analisis de riego segunda parte
TRANSCRIPT
![Page 1: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/1.jpg)
Datos del Profesor: Ing. Jesús Vílchez Sandoval
CIP 129615 email:[email protected]
http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094
Coordinador de la Oficina de Calidad y Acreditación - FIEM
![Page 2: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/2.jpg)
Ing. Jesús Vílchez Sandoval
Sistemas de
SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
![Page 3: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/3.jpg)
Gestión del Riesgo Determinación del Nivel Riesgo Determinación de la Probabilidad Determinación del Impacto Evaluación del Riesgo Tratamiento del Riesgo
Contenido
© Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
![Page 4: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/4.jpg)
Gestión del Riesgo
![Page 5: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/5.jpg)
En la cláusula 4.2.1 (c) se requiere que la organización identifique y adopte un método y un enfoque sistémico para el cálculo del riesgo de sus activos de información.
La gestión de los riesgos puede utilizar diferentes enfoques gerenciales y métodos de cálculo del riesgo que satisfagan a la organización.
El enfoque que la empresa escoja y su nivel de detalle y complejidad afectará proporcionalmente en el esfuerzo y cantidad de recursos requeridos durante el proceso de cálculo y posterior tratamiento de los riesgos.
El cálculo del riesgo debe ser tan detallado y complejo como sea necesario para poder atender eficazmente los requerimientos de la organización y lo que se requiera según el alcance establecido por el SGSI.
Enfoque para la Gestión del Riesgo
![Page 6: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/6.jpg)
Se debe determinar el criterio para la aceptación del riesgo, documentando las circunstancias bajo las cuales la organización está dispuesta a aceptar los riesgos.
Identificación de los niveles de riesgo que la organización considere aceptables.
Cobertura de todos los aspectos del alcance del SGSI. El enfoque escogido por la empresa, para el cálculo del riesgo debe contemplar un análisis exhaustivo de todos los controles presentados en el Anexo A de ISO 27001:2005.
El cálculo del riesgo debe lograr un claro entendimiento sobre que factores deben controlarse , en la medida en que estos factores afecten el correcto funcionamiento de los sistemas, servicios y procesos que sean críticos para la organización.
Consideraciones para la Gestión del Riesgo
![Page 7: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/7.jpg)
Ciclo del Análisis y Evaluación del Riesgo
![Page 8: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/8.jpg)
Proceso del Análisis y Evaluación del Riesgo
![Page 9: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/9.jpg)
Determinación del nivel de
riesgo
Basado en MAGERIT
![Page 10: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/10.jpg)
Identificación de Riesgos
• Probabilidad de que una amenaza se materialice, explotando alguna vulnerabilidad.
• Identificar activos TI, • Identificar amenazas y vulnerabilidades, • Determinar frecuencia e impacto, • Determinar el riesgo.
(*) Revisar catálogo MAGERIT.
![Page 11: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/11.jpg)
Iden
tific
ació
n de
l Rie
sgo
Amenazas y Vulnerabilidades
• A cargo de especialistas en seguridad, riesgos y administradores de activos.
