systems security 1.- introduccion

7/24/2019 Systems Security 1.- Introduccion

1/51

SYSTEMS SECURITY

INTRODUCCIN


2/51

SYSTEMS SECURITY INTRODUCCIN

Gestin de Seguridad

Definicines bsicas

Gestin del Riesgo y Gobernanza

Tipos de Riesgo y origen

Anlisis de Riesgos. Modelo y valoracin

NDICE


3/51


Gestin de la Seguridad de la Informacin: proceso por el cual la Organizacin define, alcanzunos niveles apropiados de confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad painformacin que necesita para operar.

Aspectos principales:

Determinar los objetivos, estrategias y polticas de Seguridad de la Informacin.

Determinar los requerimientos de Seguridad de la Informacin.

Identificar y analizar las amenazas y las vulnerabilidades de los Activos de Informacin.

Identificar y analizar los riesgos de seguridad.

Especificar salvaguardas adecuadas teniendo en cuenta las amenazas, vulnerabilidades y riesgos identificados.

Supervisar la implementacin y el funcionamiento de las salvaguardas especificadas.

Asegurar la concienciacin de todo el personal en materia de Seguridad de la Informacin.

Detectar los posibles incidentes de seguridad y reaccionar ante ellos.

DEFINICIONES BSICAS.- GESTIN DE SEGURIDAD


4/51


Resultados encuestas/tendencias::

Crecimiento de los incidentes provocados por el propio personal de la Organizacin, no por externos, que hacen ineficacestablecidas para proteger de los ataques procedentes del exterior por s solas.

Crecimiento de los ataques con motivacin puramente econmica, que conduce a una profesionalizacin de los atacantes,organizados con personas especializadas en la ejecucin de las diferentes fases y tareas.

Los ataques se vuelven con ello ms complejos abarcando el aprovechamiento de debilidades no slo tecnolgicas, sino taingeniera social, etc.

Crecimiento de los ataques diseados especficamente para atacar objetivos determinados. La difusin de kits que permitsofisticados a personas sin conocimientos tecnolgicos elevados permite que el nmero de ataques dirigidos aumente.

Un volumen significativo de prdidas se debe a debilidades no tecnolgicas, como el robo o la prdida de soportes de infoprivilegios por parte de usuarios de sistemas de informacin.

Aproximadamente la mitad de las Organizaciones encuestadas indica que ha sufrido al menos un incidente de seguridad deel ltimo ao.

Aumenta el nmero de ataques de da 0, que se producen antes de que se publique la existencia de la debilidad explotada.necesidad de establecer una disciplina de seguridad que proteja no slo de las debilidades conocidas, sino tambin de las qconocerse. Asimismo, supone la necesidad de reaccionar con presteza ante la publicacin de nuevas debilidades, puesto qusiendo explotadas en ese momento.

DEFINICIONES BSICAS.- GESTIN DE SEGURIDAD


5/51


DEFINICIONES BSICAS.- RIESGO

RIESGO

El riesgo se define como la combinacin de la probabilidad produzca un evento y sus consecuencias negativas.

Medida de la magnitud de los daos frente a una situacin peligros

Consecuencias:

Prdida de ingresos

Prdida de ventaja competitiva

Penalizaciones legales


6/51



Componentes del RIESGO

Amenaza es un fenmeno, sustancia, actividad humana o condicin peligroocasionar la muerte, lesiones u otros impactos a la salud, al igual que daos a la pprdida de medios de sustento y de servicios, trastornos sociales y econmicos, ambientales. La amenaza se determina en funcin de la intensidad y la frecuencia

Vulnerabilidad son las caractersticas y las circunstancias de una comunbien que los hacen susceptibles a los efectos dainos de una amenaza.

RIESGO = AMENAZA x VULNERABILIDAD


7/51



Factores que componen la VULNERABILIDAD

Exposicin es la condicin de desventaja debido a la ubicacin, posicin o locsujeto, objeto o sistema expuesto al riesgo.

