P. 1
Presentación Riesgo-UBA-bis

Presentación Riesgo-UBA-bis

|Views: 303|Likes:

More info:

Categories:Types, Speeches
Published by: Jose German Rodriguez on Jul 23, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

10/25/2012

pdf

text

original

Universidad de Buenos Aires MAGERIT

“Análisis de Riesgo Tecnológico” Lic. Raúl Castellanos, CISM

Definiciones
El “The Institute of Internal Auditors” (The IIA) define al riesgo como: “La Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto y probabilidad”

Definiciones
La “International Organization for Standarization” (ISO) define al riesgo como: “Combinación de la Probabilidad de un Evento y su Consecuencia” ISO aclara que el término riesgo es generalmente usado siempre y cuando exista la posibilidad de pérdidas (resultado negativo)

Definiciones MAGERIT
Riesgo: “estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización.” Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. Gestión de riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados.

Catalogo de Elementos

Guía Técnica

Método MAGERIT

AGR

Método MAGERIT

Análisis de Riesgo

Gestión de Riesgo

Estructuración Del Proyecto

Consejos y Apéndices

Análisis de Riesgo

Análisis de Riesgo

Identificación de Activos Identificación de Amenazas Medición de Impacto Determinación del Riesgo Salvaguardas Riesgo Residual

Activos de Información
Proceso de Negocio

Datos Hardware Documentos Software Proceso de Negocio Proceso de Negocio

Datos Hardware Software Documentos Software Hardware

Datos

Documentos

Amenazas
Definición: Todo fenómeno, acción o evento, intencional o accidental que produce un impacto negativo en los activos. Valoración: Se valoran en función de la degradación que producen en los activos, la frecuencia con que pueden actuar y la intencionalidad.

Impacto
Definición: medida del daño sobre el activo derivado de la materialización de una amenaza Tipos de impacto Impacto acumulado: calculado sobre un activo teniendo en cuenta su valor acumulado (el propio mas el acumulado de los activos que dependen de él) Impacto repercutido: calculado sobre un activo teniendo en cuenta su valor propio y las amenazas a que están expuestos los activos de los que depende

Determinación del Riesgo
Definición: Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la frecuencia de ocurrencia. Riesgo Bruto Corresponde al impacto y probabilidad de ocurrencia de una amenaza en un supuesto donde no existen controles ni salvaguardas implementadas. Riesgo Residual Corresponde al impacto y probabilidad de ocurrencia de una amenaza en donde existen controles y medidas de seguridad implementadas.

Gestión de Riesgo

Interpretación del Riesgo Residual Selección de salvaguardas Gestión de la Dirección – Nivel de riesgo aceptable

Interpretación del Riesgo Residual
Impacto y riesgo residual son una medida del estado presente, entre la inseguridad potencial (sin salvaguarda alguna) y las medidas adecuadas que reducen impacto y riesgo a valores despreciables. Si la diferencia entre el riesgo bruto y el riesgo residual es nula, las salvaguardas existentes no cumplen ninguna función. Es importante entender que un valor residual es sólo un número. Para su correcta interpretación debe venir acompañado de la relación de lo que se debería hacer y no se ha hecho.

Selección de Salvaguardas
Hay que planificar el conjunto de salvaguardas pertinentes para atajar tanto el impacto como el riesgo, reduciendo bien la degradación del activo (minimizando el daño), bien reduciendo la frecuencia de la amenaza (minimizando sus oportunidades). salvaguardas técnicas: en aplicaciones, equipos y redes. salvaguardas físicas: protegiendo el entorno de trabajo de las personas y los equipos. medidas de organización: de prevención y gestión de las incidencias. política de personal: que, a fin de cuentas, es el eslabón imprescindible y más delicado. Es de sentido común que no se puede invertir en salvaguardas más allá del valor de los propios activos a proteger.

Gestión de la Dirección
La dirección de la Organización sometida al análisis de riesgos debe determinar el nivel de impacto y riesgo aceptable. Esta decisión no es técnica. Puede ser una decisión política o gerencial. Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y acepta formalmente la Dirección. Si el impacto y/o el riesgo están por encima de lo aceptable, se puede: 1. eliminar el activo; suena muy fuerte, pero a veces hay activos que, simplemente, no vale la pena mantener. 2. introducir nuevas salvaguardas o mejorar la eficacia de las presentes.

