riesgo: es el potencial que una amenaza determinada explote las vulnerabilidades de un activo y que...
TRANSCRIPT
Riesgo: Es el potencial que una amenaza determinada explote las vulnerabilidades de un activo y que ocasione pérdida de los activos o daños a los mismos. El riesgo se mide mediante la combinación del impacto y de la probabilidad de que ocurra.
ANÁLISIS Y GESTIÓN DEL RIESGO:RIESGO
Riesgo Global: Es la combinación de los elementos de riesgos para formar una visión global del riesgo en la organización.
Riesgo Residual: Es el nivel de riesgo resultante una vez se han aplicado los controles.
ANÁLISIS Y GESTIÓN DEL RIESGO:RIESGO
Análisis y Gestión del riesgo:Impacto Es el resultado de una amenaza. Generalmente están relacionadas a pérdidas
financieras Pérdida directa de dinero Violación de Leyes Pérdida de Reputación Reducción de la eficiencia
Análisis y Gestión del riesgo:Control Acciones que son establecidas en políticas y
procedimientos en la organización para reducir el riesgo.
Análisis y Gestión del riesgo:Clases de Controles Estos controles están diseñados Estos controles están diseñados
para corregir los errores, las para corregir los errores, las omisiones y los usos e intrusiones omisiones y los usos e intrusiones no autorizados una vez que éstos no autorizados una vez que éstos
sean detectados.sean detectados.
Estos controles existen para Estos controles existen para detectar y para reportar cuando detectar y para reportar cuando
ocurran errores, omisiones y el uso ocurran errores, omisiones y el uso o el ingreso no autorizadoo el ingreso no autorizado..
Son acciones o medidas Son acciones o medidas adoptadas para asegurar la adoptadas para asegurar la
detección temprana o responder detección temprana o responder en forma anticipada a posibles en forma anticipada a posibles
vulnerabilidadesvulnerabilidades..
Estos controles están diseñados Estos controles están diseñados para impedir o para restringir un para impedir o para restringir un error, omisión o una intrusión no error, omisión o una intrusión no
autorizada.autorizada.
Controles Proactivos
Controles Preventivos
Controles Detectivos
Controles de Recuperación
ANÁLISIS Y GESTIÓN DEL RIESGO
1
GESTIÓN REACTIVA VS. GESTION PROACTIVA.
• Identificar riesgos potenciales.• Evaluar su probabilidad y su impacto.• Establecer prioridades.RIESGO 2 Características:
• Incertidumbre: El acontecimiento que caracteriza al riesgo puede ocurrir o no.
• Pérdida: Magnitud de las consecuencias si el riesgo se presenta.
Proceso de Implementación
Identificar Riesgos
Análisis: clasificar y evaluar riesgos
Análisis: Prioridades
Plan: asignar y Aprobar
Plan: defineacciones
Monitoreo de Riesgos Control de riesgo
Declaración y contexto del riesgo
Clase, prob., impacto y ocurrencia del riesgo
Prioridadlistado de
riesgo
AsignacionesY planes
aprobados
Plan para contra restar
el riesgo
Reporte desituación
Decisiones
ANÁLISIS Y GESTIÓN DEL RIESGO
2
A. RIESGOS DEL PROYECTO: • Amenazan el plan de Proyecto Retrasos y aumento de costos.• Problemas con: Presupuesto, Planificación temporal, Personal, Recursos, Cliente y Requisitos y el IMPACTO de cada uno de ellos.
B. RIESGOS TECNICOS:Amenazan la planificación temporal
y la calidad del SW a producir.
Problemas con: Diseño, Implementación, Interfaz, Verificación, Mantenimiento.Factores: Ambigüedades en la especificación, Incertidumbre técnica, Técnicas (o bien anticuadas o bien “de punta”).
CATEGORIAS DE RIESGO
C. RIESGOS DE NEGOCIOSAmenazan la viabilidad.
De Mercado: Tener algo muy bueno que nadie necesita. Un producto que no se sepa cómo venderlo.Estratégico: el producto no encaja en las estrategias comerciales.De dirección: Perder apoyo de gestión experta.Monetario: Perder presupuesto o personal.
ANÁLISIS Y GESTIÓN DEL RIESGO
3
• RIESGOS CONOCIDOS: Aquellos que pueden descubrirse por factores asociados directamente al proyecto actual.• RIESGOS PREDECIBLES: de la experiencia de proyectos anteriores.• RIESGOS IMPREDECIBLES: PLUG AND PRAY!IDENTIFICACION DEL RIESGO.
Un método: Crear una lista de comprobación de elementos de riesgo.