Susceptibilidad es el grado de fragilidad interna de un sujeto, objeto o sistemauna amenaza y recibir un posible impacto debido a la ocurrencia de un even

Resiliencia es la capacidad de un sistema, comunidad o sociedad expuestos apara resistir, absorber, adaptarse y recuperarse de sus efectos de manera oport

que incluye la preservacin y la restauracin de sus estructuras y funcione

VULNERABILIDAD = EXPOSICIN x SUSCEPTIBILIDAD / RESILIENC


8/51



DISTINCIONES IMPORTANTES

RIESGO vs PELIGRO

RIESGO vs AMENAZA

SUSCEPTIBILIDAD vs PROBABILIDAD

RIESGO NO IMPLICA NECESARIAMENTE PERDID


9/51



Universo de riesgos existente: virtualmente infinito

Consecuencia: infinitas medidas de proteccin

IMPOSIBLE!!

Necesidad de herramientas que posibiliten seleccionar y mconjunto limitado de riesgos

CONFIABILIDAD


10/51



Esta herramienta es el ANALISIS DE RIESGOS, permite

Identificar Clasificar y

Valorar

los eventos que pueden amenazar la consecucin de los objetivos de la Orgestablecer las medidas oportunas para reducir el impacto esperable hasta un n

tolerancia al riesgo: cantidad de riesgo que una Organizacin es capaz de

apetito de riesgo: cantidad de riesgo que una Organizacin est dispuesta a glograr los objetivos establecidos.

Simplificando el escenario: LINEA BASE DE SEGURIDAD


11/51




12/51




13/51




14/51




15/51


DEFINICIONES BSICAS.- GESTIN DEL RIESGO

OtrosRiesgos

Riesgo de mercado Riesgo de crdito Riesgo de tasa de inters Riesgo de moneda

Riesgos

RiesgosNo de IT

Procesos de negocio Personas y capacidades Medio ambiente

Infraestructura fsica

Riesgo decumplimient

Riesgo derecuperacin

Riesgo deescalabilidad

Riesgo derendimiento

Riesgo dedisponibilidad

Riesgo deseguridad

Cyber Crimen

Fraude interno

Cyber terrorismo

Arq. distribuidas

Picos de demanda

Diversidad tecnolgica

Regulaciones

Polticas corpor

Leyes

Poltica interna

Cambios deconfiguracin

Falta de redundancia

Errores humanos

Fallas de hardwarey/o software

Amenazas externas

Desastres naturales

Crecimiento delnegocio

Cuellos de botella

Arquitecturasobsoletas

RiesgoOperacional

Riesgosde IT

SYSTEMS SECURITY


16/51


DEFINICIONES BSICAS.- GOBERNANZA

SYSTEMS SECURITY


17/51


Los riesgos inherentes a la entidad abarcan los provenientes de:

Los recursos humanos. Tales como diferencias con los empleados o dependencias de personas corganizacin, clima social en la compaa y poltica social, y exposicin al riesgo de conflictos colos representantes de los empleados.

La regulacin. Los requisitos regulatorios suponen un riesgo creciente: es necesario identificar yobligaciones de cumplimiento normativo, especialmente en sectores como el financiero, segurosEsta gestin depender mucho del modelo de negocio o de los pases en los que la organizaci

Los clientes. Se torna necesaria la identificacin de los puntos de conflicto con clientes, de las compaa ms expuestas al fallo en el servicio al cliente, e, incluso, de los tipos ms significativosreputacional.

El entorno. En l se encuadran las situaciones de riesgo ms relevantes relacionadas con agente(tormentas, inundaciones, terremotos, pandemias etc.).

DEFINICIONES BSICAS.- GESTIN DE RIESGOS - ORIGEN

SYSTEMS SECURITY


18/51


Dentro de los riesgos de los procesos de una organizacin, se podran incluir:

Fraude interno y externo. Sera necesario identificar los procesos expuestos al fraude externo experiencia histrica y en entrevistas con los responsables del proceso de negocio; del mismo midentificar los procesos susceptibles de fraude interno, como por ejemplo la venta de informacirelaciones con los proveedores, etc.

