urso: seguridad informática
TRANSCRIPT
urso: Seguridad Informática
Martin Valdivia B.
CISA, CISM, ISMS-LA, ITIL, CCISO Seguridad Informática – Gestión de Riesgos IT Martin Valdivia CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS
2
Asegurar una correcta evaluación de
riesgos por el uso de las tecnologías
de información.
Objetivo
Riesgo es la probabilidad de que un amenaza se aproveche de una vulnerabilidad y que cause pérdidas financieras o daños patrimoniales a la Empresa, a su personal, activos o imagen en general.
Riesgo
3
– Riesgo de Procesos
– Riesgo operativo
– Riesgo ambiental
– Riesgo Financiero
– Riesgo de T.I.
– Riesgo de Integridad
– Riesgo comercial
– etc.
Categorias de Riesgo
4
Rie
sg
os
Estr
ate
gic
os
1. Industria
2. Economia
3. Cambios políticos
6. Market share
7. Reputación
8. Marca
Rie
sg
os d
e
Op
era
cio
nes
Riesgos de Procesos
11. Satisfacción de clientes
12. Falla de Productos
13. Cadena de Suministro
14. Sourcing
15. Concentración de
Proveedores
16. Outsourcing
17. Ciclo de Producción
18. Perdida catastrofica
19. Ejecución de Procesos
Compliance Risks
20. Politicas y procedimientos
21. Ambientales
22. Contratos
23. Legal y regulatorio
Riesgos del personal
24. Recursos Humanos
25. Salud Ocupacional
26. Autoridad
27. Integridad
28. Liderazgo/Empowerment
29. Comunicaciones
30. Cultura
31. Performance
32. Capital de conocimiento
Riesgos Financieros
40. Contabilidad
41. Presupuestos
42. Tributario
Riesgos operacionales
43. Precios
44. Performance
45. Portafolio
Riesgos tecnológicos
46. Infraestructura de Sistemas
47. Acceso a Sistemas
48. Disponibilidad de Sistemas
49. Integridad de datos
50. Relevancia de datos
Riesfos de Caja
33. Flujo de Caja/Liquidez
34. Disponibilidad de Capital
35. Tasas de interes
36. Tipo de cambio
Riesgos de Credito
37. Capacidad de Crédito
38. Concentración de Crédito
39. Credit default
4. Competidores
5. Preferencia de consumidores
Riesgos Externos
9. Enfoque estrategico
10. Confianza de los
inversionistas
Riesgos Internos
Fuente: Grand Thornton
Universo de Riesgos
5
Lidiar con el riesgo
• Cesar la actividad que da origen al riesgo.
• Transferir el riesgo a un tercero.
• Reducir el riesgo a través de mecanismos de control apropiados.
• Aceptar el riesgo.
6
Transferencia del Riesgo
– El riesgo puede ser reducido a niveles aceptables transfiriéndolo a otra entidad.
– Los riesgos pueden ser transferidos mediante un contrato a un proveedor de servicio u otra entidad.
– Tambien, el riesgo es transferido a una Compañía de Seguros.
– El costo de mitigar el riesgo no debe exceder el valor del activo protegido.
7
Apetito de Riesgo
Es el nivel de riesgo máximo aceptable.
Intuitivamente la cultura de la organización nos permite saber si es una organización en la cual sus ejecutivos son adversos al riesgo o tomadores de los mismos.
Sin embargo este tema es lo suficientemente importante para que se explicite en una política y se eviten colisiones entre áreas con diverso “apetito” de riesgo.
8
Tolerancia al riesgo
El nivel máximo de riesgo aceptable debe tener una tolerancia ya que en caso contrario limitaría las decisiones, o se eludiría el nivel máximo en forma arbitraria.
La tolerancia al riesgo es el nivel aceptable de desviación en relación con el logro de los objetivos.
9
Gestión de Riesgo
La Gestión del Riesgo (Risk Management) es el proceso para identificar, controlar y mitigar el impacto de eventos inciertos a un nivel aceptable.
11
Gestión del Riesgo
La Gestión del Riesgo es el proceso de asegurar que el impacto de las amenazas que pudieran explotar las vulnerabilidades estén dentro de los limites aceptables y a costos aceptables.
En este nivel, esto se logra mediante un equilibrio entre la exposición al riesgo y los costos de mitigación, así como mediante la implementación de acciones preventivas y controles apropiados.
12
Framework de riesgo: COSO ERM
Este marco detalla los componentes
esenciales de la gestión de Riesgo y el
contexto en que tales componentes son
eficazmente implementados.
13
Se recomienda el uso y adaptación de algún modelo de referencia:
– National Institute of Standards and Technology Special Publication SP 800-30.
– Australian/ New Zealand Standard sobre administración
de riesgo AS/NZS 4360:2004.
– OCTAVE
– MAGERIT
– ISM3
Análisis de Riesgo
15
Propósito del Análisis de Riesgos
– Priorizar la planificación y la asignación de recursos.
