moduloiiix2.pdf
TRANSCRIPT
-
Haga clic para cambiar el estilo de ttulo
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Curso de Seguridad de la InformacinEstructura y Organizacin de Gestin de Seguridad
1PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Agenda
Estructura y Organizacin de Gestin de Seguridad
El rea de Seguridad
Introduccin a la Administracin de Riesgos
Administracin de Riesgos de Seguridad de la Informacin
-
Haga clic para cambiar el estilo de ttulo
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivelEl rea de Seguridad
3PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Seguridad de la Informacin
La seguridad no es un conjunto de medidas que se toman por nica vez, sino un proceso dinmico en el que todos los actores juegan un rol permanente.
La seguridad debe abarcar las tres reas de incumbencia: GenteProcesosTecnologa
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
-
4PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
La trada de la seguridad
La C-I-AConfidencialidad(Confidentiality)
Integridad(Integrity)
Disponibilidad(Availability)
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
5PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Confidencialidad
Caractersticas:La informacin debe ser accedida solo por personal
autorizado.Prevenir el acceso no autorizado a informacin o datos.Se deber acompaar de algn tipo de cifrado de la
informacin
Amenazas:Hackers/ CrakersAccesos no autorizadosSniffing de redIngeniera Social
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
-
6PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Integridad
Toda modificacin o destruccion de datos o informacin es realizada por personas autorizadas utilizando procedimientos autorizados.
Tenemos: Integridad de datos/ informacin Integridad del proceso de manipulacin de datos/ informacin
Se deber establecer a travs de tres principios bsicos: Need to know Access Separacin de responsabilidades Rotacin de roles
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
7PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Disponibilidad
La informacin y datos se deben encontrar
disponibles cuando se necesiten.
Los usuarios requieren: La red de datos para trabajar. Contar con acceso a sus recursos de informacin en la red.
Amenazas: Ataques de Denegacin de Servicio Catstrofes humanas, naturales, tecnolgicas.
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
-
8PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Seguridad de la Informacin
Se ocupa de proteger la informacin de la organizacin en cualquier forma en que se encuentre.
Debe velar por la transmisin, procesamiento y almacenamiento de la misma.
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
9PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Seguridad de la InformacinSu lugar en la organizacin
Gerencia General
Sistemas / IT Gerencia 2 Gerencia 3
Auditoria
Seguridad de la
Informacin
Gerencia General
Sistemas / IT Gerencia 2 Gerencia 3
AuditoriaSeguridad
de la Informacin
Gerencia General
Sistemas / IT Gerencia 2 Gerencia 3
Auditoria
Seguridad de la
Informacin
-
10PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad 10Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Estructura Funcional del rea de Seguridad
11PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad 11Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Funciones del rea de Seguridad Modelo
Rol Principales Funciones
Operaciones de Seguridad -
Administracin de Accesos y Soporte
A/B/M de accesos y usuarios
Administracin de accesos remotos
Soporte de seguridad a plataformas (Unix, Windows, etc.)
Soporte al Proceso de Patch Management
Operaciones de Seguridad Revisin de LOGs y Gestin de Incidentes
Revisiones de logs de seguridad
Identificacin de potenciales incidentes
Soporte en la resolucin de problemas de seguridad
-
12PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad 12Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Funciones del rea de Seguridad Modelo (Cont.)
Rol Principales Funciones
Cumplimiento y Gestin
Administracin de Matrices de Riesgo, mantenimiento de la clasificacin de activos de informacin
Monitoreo del cumplimiento regulatorio / de polticas y procedimientos
Mantenimiento de Mtricas de seguridad y Tablero de Comando
Desarrollo del Programa de Concientizacin y Capacitacin en seguridad
Desarrollo y Mantenimiento de polticas y procedimientos de seguridad
Mantenimiento de las matrices de Roles Funcionales de las Aplicaciones
Desarrollo y Mantenimiento del Plan de Contingencia / Plan de Continuidad de Negocio
Revisin trimestre/semestral/anual de los accesos a sistemas y recursos
Validacin de accesos para sistemas / recursos con administracin de seguridad delegada
Seguimiento de la Resolucin de Issues / Problemas de Seguridad identificados por Auditora
13PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad 13Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Rol Principales Funciones
Ingeniera de Seguridad
Anlisis de Riesgo y Aspectos de Seguridad en Nuevos Proyectos (de Sistemas y/o de Negocio)
Desarrollo y Mantenimiento de estndares tcnicos de seguridad
Diseo de infraestructura de seguridad (redes, Internet, etc.)
