Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Taller Gestion de Riesgos 2010
Taller Gestion de Riesgos 2010
Taller Gestion de Riesgos 2010
n de Riesgos de
Seguridad de la
l Informacin
Ing Lorena
Ing.
aB
B. Ferreyro
Octubrre de 2010
Temario
Objetivos del taller
- Por qu se crea el tallerr?
- Qu se espera de los assistentes?
Repaso de conceptos clave
- Activo de informacin
- Amenaza
- Vulnerabilidad
- Exposicin
- Probabilidad de ocurre
encia
- Impacto
- Riesgo
- Incidente
I id t de
d segurida
id d
- Control
nceptos
- Relacin entre los con
Temario
Proceso de gestin de riesgos
Caso de estudio
- Identificacin de activos
- Dependencia entre activvos
- Valoracin de activos
- Identificacin de amenazzas
- Caracterizacin de amen
nazas
- Identificacin de controle
es
- Determinacin
D
i
i d
dell iimpaccto
- Clculo de riesgos
- Tratamiento de riesgos
9 Que
Q transmitan
t
it lo
l aprendido
did en
n ell curso a sus colegas.
l
9 Que
Q creen conciencia
i
i en sus organismos
i
sobre
b lla iimportancia
i d
de
d de la informacin.
gestionar los riesgos de seguridad
ACTIVO
ACTIVO DE
INFORMACION
Todo bien
b
tangible o intangible que la
organizzacin posee que puede producir
un beneficio.
A
Aquello
llos activos
ti
de
d una organizacin
i
i que
procesa
an, contienen, almacenan o
transmiten informacin.
Funciones de la organizacin
Informacin
Sistemas
Equipamiento
Instalaciones
RRHH
Relacionados
AMENAZA
Agente o Fuente
de Amenaza
Evento
o cuya ocurrencia podra impactar
en form
f ma negativa en la organizacin.
Las am
menazas se aprovechan de (toman
ventaja
a de) las vulnerabilidades.
Entida
ad que toma ventaja de una
vulnera
abilidad
VULNERABILIDAD
EXPOSICIN
Ause
A
encia
i od
debilidad
bilid d d
de un control.
t l
Cond
dicin que podra permitir que una
a enaza
amen
a a se materialice
ate a ce co
con mayor
ayo
frecu
uencia, mayor impacto o ambas.
Insta
ancia en la cual la informacin o un
activo de informacin es susceptible a
daa
arse o perderse por el accionar de
un ag
gente de amenaza.
PROBABILIDAD
DE OCURRENCIA
IMPACTO
Frecu
uencia con la cual una amenaza
pued
de ocurrir.
RIESGO
Prob
babilidad de que un agente de
amen
naza explote una vulnerabilidad,
en co
ombinacin con el impacto que
esto ocasiona.
IMPACTO
INCIDENTE DE
SEGURIDAD
Evento
o adverso ((evento con
conseccuencias negativas), que puede
comprrometer o compromete la
confide
fidencialidad,
i lid d iintegridad
t id d o
dispon
nibilidad de la informacin.
Un inccidente de seguridad se produce
cuento
o una amenaza explota una
vulnera
l abilidad.
bilid d
CONTROL
CONTRAMEDIDA
SALVAGUARDA
Probabilidad de
ocurrencia
Cualqu
quier tipo
p de medida,, que
q p
permita
detecta
ar, prevenir o minimizar el riesgo
asocia
ado con la ocurrencia de una
amena
aza especfica.
fi
y/o
Impacto
ACTIVO DE
INFORMACIN
ANEMAZA
EXPOSICION
VULNE
ERABILIDAD
PROBA
ABILIDAD
DE OCU
URRENCIA
RIESGO
IMP
PACTO
CONTROLES
INCIDENTE DE
SEGURIDAD
1 1 IDENTIFICACIN
1.1.
DE RIESGOS
1. EVALUACIN
DE RIESGOS
1.2. ANLISIS
DE RIESGOS
2. TRATAMIENTO
DE RIESGOS
2.1. SELECCIN
E
IMPLANTACIN
2.2. SEGUIMIENTO
Y MEDICIN
Caso de estudio
Identificacin de activos
FUNCIONES DE LA ORGANIZACION
Administracin de RRHH
Administracin contable
INFORMACIN
Datos de RRHH
Datos contables
Datos impositivos
SISTEMAS
Sistema RRHH
Sistema contable
ENTORNO
Centro de cmputos
Oficina de RRHH
Oficina de contadura
Edificio
BASES DE DATOS
Base de datos de RRHH
Base de datos contable
EQUIPAM
MIENTO
Srv1-Aplic
Srv2-BD
Srv3-Aplic
R
4 PCs de RRHH
10 PCs de contadura
Red LAN
Enlace de Internet
RRHH
Usuarios finales de RRHH
Usuarios finales de contadura
Administradores de red
Administradores de servidores
Administrador de sistema
DBA
Caso de estudio
Dependencia entre activos
Administracin
de RRHH
Administracin
contable
Datos de
RRHH
BD de RRHH
Srv1-Aplic
Sistema de
RRHH
4 PCs de
RRHH
Srv2-BD
Funcin
Datos
contables
Datos
impositivos
BD contable
Sistema
contable
Srv3-Aplic
I f
Informacin
i
Sistemas
BD
10 PCs de
contadura
Equipamiento
Red LAN
Usuarios finales
de RRHH
Administradores
de red
Centro de
