urso: seguridad informática

urso: Seguridad Informática

Martin Valdivia B.

CISA, CISM, ISMS-LA, ITIL, CCISO Seguridad Informática – Gestión de Riesgos IT Martin Valdivia CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS

2

Asegurar una correcta evaluación de

riesgos por el uso de las tecnologías

de información.

Objetivo

Riesgo es la probabilidad de que un amenaza se aproveche de una vulnerabilidad y que cause pérdidas financieras o daños patrimoniales a la Empresa, a su personal, activos o imagen en general.

Riesgo

3

– Riesgo de Procesos

– Riesgo operativo

– Riesgo ambiental

– Riesgo Financiero

– Riesgo de T.I.

– Riesgo de Integridad

– Riesgo comercial

– etc.

Categorias de Riesgo

4

Rie

sg

os

Estr

ate

gic

os

1. Industria

2. Economia

3. Cambios políticos

6. Market share

7. Reputación

8. Marca

Rie

sg

os d

e

Op

era

cio

nes

Riesgos de Procesos

11. Satisfacción de clientes

12. Falla de Productos

13. Cadena de Suministro

14. Sourcing

15. Concentración de

Proveedores

16. Outsourcing

17. Ciclo de Producción

18. Perdida catastrofica

19. Ejecución de Procesos

Compliance Risks

20. Politicas y procedimientos

21. Ambientales

22. Contratos

23. Legal y regulatorio

Riesgos del personal

24. Recursos Humanos

25. Salud Ocupacional

26. Autoridad

27. Integridad

28. Liderazgo/Empowerment

29. Comunicaciones

30. Cultura

31. Performance

32. Capital de conocimiento

Riesgos Financieros

40. Contabilidad

41. Presupuestos

42. Tributario

Riesgos operacionales

43. Precios

44. Performance

45. Portafolio

Riesgos tecnológicos

46. Infraestructura de Sistemas

47. Acceso a Sistemas

48. Disponibilidad de Sistemas

49. Integridad de datos

50. Relevancia de datos

Riesfos de Caja

33. Flujo de Caja/Liquidez

34. Disponibilidad de Capital

35. Tasas de interes

36. Tipo de cambio

Riesgos de Credito

37. Capacidad de Crédito

38. Concentración de Crédito

39. Credit default

4. Competidores

5. Preferencia de consumidores

Riesgos Externos

9. Enfoque estrategico

10. Confianza de los

inversionistas

Riesgos Internos

Fuente: Grand Thornton

Universo de Riesgos

5

Lidiar con el riesgo

• Cesar la actividad que da origen al riesgo.

• Transferir el riesgo a un tercero.

• Reducir el riesgo a través de mecanismos de control apropiados.

• Aceptar el riesgo.

6

Transferencia del Riesgo

– El riesgo puede ser reducido a niveles aceptables transfiriéndolo a otra entidad.

– Los riesgos pueden ser transferidos mediante un contrato a un proveedor de servicio u otra entidad.

– Tambien, el riesgo es transferido a una Compañía de Seguros.

– El costo de mitigar el riesgo no debe exceder el valor del activo protegido.

7

Apetito de Riesgo

Es el nivel de riesgo máximo aceptable.

Intuitivamente la cultura de la organización nos permite saber si es una organización en la cual sus ejecutivos son adversos al riesgo o tomadores de los mismos.

Sin embargo este tema es lo suficientemente importante para que se explicite en una política y se eviten colisiones entre áreas con diverso “apetito” de riesgo.

8

Tolerancia al riesgo

El nivel máximo de riesgo aceptable debe tener una tolerancia ya que en caso contrario limitaría las decisiones, o se eludiría el nivel máximo en forma arbitraria.

La tolerancia al riesgo es el nivel aceptable de desviación en relación con el logro de los objetivos.

9

Proceso de Gestión del Riesgo

10

Gestión de Riesgo

La Gestión del Riesgo (Risk Management) es el proceso para identificar, controlar y mitigar el impacto de eventos inciertos a un nivel aceptable.

11

Gestión del Riesgo

La Gestión del Riesgo es el proceso de asegurar que el impacto de las amenazas que pudieran explotar las vulnerabilidades estén dentro de los limites aceptables y a costos aceptables.

En este nivel, esto se logra mediante un equilibrio entre la exposición al riesgo y los costos de mitigación, así como mediante la implementación de acciones preventivas y controles apropiados.

12

Framework de riesgo: COSO ERM

Este marco detalla los componentes

esenciales de la gestión de Riesgo y el

contexto en que tales componentes son

eficazmente implementados.

