academia latinoamericana de seguridad informática módulo 2 christian linacre arquitecto it...
TRANSCRIPT
Academia Latinoamericana de Academia Latinoamericana de Seguridad InformáticaSeguridad Informática
Módulo 2Módulo 2
Christian LinacreChristian LinacreArquitecto ITArquitecto IT
Microsoft Microsoft Cono SurCono Sur
AgendaAgenda
IntroducciónIntroducción
Concepto de análisis de riesgoConcepto de análisis de riesgo
Momento y ámbitos del análisis de riesgosMomento y ámbitos del análisis de riesgos
Actividades del análisis de riesgosActividades del análisis de riesgos
Relevancia de los procesos de negocios y activosRelevancia de los procesos de negocios y activos
Definición del equipo involucrado y entrevistas a Definición del equipo involucrado y entrevistas a los usuarioslos usuarios
Análisis técnicoAnálisis técnico
Relevancia de los activosRelevancia de los activos
Resultados del análisis de riesgosResultados del análisis de riesgos
IntroducciónIntroducción
Enemigo hoy es más rápido, más difícil de Enemigo hoy es más rápido, más difícil de detectar y mucho más atrevidodetectar y mucho más atrevido
Conocer las organizacionesConocer las organizaciones
ComposiciónComposición
CriticidadCriticidad
Procesos clave de negociosProcesos clave de negocios
Descubrir las amenazas potencialesDescubrir las amenazas potenciales
Determinar las vulnerabilidadesDeterminar las vulnerabilidades
PROTEGERPROTEGER
Concepto de análisis de riesgoConcepto de análisis de riesgo
AmenazasAmenazas se pueden convertir en realidad se pueden convertir en realidad a través de fallas de seguridad a través de fallas de seguridad
Fallas de seguridad = vulnerabilidades Fallas de seguridad = vulnerabilidades
Eliminarlas para proteger el ambiente Eliminarlas para proteger el ambiente
Lograr un ambiente libre de riesgos de Lograr un ambiente libre de riesgos de incidentes de seguridadincidentes de seguridad
Análisis de riesgo busca priorizar las Análisis de riesgo busca priorizar las acciones de seguridadacciones de seguridad
amenaza-incidente-impactoamenaza-incidente-impacto
Concepto de análisis de riesgoConcepto de análisis de riesgo
AmenazaAmenaza
Agentes que aprovechan vulnerabilidadesAgentes que aprovechan vulnerabilidades
IncidenteIncidente
Hechos a ser evitados porque generan Hechos a ser evitados porque generan problemas en la organizaciónproblemas en la organización
ImpactosImpactos
Efectos que producen los incidentesEfectos que producen los incidentes
Tienen amplitud y gravedadTienen amplitud y gravedad
Ejemplos: pérdida de un documento Ejemplos: pérdida de un documento confidencial, eventos de la naturalezaconfidencial, eventos de la naturaleza
Definición de análisis de riesgosDefinición de análisis de riesgos
Actividad centrada en la identificación de Actividad centrada en la identificación de fallas de seguridadfallas de seguridad que evidencien que evidencien vulnerabilidadesvulnerabilidades que puedan ser que puedan ser explotadas por explotadas por amenazasamenazas, provocando , provocando impactosimpactos en los negocios de la en los negocios de la organizaciónorganización
Identifica los riesgos a los que está Identifica los riesgos a los que está expuesta una organizaciónexpuesta una organización
Determina la recomendaciones de Determina la recomendaciones de seguridadseguridad
Definición de análisis de riesgoDefinición de análisis de riesgo
¿Debemos eliminar TODOS los riesgos?¿Debemos eliminar TODOS los riesgos?
