05. la fase planificar
DESCRIPTION
ISo01TRANSCRIPT
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Fundamentos de la Norma ISO
27001 para la Gestión de la
Seguridad de la Información
Módulo 5 – La fase Planificar
Expositor: Víctor Reyna Vargas
Ingeniero de Sistemas
1
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce la fase Planificar.
Alcance del SGSI.
Política del SGSI.
Enfoque de Evaluación de Riesgos.
Evaluación de Riesgos.
Análisis de Riesgos de nivel MACRO.
Análisis de Riesgos de nivel MICRO.
Enunciado de Aplicabilidad.
2
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Mike está preparándose para una reunión…
3
Hola Mike. Se te ve
ocupado. Hola, ha pasado
tiempo. Sí, he estado
ocupado tratando de
estructurar un camino
para empezar la
implementación de la
ISO 27001.
Ayúdame a recordar,
qué era el modelo
PHVA?
PHVA significa
Planificar, Hacer,
Verificar-Actuar.
Recuerda lo que te
dije antes…la ISO
27001 sigue el
modelo PHVA.
Gracias. Me puedes
decir cómo puedo
utilizar el modelo
PHVA para la ISO
27001?
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Recordando la ISO 27001 y el modelo PHVA…(1)
4
Hola Mike. Se te ve
ocupado.
Déjame explicarte el
modelo PHVA.
En la fase
PLANFICAR usamos
los hallazgos del
Análisis de Brechas y
damos inicio a la ISO
27001.
Parece bastante
trabajo.
Bueno, no es tan
difícil como podría ser
pero sí, la fase
PLANIFICAR es la
más importante de las
4 fases. Es por eso
que toma más tiempo
inicialmente.
Esto involucra la
definición del alcance
de la implementación,
la identificación de los
activos de información
críticos y la ejecución
de un análisis de
riesgos.
Sí, la planificación
debe ser apropiada.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Recordando la ISO 27001 y el modelo PHVA…(2)
5
Ok. Suena lógico y
tiene un flujo
apropiado. Así es. Déjame
contarte acerca de la
fase PLANIFICAR.
En la fase HACER
mitigamos los riesgos.
En la fase
VERIFICAR vemos
que tan efectivas han
sido las estrategias de
mitigación de riesgos.
En la fase ACTUAR
corregimos y
afinamos las
estrategias de
mitigación.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Mike y la fase PLANIFICAR
6
Gracias. Ahora tengo
una idea global. Me
puedes explicar la
fase PLANIFICAR en
detalle?
Así es. Y lo importante,
con el Análisis de
Brechas que haz hecho
ya haz iniciado el
proceso.
Claro. La fase
PLANIFICAR consiste:
1. Identificar el alcance
de la implementación
del SGSI.
2. Definir el Enfoque de
Tratamiento de
Riesgos.
3. Ejecutar el Análisis
de Riesgos.
4. Crear el Plan de
Tratamiento de
Riesgos y obtener la
aprobación de la
Gerencia.
5. Crear el Enunciado
de Aplicabilidad.
Eso no lo sabía.
Suena interesante.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce la fase Planificar.
Alcance del SGSI.
Política del SGSI.
Enfoque de Evaluación de Riesgos.
Evaluación de Riesgos.
Análisis de Riesgos de nivel MACRO.
Análisis de Riesgos de nivel MICRO.
Enunciado de Aplicabilidad.
7
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Modelo PHVA
8
SGSI
P
V
H A
1. Definir el Alcance del SGSI.
2. Definir la Política del SGSI.
3. Definir el Enfoque de Evaluación
de Riesgos de la organización.
4. Identificar los riesgos.
5. Analizar las opciones para tratar
los riesgos.
6. Seleccionar los controles y los
objetivos de control para el
tratamiento de los riesgos.
7. Obtener de la Alta Gerencia la
aprobación y la autorización para
el tratamiento de riesgos y
riesgos residuales.
8. Preparar la “Declaración de
Aplicabilidad”.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Primera GRAN decisión en la implementación de un SGSI
El alcance determina exactamente lo que se va a proteger.
El enunciado del alcance es un documento público, es decir, es
visible a tus clientes, tus socios, tus empleados, el Gobierno y otras
partes interesadas.
Asegúrate de definir el alcance con cuidado.
9
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Qué comunica el Alcance?
Cuáles son las funciones del
negocio que son importantes
para tu organización.
Cuáles son los sistemas de
información e información que
van a ser protegidas para
ejecutar estas funciones del
negocio.
Las ubicaciones geográficas
donde se aplica el alcance.
Las exclusiones (cuáles son los
sistemas de información que no
serán protegidos).
10
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
El Alcance es MUY importante…
11
El alcance será
impreso en el
certificado ISO 27001
de tu organización.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Características de un buen alcance (1)
Considera la naturaleza del
negocio de la organización.
Protege los procesos más
estratégicos del negocio.
Por ejemplo:
Una agencia de publicidad podría
escoger proteger sus diseños
creativos y los datos de los clientes.
Un BPO podría escoger proteger la
TI y los Sistemas de Información
asociados.
12
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Características de un buen alcance (2)
Las ubicaciones específicas que
están cubiertas por el alcance.
Por ejemplo, si la organización
tiene 10 sucursales y una oficina
principal, el alcance debería
mencionar claramente si:
Sólo la oficina principal será cubierta.
La oficina principal y todas las
sucursales serán cubiertas.
La oficina principal y algunas sucursales
serán cubiertas.
Sólo algunas sucursales serán
cubiertas.
Etc…
13
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Características de un buen alcance (3)
Los procesos del negocio y los
sistemas de información asociados
que no estarán cubiertos.
El motivo por el que están
excluidos.
Nota. No es obligatorio mencionar
las exclusiones en el enunciado del
alcance pero debe estar
documentado en algún lugar para
mostrarlas a los auditores o partes
interesadas.
14
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Cómo decidir qué incluir o excluir?
Puedes incluir una función del negocio si es
muy importante.
15
Puedes excluir una función del negocio si no es
importante o si tienes una razón válida (falta de
recursos, tiempo, recién inaugurada, etc.)
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo – Enunciado del Alcance 1
16
El Enunciado del Alcance
El Sistema de Gestión de la Seguridad de la Información se
despliega para proteger la información del negocio utilizada
para la fabricación y venta de televisores. Esta información
es utilizada por las divisiones de Finanzas, Recursos
Humanos, Investigación y Desarrollo, Ventas y Marketing de
ACME Inc., #1, North Block, Race Course Drive, New Delhi,
India.
