Salta el contingut

Anàlisi de Riscos i Planificació de la Securització

Proposta didàctica

En aquest bloc treballem el RA1: Dissenya plans de securització fent una anàlisi de riscos i incorporant bones pràctiques i estàndards reconeguts internacionalment.

Criteris d'avaluació

  • CA1.1 Identifica actius, amenaces i vulnerabilitats en un sistema d'informació.

  • CA1.2 Avalua les mesures de seguretat actuals implementades en el sistema.

  • CA1.3 Realitza una anàlisi de risc de la informació i dels sistemes de tractament de la informació.

  • CA1.4 Prioritza les mesures tècniques de seguretat a implantar (Economia Circular).

  • CA1.5 Dissenya un pla de mesures tècniques de seguretat seguint els principis de privacitat per disseny.

  • CA1.6 Aplica bones pràctiques i estàndards reconeguts internacionalment (CIS Benchmarks, NIST CSF, ISO 27001).

Continguts de referència

  1. Metodologia d'anàlisi de riscos
    • 1.1 MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información)
    • 1.2 ISO 31000: Gestió del risc
    • 1.3 OCTAVE i FAIR: metodologies alternatives
  2. Identificació d'actius
    • 2.1 Tipus d'actius: servidors, xarxes, dades, processos, persones
    • 2.2 Valoració d'actius (confidencialitat, integritat, disponibilitat)
  3. Inventari d'amenaces i vulnerabilitats
    • 3.1 Base de dades CVE i NVD
    • 3.2 CVSS (Common Vulnerability Scoring System)
    • 3.3 OWASP Top 10
  4. Matriu de riscos
    • 4.1 Càlcul de risc: probabilitat × impacte
    • 4.2 Riscos residuals i acceptació del risc
  5. Plans de securització
    • 5.1 Selecció i priorització de controls
    • 5.2 Economia Circular en ciberseguretat
    • 5.3 Privacitat per disseny (Privacy by Design)
  6. Estàndards internacionals
    • 6.1 CIS Controls v8 (18 controls)
    • 6.2 NIST Cybersecurity Framework (CSF 2.0)
    • 6.3 ISO/IEC 27001:2022

Questionari inicial

  1. Quina diferència hi ha entre risc, amenaça i vulnerabilitat?
  2. Quin és l'objectiu principal d'una anàlisi de riscos?
  3. Pots posar un exemple d'actiu crític en una empresa?
  4. Quins tres atributs s'utilitzen habitualment per valorar un actiu?
  5. Quin és el significat de la sigla MAGERIT?
  6. Quin organisme va publicar el NIST Cybersecurity Framework?
  7. Quina diferència hi ha entre un risc inherent i un risc residual?
  8. Quines cinc funcions defineix el NIST CSF?
  9. Que és el CVSS i per a qué serveix?
  10. Quin rang de puntuació utilitza el CVSS per classificar la gravetat?
  11. Quants controls principals inclou el CIS Controls v8?
  12. Quin és el principi de "Privacy by Design" i qui el va proposar?
  13. Quina diferència hi ha entre una mesura de seguretat preventiva i una detectiva?
  14. Quin és el propòsit d'un Pla de Continuïtat de Negoci (BCP)?
  15. Quina diferència hi ha entre anàlisi qualitativa i quantitativa del risc?
  16. Quin és el propòsit de la norma ISO/IEC 27001?
  17. Que és l'Economia Circular i com s'aplica en l'àmbit de la ciberseguretat?
  18. Qué és un actiu d'informació i com es diferencia d'un actiu físic?
  19. Quines tres opcions principals existeixen per tractar un risc identificat?
  20. Qué és un SGSI (Sistema de Gestió de la Seguretat de la Informació)?

