urso: Seguridad Informtica Martin Valdivia B.

CISA, CISM, ISMS-LA, ITIL, CCISO Seguridad Informtica Gestin de Riesgos IT Martin Valdivia CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS

El contenido fotogrfico cuenta con licencia Creative Commons.

Objetivo Asegurar una correcta evaluacin de riesgos por el uso de las tecnologas de informacin.

Riesgo
Riesgo es la probabilidad de que un amenaza se aproveche de una vulnerabilidad y que cause prdidas financieras o daos patrimoniales a la Empresa, a su personal, activos o imagen en general.

Categorias de Riesgo
Riesgo de Procesos Riesgo operativo Riesgo ambiental Riesgo Financiero Riesgo de T.I. Riesgo de Integridad Riesgo comercial etc.

Universo de Riesgos
Riesgos Estrategicos

Riesgos Externos
1. Industria 2. Economia 3. Cambios polticos Riesgos de Procesos 11. Satisfaccin de clientes 12. Falla de Productos 13. Cadena de Suministro 14. Sourcing 15. Concentracin de Proveedores 16. Outsourcing 17. Ciclo de Produccin 18. Perdida catastrofica 19. Ejecucin de Procesos Riesfos de Caja 33. Flujo de Caja/Liquidez 34. Disponibilidad de Capital 35. Tasas de interes 36. Tipo de cambio 4. Competidores 5. Preferencia de consumidores Compliance Risks 20. Politicas y procedimientos 21. Ambientales 22. Contratos 23. Legal y regulatorio

Riesgos Internos 6. Market share 9. Enfoque estrategico 7. Reputacin 10. Confianza de los 8. Marca inversionistas
Riesgos del personal 24. Recursos Humanos 25. Salud Ocupacional 26. Autoridad 27. Integridad 28. Liderazgo/Empowerment 29. Comunicaciones 30. Cultura 31. Performance 32. Capital de conocimiento

Riesgos de Operaciones

Riesgos de Credito 37. Capacidad de Crdito 38. Concentracin de Crdito 39. Credit default

Riesgos Financieros 40. Contabilidad 41. Presupuestos 42. Tributario

Riesgos operacionales 43. Precios 44. Performance 45. Portafolio

Riesgos tecnolgicos 46. Infraestructura de Sistemas 47. Acceso a Sistemas 48. Disponibilidad de Sistemas 49. Integridad de datos 50. Relevancia de datos

6
Fuente: Grand Thornton

Lidiar con el riesgo

Cesar la actividad que da origen al riesgo. Transferir el riesgo a un tercero. Reducir el riesgo a travs de mecanismos de control apropiados.

Aceptar el riesgo.

Transferencia del Riesgo

El riesgo puede ser reducido transfirindolo a otra entidad. a niveles aceptables

Los riesgos pueden ser transferidos mediante un contrato a un proveedor de servicio u otra entidad.

Tambien, el riesgo es transferido a una Compaa de Seguros.

El costo de mitigar el riesgo no debe exceder el valor del activo protegido.

Apetito de Riesgo
Es el nivel de riesgo mximo aceptable. Intuitivamente la cultura de la organizacin nos permite saber si es una organizacin en la cual sus ejecutivos son adversos al riesgo o tomadores de los mismos. Sin embargo este tema es lo suficientemente importante para que se explicite en una poltica y se eviten colisiones entre reas con diverso apetito de riesgo.

Tolerancia al riesgo
El nivel mximo de riesgo aceptable debe tener una tolerancia ya que en caso contrario limitara las decisiones, o se eludira el nivel mximo en forma arbitraria. La tolerancia al riesgo es el nivel aceptable de desviacin en relacin con el logro de los objetivos.

10

Proceso de Gestin del Riesgo

11

Gestin de Riesgo
La Gestin del Riesgo (Risk Management) es el proceso para identificar, controlar y mitigar el impacto de eventos inciertos a un nivel aceptable.

