Conferencia-19 06 2015-Isaca

IDENTIFICACIÓN DE PARÁMETROS DE RIESGO DE TI Y FORMULACIÓN DE ESTÁNDARES DE RECUPERACIÓN –
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - © InfoConsulting - I.C. - S.A.C., Perú. - 1
TALLER:
Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación
M.Sc. Ing. Carlos Alberto Chirinos Mundaca

CIP N. 82847 – REPEJ N. 17000072010
Partner Consulting - Auditor Senior
© InfoConsulting - IC S.A.C., Perú
Auditoria, Consultoría y Peritajes Informáticos y de Sistemas Empresariales
cchirinos@cip.org.pe
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 1 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 2
GOBIERNO TI o IT Governance, consiste en

una estructura de relaciones y procesos
destinados a dirigir y controlar la empresa,
con la finalidad de alcanzar sus objetivos y
añadir valor mientras se equilibran los
riesgos y el retorno sobre TI y sus procesos
Bibliografía Base
Asesoría y Consultoria Empresarial – Auditoria, Consultoria y

Peritajes Informáticos y de Sistemas - cchirinos@cip.org.pe
AUDITORIA DE LA SEGURIDAD COBIT 5 – Sus principios

 Para muchos la seguridad sigue siendo el área principal a Marco Integrador
auditar.
Conductores de valor
 Puede haber seguridad sin auditoria, puede existir para los Interesados
auditoria de otras áreas y queda un espacio de encuentro : la Enfoque al Negocio y
auditoria de la seguridad. su Contexto para
toda la organización
Fundamentado en
facilitadores
Estructurado de
manera separada
para el Gobierno y la
NTP 17799:2007 - 27001 – COBIT – NIST - COBIT Gestión
Visión Genérica de la Seguridad de Información Ataques…

Captura de PC desde el exterior
Ingeniería social Robo de información
Destrucción de equipamiento
Mails “anónimos” con información crítica o con agresiones
Intercepción y modificación de e-mails

Violación de contraseñas
Violación de e-mails
Virus Incumplimiento de leyes y regulaciones Spamming
Fraudes informáticos Programas “bomba”
Propiedad de la Información
Interrupción de los servicios
Destrucción de soportes documentales
Acceso clandestino a redes
Acceso indebido a documentos impresos
Falsificación de información
para terceros Intercepción de comunicaciones
Indisponibilidad de información clave Robo o extravío de notebooks

Información a Proteger
• ¿Cual es la información más valiosa que manejamos?

SISTEMA DE GESTION DE LA
–
SEGURIDAD DE LA La información asociado a nuestros clientes.
– La información asociado a nuestras ventas.
INFORMACION – La información asociada a nuestro personal.
(ISO/IEC 27001) – La información asociada a nuestros productos.
– La información asociada a nuestras operaciones.
¿Riesgos? Amenazas
Escalamiento de privilegios
• Pero si nunca paso nada!!. Password cracking
Fraudes informáticos
– Esto no real. Puertos vulnerables abiertos Exploits
Man in the middle
Violación de la privacidad de los empleados
– Lo que sucede es que hoy sabemos muy poco. Servicios de log inexistentes o que no son chequeados
Denegación de servicio Backups inexistentes

• La empresa necesita contar con información sobre la Destrucción de equipamiento
Últimos parches no instalados
cual tomar decisiones a los efectos de establecer
Instalaciones default
controles necesarios y eficaces.
Desactualización Keylogging Port scanning
Hacking de Centrales Telefónicas