Nombre de la organización – ACME Inc., New Delhi, India
Tipo de negocio – Fabricación y venta de televisores
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo – Enunciado del Alcance 2
17
El Enunciado del Alcance
Para la protección de la información y los sistemas de
información utilizados para el procesamiento de datos,
almacenamiento de datos, administración de redes y
sistemas para la entrega de los servicios de TI de
ProSolutions, Ho Chi Minh City, Vietnam.
Nombre de la organización – ProSolutions, Ho Chi Minh City,
Vietnam
Tipo de negocio – Empresa de Servicios TI
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo – Enunciado del Alcance 3
18
El Enunciado del Alcance
Creative Media ha desplegado el Sistema de Gestión de la
Seguridad de la Información para proteger la información
licenciada y con derechos de autor utilizada por el
departamento de “Diseño & Productos” para la creación de
publicidad para nuestros clientes. El Sistema de Gestión de
la Seguridad de la Información está en Creative Media, New
Drive, Boston, USA.
Nombre de la organización – Creative Media, Boston, USA
Tipo de negocio – Empresa de Consultoría en Publicidad
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo – Enunciado del Alcance 4
19
El Enunciado del Alcance
City Hospital, London, UK ha desplegado el Sistema de
Gestión de la Seguridad de la Información para proteger los
registros de salud de los paciones de la divulgación y
modificación no autorizada.
Nombre de la organización – City Hospital, London, UK
Tipo de negocio – Hospital Médico
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Alcance pictórico
20
Exclusiones (Qué NO es
parte del alcance?)
Inclusiones (Qué es parte
del alcance?)
Nombre de la
organización
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ventajas de un Alcance pictórico
Ayuda a visualizar el alcance antes de colocarlo en palabras.
Explica claramente las “Exclusiones” y las “Inclusiones”.
Fácil de explicar a la Alta Gerencia, Clientes y Auditores.
21
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Caso de Estudio 1: Escribiendo el alcance de un SGSI
para una organización de Servicios de TI (1)
Paso 1 – Identificar las principales funciones del negocio y decir qué
excluir y qué incluir.
22
Función del
Negocio Propósito
Excluir o
Incluir Motivo
Servicios del
Centro de Datos
Proporcionar almacenamiento y
transferencia de datos.
Incluir Servicio principal
Recursos
Humanos
Contratar y gestionar al personal necesario
para operar los servicios.
Incluir
Servicio esencial
Finanzas y
Contabilidad
Facturar a los clientes, gestionar el flujo de
fondos, pagar facturas y salarios, etc.
Incluir
Servicio esencial
Administración Mantener y dar mantenimiento a las
instalaciones.
Incluir
Servicio esencial
Marketing Proporcionar información acerca de los
servicios.
Excluir Actualmente
tercerizado, será
incluido el siguiente
año
Ventas Vender servicios principales. Incluir Servicio esencial
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Caso de Estudio 1: Escribiendo el alcance de un SGSI
para una organización de Servicios de TI (2)
Paso 2 – Dibujar el alcance pictórico basándose en los datos
recolectados en el Paso 1.
23
Exclusiones
Marketing
Inclusiones
Servicios del
Centro de Datos
Ventas
Administración
Recursos
Humanos
Finanzas y
Contabilidad
ProSolutions
Servicios TI
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Caso de Estudio 1: Escribiendo el alcance de un SGSI
para una organización de Servicios de TI (3)
Paso 3 – Escribir el Alcance.
24
ProSolutions Servicios TI ha diseñado e implementado el
Sistema de Gestión de la Seguridad de la Información para
proteger la información utilizada para proporcionar servicios
de TI esenciales. El SGSI se aplica a la oficina principal de
ProSolutions Servicios TI en #1, South Drive, New Jersey,
USA.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Caso de Estudio 1: Escribiendo el alcance de un SGSI
para una organización de Servicios de TI (4)
Paso 4 – Explicar claramente las exclusiones.
25
La función del negocio de Marketing ha sido tercerizada a
“M-outsourcing Inc.”. ProSolutions Servicios TI actualmente
está en el proceso de explicar y entrenar a “M-outsourcing
Inc.” en las políticas de seguridad de la información a seguir
por ProSolutions. Una vez que este se complete, “M-
outsourcing Inc.” tendrá un período de 6 meses para
cumplir con las políticas de seguridad de la información de
ProSolutions. Luego de esto, la función del negocio de
Marketing será adicionada al Alcance del SGSI.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Cuando excluyes algo del
alcance, no te olvidas de esto
sino que haces todo lo posible
para protegerlo lo mejor posible.
No es necesario que las
“Exclusiones” tengan que ser
publicadas.
Pero deberían estar
documentadas y explicadas in
caso de consultas de los
gerentes, clientes, auditores y/u
otras partes interesadas.
Importante
26
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Caso de Estudio 2: Escribiendo el alcance de un SGSI
para una organización e-Learning (1)
27
Paso 1 – Identificar las principales funciones del negocio y decir qué
excluir y qué incluir.
Función del
Negocio Propósito
Excluir o
Incluir Motivo
Desarrollo de
Contenidos
Generar contenido e-Learning. Incluir Servicio principal
Control de
Calidad
Revisar que el contenido sea exacto,
utilizable, etc.
Incluir Servicio esencial
Finanzas y
Contabilidad
Gestionar el sistema en-línea de facturación
y pagos.
Incluir Servicio esencial
Alojamiento de
Servidores de
Contenido E-
Learning
Dar mantenimiento a los servidores e-
Learning.
Excluir Alojado por un
proveedor externo
Marketing Crear folletos, brochures y videos acerca del
contenido.
Incluir Servicio esencial
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Caso de Estudio 2: Escribiendo el alcance de un SGSI
para una organización e-Learning (2)
28
Paso 1 – Dibujar el alcance pictórico basándose en los datos
recolectados en el Paso 1.
Exclusiones Alojamiento de Servidores de
Contenido E-Learning
Inclusiones
Desarrollo de
Contenidos
Marketing Control de
Calidad
Finanzas y
Contabilidad
Genesis e-
Learning Inc.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Caso de Estudio 2: Escribiendo el alcance de un SGSI
para una organización e-Learning (3)
Paso 3 – Escribir el Alcance.