Tamaño del producto R. A. con el tamaño general del sw a construir.Impacto en el negocio R. A. con limitaciones impuestas por gestión o el mercado.Características del cliente R. A. con sofisticación del cliente y habilidad para comunicarse con él.Definición del proceso R. A. con el grado de definición del proceso de SW y su seguimiento durante el desarrollo.Entorno de desarrollo R. A. con disponibilidad y calidad de las
herramientas a emplear.Tecnología a construir R. A. con la complejidad del sistema a construir.Tamaño y experiencia del grupo R. A. con experiencia técnica y de proyectos.
ANÁLISIS Y GESTIÓN DEL RIESGO
4
Evaluación Global del riesgo del proyecto.
1. ¿Se han asignado los gestores del software y clientes formalmente para dar soporte al proyecto?
2. ¿Están completamente entusiasmados los usuarios finales con el proyecto y con el sistema/producto a construir?
3. ¿El equipo de ingenieros de software y los clientes han todos los requisitos?
4. ¿Han estado los clientes involucrados por completo en la definición de requisitos?
5. ¿Tienen los usuarios finales expectativas realistas?
6. ¿Es estable el ámbito del proyecto? 7. ¿Tiene el Ingeniero de SW el conjunto de habilidades?8. ¿Son estables los requisitos del proyecto?9. ¿Tiene experiencia el equipo del proyecto con la tecnología a
implementar?10. ¿Es adecuado el número de personas del equipo del proyecto para
realizar el trabajo?11. ¿Están de acuerdo todos los clientes/usuarios en la importancia del
proyecto y en los requisitos del sistema/producto a construir?
ANÁLISIS Y GESTIÓN DEL RIESGO
5
COMPONENTES Y CONTROLADORES DEL RIESGO.
Identificar los controladores que afectan a los componentes de riesgo software:
C. R. Rendimiento G.I. con el que el producto encontrará sus requisitos y se adecue para el uso que se pretende darle.
C. R. Coste G. I. que mantendrá el presupuesto del proyecto.
C. R. Soporte G. I. de la facilidad del SW para corregirse, adaptarse y mejorarse.
C. R. Planificación temporal G. I. con que se podrá mantener la planificación temporal y de que el producto se entregue a tiempo.
ANÁLISIS Y GESTIÓN DEL RIESGO
6
PROYECCION DEL RIESGO.Combinación entre probabilidad de ocurrir
y su impacto.
1. Establecer escala q’ refleje probabilidad. 2. Definir consecuencias.3. Estimar impacto en proyecto y en producto.4. Apuntar exactitud general de la estimación.
Se tienen en cuenta en primer lugar:
1. Riesgos de gran impacto y probabilidad moderada en adelante.
2. Riesgos de bajo impacto pero de gran probabilidad.
ANÁLISIS Y GESTIÓN DEL RIESGO
7
ANÁLISIS Y GESTIÓN DEL RIESGO
8
Matriz de Priorización de Riesgos.
ANÁLISIS Y GESTIÓN DEL RIESGO
9
EXPOSICION AL RIESGO (ER) (¿Cuánto me cuesta?).Identificación del riesgo. Probabilidad del riesgo.Impacto del riesgo
Cantidad promedio de LDC por componente = 100 LDC.Valor de LDC x Componente = 14.00 ₤ / LDC.
Costo global (Impacto) = 18 comp * 100 LDC/comp * 14 ₤/LDC = 25200 ₤
ER = P * C = 0.8 * 25.200 ₤ = 20.200 ₤.¡ESTO SE HACE PARA CADA RIESGO!
EVALUACION DEL IMPACTO DEL RIESGO.Factores que afectan a las consecuencias probables de un riesgo si ocurre:
NATURALEZA Problemas probables.ALCANCE Severidad + Distribución general.TEMPORIZACION Cuándo aparecerá y por cuánto tiempo se hará sentir.
ANÁLISIS Y GESTIÓN DEL RIESGO
10
Reducción, Supervisión y Gestión de Riesgos
Reducción Estrategias xa evitar que ocurra. (Al comienzo del proyecto).Supervisión Revisión de factores durante el proyecto. Gestión Planes de contingencia si el riesgo aparece.
¡TODO ESTO INEVITABLEMENTE AUMENTA COSTOS!
Ayudarse de la Ley de Pareto (80/20): 80 por ciento de las consecuencias posibles radican
en el 20 de los factores identificados.
80 por ciento del fracaso radica en el 20 de los riesgos.
ANÁLISIS Y GESTIÓN DEL RIESGO
11
El plan RSGR
Todos los documentos del plan RSGR se llevan a cabo como parte del análisis de riesgo y son empleados por el jefe del proyecto como parte del Plan del Proyecto general. A continuación se expone un esquema del Plan RSGR.
