la gestión de los riesgos tecnológicos y los desafíos de ...evaluación cuantitativa de riesgos...
TRANSCRIPT
La Gestión de los Riesgos Tecnológicos y los
Desafíos de la Privacidad de la Información.
La Gestión de los Riesgos Tecnológicos y los
Desafíos de la Privacidad de la Información.
Marcelo Hector Gonzalez, CISA, CRISC
La tecnología en la empresa y el hogar
El riesgo de la tecnología y la privacidad
Hablemos - Preguntas
Conocer, accionar, controlar
¿Conocemos el alcance de los que hacemos?
Gestión de la privacidad e identidad digital
• Cada vez que publicamos algo en una
red social perdemos el control sobre
ese contenido. !!Aunque lo
borremos!!.
• Perdemos control de los que otros
publican de nosotros.
• Ser conscientes de la “identidad
digital”.
• Que información colectan las redes
sociales de nosotros y comparten con
otros. ¿Sabemos?
• Permisos en las aplicaciones.
• ¿Por que los móviles cada vez mas no
se les puede remover la batería?.
Derecho de Protección de Datos Personales en el Mundo
• Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal:
• Autoridad independiente: Agencia Española de Protección de Datos.
� Tiene leyes de protección de datos personales a nivel federal y
provincial.
� Tiene regulaciones sectoriales “Privacy Act” (safe harbour), pero no
reconoce el derecho como tal, ni cuenta con una autoridad
independiente en la materia.
� Los países latinoamericanos con reconocimiento en sede
constitucional del derecho a la protección de datos personales: Perú,
Venezuela, Argentina, Brasil, Colombia, Ecuador, Guatemala,
Nicaragua y México.
Un mundo pequeño – Todos con todos
• Globalidad y jurisdicción
• Cambio de rol de los usuarios
• Poca madurez digital!
• Aparición de nuevos dispositivos
• Cambio en las prácticas de las organizaciones
• Cambio en las prácticas de los individuos
• Big data
• Internet de las cosas.
• Trazabilidad de movimientos-> Geolocalización
• Nueva tipología de delitos (phising)
El contexto, internet y el desarrollo de las redes sociales están
cambiando la importancia del marco legal en el que se desarrollan las
comunicaciones.
Algunas organizaciones fallarán,
otras sobrevivirán, y otras
evolucionarán.
¿Cómo evoluciona el comportamiento de las
empresas y de sus clientes?
Las tecnologías emergentes cambian todo,como trabajamos, como vivimos, como noscomunicamos
“Internet of Things”
Los consumidores ahora controlan cosas
como cerraduras de las puertas,
termostatos y dispositivos de
acondicionamiento físico a través de los
sensores y las redes que conectan a casi
cualquier cosa a un teléfono inteligente.
¿Se quedarán fuera los bancos?.
Los clientes realizarán sus
transacciones financieras desde
cualquier dispositivo de su hogar.
Es más un segmento de ellos ya
intentan realizarlas.
“Internet of Things”
La constante innovación tecnología produce una
constante introducción de nuevos riesgos.
Nos siempre nos adaptamos al ritmo necesario
Amenazas de punta
• Virus,
• Worm,
• Trojan Horse,
• Bombas lógicas,
• Ingeniería social,
• Phishing = email falsos,
• Pharming = Web falsas,
• Rootkits,
• Botnets / Zombies, etc., etc., …
Facilitadores
• Internet permite atacar desde cualquier parte del planeta.
• De acuerdo a www.SANS.org, las principales causas de
vulnerabilidades para el fraude informático y cyber crimen,
son:
– Problemas en Web Browser,
– Clientes de IM (Instant Messaging),
– Aplicaciones Web,
– Excesivos derechos de usuarios.
Más nocivas con mayor facilidad
Sofisticación de herramientas
Packet forging/ spoofing
20001980
Password guessing
Self replicating code
Password cracking
Back doors
Hijacking sessions
Sweepers
Sniffers
Stealth diagnostics
Conocimiento requerido
Alto
Bajo 20..
Exploiting known vulnerabilities
Disabling audits
Pérdida de Privacidad
Aquí hay info financiera
Denegación de Servicio
Les hago perder mucho con esta baja de servicio
Falsa Identidad
Soy el director de finanzas, hágame la
transferencia a la cuenta ahora.
Pérdida de Integridad
BancoCliente
Deposito $100 Deposito $ 1000
Y que nos puede pasar
Security Risk Management
• Riesgo = Función (Amenaza, Impacto)
• Gestión del Riesgo:
– Valoración del Riesgo.
• Calculo del riesgo.
– Manejo del riesgo:
• Mitigación, Aceptación, Transferencia, Ignorar.
– Tolerancia al riesgo.
