Taller de Gestin

n de Riesgos de
Seguridad de la
l Informacin
Ing Lorena
Ing.
aB
B. Ferreyro

Octubrre de 2010

Temario
Objetivos del taller
- Por qu se crea el tallerr?
- Qu se espera de los assistentes?
Repaso de conceptos clave
- Activo de informacin
- Amenaza
- Vulnerabilidad
- Exposicin
- Probabilidad de ocurre
encia
- Impacto
- Riesgo
- Incidente
I id t de
d segurida
id d
- Control
nceptos
- Relacin entre los con

Temario
Proceso de gestin de riesgos
Caso de estudio
- Identificacin de activos
- Dependencia entre activvos
- Valoracin de activos
- Identificacin de amenazzas
- Caracterizacin de amen
nazas
- Identificacin de controle
es
- Determinacin
D
i
i d
dell iimpaccto
- Clculo de riesgos
- Tratamiento de riesgos

Objetivos del taller

Por qu se crea el taller?

Demostrar mediante casos de

e estudio la aplicacin de la
metodologa
g de gestin
g
de rie
esgos
g presentada
p
en el curso
de Gestin de Riesgos de Seg
guridad de la informacin.

Objetivos del taller

Qu se espera de los asistentes?

9 Que comprendan un caso real de anlisis de riesgos de

seguridad de la informacin.

9 Que pongan en prctica la metoodologa de anlisis de riesgos

presentada en el ccurso
rso de Gestin
n de Riesgos
Riesgos.

9 Que
Q transmitan
t
it lo
l aprendido
did en
n ell curso a sus colegas.
l
9 Que
Q creen conciencia
i
i en sus organismos
i
sobre
b lla iimportancia
i d
de
d de la informacin.
gestionar los riesgos de seguridad

Repaso de conceptos clave

e
Activo de informacin

ACTIVO
ACTIVO DE
INFORMACION

Todo bien
b
tangible o intangible que la
organizzacin posee que puede producir
un beneficio.
A
Aquello
llos activos
ti
de
d una organizacin
i
i que
procesa
an, contienen, almacenan o
transmiten informacin.

Funciones de la organizacin
Informacin
Sistemas
Equipamiento
Instalaciones
RRHH

Relacionados

Repaso de conceptos clave

e
Amenaza

AMENAZA

Agente o Fuente
de Amenaza

Evento
o cuya ocurrencia podra impactar
en form
f ma negativa en la organizacin.

Las am
menazas se aprovechan de (toman
ventaja
a de) las vulnerabilidades.
Entida
ad que toma ventaja de una
vulnera
abilidad

Eventos naturales: huracanes, terreemotos, tormentas de nieve, erupciones

volcnicas, inundaciones
volcnicas
inundaciones, etc
etc.
Eventos terroristas, sabotajes o acctos de guerra: bombas, secuestros,
ataques qumicos, etc.
Accidentes: explosiones,
explosiones incendios
incendios, cortes de energa u otros suministros
suministros,
rotura de tuberas, desastres nucleares,, choques de vehculos, etc.
Otros eventos: errores en dispositivoos, prdida de comunicacin, errores en
los sistemas
sistemas, errores humanos
humanos, vandalissmo,
smo etc.
etc

Repaso de conceptos clave

e
Vulnerabilidad Exposic
cin

VULNERABILIDAD

EXPOSICIN

Ause
A
encia
i od
debilidad
bilid d d
de un control.
t l
Cond
dicin que podra permitir que una
a enaza
amen
a a se materialice
ate a ce co
con mayor
ayo
frecu
uencia, mayor impacto o ambas.
Insta
ancia en la cual la informacin o un
activo de informacin es susceptible a
daa
arse o perderse por el accionar de
un ag
gente de amenaza.

Repaso de conceptos clave

e
Probabilidad de ocurren
ncia - Impacto

PROBABILIDAD
DE OCURRENCIA

IMPACTO

Frecu
uencia con la cual una amenaza
pued
de ocurrir.

Conssecuencias que produce un

incidente de seguridad sobre la
organizacin.

Repaso de conceptos clave

e
Riesgo

RIESGO

Prob
babilidad de que un agente de
amen
naza explote una vulnerabilidad,
en co
ombinacin con el impacto que
esto ocasiona.

