administración de riesgos iso/iec 27002:2005 luis bartolini siqueiros 1
Post on 24-Jan-2016
228 Views
Preview:
TRANSCRIPT
Administración de Riesgos
ISO/IEC 27002:2005
Luis Bartolini Siqueiros
1
Negocios habilitados por la Seguridad
• Reducir el riesgo de la SeguridadReducir el riesgo de la Seguridad– Evaluar el entornoEvaluar el entorno– Mejorar el aislamiento y la resistenciaMejorar el aislamiento y la resistencia– Desarrollar e implementar controlesDesarrollar e implementar controles
Incrementar el Valor de NegocioIncrementar el Valor de NegocioConectarse con los clientesConectarse con los clientesIntegrarse con los sociosIntegrarse con los sociosHabilitar a los empleados Habilitar a los empleados
Nivel de Nivel de RiesgoRiesgo
Impacto a losImpacto a losNegociosNegocios
ProbabilidadProbabilidadde Ataquede Ataque
ROIROI
ConectadoConectado
ProductivoProductivo
2
Cambiar el enfoque de la Seguridad
Ad-hoc y táctico Irregular Reactivo Sin medición Absoluto
Administrado y estratégico Sistemático Adaptativo Medible Adecuado
Las actividades de seguridad y las medidas del desempeño de la seguridad estarán visiblemente alineadas con los impulsores estratégicos y los factores críticos de éxito
DE A
3
Componentes (organización) de la Seguridad de Información
Seguridad de InformaciónSeguridad de Información
Operación y Operación y Mantenimiento Mantenimiento de Seguridadde Seguridad
Procesos, Procesos, Políticas, Políticas,
Estándares, Estándares, ProcedimientosProcedimientos
Concientización Concientización y Capacitacióny Capacitación
CumplimientoCumplimientoAdministración de Administración de Riesgos y BaselinesRiesgos y Baselines
Statement of Statement of AplicabilityAplicability
Programas Programas de Trabajode Trabajo
Evaluación Evaluación de Riesgosde Riesgos
Selección de Selección de ControlesControles
Sub-Comité de SI de TISub-Comité de SI de TI
Seguimiento de Seguimiento de Amenazas y Amenazas y
VulnerabilidadesVulnerabilidades
Plan de Plan de Respuesta a Respuesta a IncidentesIncidentes
Equipo de Equipo de Respuesta a Respuesta a IncidentesIncidentes
Política General de Política General de Seguridad de InformaciónSeguridad de Información
Programa Integral de Programa Integral de Seguridad de InformaciónSeguridad de Información
Continuidad de Continuidad de NegocioNegocio
Infra
estru
ctur
aIn
fraes
truct
ura
Comité de Protección Comité de Protección de Informaciónde Información
Equipo de DRPEquipo de DRP
Estructura OrganizacionalEstructura Organizacional
4
Administración de Riesgos
Provee un marco de trabajo para que la administración trate efectivamente con la incertidumbre y el riesgo y oportunidad asociados y así mejore su capacidad para construir valor
La seguridad es un asunto estratégico para la supervivencia de una organización
El riesgo debe ser administrado en una base diaria dentro de una organización
Un programa de seguridad a nivel empresarial es una reflexión y ejecución de una estrategia de administración de riesgos
5
Contexto Estratégico
Objetivos del Negocio
Leyes y Regulaciones
Entorno Económico
Ambiente Social
CompetenciaClientes
Ambiente Tecnológico
Rendimiento Financiero, Crecimiento Institucional, Crecimiento competitivo, Calidad, Servicio al Cliente, Eficiencia
operacional, Productividad, Etc.Estructura Organizacional
Procesos Actividades
Líneas de negocio
Productos
Impacto Económico - Reputación organizacionalImagen de productos o servicios
6
Administración de Riesgos
La evaluación de riesgos es una parte muy importante de la planeación de la estrategia de protección de información.
Provee una base para la implementación de los planes de protección de activos contra varias amenazas.
Una vez hecha la evaluación de riesgos, es necesario realizar la planeación proactiva y reactiva de protección de información.
7
Administración de Riesgos
Definición
Es un proceso interactivo e iterativo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de decisiones organizacionalesAplicable a cualquier situación donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades
8
Proceso de Administración de Riesgos
9
Modelo Sencillo de Control de Riesgos
VulnerabilidadVulnerabilidad
AgenteAgente
AmenazaAmenaza
RiesgoRiesgo
ControlControl
ExposiciónExposición
ActivoActivo
Realiza una
Que explota una
Y produce un
Que puede dañar un
Y causar una
Que puede ser manejada con un
Afecta directamente
a un
10
Otro Modelo Dinámico de Eventos
11
Riesgos de seguridad
Riesgo
VulnerabilidadesAmenazas
Controles
Requerimientos de seguridad
Valor del activo
Activos
Proteccióncontra
Explotan
Reduce
Aumenta
Establece
AumentaExponen
Tiene
Aumenta
Implementan
Impacto en la organización
12
Etapas del desarrollo de un Sistema Administrativo de Seguridad de Información
13
ISO/IEC 27002:2005 - Cláusulas de control
5. Política de seguridad6. Organización de la seguridad de información7. Administración de activos8. Seguridad de los recursos humanos9. Seguridad física y ambiental10. Administración de las comunicaciones y operaciones11. Control de acceso12. Adquisición, desarrollo y mantenimiento de sistemas de
información13. Administración de incidentes de seguridad de
información14. Administración de la continuidad de negocios15. Cumplimiento
14
Administración de Riesgos
Beneficios para la Organización Facilita el logro de los objetivos de la organización Hace a la organización más segura y consciente de
sus riesgos Mejoramiento continuo del Sistema de Control Interno Optimiza la asignación de recursos Aprovechamiento de oportunidades de negocio Fortalece la cultura de autocontrol Mayor estabilidad ante cambios del entorno
15
Administración de Riesgos
Beneficios para el área de Auditoria Soporta el logro de los objetivos de la auditoria Estandarización en el método de trabajo Integración del concepto de control en las políticas
organizacionales Mayor efectividad en la planeación general de Auditoria. Evaluaciones enfocadas en riesgos Mayor cobertura de la administración de riesgos Auditorias más efectivas y con mayor valor agregado
16
Planificación del Análisis y Gestión de Riesgos
Específicamente en la administración de TI.y de procesos operativos apoyados con TI.Específicamente en la administración de TI.y de procesos operativos apoyados con TI.
