Documentos de Académico
Documentos de Profesional
Documentos de Cultura
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - © InfoConsulting - I.C. - S.A.C., Perú. - 1
TALLER:
Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 3 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 4
Bibliografía Base
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 5 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 6
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 7 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 8
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 11 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 12
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 13 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 14
Información a Proteger
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 15 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 16
¿Riesgos? Amenazas
Escalamiento de privilegios
• Pero si nunca paso nada!!. Password cracking
Fraudes informáticos
– Esto no real. Puertos vulnerables abiertos Exploits
Man in the middle
Violación de la privacidad de los empleados
– Lo que sucede es que hoy sabemos muy poco. Servicios de log inexistentes o que no son chequeados
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 17 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 18
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 19 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 20
¿Seguridad de la Información ?
Seguridad de la
• La información es un activo que como otros activos importantes
Información tiene valor y requiere en consecuencia una protección adecuada.
¿Seguridad de la Información ?
ISO ISO ISO ISO ISO ISO ISO ISO ISO ISO ISO ISO ISO
27000 27001 27002 27003 27004 27005 27006 27007 27011 27031 27032 27033 27034
Otros
ISO 27799
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 29 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 30
ISO/IEC 27010 ISO/IEC 27011 ISO/IEC 27013 ISO/IEC 27014 ISO/IEC 27015
(en desarrollo) (15/12/2008) (en desarrollo) (en desarrollo) (en desarrollo)
ISO/IEC 27016 ISO/IEC 27017 ISO/IEC 27031 ISO/IEC 27032 ISO/IEC 27033
(en desarrollo) (en desarrollo) (01/03/2011) (en desarrollo) (en desarrollo)
ISO/IEC 27034 ISO/IEC 27035 ISO/IEC 27036 ISO/IEC 27037 ISO/IEC 27038
(en desarrollo) (17/08/2011) (en desarrollo) (en desarrollo) (en desarrollo)
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 31 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 32
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 33 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 34
Antecedentes MAGERIT
Es un método forma para investigar los riesgos que soportan los SI y para
recomendar las medidas apropiadas que deberían adoptarse para controlar estos
Primera Segunda riesgos.
versión: 1997 versión: 2006 Elaborado y promovido por el Consejo Superior de Administración Electrónica
(CSAE)
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 35 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 36
Mapa de riesgos • Relación de las amenazas a las que están expuestos los activos.
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 37 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 38
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 39 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 40
[D]
[L] Instalaciones [HW] Hardware
Datos/Información
[AUX]
Equipamiento
auxiliar
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 41 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 42
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 43 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 44
Salvaguardas
Amenazas
[E] Errores y
[A] Ataques
fallos no
intencionados
intencionados
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 45 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 46
Para la protección
Para la protección
De tipo general de los
de los servicios
datos/información
Para la protección
Para la protección Para la protección
de las
del software del hardware
comunicaciones
Relativas al
Seguridad física Externalización
personal
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 47 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 48
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 49 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 50
Se identifican los activos a tratar, las relaciones entre ellos y la valoración que merecen.
de frecuencia de ocurrencia y degradación que causan sobre el valor del activo afectado.
Se estima el impacto y el riesgo al que están expuestos los activos del sistema.
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 51 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 52
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 53 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 54
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 55 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 56
DISPONIBILIDAD CONTROL
• Proteger los servicios para que no se degraden o Regular el acceso al sistema.
se encuentren inaccesibles sin autorización.
AUDITORIA
Así como los usuarios no
CONSISTENCIA autorizados, los que si lo están
• Asegurarse que el sistema se comporte como se pueden causar daño (intencional
espera por los usuarios autorizados o accidental), para esto es
necesario determinar quién y qué
esta haciendo en el sistema.
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 59 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 60
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 61 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 62
El primer paso para mejorar la seguridad en un El estudio de riesgo proveerá las bases sobre las cuales se
sistema es responder a las siguientes preguntas construirán planes de implementación para la seguridad de la
básicas: información, equipos, instalaciones y personal.
¿ Qué es lo que estoy tratando de proteger? El estudio de riesgo cubre:
¿ Qué es lo que necesito para protegerlo?
Los riesgos y los impactos financieros en la organización.
¿ Cuánto tiempo, esfuerzo y dinero estoy dispuesto a
Las Medidas que se puedan adoptar para reducir la
dedicar para obtener un nivel adecuado de
ocurrencia o impacto de éstos riesgos y su costos.
protección?
Las Medidas que deberían adoptarse en base al análisis
de costo/beneficio.