12

Gestin del Riesgo

La Gestin del Riesgo es el proceso de asegurar que el impacto de las amenazas que pudieran explotar las vulnerabilidades estn dentro de los limites aceptables y a costos aceptables. En este nivel, esto se logra mediante un equilibrio entre la exposicin al riesgo y los costos de mitigacin, as como mediante la implementacin de acciones preventivas y controles apropiados.
13

El Proceso de Administracin del Riesgo debe ser continuo, analtico y sistemtico.

La administracin del riesgo debe ser un proceso continuo. La administracin del riesgo es crtico para cualquier programa de seguridad y debe ser implementado como un proceso formal. Determinar el nivel correcto de nivel de seguridad depende de los riesgos potenciales. Esto se convierte en reto debido a los cambios organizacionales, tecnolgicos y comerciales.
14

Gestin del Riesgo

COSO ERM

Este marco detalla los componentes esenciales de la gestin de Riesgo y el contexto en que tales componentes son eficazmente implementados.

15

Anlisis de Riesgos

16

Anlisis de Riesgo
Se recomienda el uso y adaptacin de algn modelo de referencia: National Institute of Standards and Technology Special Publication SP 800-30. Australian/ New Zealand Standard sobre administracin de riesgo AS/NZS 4360:2004. OCTAVE MAGERIT ISM3
17

Propsito del Anlisis de Riesgos

Priorizar la planificacin y la asignacin de recursos. Identificar y mitigar las exposiciones. Identificar las amenazas, riesgos y vulnerabilidades.

18

Beneficios
Los resultados sirven como base para el ahorro de costos a travs de la prevencin Uso racional de recursos finitos para la mitigacin de riesgos Puede disminuir los efectos ocasionados por eventos que impacten la productividad

19

Marco de anlisis de Riesgo

Overview of the Risk Management Process

Source: IT Governance Institute

20

Activos
No es posible proteger lo que no se conoce.

Inventario de Activos de T.I.

Clasificacin de Activos T.I.

Identificacin de propietarios de los Activos de T.I.

21

Identificacin de Activos
Sistemas de Informacin Base de Datos Media Licencias Interfaces Servidores PCs / Laptops Disp. mviles Perifricos Equipos de comunicacin Equipos de Proteccin elctrica Contratos Documentacin Personal

22

Identificacin de Activos
Los activos de Informacin pueden ser internos o proporcionados por entidades externas a la Organizacin.

Se necesita conocer todos los recursos ya que estas deben ser protegidas contra ataques.
Una vez que los activos de Informacin son identificados, el Administrador de Seguridad de la Informacin puede definir y emplear un programa de seguridad para proteger dichos activos.

23

Ejemplo Identificacin

24

Clasificacin Activos
La clasificacin de los activos de TI podra considerar los siguientes tres criterios: Criticidad: el activo se define como crtico si su falta o falla es motivo de interrupcin para el proceso.

Frecuencia de uso: el grado de utilizacin que se le da al activo.

Tecnologa: el nivel de innovacin tecnolgica que tiene el activo, relacionado tambin a su valor de mercado y grado de obsolescencia
25

Ejemplo

26

Clasificacin de Informacin
Se debe: Asignar clases o niveles de confidencialidad y criticidad a los activos de Informacin. Asegurar que existan polticas, estndares y procedimientos para el marcado, manipuleo, procesamiento almacenamiento, retencin y destruccin de la informacin. Hacer que las clasificaciones sean simples.

27

Clasificacin de informacin
Las clasificaciones se usan para determinar los niveles de acceso. La clasificacin de los datos reduce el riesgo de una proteccin insuficiente y el costo de sobreproteger los activos de Informacin alineando la seguridad a los objetivos de negocio.

28

Clasificacin de informacin
Las preguntas que deben ser respondidas en un programa de clasificacin de informacin son:

Cuantos niveles de clasificacin son necesarios? Como ser ubicada la informacin? Como ser clasificada la informacin? Como la informacin ser marcada, manipulada, transportada, almacenada, archivada, retenida y destruida? Quien es el propietario de la informacin? Quien tiene la autoridad para decidir los accesos?