Estructuración del Proyecto

Planificación Modelo de Valor de los activos Identificación de amenazas Evaluación de impacto potencial y residual Toma de decisiones para gestionar riesgo Elaboración Plan de Seguridad

Planificación
Participantes:
– – – – – – – Comité de Dirección Comité de Seguimiento Equipo de Proyecto Grupos de Interlocutores Promotor Director de Proyecto Enlace Operacional

Planificación:
– Se establecen las consideraciones necesarias para arrancar el proyecto AGR. – Se investiga la oportunidad de realizarlo. – Se definen los objetivos que ha de cumplir y el dominio (ámbito) que abarcará. – Se planifican los medios materiales y humanos para su realización. – Se procede al lanzamiento del proyecto.

Análisis de Riesgo
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados: 1. 2. 3. 4. 5. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación. Determinar a qué amenazas están expuestos aquellos activos. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza.

Modelo de Valor de los Activos
Sobre todos los activos informáticos identificados, se realiza una clasificación en base a la criticidad del activo para el negocio, utilizando como medida a las tres componentes principales de la Seguridad de la Información: Integridad Disponibilidad Confidencialidad

Clasificación de Activos Informáticos
Integridad:
Garantiza la exactitud y totalidad de la información y los procesos

Confidencialidad:
Garantiza que la información es accedida solo por personas autorizadas para ello.

Disponibilidad:
Garantiza que la información y los procesos estarán disponibles cuando así lo requiera la operación de la empresa.

La componente de integridad tiene la siguiente escala de valores:
Valor 1 2 3 4 5 Requerimientos de Integridad Bajo Promedio Importante Vital Crítico Descripción El negocio no se ve afectado por la pérdida de la integridad. El negocio soporta hasta 1 semana para restablecer la integridad. El negocio soporta hasta 48 horas para restablecer la integridad. El negocio soporta hasta 24 horas para restablecer la integridad. En negocio no funciona si toma más de 3 horas restablecer la integridad.

La componente de disponibilidad tiene la siguiente escala de valores:
Valor 1 2 3 4 5 Requerimientos de Disponibilidad Bajo Promedio Importante Vital Crítico Descripción El negocio no se ve afectado por la pérdida del activo informático. El negocio soporta hasta 1 semana sin el activo informático. El negocio soporta hasta 48 horas sin el activo informático. El negocio soporta hasta 24 horas sin el activo informático. En negocio no funciona sin el activo informático.

La componente de confidencialidad tiene la siguiente escala de valores:
Valor 1 3 Requerimientos de Confidencialidad Público Interno Confidencial 4 Descripción Incluye toda aquella información que no representa riesgo significativo para la compañía. Incluye toda aquella información que se utiliza en las actividades laborales del día a día y que puede presentar riesgos mínimos para la compañía. Incluye toda aquella información que puede presentar riesgos para la compañía, y cuyo acceso debe ser expresamente autorizado por el responsable y restringido a un grupo reducido de usuarios que la necesite para el desarrollo de sus tareas habituales. Incluye toda aquella información que puede presentar riesgos importantes para la Compañía.

5

Estrictamente Confidencial

Clasificación de Activos Informáticos
Sobre todos los activos informáticos identificados, se realiza una clasificación en base a la criticidad del activo para el negocio, utilizando como medida a las tres componentes principales de la Seguridad de la Información, Confidencialidad, Integridad y Disponibilidad:

Amenazas Amenazas

Identificación de Amenazas

Las amenazas pueden ser clasificadas en tres grandes grupos: Amenazas ambientales, Amenazas humanas: Internas, Externas, Estructuradas, No estructuradas Amenazas tecnológicas. Esta clasificación permite analizar, tomar medidas de seguridad e implementar controles para tratar las amenazas en conjunto.