• Implementar y mantener un conjunto de controles:
– Administrativos, técnicos y controles físicos.
26
NEGOCIO¿Cómo utilizar las modernas
tecnologías para obtener beneficios?
TECNOLOGIA¿Cómo establecer y mantener una infraestructura confiable y segura, acorde a estándares y
cumpliendo regulaciones?
¿Cual es el punto justo?
Hay un gran desafío
Y debemos gestionarlo
El gran reto es la complejidad delproblema que se enfrenta.
Hay muchos elementos que considerary si no se es muy riguroso, lasconclusiones serán de poca utilidad.
Conocer el riesgo al que están sometidos losrecursos de TI es imprescindible paragestionarlos y tomar acciones y decisionesacertadas
Análisis de Riesgo de TI
Negocios
Amenazas
Frecuencia
Riesgo
Impacto
Degradación
ValoraciónControles
Riesgo Acumulado
Riesgo Repercutido
Activos
Riesgo Residual
Probabilidad
OtrosRiesgos
• Riesgo de mercado
• Riesgo de crédito
• Riesgo de tasa de interés
• Riesgo de moneda
Riesgos
RiesgosNo de IT
• Procesos de negocio
• Personas y capacidades
• Medio ambiente
• Infraestructura física
Riesgo decumplimiento
Riesgo derecuperación
Riesgo deescalabilidad
Riesgo derendimiento
Riesgo dedisponibilidad
Riesgo deseguridad
• Cyber Crimen
• Fraude interno
• Cyber terrorismo
• Arq. distribuidas
• Picos de demanda
• Diversidad tecnológica
• Regulaciones
• Políticas corporativas
• Leyes
• Política interna
• Cambios de configuración
• Falta de redundancia
• Errores humanos
• Fallas de hardware y/o software
• Amenazas externas
• Desastres naturales
• Crecimiento del negocio
• Cuellos de botella
• Arquitecturas obsoletas
RiesgoOperacional
Riesgosde IT
Evaluar el mapa de riesgos
Políticas de
control y
seguridad
Vulnerabilidades
Buena seguridad pues
prevenir algunos
ataques
Una pobre
política de
seguridad puede
permitir ataques
Sin políticas de seguridad podría
ser problemático
Amenazas
no nocivas
AC
TIV
OS
Amenaza + Motivo + Método + Vulnerabilidad = RIESGO
Amenazas
nocivas
Eventos
naturales
Motivos y
objetivos
Métodos y
herramientas
Métodos y
herramientas
Métodos y
herramientas
Elementos del riesgo
… gestionemos los riesgos
exponeincrementa
incrementa
Impacta contra
Cubierto por
indica
Protege contra
aprovecha
mitigaRiesgo
Demos definiciones
exponeincrementa
incrementa
Impacta contra
Cubierto por
indica
Protege contra
aprovecha
mitigaRiesgo
Preliminarmente debe considerarse como parteinicial, entre otros aspectos, la identificación delos activos relevantes y críticos, para los que dematerializarse un evento de riesgo, puedanalterar el normal funcionamiento, como asíatentar contra la integridad, confidencialidad ydisponibilidad de los datos relevantes de laorganización.
Entre los activos a considerar:
� Aplicativos de negocio consideradosrelevantes (Aplicaciones);
� Estructura tecnológica que los soporta(Recursos de TI);
� Información que los mismos administran(Datos),
� Funciones de soporte.
¿Tienen valor las cosas o no?
Para ser más claros en el conceptode activo podemos mencionar que eltérmino proviene de la contabilidad,siendo algo que se posee y que tienevalor y que además puede generarvalor.
Este caso grafico, el computador esun activo, pero también lo es elsoftware que contiene, los datos queen el disco se almacenan, planillas,fotos, videos, y otros mas.
Estos activos enunciados, puedentener un valor de mercado, o un valorpero solo para el propietario.
Security OfficerWindowsOracle
CFO Windows 7End User
Departmentos
de ITFinanzas Registros
Requerimientos
Gestión de
Riesgos
Aspectos
Legales
Servicios
Al Cliente
Ingreso de
datos
Dar relevancia a los activos
Somos todos vulnerables
exponeincrementa
incrementa
Impacta contra
Cubierto por
indica
Protege contra
aprovecha
mitigaRiesgo
Debe analizarse la no existencia devulnerabilidades que expongan a los activosconsiderados como críticos o relevantes.
La mera existencia de una vulnerabilidad,no constituye una debilidad a no ser que lamisma exponga a niveles no aceptados deriesgo a los activos antes mencionados.
La detección de una vulnerabilidad debeacompañar un procesos de análisis delimpacto que puede ocasionar su existencia;si el daño potencia que puede causar, noimpacta en los activos críticos, la misma –inicialmente – no reviste un nivel dedebilidad importante.