13

Análisis de Riesgos

14

Se recomienda el uso y adaptación de algún modelo de referencia:

– National Institute of Standards and Technology Special Publication SP 800-30.

– Australian/ New Zealand Standard sobre administración

de riesgo AS/NZS 4360:2004.

– OCTAVE

– MAGERIT

– ISM3

Análisis de Riesgo

15

Propósito del Análisis de Riesgos

– Priorizar la planificación y la asignación de recursos.

– Identificar y mitigar las exposiciones.

– Identificar las amenazas, riesgos y vulnerabilidades.

16

Overview of the Risk Management Process

Source: IT Governance Institute

Marco de análisis de Riesgo

17

Activos

No es posible proteger lo que no se conoce.

– Inventario de Activos de T.I.

– Clasificación de Activos T.I.

– Identificación de propietarios de los Activos de T.I.

18

Identificación de Activos

• Sistemas de Información

• Base de Datos

• Media

• Licencias

• Interfaces

• Servidores

• PCs / Laptops

• Disp. móviles

• Periféricos

• Equipos de comunicación

• Equipos de Protección eléctrica

• Contratos

• Documentación

• Personal

19

– Los activos de Información pueden ser internos o proporcionados por entidades externas a la Organización.

– Se necesita conocer todos los recursos ya que estas deben ser protegidas contra ataques.

– Una vez que los activos de Información son identificados, el Administrador de Seguridad de la Información puede definir y emplear un programa de seguridad para proteger dichos activos.

Identificación de Activos

20

Ejemplo Identificación

21

Clasificación Activos

• La clasificación de los activos de TI podría considerar los siguientes tres criterios:

• Criticidad: el activo se define como crítico si su falta o falla es motivo de interrupción para el proceso.

• Frecuencia de uso: el grado de utilización que se le da al activo.

• Tecnología: el nivel de innovación tecnológica que tiene el activo, relacionado también a su valor de mercado y grado de obsolescencia

22

Ejemplo

23

Clasificación de Información

Se debe: – Asignar clases o niveles de confidencialidad y criticidad a los

activos de Información.

– Asegurar que existan políticas, estándares y procedimientos para el marcado, manipuleo, procesamiento almacenamiento, retención y destrucción de la información.

– Hacer que las clasificaciones sean simples.

24

Clasificación de información

– Las clasificaciones se usan para determinar los niveles de acceso.

– La clasificación de los datos reduce el riesgo de una protección insuficiente y el costo de sobreproteger los activos de Información alineando la seguridad a los objetivos de negocio.

25

Amenazas

– Un aspecto clave en proteger los activos es el entendimiento

de las amenazas que los activos de T.I enfrentan.

– Se debe priorizar las necesidades de confidencialidad, integridad y disponibilidad de la información de la Organización.

– Cuando se evalúan las amenazas, vulnerabilidades e impactos que la información enfrenta, se debe desarrollar e implementar practicas de seguridad que las mitiguen.

26

– Desastres Naturales

• Fuego

• Daños por agua

• Desastres Naturales

Fuente: Magerit V2 - : Metodo

Categorías de Amenazas

27


– De origen industrial

• Fuego

• Daño por agua

• Desastres industriales

• Contaminación mecánica

• Contaminación electromagnética

• Averia de origen físico / lógico


28


– De origen industrial (cont).

• Corte de suministro eléctrico

• Condiciones inadecuadas de temperatura / humedad

• Fallas en comunicaciones

• Interrupción de servicios esenciales

• Degradación de soportes de almacenamiento

• Emanaciones electromagnéticas


29


– Errores y fallos no intencionados

• Errores de usuarios

• Errores del administrador

• Errores de monitoreo

• Errores de configuración

• Deficiencias en la Empresa

• Difusión de software dañino

• Errores de re-enrutamiento


30


– Errores y fallos no intencionados (cont.)

• Escapes de Información

• Alteración de la información

• Introducción de información incorrecta

• Degradación de la información

• Destrucción de la información

• Difusión de software dañino

• Vulnerabilidades de programas


31


– Errores y fallos no intencionados (cont.)

• Errores de mantenimiento / actualización de programas.

• Errores de mantenimiento / actualización de equipos.

• Caida del sistema por agotamiento de recursos.

• Indisponibilidad del personal.


32


– Ataques intencionados

• Manipulación de configuración

• Suplantación de identidad de usuario

• Abuso de privilegios de acceso

• Uso no previsto

• Difusión de software malicioso

• Re-encaminamiento de mensajes

• Alteración de secuencia


33


– Ataques intencionados (cont.)