Amenazas ambientales

Las amenazas ambientales tienen los siguientes riesgos asociados:

A x x x x x x

E E

E N E

I E

I N E

Tipos de Amenazas Ambientales

Riesgos Asociados Inundación interna Inundación externa Fuego Interno Fuego Externo Daño sísmico Daño por erupción volcánica

Amenazas humanas
Las amenazas humanas tienen los siguientes riesgos asociados:
A E E x x x E N E I E x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x I N E Tipos de Amenazas Humanas Riesgos Asociados Extorsión / Secuestro Hurto / Robo Abuso de confianza Malversación de fondos Terrorismo / Sabotaje Huelga de Empleados Daños por alteración del orden publico Uso no autorizado de recursos Errores de operación, falla u omisión de controles Manejo inapropiado de datos sensibles Ataque de Denegación de servicio interno Ataque de Denegación de servicio externo Intrusión externa Uso de contraseñas débiles Acceso físico no autorizado Introducción de software malicioso, virus, etc. Destrucción no autorizada de datos o software Transferencia no autorizada de datos Robo o acceso no autorizado de datos Modificación no autorizada de software / hardware

Amenazas tecnológicas
Las amenazas tecnológicas tienen los siguientes riesgos asociados:

A

E E x

E N E x

I E x x

I N E x x x

Tipos de Amenazas Técnicas

Riesgos Asociados Cortes o alteraciones en el suministro eléctrico / UPS Fallas en los sistemas de control ambiental Fallas en el hardware Fallas en los sistemas de base Fallas en las aplicaciones Fallas en la red interna Fallas en las conexiones con terceros Vulnerabilidades de software

x x x x x x x x x x x

x x x x x

Evaluación de Riesgo Bruto y Evaluación de Riesgo Bruto y Residual Residual

Determinación de la Matriz de Impacto
La matriz de impacto se define de acuerdo a las características de la empresa:
Categoría Insignificante (1) Impacto en resultados Entre $0 a $ 0,01 millones Impacto en clientes Sin reclamo de clientes Impacto en Operaciones Sin impacto en las operaciones Impacto menor en operaciones, no percibido por el cliente. Las consecuencias pueden ser absorbidas dentro de las operaciones normales Impacto importante en operaciones, unidades de negocio sin servicio por hasta 8 horas, pudiera ser percibido por el cliente Impacto mayor en operaciones que afecta seriamente la capacidad de la compañía para atender a sus clientes; hasta 48 horas sin servicio Impacto catastrófico en operaciones que afecta seriamente la capacidad de la compañía para continuar con el negocio; mas de 48 horas sin servicio Impacto Regulatorio El incumplimiento regulatorio no genera sanciones Impacto en reputación Sin impacto en el valor o reputación de la marca

Menor (2)

Entre $0,01 y $0,25 millones

Los reclamos de los clientes son aislados

El incumplimiento regulatorio genera sanciones leves

Hay un impacto menor en la reputación y en el valor de la marca; difusión leve

Moderado (3)

Entre $0,25 y $10 millones

Los reclamos de los clientes son importantes; hay pérdida menor de clientes

El incumplimiento regulatorio genera sanciones que no afectan la capacidad de la organización para operar El incumplimiento regulatorio resulta en sanciones que pudieran afectar la capacidad de la organización para operar

Hay un impacto importante en el corto plazo en la reputación y en el valor de la marca; difusión masiva y corta Hay una pérdida mayor en la participación de mercado y en el valor de la marca, con publicidad adversa; las alianzas estratégicas están amenazadas Hay una pérdida sustancial en la participación de mercado y en el valor de la marca y la reputación de la organización, con publicidad adversa prolongada; las alianzas estratégicas se desintegran

Significativo (4)

Entre $10 a $100 millones

Los reclamos de los clientes son masivos; hay pérdida de cartera

Catastrófico (5)

Más de $100 millones

Hay pérdida masiva de clientes; hay litigios contra las unidades de negocios

Suspensión de la autorización para operar

Determinación de la Matriz de Probabilidad
La matriz de probabilidad de ocurrencia se define en base a criterios establecidos por la empresa:
Frecuencia anualizada

Probabilidad

Descripción Se espera que ocurra en la mayoría de las circunstancias Una vez al año o mas de una vez al año Probablemente ocurrirá en la mayoría de las circunstancias Una vez cada 1 año y 4 meses Podría ocurrir algunas veces Una vez cada 2 años No es muy probable que ocurra Una vez cada 4 años Solo podría ocurrir en casos excepcionales Cada diez años o mas

Muy Probable (5)

1

Probable (4)

0,75

Posible (3) Incierto (2)

