos sanitarios

Política de devolución de datos

Política de acceso a los datos

PSSI

DRP

TFC

Puesta en producción de Cloud-IaaS Standard y Premium

Lista de clientes que se han suscrito a Cloud-IaaS Standard Cloud-IaaS Premium y los SLA asociados

Política de acceso de los clientes

TFC

Actualizar el entorno de los clientes Cloud-IaaS Standard y Premium con opciones de dimensionamiento

Lista de clientes suscritos a Cloud-IaaS Standard y Cloud-IaaS Premium y los SLA asociados

Lista de solicitudes de desarrollo

TFC

Devolver los datos sanitarios a los clientes

Peticiones de los clientes

Restitución de la copia de seguridad en el servidor del cliente

TFC

Aplicación del procedimiento de reversibilidad

Solicitud del cliente

Procedimiento de reversibilidad

TFC

2. Identificación de los activos de apoyo, sus relaciones y sus propietarios

Cloud.es ha seleccionado los siguientes activos de apoyo:

  • En la empresa:

  • SYS: Red Cloud-Infra

  • SYS: Red TFC

  • ORG: Organización TFC

  • SYS: instalaciones del proveedor de alojamiento

  • Interfaz:

  • SYS: red VPN MPLS ofrecida por Cloud.es a sus clientes para la conexión a la plataforma de alojamiento

  • SYS: Red de Internet

3. Determinar el vínculo entre bienes esenciales y bienes de apoyo

El siguiente cuadro muestra los bienes de apoyo y sus vínculos con los bienes esenciales:

 

Productos de primera necesidad

Activos de apoyo (específicos de la actividad...

EBIOS: el conjunto de módulos

El módulo 2 (Estudio de sucesos temidos), el módulo 3 (Estudio de escenarios de amenaza), el módulo 4 (Estudio de riesgos) y el módulo 5 (Estudio de medidas de seguridad) del método EBIOS se presentan en el apéndice: "Apéndice 1 - Resultados del análisis de riesgos EBIOS".

Gestor de riesgos EBIOS

En relación con el método EBIOS versión 2010 basado en el análisis y la evaluación de riesgos, la ANSSI quería actualizarlo a EBIOS Risk Manager (o EBIOS RM) en 2018.

EBIOS RM se inscribe, pues, en el contexto cibernético actual y en un nuevo marco centrado en el usuario y el ecosistema. Comienza con misiones estratégicas de alto nivel y desciende gradualmente a ámbitos empresariales y técnicos, centrándose en las posibles vías de ataque.

EBIOS RM presenta cinco talleres:

  • Taller 1: Marco / fundamento de la seguridad. Durante un taller con las partes interesadas (TI, empresa, CISO, GM, DPO), se detallan los siguientes elementos: marco del estudio, misiones, perímetro empresarial y técnico, activos de apoyo, sucesos temidos, evaluación de la gravedad, definición de la base de seguridad y lagunas observadas con la situación real.

  • Taller 2: Fuentes de riesgo. Se trata de identificar las fuentes de riesgo (FS) y los objetivos de seguridad (OS) previstos. En esta fase sólo se tienen en cuenta las FR/OS más relevantes para el resto del análisis RM EBIOS.

    Ejemplo: ataque de ransomware (FR) - protección de estaciones de trabajo y servidores mediante un EDR (OS).

  • Taller 3: Escenarios estratégicos. Se trata de elaborar una lista de escenarios estratégicos a partir de la cartografía de la amenaza...