Analizando el Horizonte de Amenazas y El Riesgo

Una aproximacin pragmtica a la seguridad de la informacin

Roberto Arbelez, M.Sc., CISSP, CISA, PMP Security Program Manager for Latin America CSS Security Microsoft Corp.

Agenda
Glosario y definiciones Por qu es necesaria una aproximacin pragmtica a la seguridad? Los tres atributos de la Seguridad Las fuentes de Amenazas El modelaje de Amenazas Estimando el riesgo Mitigando el riesgo Mejores Prcticas Preguntas

Glosario (1)

* TOMADO DE NIMS - MITRE

Amenaza: cualquier circunstancia o evento con el potencial de causar dao al sistema de informacin tal como su destruccin, revelacin o modificacin adversa de datos, o negacin del servicio (NSTISSI, 1992) Agente de amenaza: Un mtodo usado para explotar una vulnerabilidad en un sistema, su operacin o sus instalaciones (NCSC TG-004)

Glosario (2)
Ataque: Intento de ganar acceso no autorizado a los servicios, recursos o informacin, o de comprometer la integridad, disponibilidad o confidencialidad de un sistema de informacin (NSTISSI, 1992) Vulnerabilidad: Debilidad en los procesos de seguridad, el diseo, la implementacin , controles internos, etc. de un sistema de informacin que puede ser explotada para violar las polticas de seguridad del sistema (NCSC TG004, 1988)

Glosario (3)
Riesgo: La prdida esperada, o debida al impacto de amenazas anticipadas a la luz de vulnerabilidades del sistema y la fuerza o determinacin de agentes de amenazas relevantes (NIST, 1992) Administracin de riesgos: el proceso relacionado con la identificacin, medicin, control y minimizacin de los riesgos de seguridad en los sistemas de informacin conmensurado con el valor de los activos protegidos (NSTISSI, 1992)

Por qu es necesaria una aproximacin pragmtica a la seguridad? Recursos limitados Buenas prcticas de ingeniera (dimensionamiento) de las soluciones de seguridad Priorizacin adecuada de los esfuerzos en seguridad

Confidencialidad
Est relacionada con limitar el acceso a la informacin, o que la informacin sea revelada nicamente a usuarios autorizados. Se puede implementar con
Control de acceso Criptografa

Integridad
Est relacionado con la confiabilidad de la informacin o de los recursos computacionales La informacin solo puede ser alterada o modificada por personas autorizadas. El sistema solo puede ser configurado por personas autorizadas La informacin ingresada al sistema es idntica a la de la fuente (es vlida) Se puede implementar con
Control de acceso Firma digital

Disponibilidad
Est relacionada con la disponibilidad de los recursos computacionales; que estos estn disponibles cuando se necesiten La informacin debe poder ser accedida cuando sea necesario Que el sistema pueda ser accedido cuando se necesite

Las fuentes de amenazas

Humanas Gobiernos extranjeros, hacktivistas, empleados descontentos, crimen organizado, sabotaje, terroristas, espas industriales, hackers (USCERT/GAO NIST 800-82) Naturales Inundaciones, terremotos, derrumbes, huracanes, tornados, tormentas elctricas, incendios, etc. Tecnologa Fallos de SW, HW, fluido elctrico, comunicaciones, etc.

Las amenazas

Afectan uno o varios de los atributos de seguridad

Confidencialidad Integridad Disponibilidad

Pueden ocurrir de manera accidental o intencional

Las amenazas(2)
Pueden estar asociadas en cualquiera de los componentes del sistema de informacin
Personas Procesos y procedimientos Tecnologa Informacin

Pueden afectar cualquiera de los componentes del sistema de informacin

El modelaje de amenazas
Paso 1: Identificar los activos Paso 2: Describir y descomponer el sistema Paso 3: Identificar y documentar las amenazas Paso 4: Calificar las amenazas y el riesgo asociado Paso 5: administrar el riesgo

Tipos de modelaje de amenazas

Centrados en el atacante Centrados en el sistema (componentes) Centrados en los activos del sistema Nuestro enfoque est basado en el sistema (componentes)!