Se conoce por riesgo como

o la funcin que combina la
probabilidad de ocurrencia
a y el impacto de un incidente de
seguridad.
seguridad
PROBABILIDA
AD
DE OCURENCIIA

IMPACTO

Repaso de conceptos clave

e
Incidente de seguridad

INCIDENTE DE
SEGURIDAD

Evento
o adverso ((evento con
conseccuencias negativas), que puede
comprrometer o compromete la
confide
fidencialidad,
i lid d iintegridad
t id d o
dispon
nibilidad de la informacin.
Un inccidente de seguridad se produce
cuento
o una amenaza explota una
vulnera
l abilidad.
bilid d

Repaso de conceptos clave

e
Control / Contramedida / Salvaguarda

CONTROL
CONTRAMEDIDA
SALVAGUARDA

Probabilidad de
ocurrencia

Cualqu
quier tipo
p de medida,, que
q p
permita
detecta
ar, prevenir o minimizar el riesgo
asocia
ado con la ocurrencia de una
amena
aza especfica.
fi

y/o

Impacto

Repaso de conceptos clave

e
Relacin entre los conce
eptos

ACTIVO DE
INFORMACIN

ANEMAZA
EXPOSICION
VULNE
ERABILIDAD

PROBA
ABILIDAD
DE OCU
URRENCIA
RIESGO
IMP
PACTO
CONTROLES

INCIDENTE DE
SEGURIDAD

Proceso de Gestin de Rie

esgos

1 1 IDENTIFICACIN
1.1.
DE RIESGOS
1. EVALUACIN
DE RIESGOS
1.2. ANLISIS
DE RIESGOS

2. TRATAMIENTO
DE RIESGOS

2.1. SELECCIN
E
IMPLANTACIN
2.2. SEGUIMIENTO
Y MEDICIN

Caso de estudio
Identificacin de activos
FUNCIONES DE LA ORGANIZACION
Administracin de RRHH
Administracin contable

INFORMACIN
Datos de RRHH
Datos contables
Datos impositivos

SISTEMAS
Sistema RRHH
Sistema contable

ENTORNO
Centro de cmputos
Oficina de RRHH
Oficina de contadura
Edificio

BASES DE DATOS
Base de datos de RRHH
Base de datos contable

EQUIPAM
MIENTO
Srv1-Aplic
Srv2-BD
Srv3-Aplic
R
4 PCs de RRHH
10 PCs de contadura
Red LAN
Enlace de Internet

RRHH
Usuarios finales de RRHH
Usuarios finales de contadura
Administradores de red
Administradores de servidores
Administrador de sistema
DBA

Caso de estudio
Dependencia entre activos
Administracin
de RRHH

Administracin
contable

Datos de
RRHH
BD de RRHH

Srv1-Aplic

Sistema de
RRHH
4 PCs de
RRHH

Srv2-BD

Funcin

Datos
contables

Datos
impositivos

BD contable

Sistema
contable

Srv3-Aplic

I f
Informacin
i
Sistemas
BD

10 PCs de
contadura

Equipamiento
Red LAN
Usuarios finales
de RRHH

Administradores
de red
Centro de
cmputos

Administradores
de servidores
Oficina de
RRHH

Enlace de
Internet
Usuarios finales
de contadura
Oficina de
Contadura

DBA

Edificio

Administradores
de sistema

RRHH

Entorno

Caso de estudio
Valoracin de activos Criterio para datos
INFORMACION
CONFIDENCIALIDAD
1
2

Puede ser conocida y utilizada sin autorizacin por cualquier persona.

Puede ser conocida y utilizada por todoss los empleados y algunas entidades externas
autorizadas, y cuya divulgacin o uso no
o autorizados podra ocasionar riesgos o
prdidas leves para el Organismo, el Secctor Pblico Nacional o terceros.
Puede ser conocida y utilizada por un grrupo de empleados
empleados, que la necesiten para
realizar su trabajo, y cuya divulgacin o uso no autorizados podra ocasionar prdidas
significativas al Organismo, al Sector Pblico Nacional o a terceros.
Puede ser conocida y utilizada p
por un g
grrupo
p muy
y reducido de empleados,
p
,
generalmente de la alta direccin del Org
ganismo, y cuya divulgacin o uso no
autorizados podra ocasionar prdidas graves al mismo, al Sector Pblico Nacional o a
terceros.