[A] Amenazas que pueden comprometer las dimensiones de un activo[N] Desastres naturales[I] De origen industrial[E] Errores y fallos no intencionados[A] Ataques intencionados
D I C A T[SW] Software / Aplicaciones
I.5 Avería de origen físico o lógico 1 1E.1 Errores de los usuarios 1 1E.2 Errores de los administradores 1 1 1 1 1E.3 Errores de monitoreo (logs) 1E.4 Error en el establecimiento de datos de configuración 1 1 1 1 1E.8 Difusión casual de software dañino (malware) 1 1 1 1 1E.9 Errores de encaminamiento (de información) 1 1 1 1E.10 Errores de secuencia (orden) de mensajes transmitidos 1E.14 Escape de información 1E.20 Vulnearbilidades en el código (programa) 1 1 1E.21 Errores en el mantenimiento del código (programa) 1 1A.4 Manipulación de la configuración 1 1 1 1 1A.5 Suplantación de identidad de usuario 1 1 1A.6 Abuso de privilegios de acceso 1 1A.7 Utilización del recurso para uso no previsto 1A.8 Difusión intencionada de software dañino (malware) 1 1 1 1 1A.9 Encaminamiento de mensajes 1 1 1 1A.10 Alteración de secuencia (de mensajes) 1A.11 Acceso no autorizado (aprovechando una debilidad) 1 1A.14 Interceptación de información (escucha) 1A.22 Manipulación de programas 1 1 1 1
Dimensiones
D DisponibilidadI IntegridadC ConfidencialidadA AutenticidadT Trazabilidad
Dimensiones
![Page 12: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/12.jpg)
Determinación de Riesgos
1
1
2
3
4
5
2 3 5 8
Impacto
Probabilidad / Frecuencia
Extremo
Intolerable
Tolerable
Aceptable
MAPA DE RIESGOS
![Page 13: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/13.jpg)
Dete
rmin
ació
n de
l Rie
sgo
Medición del Riesgo
![Page 14: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/14.jpg)
Determinación de la
Probabilidad
Basado en MAGERIT
![Page 15: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/15.jpg)
Determinación de la Probabilidad
Enfoque cualitativo, basado en juicio experto.
![Page 16: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/16.jpg)
Determinación del Impacto
Basado en el Método Australiano
![Page 17: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/17.jpg)
Determinación del Impacto
• El Impacto de los procesos en la empresa debido a la no disponibilidad de servicios TI (BIA-Business Impact Analysis).
• Se puede determinar a partir de:
– Factor de impacto del macro proceso en el cumplimiento de la misión y objetivos (Fp)
– Nivel de soporte del servicio TI (NS) – RTO-Recovery Time Objective.
![Page 18: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/18.jpg)
Determinación del Impacto
)()(***
10
1
5
1ik A
kRTO
ippp PRINSFI
= ∑∑
==
Tabla de Impacto (x Área)
8 Desastroso Pérdida total del servicio
5 Mayor Pérdida permanente de la información o sistemas
3 Moderado Pérdida temporal de la información o sistemas
2 Menor Pérdida de información parcial
1 Insignificante Sin pérdida de información
![Page 19: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/19.jpg)
Los servicios TI heredan el impacto del principal
proceso al que asisten.
Impacto
![Page 20: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/20.jpg)
Evaluación del Riesgo
Basado en ISO 27001 – Anexo A
![Page 21: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/21.jpg)
Evaluación del Riesgo
• Si el riesgo es aceptable, finaliza el proceso. • Caso contrario:
– Transferir (tomar un seguro), – Evitar (retirar activo), o – Mitigar el riesgo, a través de:
• Controles1 preventivos, o • Correctivos.
--- [1] Salvaguardas o medidas de mitigación.
Probabilidad
Impa
cto
Transferir Evitar
Aceptar Mitigar
![Page 22: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/22.jpg)
A5 - Política de S.I.
Ejemplo: • Los sistemas de información son activos de vital importancia para el
Banco, y sus debilidades de seguridad afectarían el normal desarrollo de las actividades y operaciones.
• La gestión del riesgo operativo y tecnológico forma parte de la gestión institucional (vía políticas y controles de sus sistemas de información). El Banco acata los requerimientos de seguridad de las entidades competentes nacionales e internacionales.
• Los colaboradores asumen una responsabilidad individual respecto a la seguridad de los sistemas de información, así como del uso de información privilegiada en la Institución.
22
![Page 23: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/23.jpg)
A6 - Organización de la S.I.
Participación integral de los responsables del proceso.