Tecnológicos y de InformaciónIntegridad, Confidencialidad y Disponibilidad+ Efectividad, Eficiencia, Cumplimiento de
Normas+ De negocio
Tecnológicos y de InformaciónIntegridad, Confidencialidad y Disponibilidad+ Efectividad, Eficiencia, Cumplimiento de
Normas+ De negocioProcesos de TI (Ejemplo COBIT) Subprocesos Ej: Manejo y Administración de Proyectos Adquisición y mantenimiento de sistemas de aplicación Administración de la configuración Prestación de servicio continuo
Proyecto de TI Etapas o actividadesSistema de Información Módulos, Interfase, E/P/S
Procesos de TI (Ejemplo COBIT) Subprocesos Ej: Manejo y Administración de Proyectos Adquisición y mantenimiento de sistemas de aplicación Administración de la configuración Prestación de servicio continuo
Proyecto de TI Etapas o actividadesSistema de Información Módulos, Interfase, E/P/S
17
Análisis de Riesgos
Ineficiencia en el uso de los recursosPérdida de confidencialidadPérdida de Integridad de información Interrupción en la continuidad del servicioAcceso no autorizadoPérdida económica
Ineficiencia en el uso de los recursosPérdida de confidencialidadPérdida de Integridad de información Interrupción en la continuidad del servicioAcceso no autorizadoPérdida económica
Heterogeneidad en la ejecución de procesosAusencia de metodologías de procesosInadecuada clasificación de la informaciónError u omisión en el procesamientoCambios no autorizadosHurto de activos (recursos informáticos) Incertidumbre para atender incidentesAusencia de planes de continuidad de NegocioSuplantación de usuarios
Heterogeneidad en la ejecución de procesosAusencia de metodologías de procesosInadecuada clasificación de la informaciónError u omisión en el procesamientoCambios no autorizadosHurto de activos (recursos informáticos) Incertidumbre para atender incidentesAusencia de planes de continuidad de NegocioSuplantación de usuarios
Algunos
Riesgos
Algunas
Causas
18
Análisis de Riesgos
Desarrollo y Adquisiciónde Software
Desarrollo y Adquisiciónde Software
Sub o sobredimensionamiento
Sub o sobredimensionamiento
Diseño Inadecuado
Diseño Inadecuado
Aceptación de sw no acorde con las necesidades
Aceptación de sw no acorde con las necesidades
Falta de oportu- nidad en entrada
en producción
Falta de oportu- nidad en entrada
en producción
Negación del servicio
Negación del servicio
Cambios no autorizadosCambios no autorizados
Ineficiente usode los recursosIneficiente usode los recursos
Acceso no autorizadoAcceso no autorizado
Operación deInstalacionesOperación deInstalaciones
Técnicos yTecnológicos
Técnicos yTecnológicos
Relacionados con la Información
Relacionados con la Información
Pérdida de informaciónPérdida de información
Selección inadecuada
de estrategias
Selección inadecuada
de estrategias
Obsolescencia Tecnológica
Obsolescencia Tecnológica
Pérdida de InformaciónPérdida de Información
Pérdida deConfidencialidad
Pérdida deConfidencialidad
Pérdida de integridad o
Confiabilidad
Pérdida de integridad o
Confiabilidad
Incumplimientode normas
Incumplimientode normas
Riesgos de TIRiesgos de TI(un ejemplo con 2 procesos y 2 recursos)(un ejemplo con 2 procesos y 2 recursos)
Riesgos de TIRiesgos de TI(un ejemplo con 2 procesos y 2 recursos)(un ejemplo con 2 procesos y 2 recursos)
19
Mapa de RiesgosPR
OB
AB
ILID
AD
DE
OC
UR
REN
CIA
10
0
5
IMPACTO DEL RIESGO
5 10
II
“Riesgos de atención
periódica”
I
“Riesgos de atención
inmediata”
IV
“Riesgos controlados”
III
“Riesgos de seguimiento”
20
Análisis de Riesgo
Relacionados con la Probabilidad
1 Rara vez ocurre1 Rara vez ocurre2 Poco probable2 Poco probable3 Algunas Veces3 Algunas Veces4 probable4 probable5 muy probable5 muy probable
Pérdida FinancieraPérdida Financiera
0 No hay pérdida 0 No hay pérdida 1 de 1 a 10.0001 de 1 a 10.0002 de 10.000 a 50.0002 de 10.000 a 50.0003 de 50.000 a 100.0003 de 50.000 a 100.0004 de 100.000 a 500.0004 de 100.000 a 500.0005 más de 500.000 5 más de 500.000
Relacionada con el Impacto
Haga uso de la información histórica que tenga Haga uso de la información histórica que tenga disponible.disponible.Aplique un método cuantitativoAplique un método cuantitativo
Pérdida de ImagenPérdida de Imagen
0 No se afecta la imagen0 No se afecta la imagen1 ante los empleados1 ante los empleados2 ante un cliente2 ante un cliente3 ante una ciudad3 ante una ciudad4 ante el país4 ante el país5 ante el mundo5 ante el mundo
Cuando lo requiera elabore sus propias escalas de Cuando lo requiera elabore sus propias escalas de mediciónmediciónAplique métodos semi-cuantitativosAplique métodos semi-cuantitativos
Valorar Riesgo (Causa) = Probabilidad x Impacto Valorar Riesgo (Causa) = Probabilidad x Impacto
Pérdida de DisponibilidadPérdida de Disponibilidad
0 No se afecta0 No se afecta1 por algunos segundos1 por algunos segundos2 por algunos minutos2 por algunos minutos3 por algunas horas3 por algunas horas4 por un día/semana4 por un día/semana5 por una semana/mes5 por una semana/mes
21
Seguridad en el Desarrollo y Mantenimiento de Sistemas de Información
22
Evaluación y tratamiento de riesgos
Evaluación de riesgos de seguridad Las evaluaciones de riesgos deberán identificar,
cuantificar y priorizar los riesgos contra los criterios para la aceptación de riesgos y los objetivos relevantes para la organización
Los resultados deberán guiar y determinar la acción administrativa apropiada y las prioridades para administrar los riesgos e implementar los controles seleccionados para proteger contra estos riesgos
Este es un proceso interactivo e iterativo para cubrir las distintas áreas o sistemas de la organización y el progresivo logro de una seguridad más completa
23
Evaluación y tratamiento de riesgos
Evaluación de riesgos de seguridad Se debe incluir la estimación sistemática de la
magnitud del riesgo (análisis de riesgo) y la comparación de los riesgos estimados contra los criterios de riesgo establecidos para determinar la importancia de los riesgos (evaluación de riesgos)
Se deben realizar metódica y periódicamente para atender cambios en los requerimientos de seguridad y en las situaciones de riesgo y producir resultados comparables y reproducibles
Se debe hacer siempre con un alcance muy bien definido; puede ser toda la organización o partes de ella, un sistema de información, componentes de un sistema, etc., donde sea practicable, realista y útil
24
Priorización de Riesgos
Heterogeneidad en la ejecución de procesosHeterogeneidad en la ejecución de procesos 785785Inadecuada clasificación de la informaciónInadecuada clasificación de la información 750750Desarrollo informal (sin metodología) de swDesarrollo informal (sin metodología) de sw 675675Ausencia de planes de continuidad de NegocioAusencia de planes de continuidad de Negocio 585585Incertidumbre para atender incidentesIncertidumbre para atender incidentes 400400Cambios no autorizadosCambios no autorizados
310310Error u omisión en el procesamientoError u omisión en el procesamiento 250250Hurto de activos (recursos informáticos) Hurto de activos (recursos informáticos)
230230Suplantación de usuarios Suplantación de usuarios 175175
25
Evaluación y tratamiento de riesgos
Tratamiento de riesgos de seguridad Antes la organización debe decidir los criterios para
determinar si los riesgos pueden o no ser aceptados Para cada uno de los riesgos identificados en la
evaluación se decidirá un tratamiento. Opciones posibles son: Aplicar controles apropiados para reducir/mitigar los riesgos Consciente y objetivamente aceptar los riesgos, probando
que claramente satisfacen la política de la organización y los criterios de aceptación de riesgos
Evitar los riesgos no permitiendo las acciones que los provoquen
Transferir los riesgos a terceros, por ejemplo, proveedores o aseguradores
26
Evaluación y tratamiento de riesgos
Tratamiento de riesgos de seguridad En el caso de la reducción/mitigación de riesgos los
controles seleccionados deberán asegurar un nivel aceptable de riesgos en función de: Los requerimientos y restricciones de la legislación y
regulaciones nacional e internacional Los objetivos organizacionales Los requerimientos y restricciones de operación El costo de implementación y operación en relación a los
riesgos implicados. Mantenerlo proporcional a los requerimientos y restricciones de la organización
El balance entre la inversión requerida por los controles y los daños probables consecuencia de las fallas de seguridad
27
Evaluación y tratamiento de riesgos
Tratamiento de riesgos de seguridad Los controles pueden ser seleccionados de este u
otro estándar No todos los controles son aplicables a todos los
sistemas u organizaciones Los controles deberán ser considerados en las etapas
de especificación de requerimientos y diseño de proyectos y sistemas
No hay seguridad completa, se deben implementar medidas administrativas adicionales para monitorear, evaluar y mejorar la eficiencia y efectividad de los controles de seguridad para soportar los propósitos de la organización
28
Identificación de Salvaguardas
29
Identificación de Salvaguardas
30
Visión de los Controles de Seguridad de Información
31
Gestión de Riesgos
Elabore la lista de los mecanismos de control que aplican a cada uno de los componentes de su objeto analizado
Procedimientos formales de planeación. uso de estándares de programación, identificación, codificación.uso de mecanismos de autenticación.procedimientos documentados, divulgados y aplicados.uso de metodologías de desarrollo de sw.uso metodologías de definición de requerimientos.procedimientos para el control de cambios.acuerdos explícitos de niveles de servicio.mecanismos de encripciónredundancia en dispositivos y recursos críticos.clasificación de la información procedimientos de respaldosensores y alarmas de factores ambientales (humo, humedad, temperatura)toma física de inventarios de recursos computacionalesverificadores de licencias
Esta será más sencilla de
realizar si se divide
adecuadamente el objeto
de análisis en sus partes
32
Gestión de Riesgos
Definir el nivel de exposición le permitirá conocer la efectividad de los controles.
Sin embargo, tenga presente en relación con la efectividad de los controles los siguientes
aspectos:
Internos frente a los ExternosManuales frente a los AutomáticosPrevios frente a los PosterioresPreventivos frente a los Correctivos y DetectivosGenerales frente a los EspecíficosContinuos frente a los Discretos (aplicación)Periódicos frente a los Esporádicos
Internos frente a los ExternosManuales frente a los AutomáticosPrevios frente a los PosterioresPreventivos frente a los Correctivos y DetectivosGenerales frente a los EspecíficosContinuos frente a los Discretos (aplicación)Periódicos frente a los Esporádicos
Nivel de Exposición = Riesgo – Controles aplicadosNivel de Exposición = Riesgo – Controles aplicadosNivel de Exposición = Riesgo – Controles aplicadosNivel de Exposición = Riesgo – Controles aplicados
33
MAGERIT
34
MAGERIT
35
• El ANÁLISIS Y GESTIÓN DE RIESGOS, Fase nuclear de ‘medición’ y cálculo en el ciclo de gestión de la seguridad, es punto de arranque del ciclo de Gestión de Seguridad y además requiere técnicas de proceso especiales (propias del ámbito de la seguridad). Por estas causas, la Fase es objeto de un método especial, MAGERIT, mientras que las demás Fases del ciclo se apoyan en técnicas más genéricas y conocidas.
• La Fase de Determinación de OBJETIVOS, ESTRATEGIA y POLÍTICA de Seguridad de los Sistemas de Información se nutre de y nutre a su vez la Fase de Análisis y Gestión de Riesgos. En el ciclo inicial de la Gestión de Seguridad, un Análisis y Gestión de Riesgos de carácter global ayuda a determinar los objetivos, estrategia y política, que influirán durante los ciclos sucesivos en el Análisis y Gestión de Riesgos más detallado (que a su vez puede modificarlos para ciclos sucesivos).
Administración de la Seguridad de Información - etapas
36
• La Fase de Establecimiento de la PLANIFICACION de la Seguridad de los Sistemas de Información deriva de la Fase de Análisis y Gestión de Riesgos como su consecuencia funcional más inmediata. Utiliza técnicas generales de planificación (resultados, secuenciación, hitos de decisión), pero adaptadas al ámbito de la seguridad.
• La Fase de Determinación de la ORGANIZACION de la Seguridad de los Sistemas de Información deriva de la Fase de Análisis y Gestión de Riesgos como su consecuencia orgánica más inmediata. Utiliza técnicas generales de organización (compromiso gerencial, roles, responsabilidades, documentación normativa), aunque adaptadas al ámbito de la seguridad.
• La Fase de IMPLANTACION de SALVAGUARDAS y otras medidas de Seguridad para los Sistemas de Información deriva de las Fases de Planificación y Organización, utilizando técnicas generales de Gestión de Proyectos y Gestión de Configuración, aunque adaptadas al ámbito de la seguridad.
Administración de la Seguridad de Información - etapas
37
• La Fase de CONCIENCIACIÓN de TODOS en la SEGURIDAD de los Sistemas de Información deriva de las Fases de Planificación y Organización. Tiene en cuenta el papel fundamental del recurso humano interno en todo proyecto de seguridad y utiliza técnicas generales de Gestión de Proyectos y Gestión de Formación, Comunicación y Recursos Humanos, aunque adaptadas al ámbito de la seguridad.
• La Fase de REACCIÓN a cada evento, de MANEJO y REGISTRO de las incidencias y de RECUPERACIÓN de Estados aceptables de Seguridad tiene un carácter básicamente operacional y utiliza por tanto técnicas generales de Gestión cotidiana y de Atención a Emergencias adaptadas al ámbito de la seguridad.
• La Fase de MONITORIZACIÓN, GESTIÓN de CONFIGURACIÓN y de CAMBIOS en la Seguridad de los Sistemas de Información tiene un carácter básicamente de mantenimiento, con técnicas generales de monitorización, gestión de configuración y gestión de cambios adaptadas al ámbito de la seguridad.