Administracin matrices de flujos de informacin de Aplicaciones y Procesos crticos.
Investigaciones de seguridad sobre nuevos productos y/o sistemas implementados por la Gerencia de Sistemas
Investigacin sobre nuevos productos / sistemas que permitan mejorar la gestin de seguridad
Investigaciones de seguridad y respuesta ante incidentes
Soporte a Comunicaciones y a Desarrollo de Aplicaciones
Definicin de Estrategias de Resolucin de Vulnerabilidades
Mantenimiento y definicin de eventos de seguridad a registrar en LOGs
Funciones del rea de Seguridad Modelo (Cont.)
-
14PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Roles y Responsabilidades
Gerencia General
Responsable final por la seguridad informtica de la compaa.ISSO (Information Systems Security Officer)
Responsable funcional por la seguridad informtica de la compaa.
Dueo de la informacin
Determina el nivel de clasificacin de la informacin.
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
15PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Custodio
Preserva la Confidencialidad, Integridad y Disponibilidad (CIA) de la informacin.
Usuario/ Operador
Trabaja respetando las polticas, normas y procedimientos definidos.
Auditor
Evalua los controles de seguridad informtica y presenta recomendaciones a la alta gerencia.
Roles y Responsabilidades
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
-
16PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Background checks
De que puede, potencialmente, prevenirnos un background check:?Juicios de parte de empleados despedidos.Juicios de 3ra partes o clientes por negligencia a la hora de
contratacin de personal.Empleados no calificados.Prdida de negocios y de ganancias.Prdida de tiempo de reclutamiento y entrenamiento.Robo, dao a propiedad de la compaa, fraude.Prdida de dinero (relacionada con la contratacin del empleado).Disminucin de la moral de los empleados.Juicios por violencia o acoso sexual.
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
17PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Quin debe ser evaluado? Background checks deben ser realizados para toda posicin sensitiva en la compaa. Dentro del rea de seguridad informtica se incluyen:
Administradores de FirewallsAdministradores de e-commerceAdministradores de Kerberos/ SSOAdministradores de SecurID y operadores de cuentas de usuariosEtc.
Background checks
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
-
18PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Contratos de Empleo
Debe contener una clusula de Non-compete.
Debe contener una clusula de Non-disclosure.
Deben existir restricciones a la distribucin de informacin corporativa en cualquiera de sus formas.
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
19PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Contratacin y Despido
Polticas y Procedimientos definidos por RR.HH.Deben contemplar:
Cmo manejar la salida del empleadoDeshabilitacin/ borrado de cuentas de usuariosReenvo del e-mail y del voice-mailCambios en las cerraduras y cdigos de accesoModificacin de contraseas de sistemas relacionadas
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
-
20PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Separacin de Tareas
El principio de separacin de tareas es aquel que determina que aquellas personas involucradas en la revisin/ anlisis de uso no autorizado de activos no debe estar en condicin de efectuar dicho uso no autorizado.
Quien controla no ejecuta. Nadie debe ser responsable de realizar una tarea que involucra
informacin sensitiva de principio a fin. Asimismo, un individuo no puede ser responsable de aprobar su propio trabajo.
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
21PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Separar: Desarrollo de Produccin Seguridad de Auditora Cuentas a Cobrar de Cuentas a Pagar Administracin de Claves de Encripcin de Cambio de Claves
Conocimiento distribuido Claves de encripcin separadas en dos componentes, cada uno de los
cuales no permiten la obtencin del otro
Separacin de Tareas
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
-
22PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Preguntas?Preguntas?
Haga clic para cambiar el estilo de ttulo
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivelIntroduccin a la Administracin de Riesgos
-
24PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Introduccin a la Administracin de Riesgos
Principales Trminos Utilizados
Las Organizaciones son cada vez ms dependientes de sus Sistemas y Servicios de Informacin, por lo tanto podemos afirmar que son cada vez ms vulnerables a las amenazas concernientes a su seguridad.
