Documentos de Académico
Documentos de Profesional
Documentos de Cultura
s02n - Gestion de Riesgos It
s02n - Gestion de Riesgos It
CISA, CISM, ISMS-LA, ITIL, CCISO Seguridad Informtica Gestin de Riesgos IT Martin Valdivia CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS
Objetivo Asegurar una correcta evaluacin de riesgos por el uso de las tecnologas de informacin.
Riesgo
Riesgo es la probabilidad de que un amenaza se aproveche de una vulnerabilidad y que cause prdidas financieras o daos patrimoniales a la Empresa, a su personal, activos o imagen en general.
Categorias de Riesgo
Riesgo de Procesos Riesgo operativo Riesgo ambiental Riesgo Financiero Riesgo de T.I. Riesgo de Integridad Riesgo comercial etc.
Universo de Riesgos
Riesgos Estrategicos
Riesgos Externos
1. Industria 2. Economia 3. Cambios polticos Riesgos de Procesos 11. Satisfaccin de clientes 12. Falla de Productos 13. Cadena de Suministro 14. Sourcing 15. Concentracin de Proveedores 16. Outsourcing 17. Ciclo de Produccin 18. Perdida catastrofica 19. Ejecucin de Procesos Riesfos de Caja 33. Flujo de Caja/Liquidez 34. Disponibilidad de Capital 35. Tasas de interes 36. Tipo de cambio 4. Competidores 5. Preferencia de consumidores Compliance Risks 20. Politicas y procedimientos 21. Ambientales 22. Contratos 23. Legal y regulatorio
Riesgos Internos 6. Market share 9. Enfoque estrategico 7. Reputacin 10. Confianza de los 8. Marca inversionistas
Riesgos del personal 24. Recursos Humanos 25. Salud Ocupacional 26. Autoridad 27. Integridad 28. Liderazgo/Empowerment 29. Comunicaciones 30. Cultura 31. Performance 32. Capital de conocimiento
Riesgos de Operaciones
Riesgos de Credito 37. Capacidad de Crdito 38. Concentracin de Crdito 39. Credit default
Riesgos tecnolgicos 46. Infraestructura de Sistemas 47. Acceso a Sistemas 48. Disponibilidad de Sistemas 49. Integridad de datos 50. Relevancia de datos
6
Fuente: Grand Thornton
Aceptar el riesgo.
Los riesgos pueden ser transferidos mediante un contrato a un proveedor de servicio u otra entidad.
Apetito de Riesgo
Es el nivel de riesgo mximo aceptable. Intuitivamente la cultura de la organizacin nos permite saber si es una organizacin en la cual sus ejecutivos son adversos al riesgo o tomadores de los mismos. Sin embargo este tema es lo suficientemente importante para que se explicite en una poltica y se eviten colisiones entre reas con diverso apetito de riesgo.
Tolerancia al riesgo
El nivel mximo de riesgo aceptable debe tener una tolerancia ya que en caso contrario limitara las decisiones, o se eludira el nivel mximo en forma arbitraria. La tolerancia al riesgo es el nivel aceptable de desviacin en relacin con el logro de los objetivos.
10
11
Gestin de Riesgo
La Gestin del Riesgo (Risk Management) es el proceso para identificar, controlar y mitigar el impacto de eventos inciertos a un nivel aceptable.
12
COSO ERM
Este marco detalla los componentes esenciales de la gestin de Riesgo y el contexto en que tales componentes son eficazmente implementados.
15
Anlisis de Riesgos
16
Anlisis de Riesgo
Se recomienda el uso y adaptacin de algn modelo de referencia: National Institute of Standards and Technology Special Publication SP 800-30. Australian/ New Zealand Standard sobre administracin de riesgo AS/NZS 4360:2004. OCTAVE MAGERIT ISM3
17
18
Beneficios
Los resultados sirven como base para el ahorro de costos a travs de la prevencin Uso racional de recursos finitos para la mitigacin de riesgos Puede disminuir los efectos ocasionados por eventos que impacten la productividad
19
Activos
No es posible proteger lo que no se conoce.
21
Identificacin de Activos
Sistemas de Informacin Base de Datos Media Licencias Interfaces Servidores PCs / Laptops Disp. mviles Perifricos Equipos de comunicacin Equipos de Proteccin elctrica Contratos Documentacin Personal
22
Identificacin de Activos
Los activos de Informacin pueden ser internos o proporcionados por entidades externas a la Organizacin.
Se necesita conocer todos los recursos ya que estas deben ser protegidas contra ataques.
Una vez que los activos de Informacin son identificados, el Administrador de Seguridad de la Informacin puede definir y emplear un programa de seguridad para proteger dichos activos.
23
Ejemplo Identificacin
24
Clasificacin Activos
La clasificacin de los activos de TI podra considerar los siguientes tres criterios: Criticidad: el activo se define como crtico si su falta o falla es motivo de interrupcin para el proceso.
Ejemplo
26
Clasificacin de Informacin
Se debe: Asignar clases o niveles de confidencialidad y criticidad a los activos de Informacin. Asegurar que existan polticas, estndares y procedimientos para el marcado, manipuleo, procesamiento almacenamiento, retencin y destruccin de la informacin. Hacer que las clasificaciones sean simples.
27
Clasificacin de informacin
Las clasificaciones se usan para determinar los niveles de acceso. La clasificacin de los datos reduce el riesgo de una proteccin insuficiente y el costo de sobreproteger los activos de Informacin alineando la seguridad a los objetivos de negocio.