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 63 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 64
CARACTERISTICA DELESTUDIO DE
CARACTERISTICA DEL ESTUDIO DE RIESGOS
RIESGOS
El estudio de riesgo es aquel que nos permite cuantificar SIMPLICIDAD: El procedimiento debería ser fácil y
rápidamente comprensible, con muy breves explicaciones,
exposiciones existentes a fin de que se establezca una base por parte de los directivos superiores, permitiéndoles la
para una selección posterior, de los controles con un costo adopción de decisiones fundadas en la información
eficaz y apropiado.f proporcionada a ellos.
FACILIDAD DE EMPLEO: Cuando se solicite información
Un procedimiento de cuantificación de los riesgos para ser a los usuarios del sistema,deberían estar en condiciones
aceptables debería reunir como mínimo las siguientes de facilitarla sin problemas.
características: Los dos elementos claves en el análisis de riesgos son:
OFRECER RESULTADOS CUANTITATIVOS: Vale decir, Determinación del impacto que originaría un
acontecimiento.
obtener costos de los problemas potenciales en términos del
daño por unidad de tiempo (Ejemplo: $/año). Fijación de la probabilidad de ocurrencia de un hecho,
dentro de un lapso especificado.
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 65 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 66
CLASES DE RIESGOS
CAUSAS DE RIESGOS
Las Clases de Riesgos mas comunes son de 2 tipos: Las Causas de Riesgos mas comunes son :
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 69 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 70
PUNTOS DE RIESGOS
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 71 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 72
Seguridad de la Información
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 73 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 74
¿Cuáles son los asuntos clave que se deben Análisis del riesgo
evaluar y porqué?
• Los objetivos, ya que por sí mismos • Riesgo: El potencial que una amenaza determinada explote las
vulnerabilidades de un activo o grupo de activos y ocasione
son motivo de revisión pérdida o daño a los activos. El impacto o severidad relativos
al riesgo es proporcional al valor de la pérdida o daño y a la
• ¿Están de acuerdo con la misión? frecuencia estimada de la amenaza para el negocio.
• ¿Se basan en información precisa?
• ¿Son acordes con las regulaciones
Riesgo = Vulnerabilidad x Amenaza
aplicables?
Debilidades del Agentes internos o
• ¿Cubren las necesidades de la esquema de protección
utilizado para proteger
externos que atentan
contra la el activo alterando
los activos. su valor, existencia o posesión.
sociedad?
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 75 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 76
Controles
• Aspectos relevantes de los controles:
Controles
– Salvaguardar los activos
– Garantizar la integridad de los entornos operativos
Los controles se formulan para mitigar los generales que incluye la administración de la red y las
operaciones
riesgos identificados y se plasman en
– Garantizar la integridad de los entornos sensitivos y
políticas, procedimientos, prácticas y las críticos de aplicación del sistema, a través de:
estructuras en la organización para • Autorización de la información entrante (inputs)
promover el logro de los objetivos de • Exactitud e integridad del procesamiento de
transacciones
negocio reduciendo la ocurrencia de • Fiabilidad de todas las actividades generales de
eventos no deseados. procesamiento de información
• Exactitud, integridad y seguridad de la información
saliente (output)
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 77 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 78
Controles
APLICACIÓN DEL CONTROL
• Aspectos relevantes de los controles:
– Integridad de la base de datos
CONTROL
– Cumplimiento de los requerimientos de usuarios
(aprobados)
– Copias de seguridad / recuperación
MEDICIONES Y
– Respuesta a incidentes y manejo de los mismos MARCO DE REFERENCIA MEDIDAS CORRECTIVAS
EVALUACIÓN
• Continuidad del negocio y recuperación de
Planes y Programas
desastres Presupuestos
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 79 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 80
CORRECTIVO Conciliación.
Evaluación de resultados o desempeño.
x x
x x
ENTRADA PROCESO SALIDA ? Facultades de corrección y aplicación de ajustes. x
Inspección. x x
PUNTO DE CONTROL Supervisión del personal. x x
Verificación o revisión de funciones. x
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgox de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 85 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C.
86 - 86
Procesos
COSTO
de Negocio •Actividades
•Workflow
•Entidades/Documentos
•Actores del negocio
•Flujos de información
Procesos de TI
•Objetos de negocio
X: Call Center X: OyM X: Adquisiciones
•Actores de TI
•Mensajes/Operaciones
•Diagramas de Interacción
X: Cargos X: Finanzas
Hardware
•Servidores físicos
•Discos
PREVENTIVO DETECTIVO CORRECTIVO •Puestos de Trabajo
•Redes & Firewall
OPORTUNIDAD
Fuente: 2004 Microsoft EMEA Forum. ‘Architecting for Business Agility’, J. Ebsworth - Capgemini.
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 87 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 88
COBIT
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 89 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 90
TALLER:
Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación