auditoria y metodologia de riesgos

1. Introduccin a Risk 1. Introduccin a Risk ManagementManagement

Factores en la Determinacin del Valor del Riesgo

u Impacto Financiero (Costo de Prdida Dao)

u Probabilidad de Ocurrencia

u Costo /Unidad de Tiempo

, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.


Cuantificacin del Riesgog

Costo de Prdida Costo de Prdida

RIESGO = X

Probabilidad de Ocurrencia



VALOR DEL RIESGO

Costo de Prdida Total = $ 150000,000 U.S.D.

Probabilidad de Ocurrencia = 0.003/Ao

Valor del Riesgo = $ 450,000 U.S.D. /Ao


3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt

3 1 Obt l C i S t d l Alt3.1 Obtener el Compromiso y Soporte de la Alta Gerencia

3.2 Formar el Equipo de Anlisis y Evaluacin de Riesgos

3.3 Identificar, Clasificar y Valuar Activos

3 4 Identificar Amenazas y Vulnerabilidades3.4 Identificar Amenazas y Vulnerabilidades

3.5 Elaborar la Matriz de Anlisis y Evaluacin d Ri (A i VS A )


de Riesgos (Activos VS Amenazas)


3.6 Determinar: Impacto Financiero, Probabilidad de ocurrencia y Riesgo por c/relacin Activo-Amenaza

3.7 Definir Medidas de Proteccin (Estrategias y Controles)

3.8 Desarrollar el Anlisis Beneficio/Costo de las Medidas de Proteccin

3.9 Determinar la Factibilidad Tcnica, Econmica y Operacional de la implementacin de las Medidas de Proteccin.


3.10 Probar, Implementar y Evaluar las Medidas de Proteccin


3 1 Obt l C i S t d l 3.1 Obtener el Compromiso y Soporte de la Alta Gerencia

E bl bj i l l Ri k M u Establecer objetivos claros para el Risk Management

u Asignar Equipo de Gente CalificadaDelegar autoridadu Delegar autoridad

u Revisar Conclusiones

T d i i t M did d P t iu Tomar decisiones respecto a Medidas de Proteccinu Dar Soporte a la Implementacin

u Evaluar Resultados


u Evaluar Resultados

3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3 2 Formacin del Equipo de Anlisis y 3.2 Formacin del Equipo de Anlisis y

Evaluacin de Riesgos u Usuarios u Usuarios

u Gerencia de Informtica

Soporte Tcnicou Soporte Tcnico

u Desarrollo de Sistemas

O i d l C t d C t u Operaciones del Centro de Cmputo

u Auditora


u Seguridad Informtica, Otros

3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3 3 Identificar Clasificar y Valuar Activos

3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3.3 Identificar, Clasificar y Valuar Activos. Identificacin y Clasificacin de Activos.HardwareHardwareSoftwarePersonal. Habilidades y procedimientosy pActivos Fsicos y AmbientalesActivos AdministrativosDatos e InformacinEquipo de Comunicaciones


Imagen de la Empresa (Goodwill)

3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3 3 Identificar Clasificar y Evaluar Activos

3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt

Hardware SoftwareMquina Central Sistemas Operativos

CPU ProgramasMemoria Principal Aplicaciones

3.3 Identificar, Clasificar y Evaluar ActivosFsicos

Sistemas ambientales

Equipo de Respaldo

Equipo de Comunicaciones

LneasMemoria Principal AplicacionesCanales de Entrada/Salida UtilerasConsola del Operador Programas de Prueba

Medios de Almacenamiento ComunicacionesDiscosCintas

Equipo de Respaldo

Accesorios

Edificio

Lneas

Controladores

" Front End Processors "

Modems

MultiplexoresPersonal

Personal de InformticaContratistas ProveedoresUsuariosPersonal del Edificio

CintasCartuchosCassettes

Dispositivos de I/OImpresorasDi iti d T j t

DatosClasificados

De Planeacin

Financieros

p

Unidades de Interfase

Servidores de Archivos

Dispositivos de Encripcin

CablesPersonal del Edificio

AdministrativosDocumentacinOperaciones

Dispositivos de TarjetasTerminales" Gateways "Drives de Discos y Cintas

Equipo Especial

Financieros

De Logstica

De Personal

Comunicaciones

Salas

Telfonos

Faxes

Etc.


ProcedimientosInventario

Equipo de Bases de DatosControladoresServidores de Archivos

3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt Clasificacin de Activos


Activos Tangibles:Son aquellos cuyo valor puede ser fcilmente medible q y pen trminos monetarios (dlares, pesos, etc.)

Activos Intangibles:Son aquellos activos que NO son fcilmente medibles en trminos monetarios (dlares, pesos, etc.)

Ejemplos: - Tylenol/Jonhson & Jonhson. Sellos rotos y Ejemplos: Tylenol/Jonhson & Jonhson. Sellos rotos y cpsulas con txicos introducidas en los frascos

- Pentium/ Intel Errores en clculos matemticos- Carcasas de Notebooks (Compaq)


( p q)- Calidad en Notebooks (Dell)

3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt Clasificacin de Activos


Activos Fsicos:Son aquellos activos que podemos tocar o sentir. Son q q ptambin Activos Tangibles.

Activos Lgicos:Son aquellas cosas como datos o arreglos de cosas. Muchos de ellos son Intangibles.

Ejemplos: Ejemplos: Un programa en un diskette.Cunto vale el diskette fsico? 2 US DlaresCunto vale el programa? Cientos de Miles de Dlares


Cunto vale el programa? Cientos de Miles de DlaresValor de rehacer el programa???