28
Clasificacin de informacin
Las preguntas que deben ser respondidas en un programa de clasificacin de informacin son:
Cuantos niveles de clasificacin son necesarios? Como ser ubicada la informacin? Como ser clasificada la informacin? Como la informacin ser marcada, manipulada, transportada, almacenada, archivada, retenida y destruida? Quien es el propietario de la informacin? Quien tiene la autoridad para decidir los accesos?
29
Clasificacin de Informacin
Quin tiene derechos de acceso?. Qu aprobaciones se requieren para el acceso?
30
Amenazas
Un aspecto clave en proteger los activos es el entendimiento de las amenazas que los activos de T.I enfrentan.
Se debe priorizar las necesidades de confidencialidad, integridad y disponibilidad de la informacin de la Organizacin. Cuando se evalan las amenazas, vulnerabilidades e impactos que la informacin enfrenta, se debe desarrollar e implementar practicas de seguridad que las mitiguen.
31
Categoras de Amenazas
Desastres Naturales
Fuego Daos por agua Desastres Naturales
32
Fuente: Magerit V2 - : Metodo
Categoras de Amenazas
De origen industrial
Fuego Dao por agua Desastres industriales Contaminacin mecnica Contaminacin electromagntica
Categoras de Amenazas
De origen industrial (cont).
Corte de suministro elctrico Condiciones inadecuadas de temperatura / humedad Fallas en comunicaciones Interrupcin de servicios esenciales Degradacin de soportes de almacenamiento
Emanaciones electromagnticas
34
Fuente: Magerit V2 - : Metodo
Categoras de Amenazas
Errores y fallos no intencionados
Errores de usuarios Errores del administrador Errores de monitoreo Errores de configuracin Deficiencias en la Empresa
35
Categoras de Amenazas
Errores y fallos no intencionados (cont.)
Escapes de Informacin Alteracin de la informacin Introduccin de informacin incorrecta Degradacin de la informacin Destruccin de la informacin
36
Categoras de Amenazas
Errores y fallos no intencionados (cont.)
Errores de mantenimiento / actualizacin de programas. Errores de mantenimiento / actualizacin de equipos. Caida del sistema por agotamiento de recursos. Indisponibilidad del personal.
37
Fuente: Magerit V2 - : Metodo
Categoras de Amenazas
Ataques intencionados
Manipulacin de configuracin Suplantacin de identidad de usuario Abuso de privilegios de acceso Uso no previsto Difusin de software malicioso
Re-encaminamiento de mensajes
Alteracin de secuencia
Fuente: Magerit V2 - : Metodo
38
Categoras de Amenazas
Ataques intencionados (cont.)
Acceso no autorizado Anlisis de trfico Repudio Interceptacin de comunicaciones Modificacin de informacin
39
Categoras de Amenazas
Ataques intencionados (cont.)
Destruccin de informacin Divulgacin de informacin Manipulacin de programas Denegacin de servicio Robo
Ataque destructivo
Ocupacin enemiga
Fuente: Magerit V2 - : Metodo
40
Categoras de Amenazas
Ataques intencionados (cont.)
Indisponibilidad del personal Extorsin Ingenieria social
41
Fuente: Magerit V2 - : Metodo
42
Fuente: Moore Stephens - Metodologia para el anlisis de riesgo
43
Fuente: Moore Stephens - Metodologia para el anlisis de riesgo
Vulnerabilidades
Una falla o debilidad en los sistemas procedimientos, diseo, ejecucin, o en los controles internos que puedan ser aprovechados (accidentalmente o intencionalmente) y resultar en un fallo de seguridad.
46
Vulnerabilidades
El anlisis de amenazas debe incluir un anlisis de la vulnerabilidades asociadas con los activos de TI. El objetivo de este paso es elaborar una lista de las vulnerabilidades (defectos o puntos dbiles) que podran ser explotados por la amenazas identificadas. En las metodologas modernas las vulnerabilidades se determinan mediante la valoracin de amenazas.
47
Probabilidad de ocurrencia
La probabilidad de ocurrencia pone en perspectiva la degradacin, pues una amenaza puede ser de terribles consecuencias pero de muy improbable materializacin; mientras que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar acumulando un dao considerable.
50
Fuente: Magerit V2 - : Metodo
Escalas de probabilidades
51
53
Fuente: Magerit V2 - : Metodo
Bajo
Medio
Alto
Prdida total intermitente del servicio o una reduccin seria del servicio Falta del servicio entre 0.5 y 3 das
No hay servicio
Duracin
Alcance
54
56
Fuente: Magerit V2 - : Metodo
Bajo (10)
Bajo 10x1.0=10 Bajo 10x0.5=5 Bajo 10x0.1=1
Medio (50)
Medio 50x1.0=50 Medio 50x0.5=25 Bajo 50x0.1=5
Alto 51 a 100 Medio 11 a 50 Bajo 1 a 10
Alto (100)
Alto 100x1.0=100 Medio 100x0.5=50 Bajo 100x0.1=10
57
Probabilidad de ocurrencia
Media(0.5)
Baja(0.1)
Escala de riesgo
58
58
59
Controles
Cualquier cosa que minimiza un riesgo.
60
Tipos de Controles
Preventivos Detectivos Correctivos Disuasivos Reductivos Represivos
61
Controles
62
Fuente: Magerit V2 - : Metodo
Anlisis de brechas
Una prctica comn es usar el anlisis de brechas para: Evaluar el estado actual versus los estndares de buenas prcticas de administracin de seguridad de la informacin. Evaluar los niveles de madurez. Evaluar la efectividad.
Identificar brechas.
Asegurar que las prcticas de seguridad no se degraden con el paso del tiempo.
63