I. Introducción1. Alcance y propósito del documento2. Visión general de los riesgos principales3. Responsabilidadesa. Gestiónb. Personal técnico
II. Tabla de riesgo del proyecto.1. Descripción de todos los riesgos por encima de la línea
de corte2. Factores que influyen en la probabilidad e impacto
ANÁLISIS Y GESTIÓN DEL RIESGO
11
El plan RSGR
III. Reducción, supervisión y gestión del riesgo
n. Riesgo # na. Reducción
i.Estrategia general.ii. Pasos específicos.
b. Supervisióni. Factores a supervisar.ii. Enfoque de supervisión.
c. Gestióni. Plan de contingencia.ii. Consideraciones especiales.
IV. Planificación temporal de revisión del Plan RSGRV. Resumen
ANÁLISIS Y GESTIÓN DEL RIESGO
12
El plan RSGRUna vez que se ha desarrollado el plan RSGR y el proyecto ha comenzado, empiezan los procedimientos de reducción y supervisión del riesgo.
La reducción del riesgo es una actividad para evitar problemas.
La supervisión del riesgo es una actividad de seguimiento del proyecto con tres objetivos principales:
(1) Valorar cuando un riesgo previsto ocurre de hecho; (2) Asegurarse de que los procedimientos para evitar el riesgo definidos para el riesgo en cuestión se están aplicando apropiadamente; (3) Recoger información que pueda emplearse en el futuro para analizar riesgos.
En muchos casos, los problemas que ocurren durante un proyecto pueden afectar a más de un riesgo. Otro trabajo de la supervisión de riesgos es intentar determinar el "origen" (qué riesgos ocasionaron tal problema) a lo largo de todo el proyecto.
Caso Práctico
Servidores Web
Servidores
Estaciones
Internet
Servicios Bancarios, S.A.Diagrama de Red
Antecedentes
El 89.4% de los incidentes registrados en Internet son de accesos no autorizados El 27.7% de esto lo constituye acceso a sistemas de
claves. El 24.1% lo constituye accesos a cuentas El 37.6% lo constituyen intentos de acceso
El 10.6% restante lo conforma el uso no autorizado El 2.4% lo constituye ataques de negación de servicios El 3.1% lo constituye incidentes de corrupción de
información. El 5.1% incidentes de revelación de información.
Antecedentes(Continuación…)
El 18.1% de los incidentes registrados en Internet utilizaron algún tipo de herramientas El 15.4% utilizó los caballo de Troya
El 45.3% restante explotó alguna vulnerabilidad El 21.8% lo constituye las palabras claves fáciles de
adivinar, descifrado de palabras claves, entre otros . El resto explotó fallas en las configuraciones,
servidores, correo electrónico, etc.
Declaración y Contexto de Riesgo
Identificador
Declaración Contexto Origen Clase Fecha
Bomba de Correo Electrónico
La falta de filtros puede conllevar a un ataque de este tipo.
Serie de mensajes enviados a una casilla de correo con un tamaño promedio de 2MB
Juan Pérez, Especialista de Seguridad
Experiencia en otra instalación
15/10/01
Negación de Servicios
La falta de actualización e implementación de medidas correctivas conllevan este tipo de ataque
Pueden atacar los equipos y sistemas inhabilitando los servicios para los cuales han sido establecidos.
Luis Pinzón, Administrador de SO
Experiencia en otra instalación
15/10/01
Scanner Son programas que detectan en forma automática las debilidades de la red
La información resultante en conjunto con un análisis integral puede facilitar el ataque a las áreas vulnerables de toda la instalación
Juan Pérez, Especialista de Seguridad
Experiencia en nuestra instalación
15/10/01
Forma de Evaluación
Riesgo ImpactoSignificativo
Probabilidadde Ocurrir
Marco deTiempo
Evaluación Binaria
Bomba de Correo Electrónico
3
Scanner 4
Virus 7
Captura de Paquetes
4
Windows NT 7
Vulnerabilidades Conocidas
7
Negación de Servicios
7
Gráfica de Barra de Riesgo
0
0,5
1
1,5
2
2,5
3
3,5
4
Número Riesgo
HerramientaPlataforma
Clasificación de Riesgos
Categoría Identificador Riesgo
Herramientas 1A Bomba de Correo Electrónico
1B Scanner
1C Virus
1D Captura de Paquetes
Plataformas 2A Windows NT
2B Vulnerabilidades Conocidas
2C Negación de Servicios
Comparación de Rango de Riesgo
Riesgo 1A 1B 1C 1D Resultado
1A 0 1 0 .5 1.5
1B 0 0 0 .5 .5
1C 1 1 0 1 3
1D .5 .5 0 0 1
Lista de Acción por Riesgo
Identificador
Riesgos Existentes
Estrategia Correctiva
Descripción de la Acción
Asignado a:
Fecha
1A – Bomba de Correo Electrónico
Upyour.zip, kaboom3.zip, bomb.exe, mailbomb.c
-Erradicar archivos de bomba de correo.-Filtros: www.stalker.com , www.antispam.org www.spamkiller.com
Obtener archivo correctivo vía internet o proveedor local correspondiente a la plataforma seleccionada
Juan Pérez, Especialista de Seguridad
15/10/01
1B – Scanner Revelan las debilidades de una red en forma detallada y ordenada. Pueden ser utilizado tanto por los administradores como por los hackers
Scanners o IDS disponibles:Webtrend, Enterprise Security Manager, Netprowler, ISS,, patchwork.