29

Clasificacin de Informacin
Quin tiene derechos de acceso?. Qu aprobaciones se requieren para el acceso?

30

Amenazas
Un aspecto clave en proteger los activos es el entendimiento de las amenazas que los activos de T.I enfrentan.

Se debe priorizar las necesidades de confidencialidad, integridad y disponibilidad de la informacin de la Organizacin. Cuando se evalan las amenazas, vulnerabilidades e impactos que la informacin enfrenta, se debe desarrollar e implementar practicas de seguridad que las mitiguen.

31

Categoras de Amenazas
Desastres Naturales
Fuego Daos por agua Desastres Naturales

32
Fuente: Magerit V2 - : Metodo

Categoras de Amenazas
De origen industrial
Fuego Dao por agua Desastres industriales Contaminacin mecnica Contaminacin electromagntica

Averia de origen fsico / lgico

33
Fuente: Magerit V2 - : Metodo

Categoras de Amenazas
De origen industrial (cont).
Corte de suministro elctrico Condiciones inadecuadas de temperatura / humedad Fallas en comunicaciones Interrupcin de servicios esenciales Degradacin de soportes de almacenamiento

Emanaciones electromagnticas
34
Fuente: Magerit V2 - : Metodo

Categoras de Amenazas
Errores y fallos no intencionados
Errores de usuarios Errores del administrador Errores de monitoreo Errores de configuracin Deficiencias en la Empresa

Difusin de software daino

Errores de re-enrutamiento
Fuente: Magerit V2 - : Metodo

35

Categoras de Amenazas
Errores y fallos no intencionados (cont.)
Escapes de Informacin Alteracin de la informacin Introduccin de informacin incorrecta Degradacin de la informacin Destruccin de la informacin

Difusin de software daino

Vulnerabilidades de programas
Fuente: Magerit V2 - : Metodo

36

Categoras de Amenazas
Errores y fallos no intencionados (cont.)
Errores de mantenimiento / actualizacin de programas. Errores de mantenimiento / actualizacin de equipos. Caida del sistema por agotamiento de recursos. Indisponibilidad del personal.

37
Fuente: Magerit V2 - : Metodo

Categoras de Amenazas
Ataques intencionados
Manipulacin de configuracin Suplantacin de identidad de usuario Abuso de privilegios de acceso Uso no previsto Difusin de software malicioso

Re-encaminamiento de mensajes
Alteracin de secuencia
Fuente: Magerit V2 - : Metodo

38

Categoras de Amenazas
Ataques intencionados (cont.)
Acceso no autorizado Anlisis de trfico Repudio Interceptacin de comunicaciones Modificacin de informacin

Introduccin de falsa informacin

Corrupcin de informacin
Fuente: Magerit V2 - : Metodo

39

Categoras de Amenazas
Ataques intencionados (cont.)
Destruccin de informacin Divulgacin de informacin Manipulacin de programas Denegacin de servicio Robo

Ataque destructivo
Ocupacin enemiga
Fuente: Magerit V2 - : Metodo

40

Categoras de Amenazas
Ataques intencionados (cont.)
Indisponibilidad del personal Extorsin Ingenieria social

41
Fuente: Magerit V2 - : Metodo

Asociacin de Amenazas a Activos TI

42
Fuente: Moore Stephens - Metodologia para el anlisis de riesgo

Asociacin de Amenazas a Activos TI

43
Fuente: Moore Stephens - Metodologia para el anlisis de riesgo

Avance del caso de riesgos

Identificacin de Activos Clasificacin de Activos Identificacin de Amenazas Matriz Amenazas vs. Activos ( aplicar para dimensiones C, I, A)

Vulnerabilidades
Una falla o debilidad en los sistemas procedimientos, diseo, ejecucin, o en los controles internos que puedan ser aprovechados (accidentalmente o intencionalmente) y resultar en un fallo de seguridad.