Realizar un análisis de Realizar un análisis de COSTO – BENEFICIOCOSTO – BENEFICIO
Crear conciencia que la reducción de Crear conciencia que la reducción de riesgos beneficia ariesgos beneficia a
Las personasLas personas
La organizaciónLa organización
HolísticamenteHolísticamente
Qué hemos revisadoQué hemos revisado
Conceptos de análisis de riesgosConceptos de análisis de riesgos
AmenazaAmenaza
IncidenteIncidente
ImpactoImpacto
Relación Costo – Beneficio Relación Costo – Beneficio
Momento y ámbitos del análisis de Momento y ámbitos del análisis de riesgosriesgos
Ámbito Ámbito
TecnológicoTecnológico
HumanoHumano
ProcesosProcesos
FísicoFísico
¿Cuándo?¿Cuándo?
antes o después de la definición de una antes o después de la definición de una política de seguridadpolítica de seguridad (para ISO 17799 puede (para ISO 17799 puede ser después)ser después)
Política de seguridad y análisisPolítica de seguridad y análisis
Política de seguridad es una medida que Política de seguridad es una medida que busca establecer los estándares de busca establecer los estándares de seguridad a ser seguidos por todos los seguridad a ser seguidos por todos los involucrados con el uso y mantenimiento involucrados con el uso y mantenimiento de los activosde los activos
La política afecta el análisis porque:La política afecta el análisis porque:La política de seguridad delimita el alcance del La política de seguridad delimita el alcance del análisisanálisis
Permite ser selectivo en la verificación de Permite ser selectivo en la verificación de activos que la política establece como activos que la política establece como vulnerablesvulnerables
El análisis toma en cuenta la lista de amenazas El análisis toma en cuenta la lista de amenazas potenciales que la misma política contemplapotenciales que la misma política contempla
¿Cuando realizar el análisis?¿Cuando realizar el análisis?
Después de la políticaDespués de la política
A mayor daño potencial menor debe ser el A mayor daño potencial menor debe ser el tiempo tomado para realizar el análisis de tiempo tomado para realizar el análisis de riesgosriesgos
Ámbitos del análisis de riesgosÁmbitos del análisis de riesgos
TecnológicoTecnológico
Obtener el conocimiento de las configuraciones Obtener el conocimiento de las configuraciones y de la disposición topológicay de la disposición topológica
Aplicaciones y equipos usados por las personasAplicaciones y equipos usados por las personas
HumanoHumano
Entender las maneras en que las personas se Entender las maneras en que las personas se relacionan con los activosrelacionan con los activos
Identificar vulnerabilidades en los activos de Identificar vulnerabilidades en los activos de tipo usuario y organizacióntipo usuario y organización
Ojo: nivel de capacitación de las personasOjo: nivel de capacitación de las personas
Ámbitos del análisis de riesgosÁmbitos del análisis de riesgos
ProcesosProcesos
Identificar los eslabones entre las actividades y Identificar los eslabones entre las actividades y los insumos necesarios para su realizaciónlos insumos necesarios para su realización
Enfoque principal es del tipo usuario e Enfoque principal es del tipo usuario e informacióninformación
FísicoFísico
Activos del tipo organización que proveen el Activos del tipo organización que proveen el soporte físico al entorno en que está siendo soporte físico al entorno en que está siendo manipulada la informaciónmanipulada la información
Accesos indebidos e impacto de desastresAccesos indebidos e impacto de desastres
Qué hemos revisadoQué hemos revisado
Ámbitos de análisis de riesgoÁmbitos de análisis de riesgo
Políticas de seguridadPolíticas de seguridad
Factores que afectan el análisis de riesgoFactores que afectan el análisis de riesgo
Actividades del análisis de riesgosActividades del análisis de riesgos
Un análisis de riesgos se forma por medio Un análisis de riesgos se forma por medio de un conjunto de actividades de un conjunto de actividades preestablecidas que tiene como objetivo preestablecidas que tiene como objetivo identificar el proceso a considerar , saber identificar el proceso a considerar , saber cuáles son sus elementos o partes cuáles son sus elementos o partes constituyentes, cuáles los equipos constituyentes, cuáles los equipos necesarios en para efectuarlonecesarios en para efectuarlo
Para definir que hacer debemos Para definir que hacer debemos conocerconocer las vulnerabilidades más comuneslas vulnerabilidades más comunes
Para comprender mejor vamos a utilizar Para comprender mejor vamos a utilizar una empresa hipotética de ejemplouna empresa hipotética de ejemplo
Actividades del análisis de riesgosActividades del análisis de riesgos
Empresa Internet Banking Empresa Internet Banking
1.1. Identificar los procesos de negocios de la Identificar los procesos de negocios de la organización en que se desea implementar o organización en que se desea implementar o analizar el nivel de seguridad de la información analizar el nivel de seguridad de la información Definición del ámbito del proyecto de análisis Definición del ámbito del proyecto de análisis de riesgosde riesgos
2.2. Realización de análisis donde sea realmente Realización de análisis donde sea realmente necesario, en base a la relevancia del proceso necesario, en base a la relevancia del proceso de negocio y sus activos para alcanzar los de negocio y sus activos para alcanzar los objetivos de la organizaciónobjetivos de la organización
3.3. Por la necesidad de delimitar el universo de Por la necesidad de delimitar el universo de activos para ser analizados y sobre los cuales se activos para ser analizados y sobre los cuales se ofrecerán las recomendaciones.ofrecerán las recomendaciones.