Por qu se incrementan en el tiempo? Crecimiento exponencial de las redes y usuarios interconectados Falta de madurez en las nuevas tecnologas utilizadas Existencia de numerosas herramientas automatizadas de ataques Etc.
Bsicamente:
Humanas
Ambientales
Naturales
Introduccin a la Administracin de Riesgos
Amenazas: Representan cualquier peligro potencial, los cuales pueden generar prdidas o daos a los activos de la Entidad.
Son materializadas por Agentes capaces de explotar las vulnerabilidades de seguridad existentes (puntos dbiles).
25PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Introduccin a la Administracin de Riesgos
Principales Trminos Utilizados (Cont.)
Robo de informacin Hackers, Virus
Borrado de informacin crtica Ex-Empleados o empleados disconformes
Robo de activos del Banco Intrusos
Cules son las potenciales amenazas que podran afectar al banco? (Ejemplos)
Cules son los agentes que podran materializarlas?
Humanas
Ambientales
Naturales
Introduccin a la Administracin de Riesgos
Fuego Falla elctrica
Falta de electricidad Corte de suministro
Falla en los equipos Humedad, temperatura
Equipos arruinados Inundacin
Instalaciones arruinadas Terremoto
Personal interno no disponible Alerta meteorolgica
-
26PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Introduccin a la Administracin de Riesgos
Principales Trminos Utilizados (Cont.)
Vulnerabilidades: Representan debilidades o fallas en los controles, las cuales pueden facilitar que una amenaza sea materializada. Al ser explotadas, afectan la confidencialidad, disponibilidad e integridad de la informacin.
El objetivo de la seguridad de la informacin es impedir que las amenazas exploten las
vulnerabilidades existentes.
Qu vulnerabilidades podran identificar en su ambiente de
trabajo?
Ausencia de Antivirus Contagio de Virus
Falta de Guardias de Seguridad Robo de un activo de la Entidad
Ausencia de UPS Cadas de servicios ante cortes de energa
27PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Introduccin a la Administracin de Riesgos
Principales Trminos Utilizados (Cont.)
Riesgo: Es la probabilidad de que las amenazas se materialicen, a travs de la explotacin de las vulnerabilidades existentes, causando prdidas o daos a la Entidad, dado que ha sido comprometida la confidencialidad, integridad y/o disponibilidad de la informacin.
Qu factores determinan la probabilidad de ocurrencia de una amenaza?
Habilidad de la
amenaza
Motivacin
Controles Existentes
-
28PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Introduccin a la Administracin de Riesgos
Ejemplos de los trminos utilizados
Robo de activos de la Entidad.Inexistencia de un guardia de seguridad, o falta de capacitacin de los mismos.
Intruso
Robo de informacin sensible del negocio.Fallas en los mecanismos de control de acceso.
Proveedor
Informacin sensible compartida a personas no autorizadas.
Modificacin no autorizada de los datos de entrada y/ o salida de las aplicaciones.
Falta de entrenamiento o de estandarizacin. Falta de auditora o monitoreo.
Empleado
Daos sobre las computadoras, personas o instalaciones causadas por un incendio.
Falta de extintores de incendio.Fuego
Funcionamiento inesperado del sistema.Errores en la parametrizacin del sistema operativo.
Administrador
Acceso no autorizado a informacin confidencial.
Servicio siendo ejecutado en un equipo con altos privilegios.
Hacker
Infeccin de virus.Falta de software antivirus.Virus
Lo cual resulta en la materializacin de esta amenaza:
Puede explotar esta vulnerabilidad:Agente
Hagamos un repaso de los trminos utilizados....
29PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Introduccin a la Administracin de Riesgos
Resmen de trminos utilizados
-
30PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Introduccin a la Administracin de Riesgos
Alternativas de Tratamiento de Riesgos
Una vez identificados los riesgos, existen las siguientes opciones de tratamiento:
Datos y activos de la Compaa
Controles Administrativos
Controles Tcnicos
Controles Fsicos
Tipos de Controles a implementar:
Asignarlos / Transferirlos -> Un tercero se hace cargo del control y/o los costos asociados al riesgo. Normalmente implica un costo a modo de cuota o pliza (por ej. Seguro, soporte 24x360).
