Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Administracion de Riesgos de Seguridad
Administracion de Riesgos de Seguridad
Administración de riesgos de
seguridad
Enrique G. Dutra
Punto NET Soluciones
edutra@puntonetsoluciones.com.ar
Prerrequisitos de la sesión
Nivel 300
Audiencia objetivo
Patrocinio ejecutivo
Una lista bien definida de los involucrados en la administración
de riesgos
Madurez organizacional en términos de administración de
riesgos
4 Medir la efectividad
1 Evaluar los riesgos
del programa
3 Implementar
controles
2 Ayudar en la toma
de decisiones
Identificar los prerrequisitos de la administración de
riesgos de seguridad
Probabilidad
Impacto
¿Qué tan probable es la
¿Cuál es el impacto al negocio?
amenaza dados los controles?
Nivel Estado
0 No existe
1 Ad hoc
2 Repetible
3 Proceso definido
4 Administrado
5 Optimizado
Definir los roles y las responsabilidades
Grupo de
Evaluar los Definir los Medir las
seguridad de riesgos requerimientos de soluciones de
información seguridad seguridad
“Priorizar los
riesgos”
• Planear la recopilación de
información de riesgos
• Reunir información de
riesgos
• Priorizar los riesgos
Reunirse de manera
Activos de la organización colaborativa con los
involucrados
Descripción de los activos
Desarrollar un soporte
Amenazas a la seguridad
Comprender las diferencias
Vulnerabilidades entre analizar y cuestionar
Entorno actual de control Desarrollar buena voluntad
Controles propuestos Estar preparado
Identificar y clasificar los activos
Exposición
Pérdida severa o completa de los activos
alta
Exposición
Pérdida limitada o moderada
media
Exposición
Pérdida menor o nula
baja
Calcular la probabilidad de las amenazas
Woodgrove
Woodgrove BankBank
es unaes una institución
institución financiera
financiera para paraqueelseconsumidor
el consumidor encuentra en el
que sedeencuentra
proceso en el proceso
realizar un proyecto de realizar
de Administración un de
de riesgos proyecto
seguridadde
Administración de riesgos de seguridad
Tarea 1: Determinar los activos de la organización y los escenarios
Tarea 1:
Tarea
Tarea 4: Determinar
Calcular la exposición
3: Identificar los activos de la
las vulnerabilidades: losorganización
activos:
Tarea 2: Identificar las amenazas
y los escenarios:
Tarea Violación
5: a la integridad
Identificar los mediante
controles el abuso
existentes de unymediante
empleado
la deabuso
confianza:
Tarea 2:
Robo Identificar
de las
Tarea 3: Identificar
Dañino lasno
pero las
identificaciones amenazas:
del
vulnerabilidades
severo. Todos
consultor
los
financiero
consultores financieros
el
pueden
del
acceder
empleado de confianza utilizando ataques no técnicos, por ejemplo la
probabilidad
únicamente
ingeniería de explosión:
sociala olaelinformación
espionaje que administran.
Sistemas
Tarea4: Amenaza
6: de
Resumir cálculo
de eluna de intereses
pérdida
análisis dedelos
integridad
riesgos:para la
Tarea Calcular
Violaciónlaa exposición
la integridad demediante
los activos
el robo de identificaciones en los hosts
Robo dedecliente
las identificaciones
PIIinformación financiera deldel
consultor
consumidorfinanciero fuera de los hosts de
Acuerdo
LAN:
laElred
de
Puede que sus
generar hosts
un nivel remotos,
de daño o configuraciones
móviles,
severo o alto. no reciben el
Tareamismo
Facilitador
de área local de la evaluación
(LAN) mediante elde usolosde riesgos resume de el
Reputación
seguridad nivel
5: Identificar alosdecontroles
administración
existentes que losdede
yellarobo la LAN.
probabilidad de explosión
Violación
análisis yobsoletas
ponela integridad mediante
de relieve los activos, identificaciones
amenazas y en hosts
móviles:
de las Podría tener un nivel de daño financiero
severo o alto. Elde
grupo del análisis
vulnerabilidades
Robo
Información analizados.