Prdidas generadas por una interrupcin del negocio. Sera necesario identificar los procesos exinterrupcin del servicio, es decir aquellos procesos para los cuales una interrupcin puede sup

financiera por el abandono del servicio al cliente o incluso por penalizaciones por incumplimienviolacin de regulaciones. Este anlisis se suele realizar usualmente en el marco de la disciplina negocio.

Prdidas generadas por errores en la ejecucin. Sera necesario identificar las causas ms usualerelacin con la complejidad y la automatizacin del proceso: errores humanos, fallos en la integrprocesos en los que estos errores podran impactar son los de pagos, desarrollo de productos faquellos con fechas de entrega obligatorias.


SYSTEMS SECURITY


19/51


Por ltimo, los riesgos relacionados con la estrategia incluyen:

La gestin del cambio. La innovacin y la poltica de gestin del cambio son parmetros que conexposicin al riesgo. Sera por tanto necesario identificar en una organizacin como factores deproyectos de TI relativos a cambios significativos o a la implementacin de nuevos sistemas, el laproductos y la adquisicin de compaas.

La poltica de outsourcing/offshoring. Las decisiones de externalizacin de las partes no esenciapara beneficiarse de economas de escala conducen a nuevos riesgos como la exposicin a la ej

de los proveedores de servicio, a su salud financiera, al riesgo de exponer informacin confidenlos derivados de un plan inadecuado de continuidad de negocio del proveedor.



20/51

Crdito

Mercado

Liquidez

Tasa de inters

Transferencia

Legal

Reputacin

Operacional

Estratgico

InfraestructuraSeguridad TI/S

Gestin/Contro

Auditora

Integridad

Continuidad

Proveedores

Apertura de los compoEste riesgo es muy importante por la naturalezatecnolgica en la prestacin de los servicios.


21/51

Falta de integracin entre siheredados y los emergentes,

Escasa flexibilidad a crecimiento odemanda,

Falta de interoperabilidad entrsistemas propios y de los de terceros

Hardware sub-dimensionado odimensionado,

Retraso en los procesos,

Tecnologa de poca adaptabilidad,

Sistemas operativos de poca estabilid

Tecnologa obsoleta,

Leguajes de programacin poco flexib

InfraestructuraSeguridad TI/SI

Gestin/Control

Auditora

Integridad

Continuidad

Proveedores

Algunas causas de riesgo


22/51

Fallas en la administracin, Falta de requerimientos de seguridad

proceso de desarrollo, Carencia o inadecuacin del BCP, Pobre autenticacin e identificacin, Inexistencias de deteccin de intru

mala configuracin, Sin proteccin del permetro de la Int Inadecuada o carente proteccin

comunicaciones, Inadecuado resguardo de activoinformacin,

Falta de entrenamiento entecnologas,

Nula o pobre actualizacin sobnuevas vulnerabilidades del softwhardware.


Gestin/Control

Auditora

Integridad

Continuidad

Proveedores



23/51

Hackers,Phreakers, etc.

Virus y bombas lgicas, Vulnerabilidades del software, Violacin de acceso, Intercepcin de datos en la red, Modificacin de datos en la red, Modificacin de datos sin permiso, Legitimacin de mensajes falsos,

Emisiones electromagnticas, Divulgacin de datos confidenciales, Destino de mensajes indebido, Destruccin de datos, Fallas de software o hardware, Inhabilidad de operar, Inadecuacin de la separacin de func


Gestin/Control

Auditora

Integridad

Continuidad

Proveedores

Algunas amenazas a la seguridad


24/51

Prdidas financieras como resultado

fraude tecnolgico (hackers, frecrackers, intrusin, etc.): Denegaciservicio (DOS); Internet protocospoofing;Trojan horses (virus).

Prdidas de informacin confidenciintrusin o alteracin no perInternet protocol (IP) spoofing;horses (virus).

Prdidas de oportunidad de negotravs de discontinuidad del serDenegacin de servicio (DOS).

Utilizacin no autorizada de los reTrojan horses (virus).