Programació d'aula

Sessió Continguts Activitats CAs Treballats
1-4 Introducció, conceptes de risc i metodologies Debat: casos reals de bretxes de seguretat CA1.1, CA1.2
5-8 MAGERIT: identificació i valoració d'actius Inventari d'actius d'una empresa fictícia CA1.1, CA1.2
9-12 Amenaces, vulnerabilitats, CVE i CVSS Cerca CVEs en NVD, anàlisi CVSS CA1.1, CA1.3
13-16 Matriu de riscos i càlcul de risc Construcció matriu de riscos 5×5 CA1.3
17-20 Plans de securització i priorització Disseny pla de mesures per empresa fictícia CA1.4, CA1.5
21-22 CIS Controls, NIST CSF, ISO 27001 - avaluació Qüestionari i exercici integrador bloc 1 CA1.6

Introducció a la Gestió del Risc

Conceptes fonamentals

La gestió del risc en ciberseguretat és el procés sistemàtic per identificar, avaluar i tractar els riscos que afecten els actius d'informació d'una organització. Sense una gestió adequada del risc, les decisions de seguretat es prenen de manera reactiva i intuïtiva, en comptes de basant-se en evidències.

El cicle de gestió del risc s'articula al voltant d'uns conceptes clau que convé dominar des del principi:

Actiu: Qualsevol element que té valor per a l'organització i que cal protegir. Pot ser tangible (un servidor, un ordinador portàtil) o intangible (una base de dades de clients, la reputació de l'empresa).

Amenaça: Causa potencial d'un incident no desitjat. Les amenaces poden ser naturals (incendis, inundacions), accidentals (errors humans) o deliberades (atacs informàtics, espionatge). Una amenaça per si sola no és perillosa si no existeix una vulnerabilitat que pugui explotar.

Vulnerabilitat: Debilitat o fallada en un actiu que pot ser explotada per una amenaça. Pot ser tècnica (un servei desactualitzat amb un CVE conegut), organitzativa (falta de procediments) o humana (empleats sense formació).

Risc: La probabilitat que una amenaça exploti una vulnerabilitat causant un impacte negatiu. S'expressa habitualment com:

Risc = Probabilitat × Impacte

Impacte: Les conseqüències d'un incident de seguretat sobre la confidencialitat, integritat i disponibilitat dels actius (la tríada CIA).

flowchart LR
    A["🏢 Actiu\n(Servidor web)"] -->|exposat a| T["⚡ Amenaça\n(Atac DDoS)"]
    T -->|explota| V["🔓 Vulnerabilitat\n(sense protecció DDoS)"]
    V -->|causa| I["💥 Impacte\n(indisponibilitat del servei)"]
    A & T & V & I --> R["📊 RISC\n(Probabilitat × Impacte)"]

    style A fill:#4488cc,color:#fff
    style T fill:#cc4444,color:#fff
    style V fill:#cc8800,color:#fff
    style I fill:#cc0000,color:#fff
    style R fill:#880088,color:#fff

La tríada CIA

Tots els riscos d'informació s'analitzen en funció de tres dimensions:

  • Confidencialitat: La informació és accessible només a qui té autorització.
  • Integritat: La informació és precisa, completa i no ha estat modificada sense autorització.
  • Disponibilitat: La informació i els sistemes són accessibles quan es necessiten.

Metodologies d'Anàlisi de Riscos

MAGERIT

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) és la metodologia de referència en l'àmbit de les administracions públiques espanyoles, publicada pel Consell Superior d'Administració Electrònica (CSAE). La versió 3 és l'actual.

MAGERIT s'estructura en tres llibres:

  • Llibre I – El mètode: Defineix els passos del procés d'anàlisi i gestió de riscos.
  • Llibre II – Catàleg d'elements: Proporciona catàlegs de tipus d'actius, dimensions de seguretat, amenaces i salvaguardes.
  • Llibre III – Guia de tècniques: Proporciona tècniques per a l'estimació de l'impacte i la probabilitat.

Fases principals de MAGERIT:

  1. Planificació del projecte: Definició d'abast, objectives i equip.
  2. Anàlisi de riscos:
  3. Inventari d'actius i dependències
  4. Valoració d'actius en les dimensions CIA
  5. Identificació d'amenaces i estimació de la seva freqüència
  6. Estimació de l'impacte potencial
  7. Càlcul del risc
  8. Gestió del risc: Identificació de salvaguardes i avaluació del risc residual.
flowchart TD
    A["📋 Planificació del projecte"] --> B["🏢 Inventari d'actius"]
    B --> C["⚖️ Valoració d'actius\n(Confidencialitat, Integritat, Disponibilitat)"]
    C --> D["⚡ Identificació d'amenaces\n(catàleg MAGERIT)"]
    D --> E["🔓 Identificació de vulnerabilitats"]
    E --> F["📊 Càlcul de riscos\n(Probabilitat × Impacte)"]
    F --> G["🛡️ Selecció de salvaguardes"]
    G --> H["📉 Riscos residuals"]
    H --> I{Risc acceptable?}
    I -->|No| G
    I -->|Sí| J["📄 Pla de securització"]

    style A fill:#2266aa,color:#fff
    style F fill:#cc8800,color:#fff
    style J fill:#228822,color:#fff
    style I fill:#882288,color:#fff