Caso de estudio
Valoracin de activos Criterio para datos
INFORMACION
INTEGRIDAD
1
2
3
4

Su modificacin no autorizada puede rep

pararse fcilmente, o no afecta la operatoria.
Su modificacin no autorizada puede rep
pararse aunque podra ocasionar prdidas
leves para el Organismo, el Sector Pblico Nacional o terceros.
Su modificacin no autorizada es de difccil reparacin y podra ocasionar prdidas
significativas para el Organismo
Organismo, el Secto
or Pblico Nacional o terceros
terceros.
Su modificacin no autorizada no podra
a repararse, ocasionando prdidas graves al
Organismo, al Sector Pblico Nacional o a terceros.

DISPONIBILIDAD
1
2
3
4

Su inaccesibilidad no afecta la operatoria

a del Organismo.
Su inaccesibilidad permanente durante 5 das podra ocasionar prdidas significativas
para el Organismo
Organismo, el Sector Pblico Nacional o terceros
terceros.
Su inaccesibilidad permanente durante 2 das podra ocasionar prdidas significativas
al Organismo, al Sector Pblico Naciona
al o a terceros.
Su inaccesibilidad permanente durante 8 hs. podra ocasionar prdidas significativas
al Organismo, al Sector Pblico Naciona
al o a terceros.

Caso de estudio
Valoracin de activos - Datos
s
CONFIDENCIALI
DAD

INTEGRIIDAD

DISPONIBILIDAD

CRITICIDAD

Datos de
RRHH

Datos
contables

Datos
impositivos

Informacin

Caso de estudio
Valoracin de activos Heren
ncia de valoracin
CONFIDENCIALIDAD

IN
NTEGRIDAD

DISPONIBILIDAD

CRITICIDAD

BD de RRHH

4
2
4

3
4
3

3
3
3

4
3
4

BD contable

Srv1-Aplic
p

Srv2-BD

DBA

4
4

3
3

3
3

4
4

Activos
Sistema RH
Sistema contable

Centro Cmputos

Caso de estudio
Identificacin de amenazas
Activo
E t
Entorno

Amenaza
Desastres
D
t
naturales
t l
Incendio

Equipamiento Desastres naturales

Incendio
Fallas de hardware
Fallas de administracin
Robo
Sistemas

Cdigo malicioso
Fallas de administracin
Intrusin

Activo
Informacin

Amenaza
Robo
Alteracin
Divulgacin
Destruccin
Funciones de la Interrupcin
organizacin
RRHH
Desastres naturales
Incendio
Enfermedades
Huelgas
I
Ingeniera
i social
i l

Caso de estudio
Caracterizacin de amenazas
s
FRECUENCIA
Cantidad
C
tid d d
de veces que se estim
ti a puede
d ocurrir
i lla amenaza en
un ao. Ej.:
5 5 veces en un ao
0,1 1 vez en 2 aos
DEGRADACION
Porcentaje de afectacin de la amenaza sobre la
Confidencialidad,, Integridad
g
y Disponibilidad
p
respectivamente.
p

Caso de estudio
Caracterizacin de amenazas
s
Activo

Amenaza

D(C)

D(I)

D(D)