Más Amenazas!! Vulnerabilidades Comunes

Spamming
Violación de contraseñas
Intercepción y modificación y violación de e-mails • Inadecuado compromiso de la dirección.
Captura de PC desde el exterior • Personal inadecuadamente capacitado y concientizado.
•
Virus Incumplimiento de leyes y regulaciones
empleados deshonestos
•
Inadecuada asignación de responsabilidades.
Ausencia de políticas/ procedimientos.
Ingeniería social
Mails anónimos con agresiones • Ausencia de controles
Programas “bomba, troyanos”
Interrupción de los servicios Destrucción de soportes documentales – (físicos/lógicos)
Acceso clandestino a redes Robo o extravío de notebooks, palms – (disuasivos/preventivos/detectivos/correctivos)
Propiedad de la información
Acceso indebido a documentos impresos
Robo de información
Indisponibilidad de información clave • Ausencia de reportes de incidentes y vulnerabilidades.
Intercepción de comunicaciones voz y
Falsificación de información wireless • Inadecuado seguimiento y monitoreo de los controles.
Agujeros de seguridad de redes conectadas
para terceros
¿Seguridad de la Información ?
Seguridad de la
• La información es un activo que como otros activos importantes
Información tiene valor y requiere en consecuencia una protección adecuada.
• La información puede estar:

• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
• Debe protegerse adecuadamente cualquiera que sea la forma que

tome o los medios por los que se comparte o almacene.
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI

21 y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y
¿Seguridad de la Información ?
• La seguridad de la información se caracteriza aquí como la

preservación de:
Normas Internacionalmente
– su confidencialidad, asegurando que sólo quienes
estén autorizados pueden acceder a la información; reconocidas
– su integridad, asegurando que la información y sus
métodos de proceso son exactos y completos.
Reconocimiento
– su disponibilidad, asegurando que los usuarios
internacional
autorizados tienen acceso a la información y a sus
activos asociados cuando lo requieran.

Normas aplicables ¿Cómo establecer los requisitos?

• Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la Información, • Es esencial que la Organización identifique sus requisitos de
podemos encontrar los siguientes: seguridad.
– ISACA: COBIT • Existen tres fuentes principales.

– British Standards Institute: BSI
– International Standards Organization: Normas ISO • La primer fuente procede de la valoración de los riesgos de la
Organización. Con ella:
- Se identifican las amenazas a los activos,
– Departamento de Defensa de USA: Orange Book / Common
- Se evalúa la vulnerabilidad y la probabilidad de su ocurrencia.
Criteria
- Se estima su posible impacto.
– ITSEC – Information Technology Security Evaluation Criteria:
White Book
– Sarbanes Oxley Act, HIPAA
¿Cómo establecer los requisitos? Historia de ISO 27001
• La segunda fuente es el conjunto de requisitos legales,

estatutarios, regulatorios y contractuales que debe
satisfacer:
- la Organización,
- sus socios comerciales,
- los contratistas
- los proveedores de servicios.
• La tercera fuente está formada por los principios,
objetivos y requisitos que la Organización ha
desarrollado para apoyar sus operaciones.
Historia de ISO 27001 e ISO 17799

La serie ISO 27000
Los rangos de numeración reservados van de 27000 a 27019 y

de 27030 a 27044
ISO ISO ISO ISO ISO ISO ISO ISO ISO ISO ISO ISO ISO
27000 27001 27002 27003 27004 27005 27006 27007 27011 27031 27032 27033 27034
Otros
ISO 27799

Relaciones entre la familia de estándares ISO 27000

Otras de la serie 27000
ISO/IEC 27010 ISO/IEC 27011 ISO/IEC 27013 ISO/IEC 27014 ISO/IEC 27015
(en desarrollo) (15/12/2008) (en desarrollo) (en desarrollo) (en desarrollo)
(en desarrollo) (en desarrollo) (01/03/2011) (en desarrollo) (en desarrollo)
(en desarrollo) (17/08/2011) (en desarrollo) (en desarrollo) (en desarrollo)
ISO/IEC 27039 ISO/IEC 27040 ISO/IEC 27799

(en desarrollo) (en desarrollo) (12/06/2008)
Riesgo y conceptos relacionados

La importancia de MAGERIT
Antecedentes MAGERIT
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
Es un método forma para investigar los riesgos que soportan los SI y para
recomendar las medidas apropiadas que deberían adoptarse para controlar estos
Primera Segunda riesgos.
versión: 1997 versión: 2006 Elaborado y promovido por el Consejo Superior de Administración Electrónica
(CSAE)
Apareció en 1997 (primera versión)