Administración de la Seguridad de Información - etapas
38
MAGERIT - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
39
Etapas del Análisis y Gestión de Riesgos
Etapa 1. Planificación del Análisis y Gestión de Riesgos
Establece las consideraciones necesarias para arrancar el proyecto de análisis y gestión de riesgos;
permite investigar la oportunidad de realizarlo; definir los objetivos que ha de cumplir y el dominio (ámbito) que abarcará;
planificar los medios materiales y humanos para su realización; e
iniciar el lanzamiento del proyecto
40
Etapas del Análisis y Gestión de Riesgos
ETAPA 1. PLANIFICACIÓN DEL ANÁLISIS Y GESTIÓN DE RIESGOS
Actividad 1.1: Oportunidad de realización- 1.1.1:(única) Clarificar la oportunidad de realizaciónActividad 1.2: Definición de dominio y objetivos- 1.2.1: Especificar los objetivos del proyecto- 1.2.2: Definir el dominio y los límites del proyecto- 1.2.3: Identificar el entorno y restricciones generales- 1.2.4: Estimar dimensión, coste y retornos del proyectoActividad 1.3: Planificación del proyecto- 1.3.1: Evaluar cargas y planificar entrevistas- 1.3.2: Organizar a los participantes- 1.3.3: Planificar el trabajoActividad 1.4: Lanzamiento del proyecto- 1.4.1: Adaptar los cuestionarios- 1.4.2: Seleccionar criterios de evaluación y técnicas para el proyecto- 1.4.3: Asignar los recursos necesarios- 1.4.4: Sensibilizar (campaña informativa)
41
Etapas del Análisis y Gestión de Riesgos
Etapa 2. Análisis de riesgos Permite identificar y valorar los elementos que
intervienen en el riesgo; obtener una evaluación de éste en las distintas
áreas del dominio; y estimar los umbrales de riesgo deseables.
42
Etapas del Análisis y Gestión de Riesgos
ETAPA 2. ANÁLISIS DE RIESGOSActividad 2.1: Acopio de información- 2.1.1: Preparar la información- 2.1.2: Realización de las entrevistas- 2.1.3: Analizar la información recogidaActividad 2.2: Identificación y agrupación de ACTIVOS- 2.2.1: Identificar activos y grupos de activos- 2.2.2: Identificar mecanismos de salvaguarda existentes- 2.2.3: Valorar activosActividad 2.3: Identificación y evaluación de AMENAZAS- 2.3.1: Identificar y agrupar amenazas- 2.3.2: Establecer los árboles de fallos generados por amenazasActividad 2.4: Identificación y estimación de VULNERABILIDADES- 2.4.1: Identificar vulnerabilidades- 2.4.2: Estimar vulnerabilidades
43
Etapas del Análisis y Gestión de Riesgos
ETAPA 2. ANÁLISIS DE RIESGOS (cont.)Actividad 2.5: Identificación y valoración de IMPACTOS- 2.5.1: Identificar impactos- 2.5.2: Tipificar impactos- 2.5.3: Valorar impactosActividad 2.6: Evaluación del RIESGO- 2.6.1: Evaluar el riesgo intrínseco- 2.6.2: Analizar las funciones de salvaguarda existentes- 2.6.3: Evaluar el riesgo efectivo
44
Etapas del Análisis y Gestión de Riesgos
Etapa 3. Gestión de riesgos Permite identificar las posibles funciones o servicios
de salvaguarda reductores del riesgo detectado; seleccionar las salvaguardas aceptables en función de
las ya existentes y de las restricciones; simular diversas combinaciones; y especificar las finalmente elegidas.
45
Etapas del Análisis y Gestión de Riesgos
ETAPA 3. GESTIÓN DE RIESGOSActividad 3.1: Interpretación del Riesgo- 3.1.1:(única) Interpretar los riesgosActividad 3.2: Identificación y estimación de Funciones de
salvaguarda- 3.2.1: Identificar funciones de salvaguarda- 3.2.2: Estimar la efectividad de las funciones de salvaguardaActividad 3.3: Selección de Funciones de Salvaguarda- 3.3.1: Aplicar los parámetros de selección- 3.3.2: Evaluar el riesgoActividad 3.4: Cumplimiento de objetivos- 3.4.1 (única): Determinar el cumplimiento de los objetivos
46
Etapas del Análisis y Gestión de Riesgos
Etapa 4. Selección de salvaguardas Permite seleccionar los mecanismos de salvaguarda a
implantar; elaborar una orientación del plan de implantación de los
mecanismos de salvaguarda elegidos; establecer los mecanismos de seguimiento para la
implantación; recopilar los documentos de trabajo del proceso de
Análisis y Gestión de Riesgos; obtener los documentos finales del proyecto; y realizar las presentaciones de los resultados a los
diversos niveles.
47
Etapas del Análisis y Gestión de Riesgos
ETAPA 4. SELECCIÓN DE SALVAGUARDASActividad 4.1: Identificación de mecanismos de salvaguarda- 4.1.1: Identificar mecanismos posibles- 4.1.2: Estudiar mecanismos implantados- 4.1.3: Incorporar restriccionesActividad 4.2: Selección de mecanismos de salvaguarda- 4.2.1: Identificar mecanismos a implantar- 4.2.2: Evaluar el riesgo (mecanismos elegidos)- 4.2.3: Seleccionar mecanismos a implantarActividad 4.3 Especificación de los mecanismos a implantar- 4.3.1 (única): Especificar los mecanismos a implantarActividad 4.4: Planificación de la implantación- 4.4.1 Priorizar mecanismos- 4.4.2: Evaluar los recursos necesarios- 4.4.3: Elaborar cronogramas tentativosActividad 4.5: Integración de resultados- 4.5.1 (única): Integrar los resultados
48
Selección de Salvaguardas
• La identificación de opciones de tratamiento del riesgo puede conducirle a:– Implementación de nuevos mecanismos de control.– Cambiar, modificar o eliminar controles existentes.– Combinar mecanismos de control.
• Dependiendo del grado de complejidad de la opción elegida su implementación puede llegar al punto de convertirse en un proyecto.– Obligatoriedad del cambio de claves– Definición de pistas de auditoria– Documentación de Procesos– Plan de Continuidad Tecnológico– Función de aseguramiento de la calidad
49
Selección de Salvaguardas
• En los planes de Implementación es conveniente considerar:– Respaldo de la gerencia– Responsables– Presupuestos– Compromiso con la fecha de finalización
50
Selección de Salvaguardas
• Seguimiento a los compromisos en el plan de implementación de opciones de tratamiento.
• Revisión y ajuste de métodos y técnicas aplicadas.• Análisis de los beneficios alcanzados (en el
negocio, en la administración de TI, en la auditoria, en los usuarios).
• ¿Es posible y conveniente continuar con otros activos? (procesos, proyectos, áreas).
• Nivel de aprendizaje de la organización en relación con la administración de sus riesgos.