29
Para proteger la información y los activos de información
que se utilizan para crear, entregar y gestionar los servicios
e-Learning de Genesis e-Learning Inc., North-West Drive,
Michigan, USA.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Caso de Estudio 2: Escribiendo el alcance de un SGSI
para una organización e-Learning (4)
Paso 4 – Explicar claramente las exclusiones.
30
La función del negocio “Alojamiento de Contenido” ha sido
tercerizada a “Excellent Hosting Services”. Genesis e-
Learning Inc. tiene control limitado sobre la infraestructura
de seguridad de la información de “Excellent Hosting
Services”. A pesar de esto, Genesis ha tomado las
siguientes medidas en los servidores que alojan el
contenido e-Learning. Estas medidas son: endurecer el
servidor, alojar un firewall interno en el servidor, conducir
pruebas de penetración mensual, parchar y actualizar
regularmente. Además de esto, Genesis ha firmado un
AND (Acuerdo de No Divulgación) con “Excellent Hosting
Services”.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce la fase Planificar.
Alcance del SGSI.
Política del SGSI.
Enfoque de Evaluación de Riesgos.
Evaluación de Riesgos.
Análisis de Riesgos de nivel MACRO.
Análisis de Riesgos de nivel MICRO.
Enunciado de Aplicabilidad.
31
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Modelo PHVA
32
SGSI
P
V
H A
1. Definir el Alcance del SGSI.
2. Definir la Política del SGSI.
3. Definir el Enfoque de Evaluación
de Riesgos de la organización.
4. Identificar los riesgos.
5. Analizar las opciones para tratar
los riesgos.
6. Seleccionar los controles y los
objetivos de control para el
tratamiento de los riesgos.
7. Obtener de la Alta Gerencia la
aprobación y la autorización para
el tratamiento de riesgos y
riesgos residuales.
8. Preparar la “Declaración de
Aplicabilidad”.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Definiciones
Política. Plan de acción que guía las decisiones y que logra los
objetivos.
Política de Seguridad de la Información. Documento que establece
por escrito “por qué” y “cómo” una organización planea proteger su
información y sus activos de información
Procedimiento. Instrucciones paso a paso de cómo implementar la
política.
Guía. Versiones amigables de un procedimiento que hace fácil para
una persona normal entender e implementar los procedimientos.
Nota. Algunas veces, las personas utilizan los términos
“Procedimiento y Guía” de manera intercambiable.
33
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Colocando todo junto…
Política.
Te dice que hacer.
Ejemplo: Los sistemas del negocio contienen información sensible. Todos los
sistemas sensibles tendrán controles de acceso adecuados.
Procedimiento.
Te dice cómo hacerlo.
Ejemplo: El control de acceso por defecto deberá ser contraseña con un mínimo de
8 caracteres alfa numéricos.
Guía.
Proporciona instrucciones amigables para ejecutar el procedimiento.
Ejemplo: Consejos y trucos para escoger una contraseña fuerte utilizando 8
caracteres alfa numéricos.
34
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Importancia de la Política del SGSI
La política del SGSI es la ventana a través de la cual el mundo ve tu
SGSI.
La política del SGSI demuestra la visión y el compromiso de la
organización hacia la protección de la información y los activos de
información.
La política del SGSI establece el ritmo a seguir por el resto de la
organización para proteger la información y los activos de información
del negocio.
35
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Estructura Jerárquica
36
Política Principal de Seguridad de la
Información (Manual del SGSI)
Políticas específicas al usuario final
Guías y
procedimientos
Políticas específicas a la función del negocio
Guías y
procedimientos
Políticas técnicas
Guías y
procedimientos
Enunciado de
la Política
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Política Principal o Manual del SGSI
1. Introducción. Explica por qué la organización implementa un SGSI y
el compromiso hacia el SGSI.
2. Razón para la adopción de la ISO 27001 como estándar del SGSI.
3. El Enunciado del Alcance.
4. El Equipo de Gestión de la Seguridad de la Información (o el FGSI).
5. El modelo de implementación del SGSI (el enfoque PHVA).
6. La lista de política y procedimientos específicos para apoyar el
SGSI.
7. Frecuencia de la revisión de la política.
8. Resumen.
37
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Enunciado de la Política
Un enunciado de la Política es una versión breve y resumida de la
política de Seguridad de la Información.
El enunciado de la Política se utiliza usualmente para publicarla en el
sitio web de la organización, mostrarla en ubicaciones estratégicas
como el salón de recepción de visitantes o la publicidad de la
empresa.
El enunciado de la Política es firmada usualmente por el Gerente
General de la organización.
El enunciado de la Política es una buena herramienta de marketing
así como de construcción de confianza.
38
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Políticas Específicas
Las políticas específicas son un sub-conjunto de la Política Principal.
Existen para apoyar la Política Principal.
Por ejemplo:
La Política Principal especifica que todos los sistemas sensibles tendrán habilitados
los controles de accesos.
Para apoyar esto, nosotros creamos una “Política de Control de Accesos”.
La Política de Control de Accesos cubrirá “Gestión de Contraseñas, Gestión de
Tarjetas de Acceso, Bio-Métricas, Controles de Acceso Físico como cerraduras y
llaves, etc”.
39
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo – Estructura de una Política de Control de Acceso
1. Sección 1. Objetivo de la política – Para asegurar que todos los
sistemas sensibles se protejan de accesos no autorizados.
2. Sección 2. Políticas Específicas.
1. Política de Contraseñas – Explica el propósito de utilizar y proteger las
contraseñas para el acceso a los sistemas de computación.
2. Política de Tarjetas de Acceso – Explica el propósito de utilizar y proteger las
tarjetas de acceso electrónicas para ingresar a las instalaciones.
3. Controles de Acceso Físico – Explica el propósito de utilizar y proteger las
cerraduras y llaves utilizadas para cerrar las cabinas y cuartos.
40
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Procedimientos y Guías
Explica al usuario de una manera amigable cómo lograr los objetivos
establecidos por una determinada política.
Ejemplo:
Procedimientos y guías para escoger contraseñas fuertes.
Procedimientos y guías para proteger las tarjetas de acceso electrónico de un mal
uso.
Procedimientos y guías para proteger las dispositivos de computación móviles.
41
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Taller 04: Alcance del SGSI
42
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce la fase Planificar.
Alcance del SGSI.
Política del SGSI.
Enfoque de Evaluación de Riesgos.
Evaluación de Riesgos.
Análisis de Riesgos de nivel MACRO.
Análisis de Riesgos de nivel MICRO.
Enunciado de Aplicabilidad.
43
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Nota!!!