Actividades del análisis de riesgosActividades del análisis de riesgos
Humanos:Humanos: personas que hacen uso del Internet Banking; personas que hacen uso del Internet Banking; soporte a los usuarios soporte a los usuarios Administradores de los activos en la organizaciónAdministradores de los activos en la organizaciónresponsables de la planeación y coordinación del trabajoresponsables de la planeación y coordinación del trabajoequipos que actúan en la definición de las políticas y equipos que actúan en la definición de las políticas y procedimientos para la realización del proceso de negocioprocedimientos para la realización del proceso de negocio
Tecnológicos: Tecnológicos: servidores de archivos, en los que se encuentran la información servidores de archivos, en los que se encuentran la información sobre el producto, sobre el producto, servidor de base de datos que almacena la información de las servidor de base de datos que almacena la información de las cuentas de los clientes del Internet Banking; cuentas de los clientes del Internet Banking; un servidor de correo electrónico (para envío de estado de cuenta un servidor de correo electrónico (para envío de estado de cuenta por correo electrónico); por correo electrónico); un servidor Web, que permite que se hagan consultas al producto un servidor Web, que permite que se hagan consultas al producto por Internet por Internet elementos de una red de comunicación para el envío y recepción elementos de una red de comunicación para el envío y recepción de la información (firewall, router, parámetro, conexión)de la información (firewall, router, parámetro, conexión)
Actividades del análisis de riesgosActividades del análisis de riesgos
Procesos:Procesos: estructura organizacional humana que estructura organizacional humana que ha sido establecida para la realización del ha sido establecida para la realización del proceso de negocioproceso de negocio
definición de los equipos para la mantención y garantía definición de los equipos para la mantención y garantía de la continuidad de los activos de tecnología del de la continuidad de los activos de tecnología del procesoproceso
personas y el flujo de actividades relacionadas a la personas y el flujo de actividades relacionadas a la atención a los clientesatención a los clientes
flujo de información para la realización de una flujo de información para la realización de una transacción por el banco virtualtransacción por el banco virtual
Físicos: Físicos: ambiente operativoambiente operativolugar de trabajo de los equipos involucradoslugar de trabajo de los equipos involucrados
lugar almacenamiento de la información críticalugar almacenamiento de la información crítica
puestos de atención al clientepuestos de atención al cliente
Qué hemos revisadoQué hemos revisado
Dónde y cómo aplicar el análisis de riesgoDónde y cómo aplicar el análisis de riesgo
HumanoHumano
TecnológicoTecnológico
ProcesosProcesos
FísicosFísicos
Relevancia de los procesos de negocio y Relevancia de los procesos de negocio y sus activos sus activos
Obtener beneficios del análisis de riesgo:Obtener beneficios del análisis de riesgo:
prioridades a lo largo de cada uno de sus prioridades a lo largo de cada uno de sus procesos de negocioprocesos de negocio
Crear un plan estratégico basado en la Crear un plan estratégico basado en la importancia e impactoimportancia e impacto
Distinguiendo activos y PROTEGERLOS a Distinguiendo activos y PROTEGERLOS a través de las acciones de seguridadtravés de las acciones de seguridad
Empezando por:Empezando por:
Áreas más estratégicas que tengan impacto Áreas más estratégicas que tengan impacto mayor si ocurre un incidentemayor si ocurre un incidente
Identificación de la relevancia de Identificación de la relevancia de los procesoslos procesos
Dirigir las acciones de seguridad a
las áreas donde se reduzcan
costos y se optimicen recursos.