MAGERIT y Auditoría de SI Algunos conceptos importantes
• Caracterización de valor que representan los activos para la Organización

Modelo de valor así como de las dependencias entre los diferentes activos.
Mapa de riesgos • Relación de las amenazas a las que están expuestos los activos.
Evaluación de • Evaluación de la eficacia de las salvaguardas existentes en relación al

salvaguardas riesgo que afrontan.
• Caracterización de los activos por su riesgo residual; es decir, por lo que

Estado de riesgo puede pasar tomando en consideración las salvaguardas desplegadas.
• Ausencia o debilidad de las salvaguardas que aparecen como oportunas

Informe de insuficiencias para reducir los riesgos sobre el sistema.
• Conjunto de programas de seguridad que permiten materializar las

Plan de seguridad decisiones de gestión de riesgos.
Evaluación, certificación, auditoría y

El análisis y gestión de riesgos en su contexto acreditación
Análisis de Riesgos [S] Servicios
[P] Personas [SW] Software

Activos
[D]
[L] Instalaciones [HW] Hardware
Datos/Información
[COM] Redes de [SI] Soportes de

comunicaciones información
[AUX]
Equipamiento
auxiliar

Datos de carácter personal Datos clasificados
Nivel • Cualquier información concerniente a personas físicas

identificadas o identificables
básico Secreto Reservado
Nivel • Relativos a la comisión de infracciones administrativas

o penales, Hacienda Pública o servicios financieros
medio
Difusión
Confidencial
• Relativos a ideología, religión, creencias, origen racial, limitada
Nivel alto salud o vida sexual, así como los recabados para fines
policiales sin consentimiento de las personas
afectadas
Salvaguardas
Amenazas
[N] Desastres [I] De origen

naturales industrial
[E] Errores y
[A] Ataques
fallos no
intencionados
intencionados
Tipos de salvaguardas Proyecto de AGR
Para la protección
Para la protección
De tipo general de los
de los servicios
datos/información
Para la protección
Para la protección Para la protección
de las
del software del hardware
comunicaciones
Relativas al
Seguridad física Externalización
personal

Procesos, actividades y tareas de P1

P1: Planificación
Se establecen las consideraciones necesarias para arrancar el proyecto

AGR.
Se investiga la oportunidad de realizarlo.
Se definen los objetivos que ha de cumplir y el dominio (ámbito) que

abarcará.
Se planifican los medios materiales y humanos para su realización.
Se procede al lanzamiento del proyecto.
Procesos, actividades y tareas de P2

P2: Análisis de Riesgos
Se identifican los activos a tratar, las relaciones entre ellos y la valoración que merecen.
Se identifican las amenazas significativas sobre aquellos activos y se valoran en términos
de frecuencia de ocurrencia y degradación que causan sobre el valor del activo afectado.
Se identifican las salvaguardas existentes y se valora la eficacia de su implantación.
Se estima el impacto y el riesgo al que están expuestos los activos del sistema.
Se interpreta el significado del impacto y el riesgo.
P3: Gestión de Riesgos Procesos, actividades y tareas de P3
Se elige una estrategia para mitigar impacto y riesgo.
Se determinan las salvaguardas oportunas para el objetivo anterior.
Se determina la calidad necesaria para dichas salvaguardas.
Se diseña un plan de seguridad (plan de acción o plan director) para

llevar el impacto y el riesgo a niveles aceptables.
Se lleva a cabo el plan de seguridad.

¿Que vamos a aprender hoy?