3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt Valuacin de Activos

Mtodo: Escala Base 10:

N E l V l US DlNmero Escalar Valor en US Dlares0 $ 1 o menos1 hasta $101 hasta $102 $1003 $1,0004 $10 0004 $10,000. .8 $100000,000


En esta escala, el nmero asignado se basa en una potencia de 10.

3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt Mtodo: Escala Base Logartmica:

g gg g

Nmero escalar Valor en US Dlares0 Menor a $3001 Hasta $7001 Hasta $7002 Hasta $2,0003 Hasta $5,0004 $15 0004 $15,0005 $40,0006 $110,0007 $300 0007 $300,0008 $800,0009 $2200,000E t t bl d l it d f t d


En esta tabla cada lmite de rango crece por un factor de alrededor de 2.7183 en lugar de un factor de 10.


3.5 Elaborar la Matriz de Activos VS Amenazas

g gg g

8 Accidental

Amenazas

t

e

r

r

u

p

c

i

n

o

r

r

u

p

c

i

n

e

m

o

c

i

n

e

v

e

l

a

c

i

n

e

s

t

r

u

c

c

i

n

t

e

r

r

u

p

c

i

n

o

r

r

u

p

c

i

n

e

m

o

c

i

n

e

v

e

l

a

c

i

n

e

s

t

r

u

c

c

i

n

1 2 3 4 5 6

I

n

t

C

o

R

e

R

e

D

e

I

n

t

C

o

R

e

R

e

D

e


3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt CONCEPTOS DE PROBABILIDAD

Annualized Loss Multiplier Table

F i i l C / l i li d

g gg g

Frecuencia Equivalente Costo/MultiplicadorSubjetiva Fraccionario de PrdidaNunca - 0.0Una vez en 300 aos 1/300 0.00333Una vez en 200 aos 1/200 0.005Una vez en 100 aos 1/100 0.01Una vez en 50 aos 1/50 0.02Una vez en 25 aos 1/25 0.04Una vez en 5 aos 1/5 0.20Una vez en 5 aos 1/5 0.20Una vez en 2 aos 1/2 0.50Anualmente 1/1 1.0Dos veces al ao 1/.5 2.0Cuatro veces al ao 1/.25 4.0U l 12/1 12 0Una vez al mes 12/1 12.0Dos veces al mes 12/.5 24.0Una vez a la semana 52/1 52.0Una vez al da 365/1 365.0Dos veces al da 365/.5 730.0


/Diez veces al da 265/.1 3,650.0Una vez cada hora 8760/1 8,760.0Una vez cada minuto 525,600/1 525,600.0


3.6 Determinar el Impacto Financiero, la Probabilidad de Ocurrencia

g gg g

DETERMINAR IMPACTO FINANCIERO$ VARIABLE

DETERMINAR PROBABILIDAD DE OCURRENCIAFRECUENCIA VARIABLE

3.6 Determinar el Impacto Financiero, la Probabilidad de Ocurrenciay calcular el Riesgo por cada relacin Activo-Amenaza

10 U = 1100 U = 2

1,000 U = 310,000 U = 4

100 000 U = 5

Una vez en 300 aos P = 1Una vez en 30 aos P = 2Una vez en 3 aos P = 3Una vez cada 100 das P = 4U d 10 d P 5100,000 U 5

1'000,000 U = 610'000,000 U = 7

100'000,000 U = 81,000'000,000 U = 9

Una vez cada 10 das P = 5Una vez por da P = 6Diez veces por da P = 7Cien veces por da P = 8

CALCULAR EL VALOR DEL RIESGO

RIESGO = (IMPACTO FINANCIERO) (PROBABILIDAD DE OCURRENCIA)( P + U - 3)


R = ----10

3

3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt g gg g3.7 Definir las Medidas de Proteccin

(Estrategias y Controles)

Seguridad

Componentes Esenciales de la Seguridad

D SeguridadComunicaciones, Proceso de

Datos, Tcnica

D

ACTIVOGN


El concepto de Anillos de Proteccin

3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3.7 Definir las Medidas de Proteccin

(Estrategias y Controles)

g gg g

ESTRATEGIAS

1. Evitar el Riesgo2 P ti (Di idi ) l Obj ti2. Partir (Dividir) el Objetivo3. Colocar el Activo en una posicin altamente visible4. Ocultar el Activo5. Combinar varios activos6. Uso de mltiples estrategias. Anillos de Proteccin

Ti d t l P t i D t i R iTipos de controles : Proteccin, Deteccin, ReaccinControles Preventivos Controles Detectivos


Controles Correctivos


3 8 Desarrollar el Anlisis Beneficio-Costo de las

g gg g

3.8 Desarrollar el Anlisis Beneficio-Costo de las Medidas de Proteccin

Analizar si los Costos de las Medidas de Proteccin son C t Ef ti t d t

Costo de Adquisicin

ms Costo - Efectivos que un seguro, tomando en cuenta los siguientes costos:

Costo de Desarrollo

Costo de Adaptacin

Costo de Mantenimiento

Costo de Educacin


Otros Costos


l b l d d

g gg g

3.9 Determinar la Factibilidad Tcnica, Econmica y Operacional de la implementacin de las Medidas de Proteccin

3.10 Probar, Implementar y Evaluar las Medidas de Proteccin

Utilizar Tcnicas de Planeacin de Proyectos Asegurar Funcionamiento Efectuar correcciones y adaptaciones pertinentes Efectuar correcciones y adaptaciones pertinentes Emplear buenas prcticas gerenciales Verificar resultados Certificar implementacin


Certificar implementacin

auditoria y metodologia de riesgos

Documents