44
Utilizaremos los términos
“Evaluación de Riesgos” y “Análisis
de Riesgos” de manera
intercambiable. Ambos significan lo
mismo en el contexto de este curso.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Modelo PHVA
45
SGSI
P
V
H A
1. Definir el Alcance del SGSI.
2. Definir la Política del SGSI.
3. Definir el Enfoque de
Evaluación de Riesgos de la
organización.
4. Identificar los riesgos.
5. Analizar las opciones para tratar
los riesgos.
6. Seleccionar los controles y los
objetivos de control para el
tratamiento de los riesgos.
7. Obtener de la Alta Gerencia la
aprobación y la autorización para
el tratamiento de riesgos y
riesgos residuales.
8. Preparar la “Declaración de
Aplicabilidad”.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Definiciones
Activo (de Información). Información de valor que es poseída y/o
utilizada por una organización (Nota. Utilizaremos el término Activo
en el resto de este curso).
Vulnerabilidad. Una debilidad en el activo que puede ser explotada.
Amenaza. Un agente o evento que puede explotar la vulnerabilidad.
Impacto. La consecuencia (daño) si la amenaza explota la
vulnerabilidad.
Probabilidad de ocurrencia. La posible cantidad de veces que la
amenaza puede explotar la vulnerabilidad en un período de tiempo.
Riesgo. El impacto final expresado en términos matemáticos que
combina:
El valor del activo.
La probabilidad de ocurrencia (amenaza explotando la vulnerabilidad).
El impacto de la amenaza explotando la vulnerabilidad.
46
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Las definiciones en términos prácticos…
47
Amenaza: Un ladrón
en el vecindario Activo: Automóvil Vulnerabilidad: La
cerradura de la puerta no
funciona apropiadamente
y no hay una alarma
Impacto: Pérdida financiera, tensión mental,
pérdida de tiempo
Probabilidad de ocurrencia: Una vez en 5 años
Riesgo: Valor del Activo * Impacto * Probabilidad de Ocurrencia
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Otro ejemplo…
48
Amenaza: Malware
como gusanos,
virus, troyanos
Activo: Computadora que
almacena información del
negocio
Vulnerabilidad: El anti-
virus no se actualiza
constantemente
Impacto: Pérdida de datos, pérdida financiera,
tensión mental, pérdida de tiempo
Probabilidad de ocurrencia: Una vez en 2 años
Riesgo: Valor del Activo * Impacto * Probabilidad de Ocurrencia
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Definición de la Evaluación de Riesgos
49
El proceso de identificación de
riesgos utilizando un
“enfoque” predefinido.
En este caso, utilizaremos un
“enfoque” predefinido para
identificar los riesgos a la
seguridad de la información.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
El Enfoque de Evaluación de Riesgos
50
Enfoque: Evaluación
de riesgos basada
en los activos
Ventaja: Lograr un
entendimiento
específico de los
riesgos que afectan
los activos
individuales. Personas Activos de
Información
Funciones del Negocio: Ventas, RRHH,
Soporte, Control de Calidad, etc.
Evaluar los riesgos de los activos de información en
cada departamento dentro del alcance.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Cómo hacer la Evaluación de Riesgos “basada en los
Activos”?
1. Identificar las funciones del negocio dentro del alcance.
2. Listar e identificar el valor de los activos en cada función del negocio.
3. Identificar las amenazas que pueden afectar al activo.
4. Identificar las vulnerabilidades que puede ser explotadas por las
amenazas.
5. Identificar el impacto.
6. Identificar la probabilidad de ocurrencia.
7. Calcular el riesgo.
51
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
El enlace entre del Análisis de Brechas, el Análisis de
Riesgos y el Tratamiento de Riesgos
52
Plan de Tratamiento de
Riesgos
Informe del Análisis
de Brechas Informe del Análisis
de Riesgos
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ventaja del Análisis de Brechas
53
Obtener un entendimiento
global de los riesgos a la
seguridad de la información
que impactan a la
organización como un todo.
Ejemplo: Terremoto, falla
eléctrica, ataque informático.
Organización
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
El Análisis de Brechas y el Análisis de Riesgos
54
Organización Personas Activos de
Información
Funciones del Negocio: Ventas, RRHH,
Soporte, Control de Calidad, etc.
La combinación “Análisis de Brechas + Análisis de Riesgos” nos da
un saludable análisis de riesgos.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce la fase Planificar.
Alcance del SGSI.
Política del SGSI.
Enfoque de Evaluación de Riesgos.
Evaluación de Riesgos.
Análisis de Riesgos de nivel MACRO.
Análisis de Riesgos de nivel MICRO.
Enunciado de Aplicabilidad.
55
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Modelo PHVA
56
SGSI
P
V
H A
1. Definir el Alcance del SGSI.
2. Definir la Política del SGSI.
3. Definir el Enfoque de Evaluación
de Riesgos de la organización.
4. Identificar los riesgos.
5. Analizar las opciones para tratar
los riesgos.
6. Seleccionar los controles y los
objetivos de control para el
tratamiento de los riesgos.
7. Obtener de la Alta Gerencia la
aprobación y la autorización para
el tratamiento de riesgos y
riesgos residuales.
8. Preparar la “Declaración de
Aplicabilidad”.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
La herramienta: Una hoja de cálculo para el Análisis de
Riesgos
57
Activo
Valor del
Activo
Amenaza
Vulnerabilidad
Impacto
Probabilidad
Riesgo
Componentes
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
1. Identificar las funciones del negocio dentro del alcance
58
El Enunciado del Alcance
El Sistema de Gestión de la
Seguridad de la Información se
despliega para proteger la
información del negocio
utilizada para proporcionar los
servicios de alojamiento web
de “We Host” Inc., Drive #1,
North Heights, Illinois, USA
Funciones del Negocio
dentro del alcance
TI
RRHH
Administración
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Creamos una hoja de cálculo para estas funciones del
negocio
59
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
2. Listar e identificar el valor de los activos en cada
función del negocio
Un “Activo” en el contexto de la ISO 27001 puede ser definido como:
Algo que almacena información (disco duro / cinta de la copia de seguridad).
Algo que procesa información (computadora).
Algo que transmite información (ancho de banda).
Algo que muestra información (monitor / impresora).
Por facilidad, se puede utilizar la siguiente clasificación:
Hardware: servidores, laptops, computadoras, switches, routers.
Software / Aplicación: sistemas operativos, cliente e-mail, anti-virus, firewall.