Vulnerable a las amenazas !!!
exponeincrementa
incrementa
Impacta contra
Cubierto por
indica
Protege contra
aprovecha
mitigaRiesgo
En términos particulares, una amenaza estodo aquello que tenga una posibilidad oprobabilidad de ocurrir, como causante dedaño. Y el riesgo es el producto de laocurrencia de la amenaza y suconsecuencia. Sin la ocurrencia deamenazas el riesgo sería cero.
Desde un punto de vista probabilísticofrecuencial, una amenaza no puede serconsiderada un riesgo sin al menos unincidente específico donde la amenaza sehaya concretado.
Riesgo, riesgo …
exponeincrementa
incrementa
Impacta contra
Cubierto por
indica
Protege contra
aprovecha
mitigaRiesgo
Infraestructura
Seguridad TI/SI
Gestión/Control
Auditoría
Integridad
Continuidad
Proveedores
Riesgo es el dañopotencial que puede surgirpor un suceso presente osuceso futuro. Diariamenteen ocasiones se lo utilizacomo sinónimo deprobabilidad, pero el riesgocombina la probabilidad deque ocurra un eventonegativo con cuanto dañodicho evento causaría(impacto). Es decir, enpalabras claras, el riesgoes la posibilidad de que unpeligro pueda llegar amaterializarse.
Medición de impacto
Medir el impacto de un riesgo.
Insignificante Bajo Serio Muy Serio Grave
IMPACTO
Mapeo de los riesgos
Posibilita que los riesgos sean ordenados para identificar las prioridades de acción
Matriz de riesgo
Probabilidad
Alto
Medio
Bajo
Imp
acto
Remoto Posible Probable
Matriz de impacto /probabilidad
Nos centramos en los riesgos que tienen una alta probabilidad de ocurrencia y de alto impacto
Prestamos atención
sobre el diagonal.
Nuestra estrategia de
gestión de riesgos
conduce por debajo
de la diagonal.
• Control• ControlRiesgo
• Falta de criterios de control de acceso• Falta de criterios de control de accesoMuy Alto
• Pobre campaña de concienciación de seguridad
• Pobre campaña de concienciación de seguridadAlto
• Falta de dos factores para acceso al data center.
• Falta de dos factores para acceso al data center.Médio
• Longitud mínima de clave de 6 caracteres• Longitud mínima de clave de 6 caracteresBajo
• Ingresos BYOD• Ingresos BYODMuy Bajo
Apetito de riesgo
CONTROL
Mit
iga
rA
cep
tar
Priorizar esfuerzos de remediación
Metodologías aplicadas para medir
riesgos
Determinación exposición al riesgo
Gestión y categorización
de riesgos
Metodología cuantitativa
Metodología cualitativa
Integración de metodologías
Métodos de evaluación cualitativos
� Métodos de evaluación semi-cuantitativos.
� Diagramas de procesos.� Cuestionarios de Auto-
Evaluación.� VaR cualitativo.
� Indicadores (KRI, KPI, KGI).
Métodos de evaluación cuantitativos
� Básicos estándar, avanzado,otros.
� Identificación y recogida deeventos.
� Identificación / conciliacióncontable.
� VaR cuantitativo.
Dos métodos para gestionar el riesgo
• Los métodos cualitativos facilitan el anticiparse, es decir son un medio
de análisis del tipo Ex – Ante.
• Permiten gestionar el RO identificando factores de riesgo (sin que necesariamente se hayan producido eventos).
• Ejemplo: identificación del riesgo mediante cuestionarios (por ej. detectar que no tenemos plan de continuidad para una actividad concreta).
Cualitativos
• Los métodos cuantitativos se basan en la experiencia, en lo real. Son
un medio de medición e inferencia del tipo Ex – Post.
• Permiten gestionar el RO en base a los eventos ocurridos en el pasado.
• Ejemplo: la gestión del fraude en tarjetas de debito/crédito es ex-post.
Cuantitativos
Evaluación cualitativa de riesgos
Fase inicio
Modelos y diagramas
de procesos a alto nivel
Desarrollo de check-
list de auto-
evaluación
Calculo del VaR
cualitativo
Definición de
indicadores
KRIs y KPIs
Fase Sustentació
n
• Acuerdos internos para la aplicación de la metodología escogida
• Venta interna• Comunicación• Entrevistas
preliminares• Talleres de
preparación• Pre modelado
• Identificar y evaluar cuantitativamente los riesgos operacionales (personas, procesos, sistemas y sucesos externos).