Repudio de las transacciones: Negacenvo y/o recepcin de una transacci


Gestin/Control

Auditora

Integridad

Continuidad

Proveedores

Algunas consecuencias de los riesg


25/51

Control de acceso fsicos,

Control de acceso lgico, Autenticacin,

Firewalls,

Sistemas de deteccin de intrusin,

Control de acceso al contenido,

Certificado de los servidores,

Certificacin de los prestadores, Utilizacin de PKI,

Mecanismos de Integridad,

Manejo del No-Repudio,

Encripcin por claves,

Encripcin.


Gestin/Control

Auditora

Integridad

Continuidad

Proveedores

Controles para minimizar el riesg


26/51


Gestin/Control

Auditora

Integridad

Continuidad

Proveedores

Objetivos de la seguridad

Infraestructura de Seguridad

Polticas de Seguridad

Confiden

cialidad

No-Re

pudio

Integridad

Una OrganizacinConfiable y Segura

Autent

icidad

D i s p o n i b

i l i d a d


27/51

Integridad, Identidad, AutenConfidencialidad, Disponibilidad

Privacidad de:

los actores, los mensajes y los

en las redes de comunicacin,

la informacin crtica en los si

internos.

Utilidad, Posesin,Temporalidad de:

De los datos y de la informacin


Gestin/Control

Auditora

Integridad

Continuidad

Proveedores

Pilares de la seguridad


28/51

Niveles de confidencialidad de los dat

Separacin de Funciones, Administracin y control de la seg

lgica, Control y seguimiento de accesos, Acceso de los usuarios definidos co

contingencia/emergencia, Acceso a utilitarios sensitivos,

Separacin de los ambientesprocesamiento, Puesta en produccin de los program Confidencialidad de la transmisi

datos, Tipos de servicios ofrecidos por me

Internet.


Gestin/Control

Auditora

Integridad

Continuidad

Proveedores

Foco de la poltica de seguridad


29/51

La adecuacin de una sana poltseguridad estar determinada pbalance de distintos factores clave

Servicios ofrecidos vs. Seg

provista, Fcil de utilizar vs. Seguridad,

Costo de la seguridad vs. Elde la prdida.

Infraestructura

Seguridad TI/SI

Gestin/Control

Auditora

Integridad

Continuidad

Proveedores

Poltica de seguridad


30/51

Ausencia o dbiles metodologas d

Assessment, Falta de requerimientos de control

proceso de desarrollo,

Inadecuada implementacin de registactividad,

Inexistencia o mal funcionamientcontroles embebidos en los sistemas,

Dbil conocimiento de las operaciosus riesgos,

Escaso conocimiento de las tecnutilizadas.

Infraestructura

Seguridad TI/SI

Gestin/Control

Auditora

Integridad

Continuidad

Proveedores



31/51

Ausencia o dbiles metodologas d

Assessment,

Inadecuado plan de auditora,

Fallas en las evidencias,

Nulo o pobre seguimiento de los hall

Faltas de ciclos de auditora continua

Dbil conocimiento de las operaciosus riesgos,

Escaso conocimiento de las tecnutilizadas.

Infraestructura

Seguridad TI/SI

Gestin/Control

Auditora

Integridad

Continuidad

Proveedores



32/51

Falta de una metodologa para la ing

del software, Inadecuado ciclo de desarrollo de sist

Problemas en el control de camprogramas o sistemas,

Inadecuada segregacin de fun(desarrollo, bases de datos y producc

Mala gestin o seleccin de los protde comunicacin,

Escaso o malo control de intrusin,

Inadecuada seguridad fsica y/o lgica.