Papel: Memos, notas, manuales de instalación, acuerdos legales.
Electrónico: Fax, teléfono, etc.
Servicio: Ancho de banda, servicio de actualización de anti-virus, servicio de
alojamiento web.
Personas: Gerente General, Jefe de TI, Gerencia de RRHH, etc.
Activos Físicos: cabina de almacenamiento de información, gabetas, etc.
60
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Así listamos los activos…
61
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Identificar el propietario del activo
El propietario es usualmente:
La persona directamente responsable del activo.
La persona quien usa el activo casi todo el tiempo.
También puedes utilizar el término “Guardián” pero no es obligatorio.
Propietario vs. Guardián:
El propietario es el único responsable de un activo. Por ejemplo: el Jefe de TI.
El propietario asigna el activo a un guardián para su uso. Por ejemplo: el Jefe de TI
asigna una computadora a un ejecutivo del negocio.
Nota: Cuando se trata de “activos humanos” o “empleados”, el
propietario es usualmente la persona a quien reportan.
62
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Así listamos a los propietarios…
63
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Determinar el valor del activo
Un “Activo” es valorado utilizando 3 criterios:
Confidencialidad (Confidentiality).
Integridad (Integrity).
Disponibilidad (Availability).
Confidencialidad. Asegura que la información es accedida sólo por
aquellos quienes tienen acceso autorizado.
Integridad. Asegura que la información es modificada sólo por
aquellos quienes tienen acceso autorizado.
Disponibilidad. Asegura que la información es accedida y utilizada por
aquellos quienes tienen acceso autorizado.
La protección de la información esencialmente significa la protección
de la “Confidencialidad, Integridad y Disponibilidad” de la Información.
A este se le llama la “Tríada CIA”.
Calculamos el valor del activo (de información) utilizando los
principios de Confidencialidad, Integridad y Disponibilidad.
64
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Midiendo la “Confidencialidad”
Primero, medir la “Confidencialidad” del activo (de información).
Calificamos la “Confidencialidad” en una escala de 0 a 3.
0 – No es válido o no confidencial.
1 – Baja confidencialidad, el activo (de información) es accedido por muchas
personas.
2 – Mediana confidencialidad, el activo (de información) es accedido por un grupo
selecto de personas.
3 – Alta confidencialidad, el activo (de información) es accedido sólo por el
propietario o un conjunto limitado de personas.
Consejos. Pregúntate lo siguiente:
Cuántas personas deben tener acceso a este activo?
A cuántas personas este activo debe relevar información?
Cuán secreta es la información almacenada y procesada por este activo?
65
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo: Midiendo la “Confidencialidad”
66
Activo Pregunta Respuesta Calificación
Servidor
Cuántas personas debe
tener acceso al servidor?
Todos los empleados pero
nadie más. Almacena
información sensible del
negocio.
3 – Alta
Sitio web de
la empresa
Cuán secreta es la
información almacenada y
procesada por este activo?
La información es accedida
por todos los visores.
1 – Baja
Gerente de
RRHH
A cuántas personas este
activo debe relevar
información?
(o)
Cuán secreta es la
información almacenada y
procesada por este activo?
Almacena y procesa los
registros de los empleados y
la información salarial que
tiene algunas
preocupaciones de
privacidad.
2 - Media
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
El valor de la “Confidencialidad” se captura en la hoja
67
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Midiendo la “Integridad”
Segundo, medir la “Integridad” del activo (de información).
Calificamos la “Integridad” en una escala de 0 a 3.
0 – No es válido o la información es modificada por todos.
1 – Baja integridad, la información es modificada por muchas personas.
2 – Mediana integridad, la información es modificada por un grupo selecto de
personas.
3 – Alta integridad, la información es modificada sólo por el propietario o un
conjunto limitado de personas.
Consejos. Pregúntate lo siguiente:
Cuántas personas pueden modificar este activo?
Cuán modificable es la información utilizada por este activo?
Cuál es el nivel de “honestidad” y “diligencia” esperado por este activo mientras se
modifica la información?
68
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo: Midiendo la “Integridad”
69
Activo Pregunta Respuesta Calificación
Servidor
Cuántas personas pueden
modificar el activo?
Nadie. Una vez que se envía
un e-mail, este no debería
ser modificado.
3 – Alta
Sitio web de
la empresa
Cuán modificable es la
información utilizada por este
activo?
Modificable solo por el
administrador y nadie más.
El administrador puede
hacer modificaciones solo
después de la aprobación.
3 – Alta
Gerente de
RRHH
Cuál es el nivel de
“honestidad” y “diligencia”
esperado por este activo
mientras se modifica la
información?
Muy alto ya que el Gerente
de RRHH maneja la
información personal y
salarial de los empleados.
3 - Alta
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
El valor de la “Integridad” se captura en la hoja
70
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Midiendo la “Disponibilidad”
Tercero, medir la “Disponibilidad” del activo (de información).
Calificamos la “Disponibilidad” en una escala de 0 a 3.
0 – No existen requerimientos para una disponibilidad continua.
1 – Baja disponibilidad, largos períodos de indisponibilidad son tolerables.
2 – Mediana disponibilidad, cortos períodos de indisponibilidad son tolerables, el
activo debe estar disponible la mayor parte del tiempo.
3 – Alta disponibilidad, la información debe estar disponible el mayor grado posible
(cerca a 99.99%).
Consejos. Pregúntate lo siguiente:
Cuál es el %de tiempo que el activo debe estar disponible?
Cuán tolerable es el tiempo de inactividad para este activo?
Es necesario un activo alterno si este activo no está disponible?
71
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo: Midiendo la “Disponibilidad”
72
Activo Pregunta Respuesta Calificación
Servidor
Cuál es el %de tiempo que el
activo debe estar disponible?
La mayor parte del tiempo ya
que mucha de la
comunicación del negocio se
realiza a través del email.
3 – Alta
Sitio web de
la empresa
Cuán tolerable es el tiempo
de inactividad para este
activo?
Ligeramente tolerable ya que
el sitio web de la empresa es
para un propósito
informativo. Pero un tiempo
de inactividad afecta la
imagen de la empresa.
2 – Media
Gerente de
RRHH
Es necesario un activo
alterno si este activo no está
disponible?
Sí ya que el Gerente de
RRHH es clave para el
reclutamiento y la gestión de
procesos de empleados.