Dirigir las acciones de seguridad a
las áreas donde es más
urgente atender.
Dirigir las acciones de seguridad a
las áreas más críticas y
prioritarias.
Identificación de la
relevancia de la seguridad
en los procesos de
negocios
Identificación de la relevanciaIdentificación de la relevancia
Identificación de la relevancia de los Identificación de la relevancia de los activosactivos
Cada activo que constituye el proceso de Cada activo que constituye el proceso de negocio, debe ser considerado en una negocio, debe ser considerado en una escala de valor críticoescala de valor crítico
¿Por qué? Para evitar invertir en seguridad ¿Por qué? Para evitar invertir en seguridad donde no sea verdaderamente necesario o donde no sea verdaderamente necesario o donde no sea prioritariodonde no sea prioritario
La relevancia de los activos en los La relevancia de los activos en los negocios de la empresa, marcará el rumbo negocios de la empresa, marcará el rumbo definitivo de las acciones de seguridad en definitivo de las acciones de seguridad en la empresala empresa
Identificación de la relevancia de los Identificación de la relevancia de los activosactivos
Identificar los puntos débiles para que sean corregidosIdentificar los puntos débiles para que sean corregidosdisminuir las vulnerabilidades disminuir las vulnerabilidades
Conocer los elementos constituyentes de la infraestructura Conocer los elementos constituyentes de la infraestructura de comunicación, procesamiento y almacenamiento de la de comunicación, procesamiento y almacenamiento de la informacióninformación
dimensionar dónde serán hechos los análisis y cuáles elementos dimensionar dónde serán hechos los análisis y cuáles elementos serán consideradosserán considerados
Conocer el contenido de la información manipulada por los Conocer el contenido de la información manipulada por los activos, con base en los principios de la activos, con base en los principios de la confidencialidad, confidencialidad, integridad y disponibilidadintegridad y disponibilidad
Dirigir acciones para incrementar los factores tecnológicos y Dirigir acciones para incrementar los factores tecnológicos y humanos en las áreas críticas y desprotegidashumanos en las áreas críticas y desprotegidas
Permitir una gestión periódica de seguridadPermitir una gestión periódica de seguridadidentificar nuevas amenazas y vulnerabilidadesidentificar nuevas amenazas y vulnerabilidades
verificación de la eficacia de las recomendaciones provistas.verificación de la eficacia de las recomendaciones provistas.
Qué hemos revisadoQué hemos revisado
Relevancia de Relevancia de
Procesos de negociosProcesos de negocios
ActivosActivos
Metodo STRIDEMetodo STRIDE
Definición del equipo involucrado y Definición del equipo involucrado y entrevistas a los usuariosentrevistas a los usuarios
Dimensionar el recurso humano para la Dimensionar el recurso humano para la elaboración del análisis de riesgoselaboración del análisis de riesgos
Fuerza de trabajo necesariaFuerza de trabajo necesaria
Entrevista a los usuarios que permite Entrevista a los usuarios que permite conocer cada uno de los procesos de la conocer cada uno de los procesos de la empresa a través de los actores que los empresa a través de los actores que los llevan a cabollevan a cabo
Definición del equipo involucradoDefinición del equipo involucradoEn la definición de los equipos de trabajo que
intervienen en el análisis de riesgos es
importante considerar…
…que tienen que ser definidos con anticipación con la posibilidad que durante el análisis de incluir nuevos elementos en virtud de nuevos descubrimientos tecnológicos o de proceso que sucedan durante el análisis.
… que es importante considerar la confidencialidad del análisis de riesgos porque es un proceso de identificación de los puntos débiles de la organización, por tanto sólo personas de confianza forman parte de estos equipos.