Reflexión sobre el proceso de Administración de RiesgosReflexión sobre el proceso de Administración de RiesgosReflexión sobre el proceso de Administración de RiesgosReflexión sobre el proceso de Administración de Riesgos
51
DOCUMENTACIÓN
52
Documentación de Etapas del Análisis y Gestión de Riesgos
En cada etapa del proceso se requiere incluir: Objetivos Audiencia Recursos de información Supuestos DecisionesLa política de administración de riesgo puede incluir. Objetivos de la política y justificación para la administración de
riesgos Conexiones entre la política de administración de riesgos y los planes
estratégicos y de negocios de la organización Extensión y rango de los puntos a los que aplica la política Guía sobre lo que puede ser considerado como riesgo aceptable Quién es responsable de administrar los riesgos Soporte experto disponible para asistir a aquellos responsables de
administrar los riesgos Nivel de documentación requerida Plan de revisión del grado de cumplimiento de la política de
administración de riesgo53
Documentación de Etapas del Análisis y Gestión de Riesgos
La documentación típica debería incluir: Un registro de riesgos – para cada riesgo identificado registrar:
Fuente del riesgo Naturaleza del riesgo Controles existentes Consecuencias y probabilidad Medición inicial de riesgo Vulnerabilidad a factores externos/internos
Un plan de mitigación de riesgo y acción que provea: Quien tiene la responsabilidad de implementar el plan Los recursos que serán utilizados La asignación de presupuesto Programa de implementación Detalles de las medidas de los mecanismos de control Frecuencia de cumplimiento
Documentos de monitoreo y auditoria que incluyan: Resultados de las auditorias/revisiones y otros procedimientos de
monitoreo Seguimiento de las revisiones de las recomendaciones y estatus de
implementación 54
MEDICIÓN
55
ROSI (Return On Security Investment) – retorno sobre la inversión en seguridad
La cantidad total de dinero que una organización espera ahorrar en un año por implementar un control de seguridad
ROSI = (ALE antes del control) – (ALE después del control) – (costo anual del control)
ALE (Annual Lose Expectancy) – Expectativa de pérdida anual La cantidad total de dinero que una organización perderá en un año si
no se hace nada para mitigar un riesgo
ALE = SLE X AROSLE (Single Loss Expectancy) – Expectativa de una sola pérdida
La cantidad total de ingresos que se pierden de una sola ocurrencia de un riesgo
ARO (Annual Rate of Ocurrence) – Tasa anual de ocurrencia El número de veces que se espera que un riesgo ocurra durante un año
56
ENFOQUE CUANTITATIVO VS CUALITATIVO
57
Enfoques de la administración de riesgos
Cuantitativo Cualitativo
Beneficios Los riesgos son priorizados por su valor financieroLos resultados facilitan la administración en base al ROSILos resultados pueden ser expresados en términos específicos de negociosLa precisión tiende a incrementarse con el tiempo a medida que se gana experiencia y se acumula información histórica
Habilita la visibilidad y entendimiento de la categorización de riesgosEs más fácil de alcanzar el consensoNo necesitan cuantificarse la frecuencia de las amenazasNo necesitan determinarse los valores financieros de los activosEs más fácil de involucrar a gente no experta en seguridad o computadoras
58
Enfoques de la administración de riesgos
Cuantitativo Cualitativo
Desventajas Los valores de impacto asignados a los riesgos se basan en opiniones subjetivasLos procesos para alcanzar el consenso y resultados creíbles consumen mucho tiempoLos cálculos pueden ser complejos y consumidores de tiempoLos resultados sólo se presentan en términos monetariosEl proceso requiere experiencia, los participantes no pueden ser educados con facilidad a través del proceso
No hay suficiente diferenciación entre los riesgos importantesEs difícil de justificar la inversión en la implementación de los controles debido a que no hay bases para un análisis costo-beneficioLos resultados son dependientes de la calidad del equipo de administración de riesgos creado
59
Programa de Administración de Riesgos
60
CRITERIOS DE MADUREZ DE LA ADMINISTRACIÓN DE RIESGOS
61
Criterios de Madurez de la Administración de Riesgos en las Organizaciones
0 No existeLa directiva (o el proceso) no está documentada y la organización, anteriormente, no ha tomado conciencia del riesgo de negocios asociado a esta administración de riesgos. Por lo tanto, no ha habido comunicados al respecto.
1 Ad hocEs evidente que algunos miembros de la organización han llegado a la conclusión de que la administración de riesgos tiene valor. No obstante, los esfuerzos de administración de riesgos se han llevado a cabo de un modo ad hoc. No hay directivas o procesos documentados y el proceso no se puede repetir por completo. En general, los proyectos de administración de riesgos parecen caóticos y sin coordinación; los resultados no se han medido ni auditado.
62
Criterios de Madurez de la Administración de Riesgos en las Organizaciones
2 RepetibleHay una toma de conciencia de la administración de riesgos en la organización. El proceso de administración de riesgos es repetible aunque inmaduro. El proceso no está totalmente documentado; no obstante, las actividades se realizan periódicamente y la organización está trabajando en establecer un proceso de administración de riesgos exhaustivo con la participación de los directivos. No hay cursos formales ni comunicados acerca de la administración de riesgos; la responsabilidad de la implementación está en manos de empleados individuales.
63
Criterios de Madurez de la Administración de Riesgos en las Organizaciones
3 Proceso definidoLa organización ha tomado una decisión formal de adoptar la administración de riesgos incondicionalmente con el fin de llevar a cabo su programa de seguridad de información. Se ha desarrollado un proceso de línea de base en el que se han definido los objetivos de forma clara con procesos documentados para lograr y medir el éxito. Además, todo el personal dispone de algunos cursos de administración de riesgos rudimentaria. Finalmente, la organización está implementando de forma activa sus procesos de administración de riesgos documentados.
64
Criterios de Madurez de la Administración de Riesgos en las Organizaciones
4 AdministradoHay un conocimiento extendido de la administración de riesgos en todos los niveles de la organización. Los procedimientos de administración de riesgos existen, el proceso está bien definido, la comunicación de la toma de conciencia es muy amplia, hay disponibles cursos rigurosos y se han implementado algunas formas iniciales de medición para determinar la efectividad. Se han dedicado recursos suficientes al programa de administración de riesgos, muchas partes de la organización disfrutan de sus ventajas y el equipo de administración de riesgos de seguridad puede mejorar continuamente sus procesos y herramientas. Se utilizan herramientas de tecnología como ayuda para la administración de riesgos, pero la mayoría de los procedimientos, si no todos, de evaluación de riesgos, identificación de controles y análisis de costo-beneficios son manuales.