Centro
C
t
d Desastres
de
D
t
naturales
t l
Cmputos Incendio

0,25
0
25
1

100%
75%

Srv1-Aplic

Desastres naturales
Incendio
Fallas de hardware
Fallas de administracin
Robo

0,25
1
2
4
1

100%
100%

25%
100%
-

100%
75%
100%
25%
100%

Sistema RH

Cdigo malicioso
Fallas de administracin
Intrusin

10
4
2

75%
100%
100%

75%
100%
75%

75%
25%
50%

Caso de estudio
Identificacin de controles
IMPACTO
CONTROL

Influye en

PROBABILIDAD
DE OCURRENCIA
Debe
presentar
p

VIGENCIA
A
EFECTIVIDA
AD

Caso de estudio
Identificacin de controles
Activo
Entorno

Controles
Construccin antissmica
Sistemas de deteccin
d
y extincin de incendios
Equipamiento
Mantenimiento
o preventivo
Capacitacin de los administradores
Monitoreo de funcionamiento
C t l de
Control
d acc
ceso fsico
f i
Sistemas
Antivirus
Sistemas de deteccin/prevencin
d
de intrusiones
Control de accceso lgico
Informacin
Cifrado
Copias de res
spaldo
F
Funciones
i
d lla Procedimiento
de
P
di i tos alternativos
lt
ti
organizacin
RRHH
Concientizaci
n
S
Segregacin
i de
d funciones
f
i

Caso de estudio
Determinacin del impacto
Activo

Amenaza

V(D) * D(D)
I(C)

I(I)

I(D)

I(total)

Centro
C
t
d Desastres
de
D
t
naturales
t l
Cmputos Incendio

3
2

3
2

Srv1-Aplic

Desastres naturales
Incendio
Fallas de hardware
Fallas de administracin
Robo

4
4

1
3
-

3
2
3
1
3

3
2
4
8
7

Sistema RH

Cdigo malicioso
Fallas de administracin
I t i
Intrusin

3
4
4

2
3
2

2
1
2

7
8
8

I(C) + I(I) + I(D)

Caso de estudio
Clculo del riesgo
Activo

I(total) * F

Amenaza

Centro
de Desastres naturales
Cmputos Incendio
Srv1 Aplic
Srv1-Aplic
Desastres naturales
Incendio
Fallas de hardware
Fallas de administracin
Robo
Sistema RH

Cdigo malicioso
Fallas de administracin
Intrusin

Riesgo
(amenaza)
1
2

Riesgo
2

Nivel de
riesgo
MUY BAJO

1
2
8
32
7

10

BAJO

70
32
16

39

MUY ALTO

PROM(R
Riesgo(amenaza))

Escala
1:5
6 : 10
11: 14
15: 20
> 20

MUY BAJO
BAJO
MEDIO
ALTO
MUY ALTO

Caso de estudio
Tcnicas de tratamiento de riiesgos

MITIGAR
ACEPTAR

20
15

TRANSFERIR

10
EVITAR

NIVEL DE RIESGO
ACEPTABLE

Caso de estudio
Tcnicas de tratamiento de riiesgos

ACEPTAR

MUY BAJO Centro de Cmputos

BAJO

Srv1-Aplic

MITIGAR

MUY ALTO

Sistema de RH

Cdigo malicioso
Fallas de administracin
Intrusin

Caso de estudio
Mitigacin de riesgos
MUY ALTO

Sistema de RH

AMENAZA

RIESGO
O

CONTROL

Cdigo malicioso

MUY ALT
TO

Gestin de parches de seguridad

Gestin de antivirus
Control de malware

Fallas de administracin

MUY ALT
TO

Capacitacin de administradores
Registro de actividades
Alarmas
Control de actividades

Intrusin

ALTO

IPS / IDS
Monitoreo
Tests de penetracin

Caso de estudio
Evaluacin de las medidas de
e tratamiento:

Establecimiento de puntos de control y mtricas

Registro de mediciones
Evaluacin de cumplimiento con
c los objetivos previstos
Identificacin de desvos: incu
umplimiento de objetivos, falta de
reduccin de riesgos, generacin
n de costos no previstos, etc.

Correcciones

Bibliografa

NORMA ISO/IEC 27005 - Tecnolo

oga de la informacin - Tcnicas de
seguridad - Gestin del riesgo de se
eguridad de la informacin
NORMA IRAM - ISO/IEC 27001 - Tecnologa de la informacin Sistemas de gestin de seguridad de la informacin (SGSI) - Requisitos
NORMA IRAM - ISO/IEC 27002 - Tecnologa de la informacin Tcnicas de Seguridad - Cdigo de prctica para la gestin de la
seguridad de la informacin
MAGERIT versin 2
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin
Metodologa de Anlisis de Riesgos de ArCERT
NIST SP 800-30 - Risk Managem
ment Guide for Information Technology
Systems