23
Unidad Organizacional1 Política de Seguridad Gerencias Centrales
2 Organización de la Seguridad Gerencia de Riesgos
3 Control y Clasificación de la Información Secretaria General
4 Seguridad del Personal Gerencia de Recursos Humanos
5 Seguridad Física y Ambiental Gerencia de Compras y Servicios
6 Gestión de Comunicaciones y Operaciones
7 Control de Acceso
8 Desarrollo y Mantenimiento de Sistemas
9 Gestión de Incidentes Gerencia de Riesgos
10 Gestión de la Continuidad Gerencias Centrales
11 Cumplimiento regulatorio Gerencia Jurídica
Dominio ISO 27001
Gerencia de Tecnologías de Información
![Page 24: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/24.jpg)
A7 - Gestión Activos de Información
24
EjemplosSW Software / Aplicaciones Aplicaciones, sistemas operativos, herramientas de desarrollo y utilitarios
HW Hardware / equipos Servidores (S.O.), PCs, routers, hubs, firewalls, medio magnético, gabinetes, cajas fuertes, salas, mobiliario, sistema de alarma, etc.
SI Soportes de información SAN, discos, cintas, USB, CD, DVDCOM Redes de comunicaciones Medios de transporte que llevan datos de un sitio a otro
DAT Datos / Información
BD, archivos de datos, contratos y acuerdos, documentación del sistema, información de investigación, manuales de usuario, material de entrenamiento, de operación, procedimientos de soporte, planes de continuidad y contingencia, acuerdos
AUX Equipamiento auxiliar Equipamiento de soporte a los sistemas de información (UPS, Generados, Aire acondicionado, cableado, etc.)
INS Locales / Instalaciones Lugares donde se hospedan los sistemas de Información, registros vitales y comunicaciones
PER Personal / RR.HH. Personas, calificaciones, experiencia y capacidades (usuarios, proveedores, personal de TI)
SRV Servicios generales Vigilancia, servicios de impresión, computación, telecomunicaciones, eléctrica, agua, etc.
Clasificación de Recursos / Activos TI*Categoría
BDs
![Page 25: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/25.jpg)
Ej. Servidor de BD1
2 Medio
N° Activo TI Valor1 Aplicación LBTR Web (Java EE - BD) 5 2 Medio
2 Servidor de BD (DBS) 5 1 Bajo
3 Servidor de Aplicaciones 5 2 Medio
4 Servidor Web (SUN Web Server) 5 1 Bajo
5 Seguridad de datos (Six/Security, HSM) 4 2 Medio
6 Red de Bancos (Extranet) 4 1 Bajo
7 Red Of. Principal (Intranet) 3 2 Medio
8 Seguridad Perimétrica (Firewall) 3 1 Bajo
9 Administración TI (Resp. servicio) 4 2 Medio
10 Normativa (Procedimientos / guías) 2 1 Bajo
11 Estación de trabajo 2 1 Bajo
RiesgoServicio LBTR
Base de DatosPlataforma Sun Solaris Administración TI (DBA)Normativa (Procedimiento / Guía)
Servidor de BD
Servidor y Sistema OperativoSistema de almacenamientoCentro de Datos Institucional (CDI)Centro Externo de Respaldo (CER)Servicio de respaldo (Back-up)Administrador TI (Plataforma)Normativa (Procedimiento / Guía)
Plataforma SUN Solaris
1] Los valores son de ejemplo.
BDs
![Page 26: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/26.jpg)
A8 - Seguridad de los RR.HH.
Cuidados 1. Antes 2. Durante, y 3. Después de la incorporación de talentos. Normativa / Procedimientos, buenas prácticas.
![Page 27: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/27.jpg)
? Preguntas
![Page 28: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/28.jpg)
Laboratorio
Análisis de Riesgos
![Page 29: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/29.jpg)
Ejercicio
Análisis de Riesgos
![Page 30: Analisis de riego segunda parte](https://reader038.vdocuments.co/reader038/viewer/2022103002/55974b421a28ab72628b4571/html5/thumbnails/30.jpg)
SEGURIDAD EN REDES FIN DE SESION