identificaciones
financiera deldel consultor
cliente – Alto impacto fuera los hosts
financiero
observa que la configuración de la seguridad en los host remotos (HBI)
con
remotos o móviles como resultado de la configuración de seguridad
frecuencia
Tareaobsoleta
6: Resumir el están a la
análisis dezaga de los sistemas LAN.
los riesgos
Definir las declaraciones de impacto
Activo Exposición
Clase
Nombre del Nivel Descripción Descripción de la ER IR
del
activo DID de la amenaza vulnerabilidad (A,M,B) (A,M,B)
activo
Acceso no autorizado Robo de
Información a la información del identificaciones del
de inversión
consumidor mediante cliente LAN
financiera HBI Host A A
del el robo de las administrado a través
consumidor identificaciones del de configuraciones de
Consultor Financiero seguridad obsoletas
Acceso no autorizado Robo de
Información a la información del identificaciones fuera
de inversión
consumidor mediante del cliente remoto
financiera HBI Host A A
del el robo de las administrado a través
consumidor identificaciones del de configuraciones de
Consultor Financiero seguridad obsoletas
Acceso no autorizado Robo de
Información a la información del identificaciones
de inversión
consumidor mediante mediante el abuso de
financiera HBI Datos B M
del el robo de las empleados de
consumidor identificaciones del confianza, a través de
Consultor Financiero ataques no técnicos.
Comprender la priorización de los riesgos
Comenzar a
priorizar los
riesgos
Realizar la
Realizar la
asignación Prioridad del Detalle de las
Revisión con priorización
de prioridad riesgo a nivel prioridades
los de los
del riesgo a resumen de riesgo
involucrados riesgos a
nivel
detalle
resumen
1
Referencia de la calificación de impacto Calificación del riesgo a nivel resumen
3
Alto Moderado Alto Alto Impacto
Clase Alto Moderado Alto Alto
(de la
del Medio Bajo Moderado Alto Tabla de
activo Medio Bajo Moderado Alto
Bajo impacto
Bajo Bajo Moderado anterior)
Bajo Medio Alto Bajo Bajo Bajo Moderado
Nivel de exposición Bajo Medio Alto
Valor de la probabilidad
Tarea 4:3:Determinar
1: Revisión conel los involucrados
nivel delriesgos
impacto:
Tarea 1: Determinar el nivelde
Tarea Completar la lista del impactoa nivel resumen:
TareaRiesgo
2: Calcular la probabilidad
por robo del empleadoade nivel resumen:
confianza:
El riesgo de abuso del Empleado de confianza se califica
Impacto
Tareacomo
2: Bajomoderado
Calcular
Probabilidad endela lista *de
Probabilidad
riesgos
probabilidad
robo del a
empleado a baja
nivel
nivel
de = Baja yBaja
resumen
resumen
confianza: no es
Imacto del robo del empleado de confianza:
necesario
Riesgo
Clase depor calificarlo
compromiso
activo en el*del
de HBI paso
hostdeLAN:
Exposición priorización
baja de riesgos a
=Media
Impacto
Probabilidad
nivel detallado de compromiso del host LAN:
Impacto
moderado alto * Probabilidad media = Alta
TareaProbabilidad
3: Completar la lista de riesgos
de compromiso
compromiso hostaLAN
del host nivel resumen
remoto: Alta se
Los riesgos
Riesgo
Impactopor por
delcompromiso
compromisodel del
delhost
hostremoto:
LAN: y remoto
califican
Impacto
Clase decomo
alto *altos
activo y por* lo
Probabilidad
de HBI tanto
alta =seAlta
Exposición les
altada= prioridad a nivel
Impacto alto
Tareadetallado
4: Revisión con los en involucrados
Registrar
Impacto del compromiso la
los resultados delhoja
hostderemoto:
cálculo de la Declaración
del
Claseimpacto
de activo de HBI * Exposición alta = Impacto alto
Calificación del riesgo a nivel resumen
Impacto
AltoReferencia de la calificación
Moderado de impacto Alto
Alto
(de la Moderado Alto
Alto Alto
anterior
ClaseMedio Bajo Moderado Alto
Tabla deldel Medio Bajo Moderado Alto
impacto)
activo
Bajo Bajo Bajo Moderado
Bajo Bajo Bajo Moderado
BajoBajo Medio Alto
Alto
ValorNivel Medio
de ladeprobabilidad
exposición
Realizar la asignación de prioridad del riesgo a
nivel resumen
Tarea 1:
4: Determinar el impacto
nivel del yriesgo
la exposición:
a detalle:
Tarea3:1:Determinar
Tarea Determinarlaelprobabilidad
impacto y ladel exposición
impacto:
Tarea 2: Identificar los controles actuales:
Calificación del impacto * Calificación de la probabilidad
Calificación de la exposición por compromiso del host LAN: 4 (80%)
• HBI
Host= 10
LAN: LAN
8 *y 6remotos:
= 48 Es probable que todos los atributos de la
TareaLos2: Identificar
Consultores
Calificación
vulnerabilidaddel en los
impacto: controles
la Financieros
10
categoría * 80% 8 actuales
sólo
Alta=se pueden
verán dentro acceder
y fuera delaentorno
sus
Hosts
cuentas;
• Calificación
LAN remotos:
por
de Woodgrove 8en*un
10lafuturo
de laloexposición
tanto, =exposición
por 80cercano. esdel
compromiso inferior al 100%.