ISO 31000 i ISO 27005

ISO 31000:2018 proporciona els principis i directrius generals per a la gestió del risc aplicables a qualsevol organització i sector. Estableix un marc de gestió del risc i un procés iteratiu de sis passos.

ISO/IEC 27005:2022 és l'estàndard específic per a la gestió del risc en la seguretat de la informació, alineat amb ISO 27001. Proporciona directrius per a l'anàlisi i tractament del risc.

OCTAVE i FAIR

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) és una metodologia desenvolupada per la Universitat Carnegie Mellon centrada en la perspectiva de l'organització (no únicament tècnica).

FAIR (Factor Analysis of Information Risk) és un marc per a l'anàlisi quantitativa del risc que permet expressar el risc en termes financers (cost probable per any, ALE - Annual Loss Expectancy), facilitant la presa de decisions basada en ROI de seguretat.

Miniactivitat

Cerca a la base de dades NVD (National Vulnerability Database) les 5 vulnerabilitats amb puntuació CVSS més alta (score 10.0) de l'últim mes. Per a cadascuna, identifica:

  • El component afectat
  • El tipus d'impacte (confidencialitat, integritat, disponibilitat)
  • Si existeix un exploit públic (PoC)
  • Si hi ha pegat disponible

Identificació i Valoració d'Actius

Tipus d'actius

El catàleg d'actius de MAGERIT classifica els actius en les categories següents:

Codi Tipus Exemples
S Serveis Servei de correu electrònic, servei web, ERP
SW Aplicacions Sistema operatiu, SGBD, aplicació de nòmines
HW Equipament Servidors, switches, portàtils, telèfons
COM Comunicacions Xarxa LAN, connexió a Internet, VPN
SI Suports Discos durs, NAS, cintes de backup
AUX Infraestructura CPD, climatitzadors, SAI (UPS)
P Persones Administradors, usuaris, personal extern
L Instal·lacions Edificis, oficines, centres de dades
I Informació Dades de clients, propietat intel·lectual

Valoració de la tríada CIA

Cada actiu s'ha de valorar en funció de les tres dimensions de seguretat:

Escala Valor Descripció
Molt alt 10 Impacte catastròfic: fallida de l'organització
Alt 7-9 Impacte greu: pèrdues importants, dany reputacional
Mig 4-6 Impacte moderat: afecta operacions, recuperable
Baix 1-3 Impacte lleu: molèstia, fàcilment recuperable
Negligible 0 Sense impacte apreciable

Exemple de valoració d'actius:

Actiu Confidencialitat Integritat Disponibilitat Valoració global
Base de dades de clients 10 9 7 10
Servidor de correu 7 8 9 9
Servidor web públic 3 7 9 9
Portàtil d'un empleat 6 5 4 6
Connexió a Internet 2 3 9 9
Impressores de xarxa 2 2 3 3

Dependències entre actius

Un actiu pot heretar el valor d'un altre del qual depèn. Per exemple, si la base de dades de clients té valor 10, el servidor que l'allotja té almenys el mateix valor. Documentar les dependències és essencial per no infravalorar actius d'infraestructura.


Inventari d'Amenaces i Vulnerabilitats

La base de dades CVE

CVE (Common Vulnerabilities and Exposures) és un sistema estandarditzat d'identificació de vulnerabilitats conegudes en productes de programari i maquinari. Cada vulnerabilitat rep un identificador únic amb el format:

CVE-[any]-[número seqüencial]
Exemples: CVE-2021-44228 (Log4Shell), CVE-2023-23397 (Outlook)

NVD (National Vulnerability Database) és la base de dades del NIST que enriqueix els CVEs amb informació addicional: puntuació CVSS, tipus CWE, referències i informació sobre pegats.