Infraestructura

Seguridad TI/SI

Gestin/Control

Auditora

Integridad

Continuidad

Proveedores



33/51

Nulo anlisis de riesgos (BIA),

Inadecuado manejo de incidentes,cancelaciones o re-procesos improvis

Ataques por denegacin de servicio (

Carencia o inadecuacin de la planifde contingencias,

Malas prcticas de resguardo de dato

Falta de deteccin deVirus,

Escaso mantenimiento preventivo,

Escaso entrenamiento,

Falta de control sobre los ISP,ASP o B

Infraestructura

Seguridad TI/SI

Gestin/Control

Auditora

Integridad

Continuidad

Proveedores



34/51

Fallas en la seleccin de los terceros,

Inadecuado o falta de control sobservicios delegados a terceros,

Inadecuado acompaamiento devolucin del negocio por los tercero

Incumplimiento de las polticasorganizacin por parte de terceros,

Problemas financieros de los tercedetectados a tiempo,

Quiebre operacional de los terceros,

Inadecuado convenio contractual cterceros.

Infraestructura

Seguridad TI/SI

Gestin/Control

Auditora

Integridad

Continuidad

Proveedores




35/51

OBJETIVOS DEL ANALISIS DE RIESGOS

Racionalizar la inversin en seguridad de la informacin.Reduccin de costes

de la seguridad; directos e indirectosde la inseguridad; directos e indirectos

Coste de inseguridad = riesgo

Formalizar la toma de decisiones: priorizacin y valoracinObjetividadValoracin

Cumplir con las normativas aplicablesLey Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal y sus desarrollos reglamentariosReal Decreto 263/1996, de 16 de Febrero, por el que se regula la utilizacin de tcnicas electrnicas, informticas y telemtiGeneral del Estado.Estndares y cdigos de buenas prcticas.Regulaciones sectoriales (Informe Olivencia, el Informe Aldama y el Cdigo Unificado de Buen Gobierno,Basilea II, Solvencia

DEFINICIONES BSICAS.- OBJETIVOS ANLISIS DE RIESGO



36/51

DEFINICIN DEL MODELO.- ELEMENTOS

ACTIVO

ACTIVO ACTIVO

ACTIVOACTIVO

ACTIVO

ConfidencialidadIntegridadDisponibilidad

Valoracin

Evaluacin coste

prdida

AMENAZAS

VULNERABILIDADES

SALVAG



37/51

DEFINICIN DEL MODELO.- CUANTIFICACINLas metodologas de anlisis de riesgos de seguridad de la informacin parten de la necesidad de idformalmente los elementos a proteger. Estos elementos se recogen en un inventario de activos de considerando como tales aquellos elementos que tienen valor para la Organizacin.

Identificacin de activos Valoracin de activos (requisitos de seguridad: confidencialidad, integridad y disponibilidad) Identificacin de amenazas Identificacin de salvaguardas

Cmo cuantificar todos estos elementos?



38/51

DEFINICIN DEL MODELO.- CUANTIFICACIN

Prdida esperada (Single Loss ExpectancySLE): Considerando un nico activo de informacinrequerimiento de seguridad (R) y una nica amenaza (T) se puede estimar la prdida econmica eque la amenaza se realice.

Generalmente, la prdida esperada no se representa en trminos absolutos, sino como un porcentreferido al valor total del activo para el requerimiento considerado.

Considerando distintos requisitos de seguridad:

Considerando los distintos activos identificados:



39/51


Prdida anual esperada (Annual Loss Expectancy ALE). Una vez conocida la prdida prorealizacin de cada amenaza, en caso de que ocurra, se debe considerar la probabilidad de que la a

efectivamente en el periodo de un ao:

La prdida anual esperada teniendo en cuenta todas las amenazas puede definirse, por tanto, como

existen amenazas para las que se espera ms de una ocurrencia anual: el concepto de probabilidadconcepto de frecuencia (Annual Rate of Occurrence ARO)



40/51


El concepto de riesgo intrnseco se asocia habitualmente a la prdida anual estimada, y se represequivalente como:.