0,5 0,25

Improbable (1)

0,1

Determinación de la Matriz de Riesgos
La matriz de riesgos se obtiene en base a la matriz de impacto y a la matriz de probabilidad de ocurrencia:
Muy Probable (5) Probable (4) Posible (3) Incierto (2) Improbabl e (1)

1,00

Riesgo Medio

Riesgo Alto Riesgo Medio Riesgo Medio Riesgo Medio Riesgo Bajo

Riesgo Extremo

Riesgo Extremo

Riesgo Extremo

0,75 0,50 0,25 0,01

Riesgo Bajo Riesgo Bajo Riesgo Bajo Riesgo Bajo

Riesgo Alto Riesgo Alto Riesgo Alto Riesgo Medio

Riesgo Extremo Riesgo Extremo Riesgo Extremo Riesgo Alto

Riesgo Extremo Riesgo Extremo Riesgo Extremo Riesgo Extremo

Probabilidad Anualizada

Insignificante (1)

Menor (2)

Moderado (3)

Significativo (4)

Catastrófico (5)

Impacto en millones de USD

0,010

0,250

10

100

1000

Riesgo Bruto y Riesgo Residual
Riesgo Residual 3,2 La reposición de 4,1 servidores toma 24 hs. No hay 3,3 procedimientos de chequeo al personal 5,1 3,1 Impacto Probabilidad de ocurrencia Riesgo Bruto Probabilidad de ocurrencia

Impacto

No.

Riesgos Asociados

Controles Existentes

Vulnerabilidades Conocidas

1 2

Extorsión / Secuestro

3

2

3,2 No hay controles Hay guardia en el edificio, alarma contra robo, acceso a 4,2 oficinas con tarjeta magnética y los servidores están asegurados Existen controles cruzados en la operación. Hay niveles de 3,4 autorización por monto de transacción. Existen controles cruzados en la operación. Hay niveles de autorización por monto de 3,4 transacción. Solo el personal de Tesorería tiene acceso a la información de fondos. 5,1 Hay guardias en el acceso al edificio. Hay un continuo monitoreo del clima laboral

3

2

Hurto / Robo

4

2

4

1

Abuso de confianza 3

3

4

3

3

4

Malversación de fondos

3

4

3

3

No Hay monitoreo de crédito, bancario y 3,3 de antecedentes del personal. El control en el acceso es muy laxo

5

Terrorismo / Sabotaje

5

1

5

1

6

Huelga de Empleados

3

1

3,1

3

1

Riesgos por amenazas humanas

Riesgos por Amenazas Ambientales

Riesgos por amenazas tecnológicas

Medidas y controles de Seguridad
Las medidas y controles de seguridad tienen como propósito: Eliminar el riesgo, Reducir el riesgo, Aceptar el riesgo, Trasladar / Transferir el riesgo, Incrementar el riesgo, Reducir el nivel de control o eliminar las respuestas a riesgos.

Plan de Seguridad
Se traducen las decisiones en acciones concretas. Se tomarán en consideración todos los escenarios de impacto y riesgo que se consideren críticos o graves. Se elaborará un conjunto de programas de seguridad que den respuesta a todos y cada uno de los escenarios analizados. Un programa de seguridad es una serie de tareas agrupadas para ganar eficiencia o por necesidades de interdependencia o por objetivos comunes. Cada programa debe detallar: Objetivo genérico Salvaguardas a implantar Relación de escenarios de riesgo que afronta Unidad responsable de su ejecución Recursos y costos

Consejos y Apéndices

Consejos de valoración de activos y amenazas, selección de salvaguardas Apéndices •Glosario •Marco Legal •SGSI •Certificación •Herramientas

Catalogo de Elementos
Activos • Tipos y Clasificación Dimensiones de Valoración • Disponibilidad • Integridad • Confidencialidad • Autenticidad de los usuarios • Autenticidad de los datos • Trazabilidad del servicio • Trazabilidad de los datos Criterios de Valoración • Escalas estándar Salvaguardas • Para los servicios • Para los datos • Para el software • Para el hardware • Para las comunicaciones • Para el personal Amenazas • Desastres naturales • De origen industrial • Errores y fallas no intencionales • Ataques intencionados • Correlación de errores y ataques • Amenazas por tipo de activo