¿Que vamos a aprender hoy?
• Politicas de Seguridad • Consejos Generales para la elaboración de

• Tipos de Seguridad Politicas
• Analisis de Riesgos • Politicas para un Esquema de Seguridad
• Identificación de las Amenazas
• Incidencia de Seguridad
• Politicas
• Politicas Vs. Procedimientos
Tipos de Seguridad (Enfoque Práctico)

¿ Que Son Políticas de Seguridad ?
CONFIDENCIALIDAD
• Son códigos de conducta para la utilización adecuada • Proteger la información de ser
de los recursos disponibles en un centro de cómputo leída y/o copiada por cualquier
y que definen claramente las actividades que no son
permitidas, los pasos a seguir para obtener una persona que no sea
protección adecuada así como los pasos a seguir en explícitamente autorizada para
caso de presentarse un incidente de seguridad, esto.
además establece responsabilidades y derechos.
• El encargado debe realizar los procedimientos para INTEGRIDAD DE LOS DATOS
llevar a la práctica las políticas establecidas, de • Proteger la información y los
acuerdo con las necesidades del centro de cómputo programas de ser borrados o
y su ámbito. alterados sin el permiso del
dueño.
Tipos de Seguridad (Enfoque Práctico) Tipos de Seguridad (Enfoque Práctico)
DISPONIBILIDAD CONTROL
• Proteger los servicios para que no se degraden o Regular el acceso al sistema.
se encuentren inaccesibles sin autorización.
AUDITORIA
Así como los usuarios no
CONSISTENCIA autorizados, los que si lo están
• Asegurarse que el sistema se comporte como se pueden causar daño (intencional
espera por los usuarios autorizados o accidental), para esto es
necesario determinar quién y qué
esta haciendo en el sistema.

Algo Importante ???
A pesar de que todos los tipos de seguridad

anteriores son importantes, cada organización le
da diferente importancia a cada uno de ellos por la
naturaleza de la misma organización.
• Un administrador de seguridad necesita
comprender a fondo las necesidades de operación,
el medio y a los usuarios.
Consideraciones (Estudio de Riesgo) ESTUDIO DE RIESGOS
El primer paso para mejorar la seguridad en un El estudio de riesgo proveerá las bases sobre las cuales se
sistema es responder a las siguientes preguntas construirán planes de implementación para la seguridad de la
básicas: información, equipos, instalaciones y personal.
¿ Qué es lo que estoy tratando de proteger? El estudio de riesgo cubre:
¿ Qué es lo que necesito para protegerlo?
 Los riesgos y los impactos financieros en la organización.
¿ Cuánto tiempo, esfuerzo y dinero estoy dispuesto a
 Las Medidas que se puedan adoptar para reducir la
dedicar para obtener un nivel adecuado de
ocurrencia o impacto de éstos riesgos y su costos.
protección?
 Las Medidas que deberían adoptarse en base al análisis
de costo/beneficio.
CARACTERISTICA DELESTUDIO DE
CARACTERISTICA DEL ESTUDIO DE RIESGOS
RIESGOS
El estudio de riesgo es aquel que nos permite cuantificar  SIMPLICIDAD: El procedimiento debería ser fácil y
rápidamente comprensible, con muy breves explicaciones,
exposiciones existentes a fin de que se establezca una base por parte de los directivos superiores, permitiéndoles la
para una selección posterior, de los controles con un costo adopción de decisiones fundadas en la información
eficaz y apropiado.f proporcionada a ellos.
 FACILIDAD DE EMPLEO: Cuando se solicite información
Un procedimiento de cuantificación de los riesgos para ser a los usuarios del sistema,deberían estar en condiciones
aceptables debería reunir como mínimo las siguientes de facilitarla sin problemas.
características: Los dos elementos claves en el análisis de riesgos son:
 OFRECER RESULTADOS CUANTITATIVOS: Vale decir, Determinación del impacto que originaría un
acontecimiento.
obtener costos de los problemas potenciales en términos del
daño por unidad de tiempo (Ejemplo: $/año).  Fijación de la probabilidad de ocurrencia de un hecho,
dentro de un lapso especificado.