• Determinar calidad de controles
• Determinar y acordar responsabilidades
• Determinar reporte de riesgos
• Determinar apetito el riesgo
• Modelos detallados de riesgos y controles según escenarios
• Desarrollo de soportes automatizados con herramientas de SW
• Auto evaluación de la línea
• Estimación cuantitativa de impacto y probabilidad
• Determinación de los valores máximos a riesgo (el peor escenario) e impacto medio
• VaR:Simulación de Montecarlo
• Frecuencia: Distribución de Poisson
• Impacto: Distribución Weibull
• Determinación de KPI, KGI, KRI
• CMM, CMMI, indicadores de gestión de proyectos.
• Paneles de control y Alertas
• Reporte• Monitoreo• Mejora continua de
procesos de evaluación y gestión de riesgos
• Mejora continua gestión flujos de trabajo
Evaluación cuantitativa de riesgos
Mappingriesgos x línea de negocios
Captura de datos y
conciliaciones
Modelamiento
frecuencias e
impactos
Cálculo de
VaRcuantitativ
o
Fase Sustentaci
ón
• Eventos de pérdida para cada riesgo por línea de negocio
• Capturas de datos de eventos de perdida a modelar
• Conciliación de series de datos con la contabilidad
• Posibilidad de incorporar series de datos externos
• Determinación de rangos y umbrales de datos
• Ajuste de la distribución de frecuencias (Poisson, Binomial BinomialNegativa)
• Ajuste de la distribución de severidades (Weibull, Lognormal, Exponencial, etc.)
• Consideración de distintas técnicas de mitigación de riesgos
• Strees testing• Back testing
• Cálculo de VaRCuantitativo (99,9% / 1 año) mediante de distribuciones utilizando simulaciones de tipo Monte Carlo
• Obtención de pérdidas esperadas e inesperadas
• KRIs
• Reporte• Monitoreo• Mejora continua
de procesos de evaluación y gestión de riesgos
• Mejora continua gestión flujos de trabajo
Evaluación cuantitativa de riesgos
El objetivo final de lagestión cuantitativa delriesgo operativo es laposibilidad de calcular elValor Económico enRiesgo a causa de loseventos de pérdida yconstituir reservas decapital para ello.
Media A Media B B Percentil 99o. A Percentil 99o.
Distrib de pérdidas de A
Distrib de pérdidas de B
Pérdida anual agregada($)
VaR A
VaR B
OpVaR_99.9ULEL
Planificación de la Gestión de Riesgos
Análisis Cualitativo
Análisis Cuantitativo
Planificación de Respuesta a los Riesgos
Seguimiento y control
Identificación de Riesgos
Gestionar el riesgo
Nos ponemos a controlar
exponeincrementa
incrementa
Impacta contra
Cubierto por
indica
Protege contra
aprovecha
mitigaRiesgo
Los controles deben limitar o mitigar losefectos que puedan materializarse a causade una vulnerabilidad existente.
Cuando se detecte una vulnerabilidad, queprimariamente se considera una debilidad,debe analizarse la existencia de controlesprogramados y documentados, que logrenmitigar a niveles aceptables el riesgopotencial.
Los controles, pueden ser de varias clasescomo se grafican en el próximo slide, yellos deben estar formalmentedocumentados y fácilmente evidenciables.
Comportamiento de los controles
Amenaza
Riesgo
ControlCorrectivo
Impacto
ControlDisuasivo
ControlPreventivo
VulnerabilidadControl
Detectivo
Reduce
probabilidad de
Crea
Explota
Disminuyen
Genera
Protege
Reduce
Alimenta
Descubre
Mejor nos ponemos a controlar
exponeincrementa
incrementa
Impacta contra
Cubierto por
indica
Protege contra
aprovecha
mitigaRiesgo
Los requerimientos de seguridad sonaquellas definiciones o políticas de altonivel, que apuntan a contar con controlesde distintas categorías, a efectos dedetectar, reducir y mitigar la ocurrenciamaterial de un evento de riesgo.
Los requerimientos de seguridad y control,deben haber surgido de análisis previos devulnerabilidades y eventos que potencien elriesgo, de lo contrario pueden ser muygenerales, “sub” o “sobre” dimensionados.
Acción de Contingencia
Acción deMitigación
Riesgo
Evento o condición incierta
Acciones se realizan una vez que el riesgo se materializó
Acciones que se planifican para abordar el riesgo
Si algo puede salir mal…saldrá mal
Verificación, Evaluación,
Seguimiento a la efectividad
de los Controles
Cumplimiento de las Políticas y controles de Seguridad de la
Información
Entrenamiento y
fortalecimiento del
conocimiento en Seguridad
de Información
Implementación de Controles de Seguridad
de Información
Análisis de Riesgos y Plan de
Tratamiento de Riesgos
Identificación y clasificación de Activos de Información
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Que hacer ¡¡¡