65
Criterios de Madurez de la Administración de Riesgos en las Organizaciones
5 OptimizadoLa organización ha dedicado recursos importantes a la administración de riesgos de seguridad y los miembros del personal miran al futuro intentando determinar los problemas y soluciones que habrá en los meses y años venideros. El proceso de administración de riesgos se ha comprendido bien y se ha automatizado considerablemente mediante el uso de herramientas (desarrolladas internamente o adquiridas a proveedores de software independientes). La causa principal de todos los problemas de seguridad se ha identificado y se han adoptado medidas adecuadas para minimizar el riesgo de repetición. El personal dispone de cursos en distintos niveles de experiencia.
66
EVALUACIÓN DEL NIVEL DE MADUREZ DE LA ADMINISTRACIÓN DE RIESGOS DE LA ORGANIZACIÓN
67
Evaluación del Nivel de Madurez de la Administración de Riesgo de la Organización
1. Las directivas y procedimientos de seguridad son claros, concisos, completos y están bien documentados.
2. Todos los cargos con responsabilidades que impliquen seguridad de información están articulados de forma clara y sus funciones y responsabilidades se conocen bien.
3. Las directivas y procedimientos para proteger el acceso de terceros a los datos de negocios están bien documentados. Por ejemplo, los proveedores remotos que llevan a cabo el desarrollo de aplicaciones para una herramienta de negocios interna disponen de suficiente acceso a los recursos de red para colaborar y realizar su trabajo de una forma eficaz, pero sólo tiene el acceso mínimo que necesitan.
4. Existe un inventario preciso y actualizado de los activos de tecnología de información (TI), como hardware, software y repositorios de datos.
68
Evaluación del Nivel de Madurez de la Administración de Riesgo de la Organización
5. Se han implementado controles adecuados para proteger los datos de negocios frente al acceso no autorizado por parte de intrusos o de personas de la organización.
6. Se han implementado programas de toma de conciencia de usuario eficaces, como cursos y boletines relativos a directivas y prácticas de seguridad de información.
7. El acceso físico a la red de equipos y otros activos de tecnología de información está restringido mediante el uso de controles eficaces.
8. Se han incorporado nuevos sistemas informáticos según los estándares de seguridad organizativa de un modo estandarizado mediante herramientas automatizadas como imágenes de disco o secuencias de comandos de creación.
69
Evaluación del Nivel de Madurez de la Administración de Riesgo de la Organización
9. Un sistema de administración de revisiones eficaz puede ofrecer automáticamente actualizaciones de software de gran parte de los proveedores a la inmensa mayoría de sistemas informáticos de la organización.
10.Se ha creado un equipo de respuesta a incidencias y se han desarrollado y documentado procesos eficaces para afrontar las incidencias de seguridad y realizar el seguimiento de las mismas. Todas las incidencias se investigan hasta que se identifica la causa principal y se resuelven los problemas.
11.La organización dispone de un exhaustivo programa antivirus que incluye varios niveles de defensa, cursos de toma de conciencia para los usuarios y procesos eficaces para responder a los ataques de los virus.
70
Evaluación del Nivel de Madurez de la Administración de Riesgo de la Organización
12.Los procesos de creación de usuarios están bien documentados y, como mínimo, parcialmente automatizados para que a los nuevos empleados, proveedores y socios se les pueda proporcionar un nivel de acceso adecuado a los sistemas de información de la organización de un modo oportuno. Estos procesos también deben admitir la deshabilitación y eliminación puntuales de las cuentas de usuario que ya no se necesiten.
13.El acceso a los equipos y la red se controla mediante autenticación y autorización de usuarios, listas de control de acceso restrictivo a los datos y supervisión proactiva de las infracciones a las directivas.
14.Los desarrolladores de aplicaciones disponen de cursos y una toma de conciencia clara de los estándares de seguridad para la creación de software y las pruebas de control de calidad del código.
15.La continuidad de negocios y los programas de continuidad de negocios están definidos de forma clara, bien documentados y se han probado periódicamente mediante simulaciones y pruebas.
71
Evaluación del Nivel de Madurez de la Administración de Riesgo de la Organización
16.Se han iniciado programas y están en vigor para garantizar que todo el personal desempeña sus tareas conforme a los requisitos legales.
17.Se utilizan periódicamente revisiones y auditorias de terceros para garantizar el cumplimiento con las prácticas estándar de seguridad para los activos de negocios.
Se suman los puntos otorgados en cada uno de los criterios, la máxima calificación es 85, tomando en base los niveles de madurez
72
DEFINICIONES
73
Definiciones Activo
Cualquier cosa que tenga valor para la organización. Recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección
Administración de riesgos Actividades coordinadas para dirigir y controlar una organización con
respecto al riesgo Típicamente incluye el análisis, la evaluación, el tratamiento, la
aceptación y la comunicación de riesgos ALE (Annual Lose Expectancy) – Expectativa de pérdida
anual La cantidad total de dinero que una organización perderá en un año si
no se hace nada para mitigar un riesgo Amenaza
Una causa potencial de un incidente indeseado, que puede resultar en daño a un sistema u organización
74
Definiciones Análisis costo/beneficio
Un estimado y comparación del valor y costo relativos asociados con cada control propuesto de modo que el más efectivo sea implementado
Análisis de riesgos El uso sistemático de información para identificar fuentes y estimar el
riesgo ARO (Annual Rate of Ocurrence) – Tasa anual de ocurrencia
El número de veces que se espera que un riesgo ocurra durante un año
BIA (Business Impact Analysis) – Análisis del impacto al negocio Un ejercicio que determina el impacto de perder el soporte de
cualquier recurso en la organización, establece la escalación de esa pérdida en el tiempo, identifica los recursos mínimos necesarios para la recuperación, y prioriza la recuperación de los procesos y el sistema de soporte
75
Definiciones Clasificación de datos
La asignación de un nivel de sensibilidad a los datos que resulta de la especificación de controles para cada nivelo de clasificación. Se asignan niveles de sensibilidad de datos de acuerdo a categorías predefinidas a medida que los datos son creados, agregados, mejorados, almacenados o transmitidos. El nivel de clasificación es una indicación del valor o importancia de los datos para la organización
Concienciación, información y formación Tipo de salvaguarda ‘estructural’ (ligada a la estructura global de
la Organización). Su importancia está justificada por el papel esencial que juega en la seguridad el factor humano (personal propio y del relacionado establemente con la Organización)
Confidencialidad La propiedad de que la información no sea hecha disponible o
revelada a individuos, entidades o procesos no autorizados
76
Definiciones
Contramedidas El proceso utilizado para protegerse contra ataques
Control Medios de administrar el riesgo, incluye políticas,
procedimientos, guías, prácticas o estructuras organizacionales, que pueden ser administrativas, técnicas, gerenciales o legales.
