Analisis y Gestión de Riesgos de TI

RAUL WEXLERDIRECTOR

CONTACTO@RAULWEXLER.COM.AR

Desde 1970 hasta el 2010

G1 =Antes Host (sistema manejable, calidad era que funcionara, y las amenazas eran naturales). No se dependia de los sistemas para generar riqueza en una explotacion comercial pequeña, eran usados para manejar grandes volumenes de datos.(1970-1990)

G2 = cliente /Servidor (sistema complejo, mas o menos predecible en su comportamiento, generador de informacion estrategica para gestionar, aqui las amenazas eran sobre todo accidentales). Usar un sistema era mas bien una ventaja competitiva. Se podia organizar y gestionar estrategicamente. Sin embargo las pequeñas organizaciones todavia podian gestionar sin ellos en forma manual.(1980-2010)

G3 = Red (sistema incierto, la calidad equivale a controlar el sistema el objetivo es la productividad de los usuarios, la informacion es un recurso muy valioso que genera riqueza. Las amenazas son sobre todo intencionales. El mundo esta interconectado a traves de Internet y casi todas las acciones tiene que ver con la Red.Casi todo sucede en Tiempo Real. No se puede tener exito comercial sin ser parte de ellos. (2000-2010)

Los sistemas de TI

Muchas veces los usuarios se quejan que los sistemas fallan

Cada falla va generando mas y mas desconfianza hacia los sistemas

La gerencia muchas veces dice…“..porque justo en mi empresa se producen fallas?, algo estamos haciendo mal..”

Algo de razón tienen…o no?

Les tenemos una mala noticia

Los sistemas fallan, TODOS

Tambien el celular falla Tambien el auto falla Tambien la TV falla Tambien La energía eléctrica falla Tambien los matrimonios fallan (son un

sistema?)

Entonces?

Se acepta convivir con sistemas que fallan. El asunto no es tanto la ausencia de incidentes como la confianza en que están bajo control: se sabe qué puede pasar y se sabe qué hacer cuando pasa.

El temor a lo desconocido es el principal origen de la desconfianza y, en consecuencia se propone conocer para confiar: conocer los riesgos para poder afrontarlos y controlarlos.

No tenga en cuenta esto en su Matrimonio que aunque haya llegado a la conclusion que tambien es un sistema, no podemos asegurar que esto es aplicable

Escucho estas frases? Son síntomas

“¿Para que comprar un antivirus si con este gratuito no nos infectamos?”

“Pero si compramos un antivirus…como nos vamos a infectar!!”

“Necesito me informe las razones por las cuales la empresa estuvo parada 2 hs! (con cara de pocos amigos)”

“No hay presupuesto, sigamos así…”Quien tiene la culpa???

Que muestran estos síntomas?

Estrategia de seguridad informática deficiente o inexistente

Desconocimiento por parte de los niveles directivos de cómo manejar los riesgos del área TI y su impacto en los objetivos del negocio.

Hablemos de seguridad

Los usuarios necesitan confiar en los sistemas◦Que la informacion :

Este disponible cuando se necesite No se modifique sin control. Se mantenga reservada a quienes necesitan conocerla

…la seguridad aspira a dar confianza◦ ..en que los sistemas estarán listos para usarse◦ ..en las alteraciones son imposibles o se detectan◦ que la informacion permanece confidencial

En la medida en que la seguridad genere confianza, los usuarios querrán seguridad

Sistemas de información

Antes: ◦ Era cosa de unos pocos profesionales◦ Complejos y muy suyos◦ La seguridad no era un problema

Internet◦ Cambia todo◦ No hay equipos aislados◦ Los malos saben lo mismo que los buenos

Ahora◦ Las amenazas incluyen la naturaleza, la industria y el hombre◦ Los sistemas son excesivamente complejos como para que

alguien en singular comprenda todos los detalles

Objetivos de la seguridad

Mantener la disponibilidad de los datos◦ Contra la interrupción del servicio

Mantener la integridad de los datos◦ Contra las manipulaciones

Mantener la confidencialidad de los datos almacenados, procesados y transmitidos◦ Contra las filtraciones

Asegurar la identidad de origen y destino (autenticidad)◦ Frente al engaño

Trazabilidad◦ Para poder analizar, entender y perseguir al culpable

Asegurar todos los niveles

InformaciónProcesosAplicacionesSistema operativoHardwareComunicacionesSoporte de informaciónInstalacionesPersonal

Madurez del manejo de SI

Los jugadores

Diferentes visiones

Los usuarios◦Ven la seguridad como confianza

Los técnicos ◦Ven la seguridad como dispositivos, software

Los atacantes ven la seguridad como◦Aquello que impide sus objetivos

Los gerentes ven la seguridad como◦Gestión de Riesgos

Gestión de riesgos

Análisis (potencial)

Análisis (residual)

El análisis de riesgos no es simple

Lleva tiempo…Cuesta dinero…No vale una vez y para siempre…Muchos activos

◦Los sistemas son complejosMuchos tipos de activos

◦ Información, servicios◦Equipamiento: aplicaciones, equipos, comunicaciones◦Locales: sucursales, edificios, aéreas, campo◦Personas: usuarios, operadores, desarrolladores

Muchas amenazas◦Y muchas formas de llevarlas a cabo

Muchísimas salvaguardas◦Gestión, técnicas, seguridad física, rrhh

Porque una metodología?

La complejidad se ataca metódicamente

◦Una metodología es una aproximación sistemática Para cubrir la mayor parte de lo que puede ocurrir Para olvidar lo menos posible Para explicar:

◦ A los gerentes que se necesita de ellos◦ A los técnicos que se espera de ellos ◦ A los usuarios

Que es un uso decente del sistema Que es una respuesta urgente Como se gestionan los incidentes

◦Una metodología necesita modelos Elementos: activos, amenazas, salvaguardas Métricas: impacto y riesgo

Una vez realizado el análisis, que hacer con el riesgo?

Evitarlo◦Si se puede, es lo ideal◦Prescindir de activos

Reducirlo/Mitigarlo◦Ocurre menos◦ Impacto limitado

Transferirlo◦Se lo pasa a otra organización◦Ya no es “mi problema”

Asumirlo/aceptarlo◦Pasa a contabilizarse como gasto operacional

Toma de decisiones

Aceptación del riesgo

Es una opción

◦Honrada y necesaria

◦Pero peligrosa El análisis dirá cuan peligrosa

◦Debe ser tomada EXPLICITAMENTE por la Dirección Nunca puede ser una decisión técnica

Interés de un análisis de riesgos

Conciencia a los miembros de una organización◦Dirección y Recursos Humanos

Identifica activos, amenazas y controles◦Modelo de valor de la organización◦Mapa de riesgos◦Estado de riesgo

Base razonada para tomar decisiones

Justificación del gasto en SI

Ejemplos

Análisis de riesgos - Pasos

1. Determinar los activos relevantes para la Organización, sus dependencias y su valor, en el sentido de qué perjuicio (costo) supondría su degradación

2. Determinar a qué amenazas están expuestos aquellos activos

3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo

4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza

5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza

AnálisisRiesgo

Riesgo por dimensión

D: DisponibilidadI: IntegridadC: ContinuidadA: AutenticidadT: Trazabilidad

Riesgo por activo critico

D: DisponibilidadI: IntegridadC: ContinuidadA: AutenticidadT: Trazabilidad

Riesgo por activo de bajo nivel

Preguntas?

MUCHAS GRACIAS..!