46

Vulnerabilidades
El anlisis de amenazas debe incluir un anlisis de la vulnerabilidades asociadas con los activos de TI. El objetivo de este paso es elaborar una lista de las vulnerabilidades (defectos o puntos dbiles) que podran ser explotados por la amenazas identificadas. En las metodologas modernas las vulnerabilidades se determinan mediante la valoracin de amenazas.
47

Valoracin de las amenazas

Cuando un activo es vctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuanta. Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cun vulnerable es el activo, en dos sentidos:
Degradacin: cun perjudicado resultara el activo Probabilidad de ocurrencia: cada cunto se materializa la amenaza
48
Fuente: Magerit V2 - : Metodo

Degradacin del activo

La degradacin mide el dao causado por una amenaza en el supuesto de que ocurriera. La degradacin se suele caracterizar como una fraccin del valor del activo y as aparecen expresiones como que un activo se ha visto totalmente degradado, o degradado en una pequea fraccin.
49
Fuente: Magerit V2 - : Metodo

Probabilidad de ocurrencia
La probabilidad de ocurrencia pone en perspectiva la degradacin, pues una amenaza puede ser de terribles consecuencias pero de muy improbable materializacin; mientras que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar acumulando un dao considerable.

50
Fuente: Magerit V2 - : Metodo

Escalas de probabilidades

51

Determinacin del impacto

Se denomina impacto a la medida del dao sobre el activo derivado de la materializacin de una amenaza. Conociendo el valor de los activos (en varias dimensiones) y la degradacin que causan las amenazas, se deriva el impacto que estas tendran sobre el sistema.

Se debe considerar las dependencias entre los activos.

52
Fuente: Magerit V2 - : Metodo

Determinacin del impacto

53
Fuente: Magerit V2 - : Metodo

Determinacin del impacto

Matriz de impacto
Disponibilidad

Bajo

Medio

Alto

Reduccin espordica del servicio

Prdida total intermitente del servicio o una reduccin seria del servicio Falta del servicio entre 0.5 y 3 das

No hay servicio

Duracin

Falta de servicio menos de 0.5 das

Falta de servicio ms de 3 das

Alcance

Impacta a cierto nmero de individuos

Impacta a una funcin del negocio

Impacta varias funciones de la empresa

54

Determinacin del impacto

Se denomina riesgo a la medida del dao probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin ms que tener en cuenta la frecuencia de ocurrencia. El riesgo crece con el impacto y con la frecuencia.
55
Fuente: Magerit V2 - : Metodo

Determinacin del riesgo

56
Fuente: Magerit V2 - : Metodo

Determinacin del riesgo

Impacto Matriz de nivel de riesgo
Alta (1.0)

Bajo (10)
Bajo 10x1.0=10 Bajo 10x0.5=5 Bajo 10x0.1=1

Medio (50)
Medio 50x1.0=50 Medio 50x0.5=25 Bajo 50x0.1=5
Alto 51 a 100 Medio 11 a 50 Bajo 1 a 10

Alto (100)
Alto 100x1.0=100 Medio 100x0.5=50 Bajo 100x0.1=10
57

Probabilidad de ocurrencia

Media(0.5)

Baja(0.1)

Escala de riesgo

Determinacin del riesgo

58

58

Determinacin del riesgo

59

Controles
Cualquier cosa que minimiza un riesgo.

60

Tipos de Controles
Preventivos Detectivos Correctivos Disuasivos Reductivos Represivos

61

Controles

62
Fuente: Magerit V2 - : Metodo

Anlisis de brechas
Una prctica comn es usar el anlisis de brechas para: Evaluar el estado actual versus los estndares de buenas prcticas de administracin de seguridad de la informacin. Evaluar los niveles de madurez. Evaluar la efectividad.

Identificar brechas.
Asegurar que las prcticas de seguridad no se degraden con el paso del tiempo.

63

Entrega del caso de anlisis de riesgos

Culminacin del caso de riesgos.