Es también utilizado como sinónimo de salvaguarda o contramedida
Corrección Tipo de salvaguarda que impide la propagación del Impacto
debido a la amenaza materializada y limita así los efectos de ésta
Defensa en profundidad El enfoque de utilizar múltiples capas de seguridad para proteger
contra la falla de un componente individual de seguridad
77
Definiciones Detección curativa o, ‘monitorización’
Tipo de salvaguarda previa a toda eficacia en la actuación de las salvaguardas curativas (muchas agresiones son detectadas tarde o nunca)
Detección preventiva Tipo de salvaguarda preventiva que puede hasta llegar a ser
disuasoria, si su instalación es conocida por el potencial agresor, consciente de que podría ser descubierto
Disuasión Tipo de salvaguarda que empuja a que el potencial agresor humano
intencional reconsidere el inicio de la agresión, a partir de las consecuencias que puedan sobrevenirle contra su propio interés
Estándares Definición de las métricas utilizadas para determinar lo correcto de una
cosa o proceso; un conjunto de reglas o especificaciones que cuando son tomadas juntas, definen un programa o equipo. Un estándar es también una base reconocida para comparar o medir algo
78
Definiciones Evaluación de riesgos
Es el proceso de comparar el riesgo estimado contra el criterio de riesgo dado para determinar la importancia del riesgo
Evento de Seguridad de Información Es la ocurrencia identificada de un estado de un sistema, servicio o
red que indica una posible infracción de una política de seguridad de información o la falla de salvaguardas establecidas, o una situación previamente desconocida que puede ser relevante para la seguridad
Exploit El uso de una vulnerabilidad para ocasionar un compromiso de las
actividades de negocio o de la seguridad de información Exposición
Una acción de amenaza por la cual se libera o expone información sensible directamente a entidades no autorizadas
Guía Una descripción que clarifica qué debe ser hecho y cómo, para
obtener los objetivos fijados en las políticas
79
Definiciones
Impacto Consecuencia que sobre un Activo tiene la materialización de una
Amenaza Incidente de Seguridad de Información
Está indicado por un único evento o una serie de eventos no deseados o inesperados de seguridad de información que tienen una significativa probabilidad de comprometer las operaciones del negocio y amenazar la seguridad de información
Integridad La propiedad de que los datos no hayan sido alterados o destruidos de
manera no autorizada Mitigación
Reducir un riesgo tomando acciones diseñadas (contramedidas y controles) para contrarrestar la amenaza subyacente
Objetivo de control Una definición del resultado o propósito que se desea alcanzar
implementando procedimientos de control en una actividad de TI particular
80
Definiciones Política
Intención y dirección general expresada formalmente por la Alta Gerencia
Prevención Tipo de salvaguarda de protección que no impide el inicio de la
materialización de la amenaza, sino su realización completa y por lo tanto la consecución plena del impacto
Procedimiento Una descripción detallada de los pasos necesarios para realizar
operaciones específicas en conformidad con los estándares aplicables, una porción de una política de seguridad que establece el proceso general que será realizado para cumplir un objetivo de seguridad
Programa de seguridad de información La combinación total de medidas técnicas, operativas y de
procedimiento y las estructuras administrativas implementadas para proveer la confidencialidad, integridad y disponibilidad de información en base a los requerimientos de negocio y el análisis de riesgos
81
Definiciones
Remediación Tipo de salvaguarda restauradora que repara los daños o reconstruye
los elementos dañados para acercarse al estado de seguridad del Activo agredido previo a la agresión
Reputación La opinión que la gente tiene acerca de una organización; las
reputaciones de la mayoría de las empresas tienen un valor real aunque este es intangible y difícil de calcular
ROSI (Return On Security Investment) – retorno sobre la inversión en seguridad La cantidad total de dinero que una organización espera ahorrar en
un año por implementar un control de seguridad Riesgo
Combinación de la probabilidad de un evento y sus consecuencias (impactos)
Riesgo intrínseco Riesgo definido o calculado antes de aplicar salvaguardas
82
Definiciones
Riesgo residual Riesgo que se da tras la aplicación de salvaguardas dispuestas
en un escenario de simulación o en el mundo real Risk Assessment
Proceso completo de análisis, evaluación y priorización de riesgos
Seguridad de Información Preservación de la confidencialidad, integridad y disponibilidad
de la información; además, se pueden involucrar otras propiedades, tales como: Autentificación, responsabilidad, no repudiación y fiabilidad
SLE (Single Loss Expectancy) – Expectativa de una sola pérdida La cantidad total de ingresos que se pierden de una sola
ocurrencia de un riesgo
83
Definiciones Sistema de Información
Conjunto de elementos físicos, lógicos, elementos de comunicación, datos y personal que permiten el almacenamiento, transmisión y proceso de la información
Tratamiento de riesgos Proceso de selección e implementación de medidas para modificar los
riesgos Umbral de riesgo
Valor establecido como base para decidir por comparación si el Riesgo calculado es asumible o aceptable
Vulnerabilidad Una debilidad de un activo o grupo de activos que puede ser explotada
por una o más amenazas. Posibilidad de materialización de una amenaza
Vulnerabilidad efectiva Vulnerabilidad del Activo respecto al tipo de Amenaza, teniendo en
cuenta las Salvaguardas aplicadas en cada momento a dicho Activo
84
Definiciones
Vulnerabilidad intrínseca Vulnerabilidad del Activo respecto al tipo de Amenaza, sin
considerar las salvaguardas implantadas o existentes Vulnerabilidad residual
Vulnerabilidad del Activo resultante de aplicar las salvaguardas complementarias, aconsejadas como resultado del Análisis y Gestión de Riesgos
85
Tipos de Activos
1. Activos relacionados con el nivel del Entorno Equipamientos y suministros (energía, climatización,
comunicaciones) Personal (de dirección, de operación, de desarrollo, otro) Otros tangibles (edificaciones, mobiliario, instalación física)2. Activos relacionados con el nivel de los Sistemas de Información Hardware (de proceso, de almacenamiento, de interfaz, servidores,
firmware, otros) Software (de base, paquetes, producción de aplicaciones,
modificación de firmware) Comunicaciones (redes propias, servicios, componentes de
conexión, etc.)3. Activos relacionados con el nivel de la Información Datos (informatizados, concurrentes al o resultantes del Sistema de
Información) Meta-información (estructuración, formatos, códigos, claves de
cifrado) Soportes (tratables informáticamente, no tratables)
86
Tipos de Activos
4. Activos relacionados con el nivel de las Funcionalidades de la organización
Objetivos y misión de la organización Bienes y servicios producidos Personal usuario y/o destinatario de los bienes o servicios
producidos5. Otros Activos no relacionados con los niveles anteriores Credibilidad (ética, jurídica, etc.) o buena imagen de una persona
jurídica o física, Conocimiento acumulado, Independencia de criterio o de actuación, Intimidad de una persona física, Integridad material de las personas, etc.
87
Valuación de Activos
El valor total del activo para la organización El cálculo o estimación del valor del activo en términos
financieros elevado al año El impacto financiero inmediato de la pérdida del activo
Los ingresos generados por el activo multiplicados por la exposición calculada en por ciento por año
El impacto indirecto al negocio por la pérdida del activo Gasto en publicidad para contrarrestar la publicidad negativa
provocada por un incidente
88
Tipos de Amenazas
Grupo A de Accidentes A1: Accidente físico de origen industrial: incendio, explosión,
inundación por roturas, contaminación por industrias cercanas o emisiones radioeléctricas
A2: Avería: de origen físico o lógico, debida a un defecto de origen o sobrevenida durante el funcionamiento del sistema
A3: Accidente físico de origen natural: riada, fenómeno sísmico o volcánico, meteoro, rayo, corrimiento de tierras, avalancha, derrumbe, ...