Identificar activos
Informacin Personas Procesos Tecnologa Servicios Imagen Otros

Describir y descomponer el sistema de informacin

Delimitar y definir el alcance Modelar usuarios y casos de uso Modelar Interfaces con otros sistemas Modelar dependencias

Identificar y documentar las amenazas

Spoofing Identity Tampering With Data Repudiation Information Disclosure Denial of Service Elevation of Privilege

Calificar las amenazas y estimar el riesgo

El Riesgo de TI
El riesgo de TI es el riesgo que afronta la organizacin, debido a su utilizacin y dependencia de TIs. Hoy en dia, la mayora de las organizaciones tiene una alta dependencia de la tecnologa

Cmo se calcula el riesgo de TI?

Riesgo = Probabilidad X Impacto

Probabilidad: Probabilidad de ocurrencia de un incidente o fallo en un periodo de tiempo determinado. Impacto: Impacto asociado a la ocurrencia de un incidente o fallo. Incluye prdidas econmicas, en productividad, en desempeo, en imagen organizacional, etc. y usualmente se expresa en dinero.

Qu se puede hacer con el riesgo de TI?

Mitigarlo (Reducirlo o eliminarlo) Transferirlo Aceptarlo

Mitigar el riesgo
El riesgo se puede mitigar
Reduciendo (o eliminando) la probabilibad de ocurrencia de un fallo o incidente

Mitigar el riesgo
El riesgo se puede mitigar
Reduciendo (o eliminando) el impacto asociado a un fallo o incidente

Transferir el riesgo
El riesgo se puede transferir
Pagndole a un tercero para que l asuma el riesgo por mi En caso de que el riesgo se materialice en un fallo o incidente, el impacto lo asume el tercero

Aceptar el riesgo
El riesgo se puede aceptar
Porque es poco probable que se materialice en un fallo o incidente Porque su impacto es despreciable Porque no tengo otra opcin para manejarlo

Administracin del riesgo y riesgo residual

Riesgo inicial

Riesgo despus de mitigacin

Transferencia del Riesgo

Riesgo residual

Para que me sirve administrar el riesgo?

Para dimensionar adecuadamente las soluciones de seguridad informtica Para sustentar y justificar proyectos de seguridad informtica
Mostrar que son necesarios Mostrar que son una inversin y no un gasto (mostrando el ROI Retorno a la Inversin)

Para gestionar de manera adecuada la seguridad de la informacin

Cmo se administra el riesgo?

Se hace un inventario de activos (hardware, software, informacin, personas) Se define el nivel mximo de tolerancia organizacional al riesgo Se hace un anlisis de fuentes de amenazas Se hace un anlisis de probabilidad de ocurrencia de fallos o incidentes Se hace un anlisis de impacto asociado a fallos o incidentes Se calcula el riesgo Se maneja el riesgo (mitigar, transferir o aceptar)

La naturaleza de los incidentes de Seguridad

Afectan uno o varios de los atributos de seguridad

Confidencialidad Integridad Disponibilidad

Pueden ocurrir de manera accidental o intencional

La naturaleza de los incidentes de Seguridad (2)

Pueden originarse en cualquiera de los componentes del sistema de informacin
Personas Procesos y procedimientos Tecnologa Informacin

Pueden afectar cualquiera de los componentes del sistema de informacin

La naturaleza de los incidentes de Seguridad (3)

Pueden originarse en cualquier fase del Ciclo de Vida del Sistema de Informacin
Anlisis de requerimientos del negocio Anlisis de requerimientos tecnolgicos Planeacin Diseo (modelaje y especificacin) Implementacin Pruebas Implantacin Estabilizacin Operacin Soporte y mantenimiento

Anlisis de requerimientos y Planeacin

Ajustes y Optimizacin

Diseo

Soporte y mantenimiento

Desarrollo

Son inevitables! Siempre cuestan dinero!