cmputos
Administradores
de servidores
Oficina de
RRHH
Enlace de
Internet
Usuarios finales
de contadura
Oficina de
Contadura
DBA
Edificio
Administradores
de sistema
RRHH
Entorno
Caso de estudio
Valoracin de activos Criterio para datos
INFORMACION
CONFIDENCIALIDAD
1
2
Caso de estudio
Valoracin de activos Criterio para datos
INFORMACION
INTEGRIDAD
1
2
3
4
DISPONIBILIDAD
1
2
3
4
Caso de estudio
Valoracin de activos - Datos
s
CONFIDENCIALI
DAD
INTEGRIIDAD
DISPONIBILIDAD
CRITICIDAD
Datos de
RRHH
Datos
contables
Datos
impositivos
Informacin
Caso de estudio
Valoracin de activos Heren
ncia de valoracin
CONFIDENCIALIDAD
IN
NTEGRIDAD
DISPONIBILIDAD
CRITICIDAD
BD de RRHH
4
2
4
3
4
3
3
3
3
4
3
4
BD contable
Srv1-Aplic
p
Srv2-BD
DBA
4
4
3
3
3
3
4
4
Activos
Sistema RH
Sistema contable
Centro Cmputos
Caso de estudio
Identificacin de amenazas
Activo
E t
Entorno
Amenaza
Desastres
D
t
naturales
t l
Incendio
Cdigo malicioso
Fallas de administracin
Intrusin
Activo
Informacin
Amenaza
Robo
Alteracin
Divulgacin
Destruccin
Funciones de la Interrupcin
organizacin
RRHH
Desastres naturales
Incendio
Enfermedades
Huelgas
I
Ingeniera
i social
i l
Caso de estudio
Caracterizacin de amenazas
s
FRECUENCIA
Cantidad
C
tid d d
de veces que se estim
ti a puede
d ocurrir
i lla amenaza en
un ao. Ej.:
5 5 veces en un ao
0,1 1 vez en 2 aos
DEGRADACION
Porcentaje de afectacin de la amenaza sobre la
Confidencialidad,, Integridad
g
y Disponibilidad
p
respectivamente.
p
Caso de estudio
Caracterizacin de amenazas
s
Activo
Amenaza
D(C)
D(I)
D(D)
Centro
C
t
d Desastres
de
D
t
naturales
t l
Cmputos Incendio
0,25
0
25
1
100%
75%
Srv1-Aplic
Desastres naturales
Incendio
Fallas de hardware
Fallas de administracin
Robo
0,25
1
2
4
1
100%
100%
25%
100%
-
100%
75%
100%
25%
100%
Sistema RH
Cdigo malicioso
Fallas de administracin
Intrusin
10
4
2
75%
100%
100%
75%
100%
75%
75%
25%
50%
Caso de estudio
Identificacin de controles
IMPACTO
CONTROL
Influye en
PROBABILIDAD
DE OCURRENCIA
Debe
presentar
p
VIGENCIA
A
EFECTIVIDA
AD
Caso de estudio
Identificacin de controles
Activo
Entorno
Controles
Construccin antissmica
Sistemas de deteccin
d
y extincin de incendios
Equipamiento
Mantenimiento
o preventivo
Capacitacin de los administradores
Monitoreo de funcionamiento
C t l de
Control
d acc
ceso fsico
f i
Sistemas
Antivirus
Sistemas de deteccin/prevencin
d
de intrusiones
Control de accceso lgico
Informacin
Cifrado
Copias de res
spaldo
F
Funciones
i
d lla Procedimiento
de
P
di i tos alternativos
lt
ti
organizacin
RRHH
Concientizaci
n
S
Segregacin
i de
d funciones
f
i
Caso de estudio
Determinacin del impacto
Activo
Amenaza
V(D) * D(D)
I(C)
I(I)
I(D)
I(total)
Centro
C
t
d Desastres
de
D
t
naturales
t l
Cmputos Incendio
3
2
3
2
Srv1-Aplic
Desastres naturales
Incendio
Fallas de hardware
Fallas de administracin
Robo
4
4
1
3
-
3
2
3
1
3
3
2
4
8
7
Sistema RH
Cdigo malicioso
Fallas de administracin
I t i
Intrusin
3
4
4
2
3
2
2
1
2
7
8
8
Caso de estudio
Clculo del riesgo
Activo
I(total) * F
Amenaza
Centro
de Desastres naturales
Cmputos Incendio
Srv1 Aplic
Srv1-Aplic
Desastres naturales
Incendio
Fallas de hardware
Fallas de administracin
Robo
Sistema RH
Cdigo malicioso
Fallas de administracin
Intrusin
Riesgo
(amenaza)
1
2
Riesgo
2
Nivel de
riesgo
MUY BAJO
1
2
8
32
7
10
BAJO
70
32
16
39
MUY ALTO
PROM(R
Riesgo(amenaza))
Escala
1:5
6 : 10
11: 14
15: 20
> 20
MUY BAJO
BAJO
MEDIO
ALTO
MUY ALTO
Caso de estudio
Tcnicas de tratamiento de riiesgos
MITIGAR
ACEPTAR
20
15
TRANSFERIR
10
EVITAR
NIVEL DE RIESGO
ACEPTABLE
Caso de estudio
Tcnicas de tratamiento de riiesgos
ACEPTAR
BAJO
Srv1-Aplic
MITIGAR
MUY ALTO
Sistema de RH
Cdigo malicioso
Fallas de administracin
Intrusin
Caso de estudio
Mitigacin de riesgos
MUY ALTO
Sistema de RH
AMENAZA
RIESGO
O
CONTROL
Cdigo malicioso
MUY ALT
TO
Fallas de administracin
MUY ALT
TO
Capacitacin de administradores
Registro de actividades
Alarmas
Control de actividades
Intrusin
ALTO
IPS / IDS
Monitoreo
Tests de penetracin
Caso de estudio
Evaluacin de las medidas de
e tratamiento:
Correcciones
Bibliografa