Disminuirlos / Mitigarlos -> Se implementan controles para reducir la prdida y/o disminuir la probabilidad de ocurrencia.
Aceptarlos -> No se toman medidas.
Fsicos:
9Proteccin de las instalaciones,
9guardias de seguridad, 9candados, 9etc.
Tcnicos (Lgicos):
9acceso lgico, 9encriptacin, 9dispositivos de seguridad,
9etc
Administrativos:
9polticas, 9procedimientos, 9estndares, 9lineamientos, etc.
31PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Introduccin a la Administracin de Riesgos
Controles de Seguridad
Controles de Seguridad: Son acciones llevadas a cabo o mecanismos implementados para reducir o eliminarvulnerabilidades.
Se pueden diferenciar los siguientes categoras de controles:
Preventivos: Utilizados para evitar la materializacin de una amenaza.
9Firewall9Candado
Detectivos: Utilizados para identificar la materializacin de una amenaza.
9Anlisis de LOGs9Intrusion Detection Systems
Recuperacin: Utilizados para recuperar un servicio o proceso.9Restauracin de una cinta de backup9Plan de Recuperacin ante Desastres Tecnolgicos (DRP)
-
32PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Introduccin a la Administracin de Riesgos
Controles de Seguridad (Cont.)
Categoras de Controles (Cont.)
Correctivos: Utilizados para remediar un incidente y mitigar el dao prdida. Permite la restauracin de los controles.
9Limpieza de virus sobre un equipo infectado9Un guardia cerrando una puerta con llave que un empleado dejo abierta sin prestar atencin
Compensatorios: Representan una alternativa a otros controles. 9Monitoreo y supervisin9Procedimientos de manejo de personal
Disuasivos: Tienen como objetivo disuadir a las personas de violar una poltica de seguridad.
9Seal de prohibido el paso9Cmaras de seguridad
33PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Diferentes niveles de control de
acceso al edificio
ReconstruccinExtinguidor de fuego
CCTV, alarmaCerca perimetralSeal de no traspasar
Fsico
Logging, CCTVCintas de backupsDesconexin de un
dispositivo, aislamiento
Logs, IDSLogin utilizando contraseas, IPS
Banner (mensaje) de advertencia
Tcnico
Rotacin de funciones, supervisin
DRPDespidoAnlisis de reportes de
violaciones de seguridad
Procedimiento de registracin de
usuarios
PolticasAdministrativo
CompensatorioRecuperacinCorrectivoDetectivoPreventivoDisuasivoCategoraTipo deControl
Introduccin a la Administracin de Riesgos
Relacin entre los Tipos y Categoras de Controles
-
34PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Preguntas?Preguntas?
Haga clic para cambiar el estilo de ttulo
Haga clic para modificar el estilo de texto del patrn
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivelAdministracin de Riesgos de Seguridad de la Informacin
-
36PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos de Seguridad
Aspectos Generales
No importa cuan seguro sea un sistema, siempre podr ser vulnerado si se utilizan suficientes:
Recursos - Tiempo - Motivacin
Entre los componentes de un sistema (personas, tecnologa, procesos), las personas son normalmente el componente ms fcil de vulnerar.
Los riesgos de seguridad existen desde el mismo momento en que un sistema es creado. La nica manera de tratarlo es a travs de la Administracin de Riesgos. No existe un ambiente 100% seguro, todos tienen un cierto nivel de vulnerabilidades y amenazas.
Los riesgos pueden ser reducidos, transferidos o aceptados, pero nunca eliminados. Los responsables de administrarlos deben ser capaces de reconocerlos, analizar su probabilidad de ocurrencia, su impacto, analizar las medidas de control posibles para mitigarlos y finalmente, priorizar la implementacin de dichas medidas, en base a las necesidades del negocio.
37PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos de Seguridad
Proceso de Administracin de Riesgos
La Administracin de Riesgos de la Informacin es el proceso de identificar los riesgos existentes, reducirlos a un nivel aceptable e implementar los mecanismos adecuados para que el riesgo se mantenga en los niveles aceptados.
La administracin de riesgos de la informacin, es un subproceso dentro del proceso general de administracin de riesgos de la Entidad, el cual est directamente relacionado con la Poltica de Seguridad.
El proceso de Administracin de Riesgos estar regido por una Poltica de Administracin de Riesgos, la cual podra contemplar:
Nivel de riesgo que ser considerado aceptable para la Entidad. Los lineamientos bsicos para la identificacin de riesgos. Relacin existente entre la Poltica de Administracin de Riesgos y los
planes estratgicos de la Entidad. Relacin existente entre los riesgos identificados y los controles
internos. Relacin entre los riesgos e indicadores de rendimiento y
presupuestos.
Riesgo para la Organizacin, abarca mucho ms que aspectos de seguridad de la informacin
-
38PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos de Seguridad
Flujo del Proceso de Administracin de Riesgos
El Proceso de Administracin de Riesgos de Seguridad estcompuesto por las siguientes etapas:
Anlisis de Riesgos: Identificar los activos y valuarlos Identificar vulnerabilidades y amenazas Determinar la probabilidad de ocurrencia y el impacto Identificar las contramedidas Evaluar costo beneficio de las contramedidas
Seleccin e Implementacin de Controles: Seleccionar contramedidas Priorizar la implementacin de las contramedidas Planificar la implementacin / Asignar Responsables Implementar Controles Determinar Riesgo Residual
Monitoreo y evaluacin de los Controles Implementados: Revisar / Monitorear la efectividad de los controles
Administracin de
Riesgos
39PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Anlisis de Riesgos:
Es una herramienta para la Administracin de Riesgos. Representa el mtodo utilizado para identificar las vulnerabilidades y las amenazas, derivar el posible dao o prdida y determinar donde implementar medidas de seguridad.
Principales Objetivos del Anlisis de Riesgos:
Identificar los activos de la Entidad y valuarlos. Identificar las vulnerabilidades y las amenazas. Cuantificar la probabilidad de ocurrencia y el impacto de dichas
amenazas. Documentar el anlisis comparativo entre el impacto de la
amenaza y el costo de las contramedidas (Costo-beneficio del control), el cual ser utilizado para seleccionar los controles ms convenientes.
En proyecto relevantes, esta actividad suele ser llevada a cabopor un equipo compuesto por personal de diferentes reas, de modo que se identifiquen mayor cantidad de riesgos. En caso que no sea posible la inclusin de las mismas, al menos deben ser tenidas en cuenta para las entrevistas.
-
40PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Anlisis de Riesgos Enfoque:
Los pasos bsicos que se deben cumplir en una anlisis de riesgos contemplan:
Identificar y analizar las amenazas.
Identificar y valuar de los activos que se desean proteger.
Realizar un anlisis de vulnerabilidades.
Realizar la evaluacin de riesgos.
Establecer el criterio de aceptacin de riesgos.
Identificar controles que podran mitigar las vulnerabilidades identificadas.
Documentar un anlisis costo-beneficio de los mismos.
41PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Anlisis de Riesgos Enfoque:
Al momento de realizar el anlisis de riesgos, se pueden utilizar dos enfoques, estos son:
Cuantitativo
Intenta asignar un valor real a todos los elementos involucrados en el anlisis de riesgos.
Se utilizan valores monetarios para evaluar el riesgo. No permite cuantificar todos los activos y todas las
amenazas posibles (Por ejemplo el impacto en la imagen de la Entidad).
Permite obtener una idea del riesgo y su correspondiente impacto monetario.
Cualitativo
Es ms subjetivo dado que se basa en categorizar las amenazas, los controles y su efectividad, de acuerdo a un sistema de puntuacin.
Con este enfoque se determina el riesgo relativo al entorno evaluado.
Permite determinar la severidad de los riesgos identificados, pero no asignarles valores monetarios en forma directa.
Es mucho ms sencillo de aplicar que el enfoque cuantitativo.