CVSS: Puntuació de Gravetat

El CVSS (Common Vulnerability Scoring System) és un estàndard per avaluar la gravetat de les vulnerabilitats. La versió actual és CVSS v3.1.

El càlcul es basa en tres grups de mètriques:

Mètriques base (descriu les característiques intrínseques de la vulnerabilitat): - Vector d'atac (xarxa, adjacent, local, físic) - Complexitat de l'atac (baixa, alta) - Privilegis necessaris (cap, baix, alt) - Interacció de l'usuari (cap, requerida) - Abast (sense canvi, canviat) - Impacte en Confidencialitat/Integritat/Disponibilitat (cap, baix, alt)

Puntuació CVSS i classificació:

Puntuació Gravetat Color
0.0 Cap Blanc
0.1 - 3.9 Baixa Verd
4.0 - 6.9 Mitjana Groc
7.0 - 8.9 Alta Taronja
9.0 - 10.0 Crítica Vermell

CVE-2021-44228 – Log4Shell (CVSS 10.0)

Log4Shell és una de les vulnerabilitats més crítiques de la dècada. Afecta la biblioteca Java Log4j2 i permet l'execució remota de codi (RCE) simplement enviant una cadena maliciosa en qualsevol camp que sigui registrat. Milers de serveis arreu del món es van veure afectats. La gravetat màxima (10.0) reflectia que era trivial d'explotar remotament sense autenticació i permetia control complet del sistema.

OWASP Top 10

L'OWASP Top 10 és la llista de les deu categories de risc de seguretat d'aplicacions web més crítiques, publicada per l'Open Web Application Security Project. La versió 2021 inclou:

# Categoria
A01 Control d'accés trencat (Broken Access Control)
A02 Fallades criptogràfiques
A03 Injecció (SQL, comandaments OS, LDAP)
A04 Disseny insegur
A05 Configuració de seguretat incorrecta
A06 Components vulnerables i obsolets
A07 Fallades d'identificació i autenticació
A08 Fallades en integritat de dades i programari
A09 Fallades en registre i monitorització
A10 Falsificació de peticions del servidor (SSRF)

Miniactivitat

Escull una empresa del teu entorn proper (una empresa local, un ajuntament, o la pròpia escola). Fes un inventari inicial de 10 actius d'informació classificats per tipus. Per a cada actiu, valora les tres dimensions CIA en una escala de 0 a 10 i justifica la puntuació. Presenta els resultats en una taula.


Matriu de Riscos

Construcció de la matriu de riscos

La matriu de riscos (o mapa de calor de riscos) és una eina visual que permet representar i prioritzar els riscos identificats. Cada risc es posiciona en una matriu de dues dimensions:

  • Eix vertical: Impacte (1-5 o 1-10)
  • Eix horitzontal: Probabilitat (1-5 o 1-10)

Matriu de riscos 5×5 estàndard:

IMPACTE
   5 |  5 | 10 | 15 | 20 | 25 |
   4 |  4 |  8 | 12 | 16 | 20 |
   3 |  3 |  6 |  9 | 12 | 15 |
   2 |  2 |  4 |  6 |  8 | 10 |
   1 |  1 |  2 |  3 |  4 |  5 |
     |  1 |  2 |  3 |  4 |  5 |  PROBABILITAT

Zones:
  1-4:  Risc BAIX (verd) - Acceptar o monitoritzar
  5-9:  Risc MODERAT (groc) - Reduir amb controls
  10-14: Risc ALT (taronja) - Reducció urgent
  15-25: Risc CRÍTIC (vermell) - Eliminació o mitigació immediata

Tractament del risc

Un cop identificats i valorats els riscos, cal decidir com tractar-los:

Evitar el risc: Eliminar l'activitat o l'actiu que genera el risc. Per exemple, desactivar un servei web que no s'utilitza però que presenta vulnerabilitats.

Reduir/Mitigar el risc: Implementar controls que redueixin la probabilitat o l'impacte. Per exemple, aplicar pegats de seguretat per reduir la probabilitat d'explotació d'un CVE.