RESPONSABILIDAD DEL ESTUDIO DE

LA METODOLOGIA DEL ANALISIS DE
RIESGOS
RIESGOS
Un equipo de personas es seleccionado, por lo general, la selección de tal
equipo depende del profundo conocimiento y experiencia que cada miembro  Identificación de riesgos
traiga al área total bajo estudio.  Determinación de las Medidas de
Este equipo tendrá un responsable en la dirección., normalmente los Seguridad
participante de este equipo se encuentran:  Evaluación de los Riesgos
 Dirección de Operaciones, Gerentes de Sistemas, Gerentes Usuarios.  Determinación de costo y efectividad de
las Medidas de Seguridad
 Analistas de Sistemas,Programadores de sistemas.
 Análisis de Costo/Beneficio y Evaluación
 Auditoria Sistemas, Interna. Gerencial
 Administrador de Seguridad.  Propuesta de un Programa de
Actualización en función a los riesgos que
 Control de calidad.
se puedan determinar.
 Administrador de Base de Datos.
CLASES DE RIESGOS
CAUSAS DE RIESGOS
Las Clases de Riesgos mas comunes son de 2 tipos: Las Causas de Riesgos mas comunes son :
 Fallas en suministros y servicios.

 Riesgos Accidentales
 Intrusos.
 Riesgos ntencionados
 Desastres naturales.
 Error u omisión.
PUNTOS DE RIESGOS
* Entradas de datos * Transporte

* Conversión * Transmisión
* Recepción de datos * Procesamiento
* Distribución * Descarte

Seguridad de la Información
¿Cuáles son los asuntos clave que se deben Análisis del riesgo
evaluar y porqué?
• Los objetivos, ya que por sí mismos • Riesgo: El potencial que una amenaza determinada explote las
vulnerabilidades de un activo o grupo de activos y ocasione
son motivo de revisión pérdida o daño a los activos. El impacto o severidad relativos
al riesgo es proporcional al valor de la pérdida o daño y a la
• ¿Están de acuerdo con la misión? frecuencia estimada de la amenaza para el negocio.
• ¿Se basan en información precisa?
• ¿Son acordes con las regulaciones
Riesgo = Vulnerabilidad x Amenaza
aplicables?
Debilidades del Agentes internos o
• ¿Cubren las necesidades de la esquema de protección
utilizado para proteger
externos que atentan
contra la el activo alterando
los activos. su valor, existencia o posesión.
sociedad?
Controles
• Aspectos relevantes de los controles:
Controles
– Salvaguardar los activos
– Garantizar la integridad de los entornos operativos
Los controles se formulan para mitigar los generales que incluye la administración de la red y las
operaciones
riesgos identificados y se plasman en
– Garantizar la integridad de los entornos sensitivos y
políticas, procedimientos, prácticas y las críticos de aplicación del sistema, a través de:
estructuras en la organización para • Autorización de la información entrante (inputs)
promover el logro de los objetivos de • Exactitud e integridad del procesamiento de
transacciones
negocio reduciendo la ocurrencia de • Fiabilidad de todas las actividades generales de
eventos no deseados. procesamiento de información
• Exactitud, integridad y seguridad de la información
saliente (output)

Controles
APLICACIÓN DEL CONTROL
• Aspectos relevantes de los controles:
– Integridad de la base de datos
CONTROL
– Cumplimiento de los requerimientos de usuarios
(aprobados)
– Copias de seguridad / recuperación
MEDICIONES Y
– Respuesta a incidentes y manejo de los mismos MARCO DE REFERENCIA MEDIDAS CORRECTIVAS
EVALUACIÓN
• Continuidad del negocio y recuperación de
Planes y Programas
desastres Presupuestos
• Cumplimiento de las políticas corporativas o con los

Estructura Organizacional
Políticas y Procedimientos EJECUCIÓN RESULTADOS
requisitos regulatorios y legales Sistemas
Operación
Registro
Información
Clasificación de los controles

Tipos de control CLASE FUNCION
Preventivos 1.Descartan problemas antes de que surjan.
• PREVENTIVOS: Anticipan eventos no deseados 2.Monitorear tanto las operaciones como el
antes de que sucedan ingreso de datos.
• DETECTIVOS: Identifican los eventos en el 3.Evitan costos de corrección o reproceso.
momento en que se presentan 4.Impedir que ocurra un error, una omisión o
un acto malicioso.
• CORRECTIVOS: Aseguran que las acciones EJEMPLO
correctivas sean tomadas para revertir un 1.Emplear personal calificado.
evento no deseado 2.Segregación de tareas.