-
42PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Principales pasos involucrados en el proceso:
1. Identificar y valuar los activos: Para cada activo que se desea proteger, las respuestas a las siguientes preguntas nos darn una nocin de su valor:
Cul es el valor de este activo para la Entidad? Cunto cuesta mantenerlo? Qu beneficio le brinda a la Entidad? Cunto vale para la competencia? Cunto costara recrearlo, reproducirlo, adquirirlo o desarrollarlo? Cules son las actividades operacionales y de produccin que se veran
afectadas si el activo no estuviese disponible?.
2. Estimar la prdida potencial por amenaza: Para estimar la prdida potencial ante una amenaza, responder las siguientes preguntas:
Qu dao fsico podra ocasionar y cuanto costara repararlo? Qu prdida de productividad podra ocasionar y cuanto costara? Cul es el valor de la prdida si se revela informacin confidencial? Cul es el costo de recuperarse del evento? Cul es el costo de falla de dispositivos o servicios crticos?
Administracin de Riesgos
Anlisis de Riesgos Enfoque Cuantitativo (Cont.):
Calcular la Prdida Simple Estimada (SLE Simple Loss Expectancy) para cada activo y cada amenaza.
43PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Anlisis de Riesgos Enfoque Cuantitativo (Cont.):
3. Analizar la probabilidad de ocurrencia de las amenazas:
Recabar informacin acerca de la probabilidad de ocurrencia de cada una de las amenazas en cada uno de los departamentos o reas de la Entidad, incluyendo registros histricos y fuentes oficiales que brindan este tipo de informacin.
4. Inferir la prdida total por amenaza y seleccionar las medidas de proteccin adecuadas:
Para inferir la prdida total asociada a una amenaza, combinar la prdida potencial (SLE) y la probabilidad de ocurrencia (ARO).
Seleccionar las medidas de proteccin adecuadas para cada amenaza.
Llevar adelante un anlisis costo-beneficio para las medidas seleccionadas.
Calcular la Tasa de Ocurrencia Anual (ARO Annualized rate ofocurrence), la cual representa la cantidad de veces que puede ocurrir cada amenaza en un perodo de 12 meses.
Calcular la Prdida Estimada Anual (ALE) por amenaza.
-
44PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Anlisis de Riesgos Enfoque Cuantitativo (Cont.):
5. Reducir, Transferir o Aceptar el riesgo: Para cada riesgo, se deber optar por una de las 3 opciones:
Reduccin de Riesgos a travs de alguno de los siguientes mtodos:
Implementar controles y componentes de seguridad. Implementar/ mejorar procedimientos de seguridad. Proveer mtodos de deteccin temprana, para identificar las
amenazas al momento en que ocurren y reducir el posible dao que puedan ocasionar.
Desarrollar un plan de contingencia que detalle como seguir operando en caso que la amenaza ocurra, reduciendo el dao que la misma pueda ocasionar.
Llevar adelante un proceso de concientizacin de usuarios. Modificar el ambiente de procesamiento.
Aceptacin del riesgo: Vivir con el riesgo y no erogar dinero en protecciones adicionales.
Transferencia del Riesgo: Contratacin de seguros o soporte por parte de proveedores.
45PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Anlisis de Riesgos Enfoque Cuantitativo:
Este enfoque utiliza dos elementos fundamentales:
El anlisis Cuantitativo utiliza un concepto que surge de la combinacinde ambos elementos, para calcular un valor denominado Expectativa de Prdida Anual (ALE Annual Loss Expectancy).
De esta manera, es posible tomar el valor del ALE para priorizar y poner atencin a determinados riesgos y su mitigacin.
La probabilidad de ocurrencia de un
evento
Dao o Prdidapotencial en caso de
ocurrencia.
X
-
46PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Resumen de clculos necesarios... Factor de Exposicin (EF - Exposure Factor): Representa el el porcentaje de prdida sobre
un activo ante la ocurrencia de una amenaza.
Prdida Simple Estimada (SLE Simple Loss Expectancy): Es un monto ($) que representa la prdida ocasionada sobre un activo ante la ocurrencia de una amenaza.
Tasa de Ocurrencia Anual (ARO Annualized rate of ocurrence): Representa la tasa de ocurrencia de una amenaza en el transcurso de un ao.