Informes • Modelo de valor • Mapa de riesgos • Evaluación de salvaguarda • Estado de riesgo • Informe de insuficiencias • Plan de seguridad

Guías Técnicas
Análisis mediante tablas • Modelo Cualitativo • Modelo Cuantitativo • Modelo escalonado Árboles de Ataque • Salvaguardas • Riesgo Residual Técnicas Generales • • • • Análisis Coste-Beneficio Diagramas flujo de datos Diagramas de procesos Planificación y diagramas GANTT, PERT, Pareto • Valoracion Delphi

Ejemplo Árbol de Ataque
Veamos un ejemplo ilustrativo sobre como usar fraudulentamente (sin pagar) un servicio de pago: 1. Objetivo: usar sin pagar (OR) 1. suplantar la identidad de un usuario legítimo 2. soslayar la identificación de acceso al servicio 3. abusar del contrato (AND) 1. ser un usuario legítimo 2. conseguir que no se facture el servicio (OR) 1. que no queden trazas de uso 2. que se destruyan las trazas antes de facturación (OR) 1. las destruyo yo 2. engaño al operador para que las borre 3. manipulo del sw para que no las sume 3. repudiar las trazas 4. dar datos de cargo falsos

Ejercicio Ejercicio

Los activos informáticos pertenecen a una industria de alimentos
La componente de integridad posee la siguiente valoración:
Valor 1 2 3 4 5 Requerimientos de Disponibilidad Bajo Promedio Importante Vital Crítico Descripción El negocio no se ve afectado por la pérdida de la integridad. El negocio soporta hasta 1 semana para restablecer la integridad. El negocio soporta hasta 48 horas para restablecer la integridad. El negocio soporta hasta 24 horas para restablecer la integridad. En negocio no funciona si toma más de 3 horas restablecer la integridad.

La componente de disponibilidad posee la siguiente valoración:
Valor 1 2 3 4 5 Requerimientos de Disponibilidad Bajo Promedio Importante Vital Crítico Descripción El negocio no se ve afectado por la pérdida del activo informático. El negocio soporta hasta 1 semana sin el activo informático. El negocio soporta hasta 48 horas sin el activo informático. El negocio soporta hasta 24 horas sin el activo informático. En negocio no funciona sin el activo informático.

La componente de confidencialidad posee la siguiente valoración:
Valor 1 3 Requerimientos de Confidencialidad Público Interno Confidencial 4 Estrictamente Confidencial Descripción Incluye toda aquella información que no representa riesgo significativo para la compañía. Incluye toda aquella información que se utiliza en las actividades laborales del día a día y que puede presentar riesgos mínimos para la compañía. Incluye toda aquella información que puede presentar riesgos para la compañía, y cuyo acceso debe ser expresamente autorizado por el responsable y restringido a un grupo reducido de usuarios que la necesite para el desarrollo de sus tareas habituales. Incluye toda aquella información que puede presentar riesgos importantes para la Compañía.

5

1. Clasifique los siguientes activos informáticos utilizando las escalas propuestas
Activo Informático Sistema de Manejo de Personal ERP - SAP Proveedores Consultas automáticas de Clientes por Teléfono Correo Electrónico Intranet Centro de Cómputos Plataforma Soportada WINDOWS Principal Principal Principal UNIX UNIX UNIX Principal Principal Principal WINDOWS WINDOWS I D C Total

Ejercicio Riesgos asociados con Amenazas Ambientales
Indique qué salvaguardas, controles o medidas de protección implementaría para reducir la probabilidad en las amenazas 1, 2 y 3, y qué salvaguardas, controles o medidas de protección implementaría para reducir el impacto de las amenazas 4, 5 y 6, indicando el riesgo residual resultante.
Riesgo Residual Probabilidad de ocurrencia Probabilidad de ocurrencia Riesgo Bruto

Impacto

No.

Riesgos Asociados

Impacto

Controles Existentes

Vulnerabilidades Conocidas

1

Inundación interna

5

3

5,3

2

Inundación externa

4

2

4,2

3

Fuego Interno

5

4

5,4

4

Fuego Externo

5

3

5,3

5

Falta de suministro eléctrico

5

3

5,3

6

Daño por erupción volcánica

4

3

4,3

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->