… que los resultados que obtenga de su labor en el análisis deben ser resguardados ser accedidos y utilizados sólo por las personas previamente identificadas y autorizadas
Entrevista a los usuariosEntrevista a los usuarios
Guía de los análisis técnicosGuía de los análisis técnicos
Rastrean a los involucrados con la Rastrean a los involucrados con la administración de los activosadministración de los activos
Detectar vulnerabilidades y amenazas al Detectar vulnerabilidades y amenazas al proceso de negocioproceso de negocio
Detectar nuevos elementos humanos o Detectar nuevos elementos humanos o tecnológicos que hacen parte del proceso tecnológicos que hacen parte del proceso de negociode negocio
Entrevista a los usuariosEntrevista a los usuarios
Permite sobre los procesos de negocio:Permite sobre los procesos de negocio:
Obtener detalles sobre cómo son gestionados, Obtener detalles sobre cómo son gestionados, implementados y utilizadosimplementados y utilizados
Hacer un mapeo de la criticidad de estos Hacer un mapeo de la criticidad de estos procesos frente a las circunstancias procesos frente a las circunstancias organizacionales a que está sometidoorganizacionales a que está sometido
Definir el nivel de capacitación necesaria del Definir el nivel de capacitación necesaria del equipo involucrado en su sustentaciónequipo involucrado en su sustentación
Conocer la forma con que se da el flujo de Conocer la forma con que se da el flujo de información dentro del procesoinformación dentro del proceso
Conocer la forma de uso y tratamiento de sus Conocer la forma de uso y tratamiento de sus productos derivadosproductos derivados
Qué hemos revisadoQué hemos revisado
Definición del equipo involucrado para Definición del equipo involucrado para realizar analisis de riesgos realizar analisis de riesgos
Metodología de entrevistas a los usuarios Metodología de entrevistas a los usuarios de procesos de negociosde procesos de negocios
Análisis técnico de seguridadAnálisis técnico de seguridad
Es recolectar información de los activos:Es recolectar información de los activos:
ConfiguraciónConfiguración
Estructura en la red de comunicaciónEstructura en la red de comunicación
Forma de administración de sus responsablesForma de administración de sus responsables
Para identificar la utilización y manipulaciónPara identificar la utilización y manipulación
Encontrar vulnerabilidades de seguridadEncontrar vulnerabilidades de seguridad
PotencialesPotenciales
PresentesPresentes
Análisis técnico de seguridadAnálisis técnico de seguridad
Estaciones de trabajoEstaciones de trabajo
configuraciones para evitar que los usuarios configuraciones para evitar que los usuarios permiten la acción de amenazaspermiten la acción de amenazas
ServidoresServidores
archivos de configuración y de definición de archivos de configuración y de definición de usuarios que tienen derechos de administración usuarios que tienen derechos de administración
Equipos de conectividadEquipos de conectividad
detección de configuraciones que ponen en detección de configuraciones que ponen en riesgo las conexiones realizadas por la red de riesgo las conexiones realizadas por la red de comunicación que respalda un proceso de comunicación que respalda un proceso de negocionegocio
Análisis técnico de seguridadAnálisis técnico de seguridad
ConexionesConexiones
Análisis topológico y la representación Análisis topológico y la representación topológica de la redtopológica de la red
Bases de datosBases de datos
privilegios de los usuarios con relación a los privilegios de los usuarios con relación a los permisos de usopermisos de uso
AplicacionesAplicaciones
deben garantizar un acceso restrictivo, con deben garantizar un acceso restrictivo, con base en los privilegios de cada usuariobase en los privilegios de cada usuario
Qué hemos revisadoQué hemos revisado
Análisis técnico de seguridadAnálisis técnico de seguridad
Estaciones de trabajoEstaciones de trabajo
ServidoresServidores
Comunicaciones y conectividadComunicaciones y conectividad
Bases de datosBases de datos
AplicacionesAplicaciones
Análisis de seguridad físicaAnálisis de seguridad física
Vulnerabilidades del entorno físico que Vulnerabilidades del entorno físico que puedan poner en riesgo los activos del puedan poner en riesgo los activos del ambiente en que se encuentrenambiente en que se encuentren
¿Por qué? Para garantizar la continuidad y ¿Por qué? Para garantizar la continuidad y buen funcionamiento de las actividades buen funcionamiento de las actividades individualesindividuales