host remoto: 4 (80%)
Valor
HBI = 10 de la vulnerabilidad = 5 para ambos riesgos
Tarea Ambos
• Las
3: se
Determinar
Calificación del califian
notificaciones
impacto:lacomo
por correoun=riesgo
probabilidad
10 * 80% 8 general
electrónico
del para
impactoAlto
los hosts de
Efectividad del control:
revisión
Rango
o actualización
LAN: Resultado
del impactode=las preguntas
Entre
se envían
7 y 10 eldecual
proactivamente
efectividad del control=1
se compara con Alto
a todos los
usuarios.
Remoto: Resultado de las preguntas de efectividad del control=5
TareaCalificación
4: Determinar
total de laelprobabilidad:
nivel del (Suma
riesgodealadetalle
vulnerabilidad y
Las actualizaciones del antivirus y de revisión se miden y se
efectividad del control)
cumplen
LAN: 6
en la LAN cada ciertas horas. Este control reduce la
ventana
Remoto: 10de tiempo cuando los hosts LAN son vulnerables a
ataques.
Cuantificar los riesgos
Tarea
Tarea 3:
4: Producir
Determinar
5: Determinar lalaexpectativa
expectativa
la tasa anual deúnicade de pérdida
ocurrencia
pérdida anual (ALE)(SLE):
Tarea 1: Asignar valores monetarios a las clases de activos
(ARO):
Tarea
(SLE 1: Asignar valores monetarios a las clases de
* ARO)
activos: ARO del host LAN: Al optimizar la evaluación cualitativa de la probabilidad Media, el
TareaDescripción
2:Equipo dedela los
Identificar
loriesgos
menos una vezValor
elValor
valor
administración de riesgos
de ladel
del activo
en dosde
años;
claseactivo:
Clasificación
de seguridad
por lo tanto ellaARO
de queValor
calcula de la
el riesgo
aproximadoexposición
exposición es de .5
ocurrirá por
SLE
Tarea Utilizar
2: Identificar el valor
5% de los del Clasificación
activo
Lineamientos de la materialidad para evaluar los activos
Descripción
Información
ARO
Riesgo deldel de
host
host LAN la clase
financiera
remoto: del
Al optimizar consumidor
la evaluación Valor= de
cualitativa la la probabilidad
Clase
de del activoAlta, HBI
el ALE
de la SLE ARO
los riesgos
Equipo
Ingresos
(US$ del
de la administración
netos:
en millones) de$10
US$200 millones seguridad4calcula que el riesgo
riesgosaldeaño exposición 80% ocurrirá $8
una vez al año; poractivo
exposición
lo tanto el ARO aproximado es de 1.
HBI = US$10 millones
Tarea Clase del activo
(US$ en del
la
millones)
host
HBI: US$10$10
Riesgo del host remoto
3:Riesgo
Producir expectativa millones
única de(200 * 45%) (SLE) 80%
pérdida
Clasificación de la % del factor de$8
Valor
Clasedel
del
LAN
activo
Valor alto
activo =
de impacto
MBI: US$10
de negocios =millones
US$5
$M
millones (con baseexposición
en los gastos anteriores)
exposición
$10 4 80% $8 0.5 $4
Calificación (US$ en
Clase del activo LBI: US$1 millón (con
Rango de base
5 100
la en los gastos anteriores)
del activo Descripción
Clasemillones) Ejemplos de4descripción
80
Tarea 4: Determinar la tasa anual de ocurrencia (ARO)
cualitativa ARO
Riesgo
Valor HBI del host US$ millones 3 60
Alta remoto Probable >=1 Impacto una vez o más al año
Valor MBI $10 US$ millones
4 /2 80% $8
2 140 $8
Tarea (US$ en
Media 5: Determinar la expectativa de pérdida anual (ALE)(SLE
Por lo menos una vez*entre 1 y 3
millones) Probable .99 a .33
ARO)
Valor LBI US$ millones / 4 años 1 20
4 Medir laprograma
efectividad del
1 Evaluar los
riesgos
3 Implementar
2 Apoyar la toma de
decisiones
controles
1. Definir los requisitos funcionales
2. Identificar las soluciones del control
3. Revisar la solución contra los requisitos
4. Nivel aproximado de la reducción de
riesgos
5. Costo aproximado de cada solución
6. Seleccionar la estrategia de mitigación de
riesgos
Identificar el rendimiento de la fase de apoyo a la
toma de decisiones
Dueño de la mitigación
Equipo de
administración 1 Definir 3 Revisar las 4 Nivel
aproximado de
de riesgos los requisitos soluciones contra
reducción de
funcionales los requisitos
riesgos
Dueño de
la mitigación 2 Identificar las 5 Costo
soluciones de aproximado
control de cada solución
Comité
directivo
6 Seleccionar la
de seguridad estrategia para
mitigar los riesgos
Paso 2: Identificar las soluciones del control
Equipo de la
administración 1 Definir 3 Revisar las 4 Costo
aproximado de
de riesgos los requisitos soluciones contra
reducción de
funcionales los requisitos
riesgos
Dueño de
la mitigación 2 Identificar las 5 Costo
soluciones del aproximado
control de cada solución
Comité
directivo
6 Seleccionar la
de seguridad estrategia para
mitigar los riesgos
Paso 3: Revisar las soluciones contra los requisitos
Equipo de la
administración 1 Definir 3 Revisar las 4 Costo
aproximado de
de riesgos los requisitos soluciones contra
reducción de
funcionales los requisitos
riesgos
Dueño de
la mitigación 2 Identificar las 5 Costo
soluciones del aproximado
control de cada solución
Comité
directivo
6 Seleccionar la
de seguridad estrategia para
mitigar los riesgos
Paso 4: Nivel aproximado de la reducción de riesgos
Equipo de la
administración 1 Definir 3 Revisar las 4 Costo
aproximado de
de riesgos los requisitos soluciones contra
reducción de
funcionales los requisitos
riesgos
Dueño de
la mitigación 2 Identificar las 5 Costo
soluciones del aproximado
control de cada solución
Comité
directivo
6 Seleccionar la
de seguridad estrategia para
mitigar los riesgos
Paso 5: Costo aproximado de cada solución
Equipo de la
administración 1 Definir 3 Revisar las 4 Costo
aproximado de
de riesgos los requisitos soluciones contra
reducción de
funcionales los requisitos
riesgos
Dueño de
la mitigación 2 Identificar las 5 Costo
soluciones del aproximado
control de cada solución
Comité
directivo
6 Seleccionar la
de seguridad estrategia para
mitigar los riesgos
Paso 6: Seleccionar la estrategia para mitigar los
riesgos
Equipo de la
administración 1 Definir 3 Revisar las 4 Costo
aproximado de
de riesgos los requisitos soluciones contra
reducción de
funcionales los requisitos
riesgos
Dueño de
la mitigación 2 Identificar las 5 Costo
soluciones del aproximado
control de cada solución
Comité
directivo
6 Seleccionar la
de seguridad estrategia para
mitigar los riesgos
Realizar soporte a las decisiones:
Mejores prácticas
4 Medir laprograma
efectividad del
1 Evaluar los
riesgos
Comunicación
Programar al equipo
Requisitos de recursos
Organizar por defensa profunda
Físico
Red
Host
Aplicación
Datos
Medir la efectividad del programa