Operacin Pruebas

Y si son inevitables, entonces qu podemos hacer?

Minimizar el riesgo de ocurrencia de incidentes de seguridad Asegurar las TIs en todas las fases de su ciclo de vida Asegurar todos los componentes de los Sistemas de Informacin Optimizar el control y Gobierno de TIs Optimizar las operaciones de TIs Esperar lo mejor, pero estar preparados para lo peor Establecer buenas prcticas de auditoria Establecer buenas prcticas de administracin de incidentes Establecer buenas prcticas de continuidad del servicio

Qu medidas debo tomar para optimizar la seguridad de la informacin?

1) Medidas preventivas, para evitar que ocurran los fallos e incidentes de seguridad o reducir la probabilidad de que ocurran 2) Medidas paliativas, para minimizar el impacto que un fallo o incidente tiene en la organizacin 3) Medidas correctivas, para solucionar rpidamente los fallos e incidentes y evitar nuevas ocurrencias

Implantar un Sistema de Gestin de la Seguridad de la Informacin

Entender que es lo ms importante para el negocio

Objetivos del Negocio Inventario de Servicios de Tecnologa

Anlisis de Impacto de la Brecha de Seguridad para el Negocio

Costos Tangibles e Intangibles Impacto en el Desempeo / Productividad

2
Anlisis de la situacin actual
Anlisis de Riesgos Anlisis de Vulnerabilidades Diagnstico vs. estndares y mejores prcticas

Brecha en Procesos y Procedimientos

Propuesta de Valor para el Negocio Optimizacin de la Seguridad de la plataforma computacional Implantacin de Estndares y Mejores Prcticas de Seguridad

Brecha en Seguridad de la Infraestructura

5
Plan de Optimizacin de la Seguridad

Alcance de la Seguridad de Informacin en la organizacin

Es responsabilidad de la SI lo que pueda afectar:
La confidencialidad La integridad La disponibilidad

de la informacin, o de los sistemas de informacin, o de los servicios que estos soportan.

Entonces Qu es Responsabilidad de la Seguridad de la Informacin?

Lo que afecta a uno o varios de los 3 atributos de seguridad en el sistema de informacin, en la informacin o en los servicios que stos soportan ES responsabilidad de Seguridad de la Informacin Lo que no afecta alguno de los atributos, es responsabilidad de otra rea

Seguridad Integral
Anlisis de requerimientos y Planeacin Ajustes y Optimizacin

Diseo

Personas

Soporte y mantenimiento

Desarrollo

Procesos

Tecnologa
Operacin Pruebas

En TODOS los componentes del Sistema de Informacin

En TODAS las fases del ciclo de vida del Sistema de Informacin

Seguridad Integral (2)

Entorno Organizacional
Externo

Adentro y afuera de la organizacin

Planeacin Estratgica de Seguridad de la Informacin

En el presente y en el futuro

Gestin de Seguridad de la Informacin Interno Presente Futuro

Tiempo

La seguridad, respecto a otras disciplinas

TIs: La herramienta
Operaciones de TI: Especifica la forma adecuada (ptima) de utilizar la herramienta Seguridad de TI: Especifica la forma segura de utilizar la herramienta Gobierno de TI: Es la forma de garantizar que la herramienta se utilice para lograr los objetivos de la organizacin

Ciclo de Vida de la Seguridad de la Informacin

Anlisis de requerimientos y Planeacin Planeacin estratgica de Seguridad de la Informacin Desarrollo y Administracin de las Polticas de Seguridad de la Informacin Desarrollo y Administracin de la Arquitectura de Seguridad de la Informacin Definicin y Administracin del portafolio de estndares y mejores prcticas adoptadas

Diseo de Seguridad Diseo de componentes de seguridad Diseo de controles de seguridad

Desarrollo, Implementacin e Implantacin de Seguridad Desarrollo seguro de software Implementacin segura de sistemas de cmputo Implantacin segura de aplicaciones