Transferir el risc: Traslladar el risc a un tercer. Per exemple, contractar una assegurança de ciberseguretat o externalitzar un servei a un proveïdor que assumeix la responsabilitat.

Acceptar el risc: Reconèixer que el risc existeix però que el cost de mitigar-lo supera el benefici. Aquesta decisió ha de ser documentada i aprovada per la direcció.

Risc residual

Cap mesura de seguretat elimina completament un risc. El risc que queda després d'aplicar controls s'anomena risc residual. L'organització ha de definir quin nivell de risc residual és acceptable (apetit de risc).

Miniactivitat

Utilitza la matriu de riscos per avaluar cinc riscos potencials d'un sistema d'informació escolar (instituts, plataforma Moodle, xarxa WiFi, etc.). Per a cada risc:

  1. Descriu l'amenaça i la vulnerabilitat associada
  2. Estima la probabilitat (1-5) i l'impacte (1-5)
  3. Calcula el risc i situa'l a la matriu
  4. Proposa una mesura de tractament

Plans de Securització

Estructura d'un pla de mesures

Un pla de securització és el document que recull les mesures de seguretat que l'organització ha decidit implementar per tractar els riscos identificats. Inclou:

  1. Diagnòstic inicial: Estat actual de la seguretat
  2. Objectius de seguretat: Nivell de seguretat que es vol assolir
  3. Mesures identificades: Llista de controls a implementar
  4. Priorització: Ordenació per risc, cost i dificultat d'implementació
  5. Pla d'acció: Calendari, responsables i recursos necessaris
  6. Indicadors: Mètriques per mesurar l'efectivitat dels controls
  7. Seguiment i revisió: Procés de revisió periòdica

Economia Circular en ciberseguretat

L'Economia Circular en l'àmbit de la ciberseguretat implica considerar el cicle de vida complet dels dispositius i sistemes des d'una perspectiva de seguretat i sostenibilitat:

Disseny segur des del principi (Secure by Design): Incorporar la seguretat des de les primeres fases del disseny de sistemes i productes, evitant afegir-la com una capa posterior costosa.

Reutilització segura: Quan es reutilitzen dispositius o sistemes, garantir que han estat adequadament sanititzats (esborrat segur de dades, reinstal·lació del sistema operatiu, actualització de firmware).

Eliminació segura: Al final de la vida útil d'un dispositiu que ha emmagatzemat dades sensibles, aplicar procediments d'esborrat segur (DoD 5220.22-M, sobreescriptura múltiple) o destrucció física abans del reciclatge.

Actualitzacions i pegats: Mantenir els sistemes actualitzats és una mesura de seguretat fonamental i un acte de responsabilitat (un sistema vulnerable pot ser usat per atacar tercers).

Principi de Privacitat per Disseny (Privacy by Design)

Introduït per Ann Cavoukian als anys 90 i incorporat al RGPD europeu, estableix 7 principis:

  1. Proactiu, no reactiu; preventiu, no correctiu
  2. La privacitat com a configuració per defecte
  3. La privacitat integrada en el disseny
  4. Funcionalitat total (no suma zero)
  5. Seguretat de principi a fi
  6. Visibilitat i transparència
  7. Respecte per la privacitat de l'usuari

Estàndards Internacionals de Referència

CIS Controls v8

Els CIS Controls (Center for Internet Security) són un conjunt de 18 accions de seguretat prioritzades, organitzades en tres grups per nivell de maduresa organitzativa:

Grup 1 – Higiene bàsica de ciberseguretat (per a qualsevol organització):

Control Nom
CIS-1 Inventari i control d'actius empresarials
CIS-2 Inventari i control d'actius de programari
CIS-3 Protecció de dades
CIS-4 Configuració segura d'actius i programari
CIS-5 Gestió de comptes
CIS-6 Gestió del control d'accés

Grup 2 – Fonaments (per a organitzacions amb recursos de TI):

Control Nom
CIS-7 Gestió contínua de vulnerabilitats
CIS-8 Gestió dels registres d'auditoria
CIS-9 Protecció del correu electrònic i navegadors web
CIS-10 Defenses contra malware
CIS-11 Recuperació de dades
CIS-12 Gestió d'infraestructura de xarxa
CIS-13 Supervisió i defensa de la xarxa
CIS-14 Conscienciació i formació en seguretat