La organización del espacio físico permite La organización del espacio físico permite tener un área de trabajo seguratener un área de trabajo segura
Se inicia con una visita técnica en los Se inicia con una visita técnica en los entornosentornos
Análisis de seguridad físicaAnálisis de seguridad física
Disposición organizativaDisposición organizativa
Donde y como se organizan los activosDonde y como se organizan los activos
Sistemas de combate contra incendiosSistemas de combate contra incendios
Detectores de humo, sistemas de extinciónDetectores de humo, sistemas de extinción
Controles de accesoControles de acceso
Cámaras de vídeo, biometríaCámaras de vídeo, biometría
Exposición a clima y medio ambienteExposición a clima y medio ambiente
Ubicación de puertas y ventanasUbicación de puertas y ventanas
TopografíaTopografía
Ubicación geográfica del datacenterUbicación geográfica del datacenter
Qué hemos revisadoQué hemos revisado
Análisis de seguridad físicaAnálisis de seguridad física
Áreas a analizarÁreas a analizar
Vulnerabilidades posiblesVulnerabilidades posibles
ImportanciaImportancia
Relevancia de los activos para el análisis Relevancia de los activos para el análisis de riesgosde riesgos
El análisis de riesgo sugiere la valoración El análisis de riesgo sugiere la valoración de la relevancia del proceso de negociode la relevancia del proceso de negocio
A mayor relevancia tenga un proceso para A mayor relevancia tenga un proceso para el negocio, mayor es la importancia crítica el negocio, mayor es la importancia crítica de los activos que hacen parte de éste de los activos que hacen parte de éste
……y mayor será el riesgo a que está y mayor será el riesgo a que está expuesta la organización en el caso de que expuesta la organización en el caso de que ocurra un incidente de seguridad en dicho ocurra un incidente de seguridad en dicho procesoproceso
La relevancia permite PRIORIZARLa relevancia permite PRIORIZAR
Resultados del análisis de riesgosResultados del análisis de riesgos
Análisis de RiesgosAnálisis de Riesgos: herramienta para el : herramienta para el tratamiento de las vulnerabilidadestratamiento de las vulnerabilidades
Permite establecer políticas para la Permite establecer políticas para la corrección de los problemas ya detectadoscorrección de los problemas ya detectados
Permite corregir el entornoPermite corregir el entorno
Permite implementar el tratamiento de las Permite implementar el tratamiento de las vulnerabilidadesvulnerabilidades
Gestión de seguridad de ellos a lo largo del Gestión de seguridad de ellos a lo largo del tiempotiempo
Resultados del análisis de riesgosResultados del análisis de riesgos
¿El resultado?¿El resultado?
informes de recomendaciones de informes de recomendaciones de seguridadseguridad
Para evaluar los riesgosPara evaluar los riesgos
Conocer los activos de los procesos de negocioConocer los activos de los procesos de negocio
Matriz de valor críticoMatriz de valor crítico
Entrega la situación de seguridad de los activosEntrega la situación de seguridad de los activos
Datos cualitativos y cuantitativosDatos cualitativos y cuantitativos
Lista vulnerabilidades, amenazas potenciales y Lista vulnerabilidades, amenazas potenciales y respectivas recomendaciones de seguridad respectivas recomendaciones de seguridad
Resultados del análisis de riesgosResultados del análisis de riesgos
Aumenta la seguridad en la organización Aumenta la seguridad en la organización
Pero es sólo el DIAGNÓSTICOPero es sólo el DIAGNÓSTICO
A partir del análisis se pueden implementar A partir del análisis se pueden implementar medidasmedidas
CorrectivasCorrectivas
PreventivasPreventivas
PerceptivasPerceptivas
¿Después?¿Después?
La política de seguridad que es el La política de seguridad que es el establecimiento de normas de seguridadestablecimiento de normas de seguridad
Qué hemos revisadoQué hemos revisado
Conceptos de análisis de riesgosConceptos de análisis de riesgos
Importancia de analizar adecuadamente los Importancia de analizar adecuadamente los resultados del análisis de riesgosresultados del análisis de riesgos
© 2005 Microsoft Corporation. Todos los derechos reservados.Este documento es sólo para fines informativos. MICROSOFT NO OFRECE GARANTÍA ALGUNA, EXPRESA O IMPLÍCITA, EN ESTE RESUMEN.
PreguntasPreguntas
© 2005 Microsoft Corporation. Todos los derechos reservados.Este documento es sólo para fines informativos. MICROSOFT NO OFRECE GARANTÍA ALGUNA, EXPRESA O IMPLÍCITA, EN ESTE RESUMEN.
GraciasGracias