Identificar los scanners disponibles y sus filosofías de acción para escoger los más adecuados para nuestra instalación.
Luis Pinzón, Administrador de SO
15/10/01
2B - Vulnerabilidades Conocidas
Ataques conocidos: bonk.c, hanson.c, land.c
Arreglos disponibles: microsoft, www.real.com , etc
Obtener archivo correctivo vía internet o proveedor.
Luis Pinzón, Administrador de SO
15/10/01
Hoja de Monitoreo del RiesgoIdentificador del Riesgo
Prioridad DeclaraciónDel Riesgo
Situación del Riesgo
Probalidad Impacto Asignado a:
1A – Bomba de Correo Electrónico
2 No se utiliza filtros de correo electrónico
Riesgo de seguridad presente. Posible negación de servicio.
Media Bajo Juan Pérez, especialista de Seguridad
1B – Scanner 3 No se utiliza el scanner en forma frecuente
Puntos vulnerables de la red de fácil corrección se encuentran presentes
Baja Medio Luis Pinzón, Administrador de base de datos
2C - Negación de servicios
1 Ataque dirigido frecuentemente a ruteadores y web serves con mucha efectividad
Cada ataque conocido tiene su medida correctiva
Media Alto Luis Pinzón, Administrador de Base de Datos
Identificador: 1A Hoja de Información del Riesgo Identificado: Fecha de identificación del riesgo
Prioridad: 2 Declaración: La falta de filtros de correo electrónico puede conllevar a un ataque de negación de servicio en el que un ruteador o un servidor de correo electrónico están bajo un continuo ataque; lo que constituye un riesgo de seguridad
Probabilidad:Media
Impacto: Bajo Origen:Juan Pérez, Especialista de Seguridad
Clase: Experiencia de otra instalación
Asignado a: Juan Pérez, Especialista de Seguridad
Contexto: Una bomba de correo electrónico es simplemente una serie de mensajes (probablemente miles) enviados a una casilla de correo. Su tamaño promedio es de 2MB. Su intención es llenar la casilla de correo con basura. De no implementarse filtros de correo podría conllevar a la negación de servicios y constituir un riesgo de seguridad.
Estrategia Correctiva: 1. Identificación de los paquetes de bombas. 2. Identificación de las aplicaciones de filtros. 3. Entrenamiento al personal.
Plan de Contingencia y Activación: Plan: Contratar servicios profesionales que proporciones entrenamiento en la instalación y utilización de filtros de correo. Activación: De no satisfacer la solución interna
Situación: Casos reportados, tipo de bomba identificada, filtros instalados y Personal Capacitado.
Fecha de Situación: 23/10/03
Aprobado: Ramón Pérez, Director de Seguridad de SI
Fecha de Clausura: 23/10/03.
Comentario de Clausura: Las acciones fueron emprendidas inmediatamente.
¿Es esto suficiente para ….?
Asegurarme de la dependencia creciente en TI.
Director
Protegerme de las nuevas vulnerabilidades en la TI.
Asegurar que las inversiones actuales y futuras en TI realmente sirvan a los objetivos de la organización.
Utilizar al máximo el potencial de la TI para cambiar la organización y nuestras practicas; crear nuevas oportunidades y reducir costos
Conclusiones La administración de riesgo nos permite reducir los
riesgo antes que estos se presenten en el desarrollo de proyectos de software.
Identifica los problemas potenciales y actúa sobre ellos en una forma mas económica para evitar impactos negativos en el desarrollo de software.
Cada organización debe modelar su propia metodología de análisis y manejo del riesgo de acuerdo a sus necesidades
El trabajo en equipo es una de las claves de éxito en el correcto manejo de los riesgos.
Las evaluaciones deben hacer énfasis en escenarios existentes y no hipotéticos.