Prdida Estimada Anual (ALE Annualized loss expectancy): Es un monto ($) que representa la prdida anual estimada por la ocurrencia de una amenaza determinada.
75.000325.00050%50.000RoboClave transaccional de cliente
5000,15.00025%20.000FuegoFile Server
Annual LossExpectancy
(ALE)
Annualized rate ofocurrence
(ARO)
Single LossExpectancy
(SLE)
Factor de Exposicin
(EF)
ValorAmenazaActivo
Anlisis de Riesgos Enfoque Cuantitativo (Cont.):
SLE = Valor del activo x EF
ALE = SLE x ARO
47PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Principales desventajas del enfoque cuantitativo: Requiere la realizacin de clculos complejos. Podr la Alta Gerencia
comprender de donde fueron obtenidos los datos y cmo fueron calculados?
Sin la utilizacin de herramientas automatizadas, este proceso es extremadamente laborioso.
Necesidad de relevamiento de gran cantidad de informacin detallada acerca del ambiente de procesamiento: histrico de incidentes, costos, porcentajes, etc.
Falta de estandarizacin del proceso entre los diferentes proveedores del mercado. Cada uno tiene sus propias formas de interpretar los procesos involucrados y los resultados.
Difcil de inferir, ya que intenta asignar valores exactos a variables cualitativas.
Suele extenderse en el tiempo.
Anlisis de Riesgos Enfoque Cuantitativo (Cont.):
-
48PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Anlisis de Riesgos Enfoque Cualitativo:
Este enfoque no asigna nmeros o montos ($) a los componentes y a las prdidas potenciales evaluadas.
En su lugar, este enfoque requiere el planteamiento y evaluacin de diferentes escenarios de riesgos posibles, para luego priorizar las amenazas segn el impacto y las diferentes contramedidas segn su efectividad y eficiencia.
Las tcnicas de anlisis cualitativo se basan en el criterio del evaluador, mejores prcticas, intuicin y experiencia.
Entre las tcnicas ms utilizadas para llevar adelante este enfoque se incluyen:
Brainstorming (Lluvia de ideas).
Storyboarding.
Focus Groups.
Cuestionarios.
Checklists.
Entrevistas.
Delphy
Etc.
El equipo de administracin de riesgo determinar las tcnicas apropiadas y el personal involucrado para la evaluacin de los diferentes escenarios.
49PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Anlisis de Riesgos Enfoque Cualitativo (Cont.):
Principales pasos involucrados en el proceso:
1. Descripcin de los escenario y de las amenazas: Se describe en detalle cada uno de los escenarios para cada una de las amenazas. El o las personas ms familiarizadas con ese tipo de amenaza validan que se hayan tenido en cuenta todas las variables.
2. Anlisis de contramedidas: Se evalan las contramedidas que podran reducir el impacto de la amenaza, y se reproduce el escenario para cada una de las contramedidas.
3. Establecer la escala de prioridad: El factor de exposicin y la prdida posible pueden ser estimados utilizando escalas como Alto Medio Bajo o 1-2-3-4-5.
4. Asignacin de valores: El personal seleccionado debe establecer para cada amenaza: La probabilidad de ocurrencia, la prdida potencial, y las ventajas/ desventajas de cada contramedida.
5. Documentacin de las tareas de anlisis: El Equipo de Administracin de Riesgos documenta los escenarios y controles planteados y los resultados simulados de la evaluacin de los mismos.
-
50PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Anlisis de Riesgos Enfoque Cualitativo (Cont.):
Caso prctico: Situacin: Un rea de negocio ha planteado que:
Un socio comercial debe acceder a un servidor crtico de la Entidad para realizar consultas especficas y ha solicitado que se le brinde soporte para evaluar los riesgos y escoger la solucin costo-beneficio ms apropiada.
El acceso se realizar desde Internet.
Cmo respondera al requerimiento? (Utilizar un enfoque cualitativo y los indicadores que se presentan en la figura).
Cmo planteara el anlisis con un enfoque Cuantitativo?
51PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Principales desventajas del enfoque cualitativo: Las inferencias y los resultados son subjetivos.
