Manual Emarisma
Manual Emarisma
Manual Emarisma
0 – Analysis Risk
Sistema para el Análisis de Riesgos y la Tasación de
Activos de Información en la Nube (Methodology for the
Analysis of Risks of Information Security, based on Meta-
Pattern and Adaptability).
Nombre: Marisma 3.0 Methodology for the Analysis of Risks of Information Security, based on Meta-
Pattern and Adaptability
Autores:
MARISMA Shield S.L.
Contenido
1. ¿Qué es Marisma 3.0? .......................................................................................... 3
2. ¿Cómo funciona? .................................................................................................. 3
2.1. Definiciones previas. ................................................................................... 5
3. Aplicación del análisis de Riesgos. ........................................................................ 7
3.1. Tarea T1 – Identificación de activos .......................................................... 14
3.2. Tarea T2 – Realización del checklist de los controles ............................... 18
3.3. Tarea T3 – Valoración del listado de amenazas ........................................ 20
3.4. Tarea T4 – Generación de la matriz de [Activos] x [Amenazas] x [Criterios
de Riesgo] ........................................................................................................... 21
3.5. Tarea T5 – Generación del análisis de riesgos.......................................... 22
3.6. Tarea T6 – Generación del plan de tratamiento de riesgos ....................... 28
4. Mantenimiento Dinámico del A.R. (DRM). ........................................................ 30
4.1. Tarea T1 – Gestión de Eventos ................................................................. 32
4.2. Tarea T2 – Realización de Auditorías Periódicas ...................................... 35
4.3. Tarea T3 – Recalculo del riesgo................................................................ 36
4.4. Tarea T4 – Cambios en el cuadro de mandos. .......................................... 36
5. Dudas y Preguntas Frecuentes ........................................................................ 37
2
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
2. ¿Cómo funciona?
Esta metodología asocia el análisis y la gestión del riesgo a los controles
necesarios para poder realizar un análisis de riesgos y consta de tres procesos
Capítulo: ¿Qué es Marisma 3.0?
muy importantes:
3
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
Generación conocimiento:
Permiten evolucionar al AR
- Alertas Tempranas -
Transmite su EVOLUCIÓN
PATRONES
GPRA
Instancia
ANÁLISIS DE RIESGOS
GARM
Tiene
EVENTOS SEGURIDAD
DRM
Generación conocimiento:
Permiten adaptar al AR
ADAPTACIÓN
Capítulo: ¿Cómo funciona?
Generación conocimiento:
Permiten evolucionar al Patrón
EVOLUCIÓN PATRÓN
4
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
5
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
⁻ Activo de grano fino: Son los activos de valor para la compañía al nivel
más bajo de agregación.
6
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
7
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
Una vez creado el proyecto, aparecerá listado en la tabla que nos muestra la
información que le hemos asignado a nuestro proyecto, junto a las acciones
que podemos llevar a cabo:
Capítulo: Aplicación del análisis de Riesgos.
8
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
9
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
⁻ Entradas:
Un patrón de los existentes en el repositorio de patrones, que será
seleccionado por el consultor de la materia (CoS) en base a las
características de la compañía (sector y tamaño de la misma), del
que se obtendrán los elementos necesarios para la realización del
análisis de riesgos (listado de controles, listado tipos de activos,
listado de amenazas, relaciones entre los elementos anteriores)
El interlocutor (Int) válido para la compañía, que se encargará de
definir los activos.
Figura 8. Tareas del Proceso GARM. Capítulo: Aplicación del análisis de Riesgos.
En la Figura 8 se pueden ver las tareas del proceso de forma mucho más
detallada, mostrando cómo interactúan con el repositorio encargado de
contener los elementos que conforman los ANÁLISIS DE RIESGOS. Cada
tarea generará un entregable para su análisis por parte del consultor de la
materia (CoS) y almacenará la información para que sea utilizada
posteriormente en el proceso DRM (Mantenimiento Dinámico del Análisis de
Riesgos).
1
2
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
Las principales bases sobre las que se define este proceso son: flexibilidad,
simplicidad y eficiencia en costes (humanos y temporales), así como la
capacidad de que posteriormente el análisis de riesgos varíe de forma
dinámica. Así pues, se trata de un proceso que pretende identificar con el
menor coste posible los activos de la compañía y los riesgos asociados,
usando para ello los resultados generados en los procesos anteriores y algunos
algoritmos.
1
3
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
1
4
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
Para la creación de estos activos, contamos con un modal (Fig. 12) que
mostraremos al pulsar el botón de Nuevo Activo que vemos en la pantalla.
Capítulo: Aplicación del análisis de Riesgos.
1
6
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
Los Activos dentro del Alcance a evaluar por el Análisis de Riesgos, pueden
agruparse en diferentes grupos, ya que cada uno puede estar sometido a
diferentes niveles de control.
1
8
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
Una vez rellenado todos los checklist, podremos obtener una visión en forma
de diagrama de Kiviat y cuadro de mandos de la situación real de la compañía.
En la Figura 17 y 18, podemos ver los diferentes niveles del diagrama de
Kiviat soportado por MARISMA.
1
9
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
Figura 19. Cuadro de Mandos del Nivel de Cumplimiento por agrupación de activos.
2
1
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
⁻
en la columna “probabilidad de la amenaza” en la tarea T3 del
proceso GARM.
y = ax
500 = a10
log 500 = 10 log a
log500
log a = = 0,26989700
10
a = 100,26989 = 1,8616455
2
3
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
log y
y = ax → x =
log 1,86164
Ecuación 1. Calculo niveles para riesgo.
2
4
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
2
5
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
Las principales bases sobre las que se define este proceso son: simplicidad,
eficiencia en costes (humanos y temporales), y usabilidad (capacidad de que la
compañía tenga información actualizada de los riesgos).
Las tareas de este proceso se apoyarán en el patrón base generado durante
el proceso GPRA y en el análisis de riesgos generado en el proceso GARM.
A continuación mostramos las tareas que componen el proceso:
3
3
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
3
4
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
3
5
Marisma 3.0 – Methodology for the Analysis of Risks of
Information Security, based on Meta-Pattern and Adaptability
3
7