3.Controlar el acceso a las instalaciones físicas.
4.Establecer procedimientos para el control de cambios y aprobación de
pases a producción.
Clasificación de los controles Clasificación de los controles

CLASE FUNCION CLASE FUNCION
Correctivos 1.Minimizar el impacto de una amenaza.
Detección 1. Son más costosos que los preventivos.
2.Remediar problemas descubiertos por los
2. Controles que detectan que ha ocurrido controles de detección.
un error, una omisión o un acto malicioso
y lo reportan. 3.Identificar la causa de un problema.
EJEMPLO 4.Corregir los errores que surjan de un
1.Conciliación de datos problema.
2.Mensajes de error en los sistemas 5.Minimizar la probabilidad de recurrencia de

EJEMPLO errores.
3.Verificación funcional de modificaciones a programas
1.Planeamiento para contingencias.
4.Revisión de datos específicos en la bitácora del sistema
2.Procedimientos de copias de seguridad.
5.Verificación de transacciones erradas 3.Procedimientos de nueva ejecución de programas.

Tipos de Control TIPO

ADECUACIONES DESCRIPCIÓN DEL CONTROL
Preventivo Detectivo Correctivo
Asignación de funciones o responsabilidades. x

PREVENTIVO Capacitación en Control Interno. x
Código de Conducta Institucional (integridad y valores éticos) x
ENTRADA ? PROCESO SALIDA
Cuadros de facultades (administrativas u operacionales) x
PUNTO DE CONTROL Entrenamiento. x
Indicadores y normas de desempeño. x
Facultades de autorización. x
ADECUACIONES Manual de Organización. x
Personal competente. x
DETECTIVO Políticas y Procedimientos.

Programas y/o Presupuestos.
x
x
ENTRADA PROCESO ? SALIDA Segregación de funciones. x
Automatización de transacciones. x x
PUNTO DE CONTROL Evaluación de Riesgos. x x
Registro de transacciones. x x
Salvaguarda y acceso restringido a los activos. x x
ADECUACIONES Auditoría (interna o externa) x
Comparación. x x
CORRECTIVO Conciliación.
Evaluación de resultados o desempeño.
x x
x x
ENTRADA PROCESO SALIDA ? Facultades de corrección y aplicación de ajustes. x
Inspección. x x
PUNTO DE CONTROL Supervisión del personal. x x
Verificación o revisión de funciones. x
M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI y M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgox de TI y
formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C. - 85 formulación de estándares de recuperación- InfoConsulting PERÚ @ I.C. S.A.C.
86 - 86
Perspectivas del Control Los proceso del negocio y la tecnología de

información
REPERCUSIÓN
Procesos
COSTO
de Negocio •Actividades
•Workflow
•Entidades/Documentos
•Actores del negocio
•Flujos de información
Procesos de TI
•Objetos de negocio
X: Call Center X: OyM X: Adquisiciones
•Actores de TI
•Mensajes/Operaciones
•Diagramas de Interacción
X: Cargos X: Finanzas
Entrada Proceso Salida

•Aplicaciones
Software •UI
Call Center
Servidor de OyM Servidor

• Servidor de aplicaciones
Aplicaciones Cargos Integrador •Base de datos
Finanzas •Interfaces, Integración
UBICACIÓN EN EL FLUJO DEL PROCESO •Server &Middleware
Hardware
•Servidores físicos
•Discos
PREVENTIVO DETECTIVO CORRECTIVO •Puestos de Trabajo
•Redes & Firewall
OPORTUNIDAD
Fuente: 2004 Microsoft EMEA Forum. ‘Architecting for Business Agility’, J. Ebsworth - Capgemini.
COBIT

TALLER:
Identificación de parámetros de riesgo de TI y
formulación de estándares de recuperación
M.Sc. Ing. Carlos Alberto Chirinos Mundaca

CIP N. 82847 – REPEJ N. 17000072010
Partner Consulting - Auditor Senior
© InfoConsulting - IC S.A.C., Perú
Auditoria, Consultoría y Peritajes Informáticos y de Sistemas Empresariales
cchirinos@cip.org.pe


