TEMA 47

Seguretat de sistemes. Anàlisi i gestió de riscos. Eines.

Escolta el tema

1. Fonaments i Sistema de Gestió (SGSI)

Dimensions de Seguretat (ENS)

  • Disponibilitat: Accés quan es requereix.
  • Integritat: No alteració no autoritzada.
  • Confidencialitat: No revelació a no autoritzats.
  • Autenticitat: Garantia d'identitat o origen.
  • Traçabilitat: Imputabilitat d'accions (Auditoria).

Rols i Responsabilitats (ENS Art. 11 i 13)

Principi clau: Diferenciació de responsabilitats (Evitar dependència jeràrquica entre Seguretat i Sistemes).

  • Responsable d'Informació: Determina requisits de la informació.
  • Responsable de Servei: Determina requisits del servei.
  • Responsable de Seguretat: Decisions, supervisió de mesures.
  • Responsable de Sistema: Implementa i opera.
  • + RGPD: Resp. Tractament, Encarregat, DPD.
Normativa Nacional Normativa UE / Privacitat Estàndards Internacionals
RD 311/2022 (ENS) Directiva NIS 2 (UE 2022/2555) ISO 27000 (SGSI - 27001 certificable)
RD 4/2010 (ENI) RGPD (UE 2016/679) ISO 31000 (Gestió general de Riscos)
RD 43/2021 (Seguretat xarxes) LO 3/2018 (LOPDGDD) NIST SP 800-30 / COBIT / COSO

2. Anàlisi i Gestió de Riscos (ENS i RGPD)

Obligacions ENS segons Categoria

  • BÀSICA: Anàlisi informal. Llenguatge natural. (Actius principals, amenaces, salvaguardes i risc residual). [op.pl.1]
  • MITJANA: Anàlisi semiformal. Llenguatge específic (taules), valoració qualitativa. [op.pl.1 + R1]
  • ALTA: Anàlisi formal. Fonament matemàtic, valoració i priorització. Assumpció formal del risc. [op.pl.1 + R2]

Impacte en Dades Personals (EIPD)

El RGPD (Art. 35) obliga a gestionar el risc per garantir drets i llibertats.

  • Obligatori: Si hi ha Alt Risc (perfils, categories especials a gran escala, observació sistemàtica).
  • Moment: Abans d'iniciar el tractament.
  • Rol: Obligació del Responsable (assessorat pel DPD).

3. Metodologia MAGERIT v3

Mètode del MAETD i CCN. Implementa cicle PDCA (Millora contínua).

1. Actius

Inventari i dependències. Valor essencial vs suport.

  • V. Acumulat: Dels inferiors als superiors.
  • V. Repercutit: Efecte de superiors als inferiors.

2. Amenaces

Causa potencial d'incident (Natural, Industrial, Errors, Atacs).

  • Degradació: Dany causat.
  • Probabilitat: Freqüència.

3. Impacte i Risc

  • Impacte: Dany sobre l'actiu.
  • Risc: Impacte ponderat per freqüència.
  • Potencial: Sense salvaguardes.

4. Salvaguardes

Mesures (Prevenció, Detecció, Recuperació...).

  • Abaixem a Impacte/Risc Residual aplicant controls i avaluant la seva maduresa.

Decisions de Tractament del Risc

Acceptar:
Sota el llindar, decisió gerencial.
Eliminar:
Canviar arquit. o actiu.
Mitigar:
Reduir degradació o probabilitat.
Transferir:
Assegurances o SLA (Outsourcing).
Finançar:
Fons de contingència.

4. Eines de Seguretat i Risc

PILAR (Eina del CCN)

Implementa MAGERIT. Analitza impacte i risc (quantitatiu/qualitatiu). Avalua compliment ENS, ISO 27002, RGPD.

Versions de PILAR

  • PILAR RM: General.
  • PILAR BCM: Continuïtat de negoci.
  • PILAR Basic: PYMES i Adm. Local.
  • μPILAR: Anàlisis ultra ràpides.

Escala de Maduresa (CMM)

  • L0: Inexistent.
  • L1: Inicial / Ad hoc (sort/heroisme).
  • L2: Reproduïble però intuïtiu.
  • L3: Procés definit (manteniment).
  • L4: Gestionat i mesurable (estadístiques).
  • L5: Optimitzat (millora contínua).

INES

Informe Nacional de l'Estat de la Seguretat (CCN).

  • Recollida d'indicadors anual obligatòria.
  • Avalua l'adequació a l'ENS.
  • Genera gràfics de postura de seguretat.

Eines AEPD (Privacitat)

Orientades al compliment del RGPD.

  • EVALUA_RIESGO RGPD: Qüestionari per identificar factors de risc i calcular risc intrínsec/residual.
  • Gestiona EIPD: Guió i Checklist per realitzar l'Avaluació d'Impacte.

RMAT

Risk Management Additional Tools. Extensió de biblioteques (perfils d'avaluació, amenaces, proteccions addicionals).

BLANCA

Gestió de biblioteques normalitzades. Estandarditza terminologia per auditories i comparatives.

COBIT / COSO

Marcs de referència globals per Govern de TI (COBIT) i Control Intern (COSO).