• Acceso no autorizado

• Análisis de tráfico

• Repudio

• Interceptación de comunicaciones

• Modificación de información

• Introducción de falsa información

• Corrupción de información


34



• Destrucción de información

• Divulgación de información

• Manipulación de programas

• Denegación de servicio

• Robo

• Ataque destructivo

• Ocupación enemiga


35



• Indisponibilidad del personal

• Extorsión

• Ingenieria social


36

Asociación de Amenazas a Activos TI

Fuente: Moore Stephens - Metodologia para el análisis de riesgo

37

Fuente: Moore Stephens - Metodologia para el análisis de riesgo

Asociación de Amenazas a Activos TI

38

Vulnerabilidades

• Una falla o debilidad en los sistemas procedimientos, diseño, ejecución, o en los controles internos que puedan ser aprovechados (accidentalmente o intencionalmente) y resultar en un fallo de seguridad.

39

Vulnerabilidades

• El análisis de amenazas debe incluir un análisis de la vulnerabilidades asociadas con los activos de TI. El objetivo de este paso es elaborar una lista de las vulnerabilidades (defectos o puntos débiles) que podrían ser explotados por la amenazas identificadas.

• En las metodologías modernas las vulnerabilidades se determinan mediante la valoración de amenazas.

40

Valoración de las amenazas

• Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía.

• Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cuán vulnerable es el activo, en dos sentidos:

– Degradación: cuán perjudicado resultaría el activo

– Probabilidad de ocurrencia: cada cuánto se materializa la amenaza


41

Degradación del activo

• La degradación mide el daño causado por una amenaza en el supuesto de que ocurriera.

• La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”.


42

Probabilidad de ocurrencia

• La probabilidad de ocurrencia pone en perspectiva la degradación, pues una amenaza puede ser de terribles consecuencias pero de muy improbable materialización; mientras que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar acumulando un daño considerable.


43

Escalas de probabilidades

44

Determinación del impacto

• Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza.

• Conociendo el valor de los activos (en varias dimensiones) y la degradación que causan las amenazas, se deriva el impacto que estas tendrían sobre el sistema.

• Se debe considerar las dependencias entre los activos.


45



46

Matriz de impacto

Bajo Medio

Alto

Disponibilidad Reducción esporádica del servicio

Pérdida total intermitente del servicio o una reducción seria del servicio

No hay servicio

Duración Falta de servicio menos de 0.5 días

Falta del servicio entre 0.5 y 3 días

Falta de servicio más de 3 días

Alcance Impacta a cierto número de individuos

Impacta a una función del negocio

Impacta varias funciones de la empresa


47

Determinación del Riesgo

• Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la frecuencia de ocurrencia.

• El riesgo crece con el impacto y con la frecuencia.


48

Determinación del riesgo


49

50

Matriz de nivel de riesgo

Bajo

(10)

Medio

(50)

Alto

(100)

Alta (1.0) Bajo

10x1.0=10

Medio

50x1.0=50

Alto

100x1.0=100

Media(0.5) Bajo

10x0.5=5

Medio

50x0.5=25

Medio

100x0.5=50

Baja(0.1) Bajo

10x0.1=1

Bajo

50x0.1=5

Bajo

100x0.1=10

Impacto

Pro

ba

bilid

ad

de

oc

urre

nc

ia

Alto 51 a 100

Medio 11 a 50

Bajo 1 a 10

Escala de riesgo


51


51


52

Controles

• Cualquier cosa que minimiza un riesgo.

53

Tipos de Controles

• Preventivos

• Detectivos

• Correctivos

• Disuasivos

• Reductivos

• Represivos

54

Controles


55

Análisis de brechas

Una práctica común es usar el análisis de brechas para:

– Evaluar el estado actual versus los estándares de buenas prácticas de administración de seguridad de la información.

– Evaluar los niveles de madurez.

– Evaluar la efectividad.

– Identificar brechas.

– Asegurar que las prácticas de seguridad no se degraden con el paso del tiempo.

56

Tarea Académica

Caso de riesgos

• Identifique los activos de TI

• Realice un esquema de clasificación de activos.

• Realice la clasificación de los activos de TI

• Enumere las amenazas a las que considere estén expuestos los activos de TI

• Agrupe las amenazas en categorías

• Realice la matriz de amenazas vs. Activos ( aplicar para dimensiones C, I, A)

• Determine el nivel de degradación de las amenazas.

Caso de riesgos

• Determine la probabilidad de ocurrencia de las amenazas. Realice una escala de probabilidades

• Determine el impacto. Realice una escala de impactos.

• Determine el riesgo en función a la probabilidad de ocurrencia e impacto.

• Priorice los riesgos encontrados.

• Describa las recomendaciones que daría para cada uno de los 10 principales riesgos encontrados

urso: seguridad informática

Documents