Conferencia-19 06 2015-Isaca

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Conferencia-19 06 2015-Isaca

Cargado por

Copyright:

Formatos disponibles

IDENTIFICACIÓN DE PARÁMETROS DE RIESGO DE TI Y FORMULACIÓN DE ESTÁNDARES DE RECUPERACIÓN –

M.Sc. Ing. Carlos Alberto Chirinos Mundaca

GOBIERNO TI o IT Governance, consiste en

Asesoría y Consultoria Empresarial – Auditoria, Consultoria y

AUDITORIA DE LA SEGURIDAD COBIT 5 – Sus principios

Visión Genérica de la Seguridad de Información Ataques…

Intercepción y modificación de e-mails

Asesoría y Consultoria Empresarial – Auditoria, Consultoria y

• ¿Cual es la información más valiosa que manejamos?

Denegación de servicio Backups inexistentes

Hacking de Centrales Telefónicas

Asesoría y Consultoria Empresarial – Auditoria, Consultoria y

Más Amenazas!! Vulnerabilidades Comunes

• La información puede estar:

• Debe protegerse adecuadamente cualquiera que sea la forma que

M.Sc. Ing. Carlos Alberto Chirinos Mundaca - Identificación de parámetros de riesgo de TI

• La seguridad de la información se caracteriza aquí como la

Asesoría y Consultoria Empresarial – Auditoria, Consultoria y

Normas aplicables ¿Cómo establecer los requisitos?

– ISACA: COBIT • Existen tres fuentes principales.

¿Cómo establecer los requisitos? Historia de ISO 27001

• La segunda fuente es el conjunto de requisitos legales,

Historia de ISO 27001 e ISO 17799

Los rangos de numeración reservados van de 27000 a 27019 y

Asesoría y Consultoria Empresarial – Auditoria, Consultoria y

Relaciones entre la familia de estándares ISO 27000

ISO/IEC 27039 ISO/IEC 27040 ISO/IEC 27799

Riesgo y conceptos relacionados

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

Apareció en 1997 (primera versión)

Asesoría y Consultoria Empresarial – Auditoria, Consultoria y

MAGERIT y Auditoría de SI Algunos conceptos importantes

• Caracterización de valor que representan los activos para la Organización

Evaluación de • Evaluación de la eficacia de las salvaguardas existentes en relación al

• Caracterización de los activos por su riesgo residual; es decir, por lo que

• Ausencia o debilidad de las salvaguardas que aparecen como oportunas

• Conjunto de programas de seguridad que permiten materializar las

Evaluación, certificación, auditoría y

Análisis de Riesgos [S] Servicios

[P] Personas [SW] Software

[COM] Redes de [SI] Soportes de

Asesoría y Consultoria Empresarial – Auditoria, Consultoria y

Datos de carácter personal Datos clasificados

Nivel • Cualquier información concerniente a personas físicas

Nivel • Relativos a la comisión de infracciones administrativas

[N] Desastres [I] De origen

Tipos de salvaguardas Proyecto de AGR

Asesoría y Consultoria Empresarial – Auditoria, Consultoria y

Procesos, actividades y tareas de P1

Se establecen las consideraciones necesarias para arrancar el proyecto

Se investiga la oportunidad de realizarlo.

Se definen los objetivos que ha de cumplir y el dominio (ámbito) que

Se planifican los medios materiales y humanos para su realización.

Se procede al lanzamiento del proyecto.

Procesos, actividades y tareas de P2

Se identifican las amenazas significativas sobre aquellos activos y se valoran en términos

Se identifican las salvaguardas existentes y se valora la eficacia de su implantación.

Se interpreta el significado del impacto y el riesgo.

P3: Gestión de Riesgos Procesos, actividades y tareas de P3

Se elige una estrategia para mitigar impacto y riesgo.

Se determinan las salvaguardas oportunas para el objetivo anterior.

Se determina la calidad necesaria para dichas salvaguardas.

Se diseña un plan de seguridad (plan de acción o plan director) para