Las salvaguardas (S) implantadas permiten reducir la frecuencia de ocurrencia de las amenazas o lacausada por ellas en caso de realizarse. Teniendo en cuenta la reduccin de la frecuencia, se puedeprobabilidad de que una salvaguarda sea eficaz en la prevencin de la ocurrencia de una amenaza d

Considerando el conjunto de salvaguardas:



41/51


Considerando frecuencia en lugar de probabilidad:

De forma anloga, se puede calcular la degradacin una vez aplicadas las salvaguardas:

I(S): reduccin del impacto provocado por la accin de la salvaguarda

Riesgo residual:

Simplificacin del clculo (por coste computacional) definiendo un porcentaje fijo de reduccin dede la degradacin para cada salvaguarda implantada



42/51


Relaciones entre los activos

Dados dos activos A y B, de forma que el activo A depende del activo B, el valor del activo B (para requerimientos de seguridad considerados), a efectos del anlisis de riesgos, puede incrementarse activo A, debido a que la realizacin de una amenaza sobre el activo B no slo provocar la degradcorrespondiente del activo B, sino tambin una degradacin proporcional en el activo A. Esto se coacumulado.

En caso de realizarse una amenaza T sobre el activo B



43/51


El riesgo total de B puede estimarse como la suma entre el riesgo propio de B ms el riesgo de A

siendo A dependiente de B en cierto porcentaje, y dada una determinada amenaza T, el efecto de laamenaza sobre el activo A debe tener en cuenta tambin la dependencia del activo B



44/51

DEFINICIN DEL MODELO.-VALORACIN

Mtodos de valoracin:

Cuantitativos

Cualitativos

Mixtos



45/51


Cuantitativa: supone establecer un valor numrico para cada uno de los requerimientos de sevalor se calcula en trminos de las prdidas esperadas en caso de incumplimiento de dicho req

principales conceptos de prdidas a tener en cuenta son:

Coste de reposicin de los activos y recursos de informacin perdidos (adquisicin, instalacin, recuperaCoste de mano de obra invertida en recuperar y/o reponer los activos y recursos de informacin.Lucro cesante debido a la prdida de ingresos provocada por la parada o degradacin del funcionamientoprocesos afectados.Capacidad de operar, debido a la prdida de confianza de los clientes y proveedores, que se traduce en uactividad o en peores condiciones econmicas.Sanciones y penalizaciones por incumplimiento de la ley u obligaciones contractuales.Dao a otros activos, propios o ajenos.Dao a personas.Daos medioambientales.Daos reputacionales: percepcin del mercado, prdida de clientes, dificultad para acceder al crdito, cosde marketing necesarias para recuperar la reputacin perdida, etc.Valor de los secretos desvelados: secreto industrial, secreto comercial,etc.



46/51


Cualitativa: supone asignar un valor de una escala definida para cada uno de los requerimient

Este valor se calcula en base a un conjunto de caractersticas que define cada una de las categobasadas en las descritas para la valoracin cuantitativa. La valoracin cuantitativa es ms precisamayor esfuerzo y dificultad, por la necesidad de valorar los distintos conceptos de prdida en tgeneralmente econmicos. Debido a la dificultad y el coste de realizar un anlisis cuantitativo, mmetodologas de anlisis de riesgos han desarrollado enfoques cuantitativos, que permiten ubicaescala de rdenes de magnitud. Este anlisis se conoce como anlisis cualitativo.

Los principios del anlisis cualitativo son los mismos que los del anlisis cusustituyendo los clculos aritmticos por la aplicacin de tablas



47/51




48/51




49/51

DEFINICIN DEL MODELO.-VALORACINLa elaboracin de las tablas puede variar en funcin de las diferentes metodologas o necesidadA continuacin se muestran dos ejemplos de tablas utilizando las funciones mximo, mnimo y m



50/51


Es posible convertir valores en diferentes escalas, por ejemplo, a continuacin se toman dos paescala de tres niveles y se obtiene un resultado en una escala de cinco niveles:

Caso inverso al caso anterior: la conversin de dos escalasde cinco niveles a una escala de tres niveles



51/51


Mtodos mixtos

Debido a que los mtodos cuantitativos y cualitativos tienen ventajas einconvenientes, existen alternativas para combinar ambos mtodos de fobtengan las mayores ventajas de cada uno. Esos mtodos que presentacaractersticas de los mtodos cuantitativos y otras caractersticas de locualitativos se denominan mtodos mixtos.

systems security 1.- introduccion

Documents