– Identificar y mitigar las exposiciones.
– Identificar las amenazas, riesgos y vulnerabilidades.
16
Overview of the Risk Management Process
Source: IT Governance Institute
Marco de análisis de Riesgo
17
Activos
No es posible proteger lo que no se conoce.
– Inventario de Activos de T.I.
– Clasificación de Activos T.I.
– Identificación de propietarios de los Activos de T.I.
18
Identificación de Activos
• Sistemas de Información
• Base de Datos
• Media
• Licencias
• Interfaces
• Servidores
• PCs / Laptops
• Disp. móviles
• Periféricos
• Equipos de comunicación
• Equipos de Protección eléctrica
• Contratos
• Documentación
• Personal
19
– Los activos de Información pueden ser internos o proporcionados por entidades externas a la Organización.
– Se necesita conocer todos los recursos ya que estas deben ser protegidas contra ataques.
– Una vez que los activos de Información son identificados, el Administrador de Seguridad de la Información puede definir y emplear un programa de seguridad para proteger dichos activos.
Identificación de Activos
20
Clasificación Activos
• La clasificación de los activos de TI podría considerar los siguientes tres criterios:
• Criticidad: el activo se define como crítico si su falta o falla es motivo de interrupción para el proceso.
• Frecuencia de uso: el grado de utilización que se le da al activo.
• Tecnología: el nivel de innovación tecnológica que tiene el activo, relacionado también a su valor de mercado y grado de obsolescencia
22
Clasificación de Información
Se debe: – Asignar clases o niveles de confidencialidad y criticidad a los
activos de Información.
– Asegurar que existan políticas, estándares y procedimientos para el marcado, manipuleo, procesamiento almacenamiento, retención y destrucción de la información.
– Hacer que las clasificaciones sean simples.
24
Clasificación de información
– Las clasificaciones se usan para determinar los niveles de acceso.
– La clasificación de los datos reduce el riesgo de una protección insuficiente y el costo de sobreproteger los activos de Información alineando la seguridad a los objetivos de negocio.
25
Amenazas
– Un aspecto clave en proteger los activos es el entendimiento
de las amenazas que los activos de T.I enfrentan.
– Se debe priorizar las necesidades de confidencialidad, integridad y disponibilidad de la información de la Organización.
– Cuando se evalúan las amenazas, vulnerabilidades e impactos que la información enfrenta, se debe desarrollar e implementar practicas de seguridad que las mitiguen.
26
– Desastres Naturales
• Fuego
• Daños por agua
• Desastres Naturales
Fuente: Magerit V2 - : Metodo
Categorías de Amenazas
27
Categorías de Amenazas
– De origen industrial
• Fuego
• Daño por agua
• Desastres industriales
• Contaminación mecánica
• Contaminación electromagnética
• Averia de origen físico / lógico
Fuente: Magerit V2 - : Metodo
28
Categorías de Amenazas
– De origen industrial (cont).
• Corte de suministro eléctrico
• Condiciones inadecuadas de temperatura / humedad
• Fallas en comunicaciones
• Interrupción de servicios esenciales
• Degradación de soportes de almacenamiento
• Emanaciones electromagnéticas
Fuente: Magerit V2 - : Metodo
29
Categorías de Amenazas
– Errores y fallos no intencionados
• Errores de usuarios
• Errores del administrador
• Errores de monitoreo
• Errores de configuración
• Deficiencias en la Empresa
• Difusión de software dañino
• Errores de re-enrutamiento
Fuente: Magerit V2 - : Metodo
30
Categorías de Amenazas
– Errores y fallos no intencionados (cont.)
• Escapes de Información
• Alteración de la información
• Introducción de información incorrecta
• Degradación de la información
• Destrucción de la información
• Difusión de software dañino
• Vulnerabilidades de programas
Fuente: Magerit V2 - : Metodo
31
Categorías de Amenazas
– Errores y fallos no intencionados (cont.)
• Errores de mantenimiento / actualización de programas.
• Errores de mantenimiento / actualización de equipos.
• Caida del sistema por agotamiento de recursos.
• Indisponibilidad del personal.
Fuente: Magerit V2 - : Metodo
32
Categorías de Amenazas
– Ataques intencionados
• Manipulación de configuración
• Suplantación de identidad de usuario
• Abuso de privilegios de acceso
• Uso no previsto
• Difusión de software malicioso
• Re-encaminamiento de mensajes
• Alteración de secuencia
Fuente: Magerit V2 - : Metodo
33
Categorías de Amenazas
– Ataques intencionados (cont.)
• Acceso no autorizado
• Análisis de tráfico
• Repudio
• Interceptación de comunicaciones
• Modificación de información
• Introducción de falsa información
• Corrupción de información
Fuente: Magerit V2 - : Metodo
34
Categorías de Amenazas
– Ataques intencionados (cont.)