3 - Alta
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
El valor de la “Disponibilidad” se captura en la hoja
73
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Finalmente, calculamos el “Valor Neto” del activo
74
Valor neto del activo – C + I + A
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
3. Identificar las amenazas que pueden afectar al activo
Amenaza: Un agente o un evento que puede explotar una
vulnerabilidad.
Consejo: Mantener una lista simple y clara de amenazas:
Destrucción.
Corrupción.
Bajo rendimiento.
Antigüedad.
Indisponibilidad.
Por qué una lista de amenazas tan simple?
Para tener una hoja de Evaluación de Riesgos ORDENADA y SIMPLE.
Para permitir CLARIDAD de pensamiento.
Para evaluar más efectivamente las vulnerabilidades.
75
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Cómo aplicamos las categorías de amenazas a un activo?
1ra pregunta inteligente que debes hacer: Existe una “amenaza”
de…?
Destrucción, corrupción, bajo rendimiento, antigüedad, indisponibilidad?
2da pregunta inteligente que debes hacer: Cuál podría ser la razón
de…?
Destrucción? (Accidente Físico).
Corrupción? (Caída del disco duro).
Bajo rendimiento? (Mal funcionamiento).
Antigüedad? (Pobre mantenimiento).
Indisponibilidad? (Robo).
En lugar de llegar la hoja de cálculo con mucha información, la
mantienes simple.
76
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo: Amenazas simples
77
Descripción de la amenaza Categoría
Brote de influenza, los empleados están indispuestos. Indisponibilidad
Caída del disco duro en el servidor, algunos datos se han
perdido, el servidor no está disponible por un tiempo.
Indisponibilidad
Eliminación accidental de datos por un empleado. Destrucción
Los documentos de gestión de la configuración no están
actualizados.
Antigüedad
Pobre ancho de banda. Bajo rendimiento
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Esta es una lista simple de amenazas…
78
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
4. Identificar las vulnerabilidades que pueden ser
explotadas por las amenazas
Amenaza: Una debilidad en un activo que puede ser explotada por
una amenaza.
Cómo identificar vulnerabilidades?
Paso 1: Tomar la lista de “Activos” y “Amenazas”.
Paso 2: Pregúntate cuáles son las vulnerabilidades que pueden ser explotadas por
las amenazas?
Consejo: Por facilidad, puedes dividir las vulnerabilidades en 4
categorías.
Técnicas.
Procedimentales.
Humanas.
Físicas.
79
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo de los 4 tipos de vulnerabilidad
Activo:
Servidor de correo.
Amenazas:
Indisponibilidad.
Corrupción.
Bajo rendimiento.
Vulnerabilidad:
Falla en el disco duro (técnica).
Eliminación accidental por el administrador (humana).
Mantenimiento inapropiado (procedimental).
Ausencia de un extinguidor de fuego (física).
80
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Capturamos la Vulnerabilidad en la hoja
81
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Pero, cómo hacemos que las personas entiendan?
82
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
5. Identificar el impacto
Impacto: Es la severidad del daño causado cuando la amenaza
explota la vulnerabilidad.
Escala de medición del impacto:
0 – Insignificante, no hay impacto.
1 – Menor, apagado temporal del activo, pequeño esfuerzo adicional requerido
para restaurar el activo.
2 – Mayor, apagado extendido del activo, considerable esfuerzo y recursos (tiempo,
dinero, personas) requeridos para restaurar el activo.
3 – Severo, apagado casi total del activo, significativo esfuerzo y recursos (tiempo,
dinero, personas) requeridos para restaurar el activo.
Determina el impacto utilizando tu juicio!
Paso 1 – Considerar el valor del activo.
Paso 2 – Considerar la severidad de la “amenaza” y “vulnerabilidad”.
Paso 3 – Utilizar tu juicio para calificar el impacto.
83
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Capturamos el Impacto en la hoja
84
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
6. Identificar la probabilidad de ocurrencia
Probabilidad de Ocurrencia. La cantidad de veces que un evento
puede ocurrir en un intervalo de tiempo.
En este caso, el evento es la “amenaza” explotando la
“vulnerabilidad”.
Escala de medición de la probabilidad:
0 – Improbable de ocurrir.
1 – Ocurre una vez cada 2-3 años.
2 – Ocurre una vez cada año.
3 – Ocurre más de una vez cada año.
Nota: La escala de probabilidad puede ser personalizada por
requerimientos específicos de la organización.
Determina la “probabilidad de ocurrencia”.
Cuán frecuentemente la “amenaza” explotará la “vulnerabilidad”?
Ejemplo: cuán frecuentemente puede caerse el disco duro del servidor de correos
debido a un pobre mantenimiento?
85
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Capturamos la Probabilidad en la hoja
86
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
7. Calcular el riesgo
Riesgo: El impacto final, expresado en términos matemáticos que
combina:
El valor del activo.
La probabilidad de ocurrencia (amenaza explotando la vulnerabilidad).
El impacto de la amenaza explotando la vulnerabilidad.
Existen numerosas definiciones de riesgo. Para nuestro propósito, la
definición actual será suficiente porque:
1. Estamos considerando el valor del activo.
2. Estamos considerando las amenazas y vulnerabilidades y el subsecuente impacto.
3. Estamos considerando la probabilidad de ocurrencia.
4. La fórmula del análisis de riesgo final utiliza los datos de los puntos 1, 2 y 3.
87
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Calculamos el Riesgo
88
Riesgo = Valor del activo * Impacto * Probabilidad de ocurrencia
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Puedes crear tu propia fórmula…
Pero debes asegurarte que satisface requerimientos lógicos básicos.
Enfrentemos nuestra fórmula actual versus los requerimientos
básicos:
Riesgo = Valor del activo * Probabilidad * Impacto
89
Requerimiento lógico La fórmula satisface
el requerimiento?
Si el valor del activo se incrementa, el riesgo debe incrementarse. Sí
Si la probabilidad se incrementa, el riesgo debe incrementarse. Sí
Si el impacto se incrementa, el riesgo debe incrementarse. Sí
Revisa tu fórmula con los criterios mencionados antes de usarla.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Taller 05: Análisis de Riesgos
90
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce la fase Planificar.
Alcance del SGSI.
Política del SGSI.
Enfoque de Evaluación de Riesgos.
Evaluación de Riesgos.
Análisis de Riesgos de nivel MACRO.
Análisis de Riesgos de nivel MICRO.
Enunciado de Aplicabilidad.
91
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
La herramienta
Puede ser utilizada para realizar el análisis de riesgo de nivel macro o
una evaluación inicial de brechas.