Pruebas de Seguridad Pruebas de cumplimiento Anlisis de Vulnerabilidades Pruebas de Penetracin

Operacin de Seguridad Administracin de Componentes de Seguridad

Soporte y Mantenimiento de Seguridad Atencin de Incidentes de Seguridad

Monitoreo, Control y optimizacin de Seguridad Monitoreo de controles y componentes de seguridad Optimizacin y ajustes de controles y componentes de seguridad

Persona s

Proceso s

Tecnolog a

Niveles funcionales en los cuales opera la Seguridad Informtica

Estratgico
Planeacin Estratgica de Seguridad Liderar el desarrollo de las definiciones de Alto nivel de seguridad Gestin de la Seguridad Control por Indicadores Globales

Tctico

Administracin de Seguridad Apoyar el desarrollo de las definiciones de alto nivel de seguridad Control por Indicadores Locales

Operativo

Ejecucin de Actividades, tareas y responsabilidades de seguridad

Las diferentes aproximaciones a la Seguridad de la Informacin

Tcnico
Enfocada a optimizar la seguridad de la infraestructura computacional Enfocada al anlisis y la administracin de los riesgos de seguridad en la organizacin

Organizacional
Enfocada a la implantacin de estndares internacionales y mejores prcticas de seguridad en la organizacin

Una solucin para cada problema

Estndares y Buenas Prcticas

Estndares y Buenas Prcticas

Operaciones de Tecnologa : ITIL (ISO/IEC20000)

Seguridad, Continuidad del Negocio , Administracin de Riesgos: ISO/IEC17799 (ISO/IEC27002)

Gobierno, Control y Auditabilidad : COBIT

Roles de ITIL, COBIT e ISO/IEC27002 en un marco de trabajo de Gobierno de TI

ISO/IEC 27002
COBIT
Qu se debe hacer

ITIL

Cmo se debe hacer

Gestin de Seguridad
Planear

Actuar

Hacer

Verificar

Ciclo PHVA en Seguridad

Planear Hacer
Verificar Actuar

Analizar las necesidades de seguridad del negocio asociadas a Personas, Procesos y Tecnologa Definir el nivel de seguridad que requiere la organizacin Planear soluciones de seguridad que satisfagan los requerimientos y las necesidades de seguridad Definir procesos de gestin de la seguridad que permitan mantener un nivel adecuado de seguridad a lo largo del tiempo

Disear e implementar soluciones de seguridad Implantar las soluciones de seguridad Administrar las soluciones de seguridad Implementar y ejecutar un proceso de gestin de seguridad

Evaluar constantemente la aparicin de nuevos requerimientos de seguridad, asociados a nuevas amenazas, riesgos y vulnerabilidades o a nuevos sistemas de informacin Monitorear constantemente las soluciones de seguridad existentes, de manera que sean operadas y administradas de manera adecuada, y de manera que satisfagan los requerimientos de seguridad existentes Monitorear constantemente las personas, los procesos y la tecnologa, para detectar de manera proactiva ataques y vulnerabilidades

Ajustar las soluciones de seguridad para que manejen de manera adecuada nuevas amenazas, riesgos y vulnerabilidades Proponer nuevas soluciones de seguridad de manera proactiva, para mantener el nivel de seguridad a los largo del tiempo Ajustar el proceso de gestin de la seguridad de tal manera que hayan mejoras continuas en el nivel de seguridad de la organizacin a lo largo del tiempo

Funciones de Seguridad
Atencin de Incidentes de Seguridad
Soporte de 1er. Nivel de seguridad Atencin de Incidentes de Seguridad Gestin y escalamiento de incidentes de seguridad Interfaz con entidades de control Informtica Forense