A4: Interrupción de servicios o de suministros esenciales: energía, agua, telecomunicación, fluidos y suministros diversos
A5: Accidentes mecánicos o electromagnéticos: choque, caída, cuerpo extraño, radiación, electrostática...
89
Tipos de Amenazas
Grupo E de Errores E1: Errores de utilización ocurridos durante la recogida y
transmisión de datos o en su explotación por el sistema E2: Errores de diseño existentes desde los procesos de desarrollo
del software (incluidos los de dimensionamiento, por la posible saturación de los flujos en los sistemas).
E3: Errores de ruta, secuencia o entrega de la información en tránsito
E4: Inadecuación de monitorización, trazabilidad, registro del tráfico de información
90
Tipos de Amenazas
Grupo P de Amenazas Intencionales Presenciales P1: Acceso físico no autorizado con inutilización por
destrucción o sustracción (de equipos, accesorios o infraestructura)
P2: Acceso lógico no autorizado con intercepción pasiva simple de la información (requiere sólo su lectura)
P3: Acceso lógico no autorizado con alteración o sustracción de la información en tránsito o de configuración (requiere lectura y escritura); es decir, reducción de la confidencialidad del sistema para obtener bienes o servicios aprovechables (programas, datos ...)
P4: Acceso lógico no autorizado con corrupción o destrucción de información en tránsito o de configuración
P5: Indisponibilidad de recursos, sean humanos (huelga, abandono, rotación) o técnicos (desvío del uso del sistema, bloqueo).
91
Tipos de Amenazas
Grupo T de Amenazas Intencionales de Origen Remoto T1: Acceso lógico no autorizado con intercepción pasiva (para
análisis de tráfico...) T2: Acceso lógico no autorizado con corrupción o destrucción
de información en tránsito o de configuración (requiere lectura y escritura) y usando o no un reemisor o ‘man in the middle’: es decir, reducción de la integridad y/o disponibilidad del sistema sin provecho directo (sabotaje inmaterial, infección vírica..)
T3: Acceso lógico no autorizado con modificación (Inserción, Repetición) de información en tránsito
T4: Suplantación de Origen (del emisor o reemisor, ‘man in the middle’) o de Identidad
T5: Repudio del Origen o de la Recepción de información en tránsito
92
SOFISTICACIÓN DE LOS ATAQUES VS CONOCIMIENTO DEL INTRUSO
93
Tiempos de Respuesta
94
Tipos de Vulnerabilidad
Vulnerabilidades organizativas Exactitud y coherencia de la información manejada Acceso al sistema por personas externas Trascendencia de información del sistema al exterior Disponibilidad de acceso al sistema (caídas, lentitud,...) Obtención
de productos del sistema acceso de personas externas al recinto de terminales
Vulnerabilidades técnicas Averías en terminales/impresoras: frecuencia/solución Cortes de fluido eléctrico Ubicación de terminales e impresoras Aprobación del diseño y pruebas por el usuario Control del soporte papel. Almacenamiento de éste
95
Tipos de Vulnerabilidad
Vulnerabilidades ‘humanas’ Posibilidad física de robo/inutilización de recursos Errores en la introducción de datos Inasistencias de personal significativas Dependencia de ciertas personas/rotación del personal Obtención de información por personas ajenas Conocimiento de las aplicaciones Uso indebido de claves de usuario. Borre de antiguas Cambio periódico de claves Uso de medios de seguridad en terminales (llaves,...) Intervención de informáticos en cambiar datos reales
96
Tipos de ImpactoImpactos con consecuencias cualitativas funcionales El deterioro del estado de Autenticación (SA) no suele ser evolutivo
(multiplicación en cadena) pero produce directamente anulación de documentos y procedimientos e indirectamente inseguridad jurídica (muy importante en la Administración pública)
El deterioro del estado de Confidencialidad (SC) no suele ser evolutivo y tiene consecuencias de distintos órdenes, unas directas (divulgación de información no revelable o revelada anticipadamente, sustracción puntual o masiva) y otras indirectas (desconfianza, incomodidades, chantaje ...).
El deterioro del estado de Integridad (SI) puede ser evolutivo y tiene consecuencias directas como la alteración de información sensible o vital en mayor o menor escala, e indirectas como la posible contaminación de programas (pérdida, tratamiento erróneo, etc).
El deterioro del estado de Disponibilidad (SD) puede ser evolutivo y causar de inmediato desde la degradación de la productividad del activo como recurso o la interrupción de su funcionamiento de forma más o menos duradera y profunda (de unos datos, de una aplicación, de un servicio o de todo un sistema). Indirectamente esto se traduce en caída de margen por falta de resultados; así como en gastos suplementarios para recuperar o mantener la funcionalidad precedente a la amenaza. 97
Tipos de ImpactoUna parte de los deterioros anteriores tienen Impactos con
consecuencias cuantitativas de diversos tipos N1: Pérdidas de valor económico, ligadas a activos inmobiliarios o
inventariables, que comprenden todos los costes de reposición de la funcionalidad, incluyendo los gastos de tasar, sustituir, reparar o limpiar lo dañado: edificios y obras, instalaciones, computadores, redes, accesorios, etc..
N2: Pérdidas indirectas, valorables económicamente y ligadas a intangibles en general no inventariados: gastos de tasación y restauración o reposición de elementos no materiales del sistema: datos, programas, documentación, procedimientos, etc.
N3: Pérdidas indirectas, valorables económicamente y unidas a disfuncionalidades tangibles: se aprecian por el coste del retraso o interrupción de funciones operacionales de la organización; la perturbación o ruptura de los flujos y ciclos productivos (de productos, servicios o expedientes, por ejemplo), incluido el deterioro de la calidad de éstos; y la incapacidad de cumplimentar las obligaciones contractuales o estatutarias.
N4: Pérdidas económicas relativas a responsabilidad legal (civil, penal o administrativa) del ‘propietario’ del sistema de información por los perjuicios causados a terceros ((incluidas, por ejemplo, sanciones de la Agencia de Protección de Datos). 98
Tipos de Impacto
Otros deterioros de los estados de seguridad tienen Impactos con consecuencias cualitativas orgánicas de varios tipos
L1: Pérdida de fondos patrimoniales intangibles: conocimientos (documentos, datos o programas) no recuperables, información confidencial, 'know-how' ...
L2: Responsabilidad penal por Incumplimiento de obligaciones legales
L3: Perturbación o situación embarazosa político-administrativa (deontología, credibilidad, prestigio, competencia política ...)
L4: Daño a las personas
99
FIN
¡Muchas gracias!
100
top related