Proporciona una visión global de donde nos encontramos en términos
de la implementación y la gestión del SGSI.
Hay 4 hojas de cálculos en esta herramienta y las hojas 2, 3 y 4 son
automáticas, es decir, existe un cálculo sencillo utilizado desde la
hoja 1 para generar valores en las siguientes hojas.
Las hojas 2 y 3 muestran el nivel de conformidad basado en los
objetivos de control y cada dominio respectivamente de acuerdo a lo
mencionado en el estándar ISO27001.
92
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Hoja de cálculo 1 – Lista de verificación de conformidad (1)
93
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Hoja de cálculo 1 – Lista de verificación de conformidad (2)
Esta hoja lista los 133 controles en el estándar ISO27001.
Sirva para averiguar el nivel de conformidad para cada control.
Si no deseas implementar un control lo puedes ignorar.
Esta es la única hoja en la que necesitas trabajar. El resto se
completará automáticamente.
94
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Hoja de cálculo 2 – Conformidad por objetivo de control (1)
95
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Hoja de cálculo 2 – Conformidad por objetivo de control (2)
Cada control se agrupa bajo un objetivo de control
Por ejemplo:
Bajo el dominio “Human Resources Security” existen 3 objetivos de control.
Bajo el objetivo de control “Prior to Employment” existen 3 controles.
Aquí podemos obtener el porcentaje de la implementación del SGSI
basado en los objetivos de control.
96
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Hoja de cálculo 3 – Conformidad por dominio (1)
97
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Hoja de cálculo 3 – Conformidad por dominio (2)
Existen 11 dominios en el estándar ISO27001 y esta hoja mostraría la
conformidad por dominio.
Ayuda a entender las áreas débiles y a mejorar o acelerar la
implementación del SGSI en dichas áreas.
98
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Hoja de cálculo 4 – Representación gráfica (1)
99
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Hoja de cálculo 4 – Representación gráfica (2)
Muestra una ilustración gráfica de la conformidad por dominio.
Este hoja junto con la hoja 3 (Conformidad por dominio) son las que
la alta gerencia quisiera ver y entender.
Estas dos juntos pueden ser utilizadas en el análisis de riesgos de
nivel macro o el informe de análisis de brechas que enviarías a los
interesados relacionados.
100
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Cómo usar la hoja 1? (1)
La evaluación de cada uno de los controles se basa en 4 parámetros.
Para algunos controles podrían no ser requeridos todos ellos.
1. Políticas y procedimientos. Si el control tiene una política documentada o un
procedimiento para manejarlo (en algunos casos ambos). Se ha definido esta
política o procedimiento apropiadamente y sí es lo suficientemente detallada y
bien documentado.
2. Implementación. Según la política o procedimiento documentado. Debes evaluar
este control revisando que tan bien el control trabajo, recolectando algunas
pruebas de muestra o informes de prueba o cualquier otro medio apropiado.
3. Monitoreo. Una vez que el control ha sido implementado, necesitamos revisar si
existe algún mecanismo de monitoreo para revisar y asegurar que el control está
trabajando apropiadamente y logra los resultados deseados.
4. Auditoría. Lo que significa que el control debería tener algunas evidencias
generados que puedan mostrar a los auditores que el control ha sido
implementado, es monitoreado periódicamente y está saludable.
101
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Cómo usar la hoja 1? (2)
Tomando como referencia estos 4 puntos de evaluación, podemos
distribuir un máximo de 25% de conformidad para cada parámetro y si
todos ellos se cumplen entonces ese control será 100% conforme.
Además de los parámetros antes mencionados, proporcionamos
algunas preguntas que podrías hacerte o utilizarlas en tu evaluación
para llegar a un valor de la implementación.
102
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Veamos un ejemplo (1)
Tomemos el primer dominio y el primer control como ejemplo.
Dominio: Política de Seguridad.
Objetivo de control: Política de seguridad de la información.
Control: Documentos de política de seguridad de la información.
Veamos lo que el control nos exige hacer según la ISO27001:
Un documento de política de seguridad de la información deberá ser aprobado por
la gerencia y publicado y comunicado a todos los empleados y las partes externas
interesadas.
Si ves las preguntas, establecen claramente el estado de este control.
1. Existe una política de seguridad de la información, la cual es aprobada por la
gerencia, publicada y comunicada a todos los empleados.
2. La política establece el compromiso de la gerencia y el enfoque organizacional para
gestionar la seguridad de la información.
La pregunta 1 cubre la adecuación definida de la política y la
implementación de dicha política. Si tu respuesta es “Sí” proporciona
50% de conformidad.
103
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Veamos un ejemplo (2)
Consideremos los parámetros que hemos discutido antes y
determinemos el nivel de conformidad. Necesitamos encontrar si lo
mismo es monitoreado y auditable.
Para esto podemos hacer lo siguiente:
1. Revisar cómo el documento “Política de Seguridad de la Información” ha sido
circulado a la organización, si hay un mecanismo para revisar si todos los
empleados han leído y entendido la política. Esto cubrirá la parte de monitoreo.
2. Si la evidencia, como la firma del usuario en el documento “Política de Seguridad
de la Información” o un test para medir el nivel de conciencia de la “Política de
Seguridad de la Información” de la organización, cubrirá tu parámetro de auditoría.
Ahora, viendo el escenario digamos que el control está implementado
y monitoreado pero no existe evidencia para que se lleven a cabo
auditorías. En este caso colocaríamos un 75% de conformidad y
adicionamos una observación indicando lo que es requiere para
lograr el 100% de conformidad.
104
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Veamos un ejemplo (3)
Observa la segunda pregunta, es un escenario Si o No. Para esta
pregunta no tenemos que evaluar los 4 parámetros. Si tu respuesta
es “Si” se indica 100% de conformidad. Si es “No” se indica 0% de
conformidad.
Conforme te muevas a las otras hojas, se te mostrará una ilustración
de la conformidad por objetivo de control y por dominio. Una vez que
hayas poblado todos los controles, tendrás una visión más realista de
donde está tu organización en términos de la implementación de
controles de Seguridad de la Información con respecto a la
ISO27001y qué acciones se debe llevar a cabo para lograr la
conformidad a un nivel aceptable.
105
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce la fase Planificar.
Alcance del SGSI.
Política del SGSI.
Enfoque de Evaluación de Riesgos.
Evaluación de Riesgos.
Análisis de Riesgos de nivel MACRO.
Análisis de Riesgos de nivel MICRO.