Gobierno y Control de Seguridad

Diseo, implantacin y administracin de mtricas, ndices e indicadores de gestin de seguridad de TI, y generacin de reportes Control de cumplimiento del marco regulatorio de seguridad (arquitectura, polticas , estndares y mejores prcticas de seguridad) Control de cumplimiento de responsabilidades de seguridad Control de las funciones de administracin y operacin de seguridad Evaluacin y Diagnstico de la seguridad (Anlisis de vulnerabilidades y Pruebas de penetracin)

Programas de Seguridad
Programa de Seguridad de la Informacin Programa de Seguridad Humana Programa de Seguridad de Infraestructura Programa de Seguridad Fsica Programa de Seguridad de procesos Programa de gestin del Riesgo
Este programa se encarga de la clasificacin, administracin, aseguramiento, proteccin y destruccin segura de la informacin digital e impresa, as como de los medios de almacenamiento fijos y removibles. Este programa se encarga de la sensibilizacin y capacitacin organizacional en seguridad, fortaleciendo el componente humano del sistema de informacin

Este programa se encarga del aseguramiento de la infraestructura computacional, de comunicaciones, perifricos e infraestructura de oficina

Este programa se encarga de la seguridad fsica de los componentes del sistema de informacin, y de las instalaciones que los albergan

Este programa se encarga del aseguramiento de los procesos y procedimientos que tienen un potencial impacto sobre la seguridad

Este programa se encarga de detectar nuevas amenazas y riesgos que aparezcan en el entorno, de analizar los riesgos existentes en nuevos sistemas de informacin y en sus componentes, documentarlos y gestionarlos (mitigarlos, transferirlos o aceptarlos)

Conclusiones
La seguridad debe ser a la medida de las necesidades No se debe perseguir la seguridad per se, se debe buscar proteger los activos del sistema El modelaje de amenazas es una herramienta til para determinar donde debo concentrar los esfuerzos para asegurar mis activos de informacin

qu se puede hacer para optimizar la administracin de incidentes de Seguridad?

Minimizar el riesgo de ocurrencia de incidentes
Optimizar las TIs en todas las fases del ISLC, con MSF/MOF
Optimizar todos los componentes de los Sistemas de Informacin , con

MSF/MOF Optimizar la seguridad de las TIs, con ISO27000 Optimizar el control y Gobierno de TIs con COBIT Optimizar las operaciones de TIs con MOF/ITIL

Esperar lo mejor, pero estar preparados para lo peor

Establecer buenas prcticas de auditora con COBIT Establecer buenas prcticas de administracin de incidentes con ISO27000 Establecer buenas prcticas de continuidad del servicio con MOF, e ISO27000

Preguntas

SEGURIDAD PARA ESPECIALISTAS

Juan Jos Mena Microsoft del Ecuador

QUE SERA UN MUNDO SIN PROFESIONALES DE TI?

Help!!

BOLETINES INFORMATIVOS

Boletin Technet Flash

Boletin mensual con artculos, noticias e informacin relevante

Boletn de Seguridad
Boletin mensual con informacin especfica sobre seguridad informtica.

Revista Technet
Revista Oficial de TechNet con informacin relevante para ITPros

RECURSOS DE APRENDIZAJE Y ENTRENAMIENTO

Laboratorios Virtuales
Utiliza y aprende las nuevas tecnologas desde tu navegador.

Academia Virtual
Cursos carreras y especializaciones en tecnologas de informacin. Solo necesitas una cuenta de Hotmail

Implementacin de Windows 7
Portal de aprendizaje para la implementacin de Windows 7.

DOCUMENTACIN, EVENTOS, WEBCAST Y VIDEOS

SOPORTE TCNICO

SOFTWARE Y UTILITARIOS

Centro de Evaluacin Centro de Scripts Windows Sysinternals

http://bit.ly/RecursosIT

TODOS LOS RECURSOS LOS ENCUENTRAS EN

TE ESCUCHAMOS!

Global Satisfaction Survey

26-Sept-2011
21-Oct-2011

Innovation

feedback@email.microsoft. com

JJMENA@MICROSOFT.COM