No contempla el poder asignar valores monetarios ($) que puedan ser utilizados para el anlisis de costo-beneficio objetivo. Provee indicadores generales de riesgo.
Falta de estandarizacin del proceso entre los diferentes proveedores del mercado. Cada uno tiene sus propias formas de interpretar los procesos involucrados y los resultados.
Anlisis de Riesgos Enfoque Cualitativo (Cont.):
-
52PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Anlisis de Riesgos Enfoque Cualitativo vs. Cuantitativo:
Principales Caractersticas:
XMuestra los costos en trminos exactos para un perodo de un ao.
XContempla la opinin de las personas que ms conocen el proceso.
XUtiliza mtricas objetivas y verificables.
XFacilita un anlisis costo-beneficio creble / sustentable.
XUsado para evaluar el rendimiento del proceso de administracin de riesgos.
XEs ms fcil de evaluar.
XProvee indicadores y reas generales de riesgos
XRequiere un alto grado de anlisis subjetivo o guesswork.
XRequiere clculos complejos.
XRequiere clculos simples.
Mtodo Cualitativo
Mtodo Cuantitativo
Atributo
53PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Seleccin e Implementacin de Controles:
Una vez que se ha llevado a cabo el Anlisis de Riesgos y se ha documentado el anlisis Costo-Beneficio, se deber proceder a seleccionar e implementar los controles ms apropiados para la Entidad.
Principales Objetivos de la seleccin e implementacin de controles:
Identificar los controles ms convenientes a ser implementados,en funcin de la relacin costo-beneficio y del nivel de riesgo que se desee asumir.
Priorizar y planificar la implementacin de los controles. Identificar y asignar responsabilidades en la implementacin
para asegurar el xito de la tarea. Implementar los controles seleccionados.
Para lograr el xito y la alineacin estratgica de esta actividad crtica, se deber contar con el soporte de losmximos responsables de todas las reas involucradas en el proceso.
-
54PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Evaluacin de las contramedidas: Se deben seleccionar las contramedidas en base al resultado del anlisis costo-beneficio de las mismas.
El costo de una contramedida es mucho ms que el valor de la orden de pago. Los siguientes elementos deben ser evaluado al momento de inferir el verdadero costo de una contramedida: Costo del producto.
Costo del diseo/ planificacin de la solucin.
Costo de implementacin.
Modificaciones necesarias en el ambiente para la implementacin.
Compatibilidad con otras contramedidas.
Requerimientos de mantenimiento.
Requerimientos de soporte, actualizacin o reparacin.
Costos de operacin.
Efectos sobre la productividad/ funcionalidades del negocio.
Seleccin e Implementacin de Controles (Cont.):
55PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
Monitoreo / Evaluacin Continua de los Controles:
Como etapa final del proceso de administracin de riesgos, se debe velar por el cumplimiento de los controles establecidos para reducir los riesgos a un nivel aceptable e implementar los mecanismos adecuados para que el riesgo se mantenga en los niveles aceptados.
Los principales objetivos del monitoreo y la evaluacin de controles son:
Asegurar que los controles definidos se encuentren implementados.
Que dichos controles estn operando en forma efectiva. Que se mantengan en el tiempo. Que no se hayan generado nuevas amenazas o
vulnerabilidades, a las identificadas en la evaluacin inicial.
Riesgo Residual vs Riesgo Total: La razn por la que se implementan las contramedidas es para reducir el Riesgo Total a un nivel aceptable. Sin embargo, ningn ambiente es 100% seguro, lo cual implica que siempre queda un margen de riesgo. Dicho margen es llamado Riesgo Residual.
-
56PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos
El proceso de administracin de riesgos es crucial para todas las Organizaciones.
Debe aplicarse un enfoque de arriba hacia abajo.
Debe estar alineado a los objetivos del Negocio.
Deben utilizarse trminos entendibles para la Gerencia (costo-beneficio, etc.).
El proceso de anlisis de riesgos debe ser continuo. Es la nica manera de estar seguros que las medidas de proteccin continan siendo efectivas y eficientes.
Anlisis de Riesgos Conclusiones Finales:
57PginaCurso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Preguntas?Preguntas?