Enunciado de Aplicabilidad.
106
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
La herramienta (1)
Ayuda a determinar el CIA y valores de riesgo así como la captura de
riesgos y pasos para mitigarlos.
Se usa una hoja diferente para departamentos o áreas diferentes
considerados en el Análisis de Riesgos.
Un Análisis de Riesgos se puede llevar a cabo de diferentes formas,
puede estar basado en activos o en procesos.
El Análisis de Riesgos basado en Activos se basa en suposiciones y
varía de caso en caso.
107
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor. 108
La herramienta (2)
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Veamos un ejemplo (1)
Los activos se listan de acuerdo a su categorización.
Personas.
Hardware.
Servicios.
Papel.
Electrónicos.
El activo Personas.
El activo identificado es el Gerente de Información y el propietario sería la persona
a quien reporta y ese sería el Gerente General.
Los valores C-I-A se valoraron en 3-3-2. Esto debido a que el Gerente de
Información tendrá la información de todas las actividades relacionadas a TI,
incluyendo las estrategias organizacionales, información relacionada a
presupuestos, la cual es crítica a la organización y es altamente confidencial. La
disponibilidad (A) del Gerente de Información ha sido valorado en 2 porque no
requerimos que esté disponible todo el tiempo. El valor neto es de 8.
Como puedes ver, la disponibilidad del Jefe de TI está valorada en 3 y el valor del
activo en 9. Esto significa que las operaciones diarias son más criticas para la
organización y por ese se le requiere más.
109
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Veamos un ejemplo (2)
Considerando la amenaza como “Indisponibilidad” y la vulnerabilidad como
“Ausencia del trabajo” (debido a enfermedad), el impacto de no disponibilidad del
Gerente de Información se valora en 3 y la probabilidad de ocurrencia es baja y se
valora en 1.
Habiendo determinado estos valores, el valor total del riesgo es de 24.
Basándose en el apetito de riesgos de tu organización, puedes aceptar, transferir
y/o mitigar los riesgos. En este caso, se ha decidido “tratar” el riesgo.
Se ha mencionado que el “Gerente de Finanzas” manejará temporalmente sus
responsabilidades. Esto significa que durante la ausencia del Gerente de
Información, el Gerente de Finanzas asumirá y llevará a cabo las tareas
requeridas. Para ello, también hay que revisar lo que viene a continuación.
1. Existen Políticas y Procedimientos relevantes para llevar a cabo el rol del
Gerente de Información.
2. Se han llevado a cabo entrenamientos Cruzados Internos entre los dos roles.
3. Las responsabilidades del Gerente de Información han sido definidas, las cuales
pueden ser referidas al Gerente de Finanzas.
4. Las responsabilidades del Gerente de Finanzas han sido definidas, las que
también establecen que el Gerente de Finanzas actuará como contingencia del
Gerente de Información en su ausencia.
110
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Veamos un ejemplo (3)
5. Se ha llevado a cabo cualquier entrenamiento externo requerido para llevar a
cabo el rol del Gerente de Información.
El control ISO27001 relacionado será A.8.1.1 – Roles y Responsabilidades de la
Seguridad de la Información.
Necesitamos saber qué nivel del riesgo se mitiga por el reemplazo del Gerente de
Información con el Gerente de Finanzas. Debido a que el Gerente de Finanzas
tiene sus propias responsabilidades, el rol de Gerente de Información es un
adicional. Por lo tanto el grado de aseguramiento de que ese riesgo sea mitigado
será solo de 50%, lo que nos dice que el riesgo no se elimina completamente y
existe una cantidad de riesgo, a lo cual se le denomina “riesgo residual”.
La decisión de la gerencia de bien aprobar o rechazar la implementación del control
sugerido puede ser mencionada en la herramienta. En este caso es “aprobar”.
111
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce la fase Planificar.
Alcance del SGSI.
Política del SGSI.
Enfoque de Evaluación de Riesgos.
Evaluación de Riesgos.
Análisis de Riesgos de nivel MACRO.
Análisis de Riesgos de nivel MICRO.
Enunciado de Aplicabilidad.
112
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
El Enunciado de Aplicabilidad
Es el primer documento de referencia para cualquier persona que
desee ver la implementación del SGSI en tu organización.
Lista todos los controles bajo el estándar ISO27001 y resalta la
cantidad de controles que se han implementado en tu organización.
A pesar del número de controles implementados esto no significa que
tu organización es efectiva o que tan segura es, pero es el primer
nivel de proyección para una verificación de la implementación del
SGSI.
También es un documento que se puede compartir con otras
personas que lo requieran.
113
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
La herramienta (1)
114
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
La herramienta (2)
La hoja de cálculo tiene solo tres columnas:
El número del control ISO27001.
Si un control particular ha sido implementado (Sí o No).
La referencia para satisfacer el control.
Si alguno de esos controles no han sido implementados o
considerados para su implementación en tu organización, se te
requerirá que proporciones una justificación adecuada para su no
consideración.
Por ejemplo, en algunas organizaciones podría no existir el control de teletrabajo o
la instalación de teletrabajo. Entonces el control 1.A.11.7.2 Teleworking no aplicará
porque la organización no utiliza teletrabajo para sus empleados.
O por ejemplo el control 2.A.12.5.5 – Outsourced software development no se ha
implementado ya sea porque no se hacen actividades de desarrollo de software en
tu organización O las actividades de desarrollo de software no se han tercerizados.
También se puede proporcionar referencias que satisfacen los
controles.
115
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
La herramienta (3)
No es obligatorio que todos los controles necesiten ser manejados
con una política individual. Un documento simple que diga “Manual
del SGSI” también puede considerar todas las políticas que
satisfagan los controles. En este caso se puede mencionar a dicho
manual como documento de referencia.
También, para algunos controles se pueden mencionar directamente
las herramientas que se han utilizado junto con la referencia de la
política.
Por ejemplo:
Control 1.A.10.4.1 Control against malicious code. Junto con la referencia a la
política también podemos mencionar la referencia a tecnología (“McAfee antivirus
edición empresarial”).
Control 2.A.10.8.4 Electronic Messaging. Junto con la política de intercambio de
información también podemos mencionar “Las transmisiones de e-mail se encriptan
utilizando PGP”.
Control 3.A.11.4.2 User authentication for external connections. También se puede
mencionar la tecnología implementada diciendo “Conectividad Checkpoint VPN”.
116
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Taller 06: Análisis de Brechas
117
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Fin de la Presentación
118