Grup 3 – Organitzacional (per a organitzacions madures):

Control Nom
CIS-15 Gestió de proveïdors de serveis
CIS-16 Seguretat del programari d'aplicació
CIS-17 Gestió de respostes a incidents
CIS-18 Tests de penetració

NIST Cybersecurity Framework (CSF 2.0)

El NIST CSF és un marc voluntari publicat pel National Institute of Standards and Technology dels EUA. La versió 2.0 (2024) organitza la ciberseguretat en sis funcions:

graph LR
    GV["GOVERN\n🏛️\nEstratègia, política\ni gestió del risc"]
    ID["IDENTIFICAR\n🔍\nActius, riscos\ni vulnerabilitats"]
    PR["PROTEGIR\n🛡️\nControls preventius\ni accés"]
    DE["DETECTAR\n👁️\nMonitorització\ni detecció"]
    RS["RESPONDRE\n🚒\nAnàlisi i\nmitigació"]
    RC["RECUPERAR\n🔄\nRestauració\ni millora"]

    GV --> ID
    ID --> PR
    PR --> DE
    DE --> RS
    RS --> RC
    RC --> ID

    style GV fill:#6644aa,color:#fff
    style ID fill:#2266cc,color:#fff
    style PR fill:#228844,color:#fff
    style DE fill:#cc8800,color:#fff
    style RS fill:#cc4400,color:#fff
    style RC fill:#446688,color:#fff

ISO/IEC 27001:2022

ISO/IEC 27001 és l'estàndard internacional per als Sistemes de Gestió de la Seguretat de la Informació (SGSI). La versió 2022 inclou 93 controls organitzats en quatre categories:

  • Controls organitzatius (37 controls): Polítiques, rols, gestió d'actius...
  • Controls per a persones (8 controls): Formació, conscienciació, investigació de candidats...
  • Controls físics (14 controls): Seguretat de les instal·lacions, maquinari...
  • Controls tecnològics (34 controls): Criptografia, seguretat en xarxes, gestió de vulnerabilitats...

La certificació ISO 27001 és un dels senyals de confiança més reconeguts en l'àmbit empresarial i és cada cop més requerida en concursos públics i contractes amb grans empreses.

Miniactivitat

Compara el CIS Control 4 (Configuració segura d'actius) amb el control ISO 27001 A.8.9 (Gestió de la configuració). Identifica les similituds i diferències en abast, detall tècnic i orientació. Quins avantatges té usar tots dos de manera complementària?


Cas Pràctic: Anàlisi de Riscos d'una PIME

Context

Empresa "Tecnologies SA" – PIME de 25 empleats dedicada al disseny web i màrqueting digital. Tenen: - Servidor web allotjat en un VPS (Ubuntu 20.04 sense actualitzar des de fa 14 mesos) - Servidor intern de fitxers (Windows Server 2016) accessible per SMB - CRM basat en web (Odoo) amb accés d'empleats des de casa - WiFi d'oficina sense segmentació (empleats, visites i dispositius IoT a la mateixa xarxa) - Còpies de seguretat manuals setmanals a un disc dur extern a l'oficina

Exercici complet

Aplica la metodologia MAGERIT per a aquesta empresa:

  1. Identifica els actius principals (mínim 8) i valora la tríada CIA per a cada un.
  2. Identifica amenaces per a cada actiu (consulta el catàleg MAGERIT o MITRE ATT&CK).
  3. Busca CVEs rellevants per als sistemes identificats (Ubuntu 20.04, Windows Server 2016, Odoo).
  4. Construeix una matriu de riscos 5×5 amb els 5 riscos que consideres més significatius.
  5. Proposa un pla de mesures prioritzat per als tres riscos crítics, incloent-hi el cost estimat i el temps d'implementació.

Recursos i Eines

Eines d'anàlisi de riscos

  • PILAR (Procedimiento Informático-Lógico para el Análisis de Riesgos): Eina oficial MAGERIT del Ministeri d'Hisenda d'Espanya
  • OpenFAIR: Implementació de codi obert del marc FAIR
  • RiskLens: Plataforma comercial per a anàlisi quantitativa del risc

Bases de dades de vulnerabilitats

Documents oficials