• Destrucción de información
• Divulgación de información
• Manipulación de programas
• Denegación de servicio
• Robo
• Ataque destructivo
• Ocupación enemiga
Fuente: Magerit V2 - : Metodo
35
Categorías de Amenazas
– Ataques intencionados (cont.)
• Indisponibilidad del personal
• Extorsión
• Ingenieria social
Fuente: Magerit V2 - : Metodo
36
Asociación de Amenazas a Activos TI
Fuente: Moore Stephens - Metodologia para el análisis de riesgo
37
Fuente: Moore Stephens - Metodologia para el análisis de riesgo
Asociación de Amenazas a Activos TI
38
Vulnerabilidades
• Una falla o debilidad en los sistemas procedimientos, diseño, ejecución, o en los controles internos que puedan ser aprovechados (accidentalmente o intencionalmente) y resultar en un fallo de seguridad.
39
Vulnerabilidades
• El análisis de amenazas debe incluir un análisis de la vulnerabilidades asociadas con los activos de TI. El objetivo de este paso es elaborar una lista de las vulnerabilidades (defectos o puntos débiles) que podrían ser explotados por la amenazas identificadas.
• En las metodologías modernas las vulnerabilidades se determinan mediante la valoración de amenazas.
40
Valoración de las amenazas
• Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía.
• Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cuán vulnerable es el activo, en dos sentidos:
– Degradación: cuán perjudicado resultaría el activo
– Probabilidad de ocurrencia: cada cuánto se materializa la amenaza
Fuente: Magerit V2 - : Metodo
41
Degradación del activo
• La degradación mide el daño causado por una amenaza en el supuesto de que ocurriera.
• La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”.
Fuente: Magerit V2 - : Metodo
42
Probabilidad de ocurrencia
• La probabilidad de ocurrencia pone en perspectiva la degradación, pues una amenaza puede ser de terribles consecuencias pero de muy improbable materialización; mientras que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar acumulando un daño considerable.
Fuente: Magerit V2 - : Metodo
43
Determinación del impacto
• Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza.
• Conociendo el valor de los activos (en varias dimensiones) y la degradación que causan las amenazas, se deriva el impacto que estas tendrían sobre el sistema.
• Se debe considerar las dependencias entre los activos.
Fuente: Magerit V2 - : Metodo
45
Matriz de impacto
Bajo Medio
Alto
Disponibilidad Reducción esporádica del servicio
Pérdida total intermitente del servicio o una reducción seria del servicio
No hay servicio
Duración Falta de servicio menos de 0.5 días
Falta del servicio entre 0.5 y 3 días
Falta de servicio más de 3 días
Alcance Impacta a cierto número de individuos
Impacta a una función del negocio
Impacta varias funciones de la empresa
Determinación del impacto
47
Determinación del Riesgo
• Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la frecuencia de ocurrencia.
• El riesgo crece con el impacto y con la frecuencia.
Fuente: Magerit V2 - : Metodo
48
50
Matriz de nivel de riesgo
Bajo
(10)
Medio
(50)
Alto
(100)
Alta (1.0) Bajo
10x1.0=10
Medio
50x1.0=50
Alto
100x1.0=100
Media(0.5) Bajo
10x0.5=5
Medio
50x0.5=25
Medio
100x0.5=50
Baja(0.1) Bajo
10x0.1=1
Bajo
50x0.1=5
Bajo
100x0.1=10
Impacto
Pro
ba
bilid
ad
de
oc
urre
nc
ia
Alto 51 a 100
Medio 11 a 50
Bajo 1 a 10
Escala de riesgo
Determinación del riesgo
Tipos de Controles
• Preventivos
• Detectivos
• Correctivos
• Disuasivos
• Reductivos
• Represivos
54
Análisis de brechas
Una práctica común es usar el análisis de brechas para:
– Evaluar el estado actual versus los estándares de buenas prácticas de administración de seguridad de la información.
– Evaluar los niveles de madurez.
– Evaluar la efectividad.
– Identificar brechas.
– Asegurar que las prácticas de seguridad no se degraden con el paso del tiempo.
56
Caso de riesgos
• Identifique los activos de TI
• Realice un esquema de clasificación de activos.
• Realice la clasificación de los activos de TI
• Enumere las amenazas a las que considere estén expuestos los activos de TI
• Agrupe las amenazas en categorías
• Realice la matriz de amenazas vs. Activos ( aplicar para dimensiones C, I, A)
• Determine el nivel de degradación de las amenazas.
Caso de riesgos
• Determine la probabilidad de ocurrencia de las amenazas. Realice una escala de probabilidades
• Determine el impacto. Realice una escala de impactos.
• Determine el riesgo en función a la probabilidad de ocurrencia e impacto.
• Priorice los riesgos encontrados.
• Describa las recomendaciones que daría para cada uno de los 10 principales riesgos encontrados