adminis traci on

43
Administración de Riesgos en Seguridad Informática

Upload: clchanto

Post on 24-Dec-2015

8 views

Category:

Documents


0 download

DESCRIPTION

Adminis Traci On

TRANSCRIPT

Administración de Riesgos en Seguridad Informática

Objetivo

Proveer información complementaria para la aplicación de la Administración de Riesgos en

Ambientes Informáticos

Agenda

Qué es Administración de Riesgos? Proceso de Administración de Riesgos

Qué es Administración de Riesgos?

Herramienta gerencialHerramienta gerencial

que apoya la toma de que apoya la toma de decisiones organizacionalesdecisiones organizacionales

facilitando con ello el facilitando con ello el cumplimiento de los cumplimiento de los objetivos del negocioobjetivos del negocio

RIESGOSRIESGOS

Proceso iterativo Proceso iterativo basado en el basado en el

conocimiento, conocimiento, valoración, valoración,

tratamiento y tratamiento y monitoreo de los monitoreo de los

riesgos y sus impactos riesgos y sus impactos en el negocioen el negocio

Qué es Administración de Riesgos?

Aplicable a cualquier Aplicable a cualquier situación donde un situación donde un

resultado no deseado o resultado no deseado o inesperado podría ser inesperado podría ser

significativo significativo en el en el logro de los objetivos logro de los objetivos o o donde se identifiquen donde se identifiquen

oportunidadesoportunidades de de negocionegocio

UbicaciónUbicaciónGeográficaGeográfica

UnidadUnidadOrganizacionalOrganizacional

Sistema de Sistema de InformaciónInformación

ProyectoProyectoProcesoProceso

OportunidadOportunidad

Qué es Administración de Riesgos?

1. Establecer Marco General

2. Identificar Riesgos

3. Análisis de Riesgos

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

Monitorear y Revisar

Monitorear y Revisar

Proceso de Administración de Riesgos

1.3. Identificar Criterios de Calificación

1.1. Entender el Entorno

1.2. Entender la Oganización

Administración de Riesgos1. Establecer Marco General

1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos

1.3. Identificar Criterios de Calificación

1.1. Entender el Entorno

1.2. Entender la Oganización

Administración de Riesgos1. Establecer Marco General

1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos

Análisis Externo

Aspectos financieros, operacionales, competitivos,

políticos (percepción / imagen), sociales, clientes, culturales y

legales

Stakeholders

Objetivos

Estrategias

1.3. Identificar Criterios de Calificación

1.1. Entender el Entorno

1.2. Entender la Oganización

Administración de Riesgos1. Establecer Marco General

1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos

MetodologíaMetodología

PolíticasPolíticas

Criterios de Calificación y Tablas de ValoraciónCriterios de Calificación y Tablas de Valoración

Universo de Objetos y Objetos Críticos PriorizadosUniverso de Objetos y Objetos Críticos Priorizados

Objeto 1Objeto 1

Objeto 2Objeto 2

Objeto 3Objeto 3

Objeto nObjeto n

Cri

teri

o 1

Cri

teri

o 1

Cri

teri

o 2

Cri

teri

o 2

Cri

teri

o 3

Cri

teri

o 3

Cri

teri

o 4

Cri

teri

o 4

Cri

teri

o 5

Cri

teri

o 5

Cri

teri

o n

Cri

teri

o n

Cri

teri

o 6

Cri

teri

o 6

Cri

teri

o 8

Cri

teri

o 8

Cri

teri

o 7

Cri

teri

o 7

Administración de RiesgosQué y Cómo calificar - priorizar?

Interés de la Dirección Procesos – Subprocesos Proyectos Unidades Orgánicas Sistemas - Aplicaciones Geográficamente

Lista de Objetos a los cuáles se les

puede realizar Administración

de Riesgos

Administración de RiesgosQué calificar - Objetos?

Cómo dividir la organización?

Administración de RiesgosQué calificar - Objetos?

Basado en Procesos (Negocio – COBIT)

Basado en Sistemas

Basado en Proyectos

Basado en Infraestructura

Planeación estratégica de sistemasDesarrollo de sistemasEvolución o mantenimiento de sistemasIntegración de paquetes de softwareCapacitaciónProceso de datos en ambientes de trabajo en batchAtención a requerimientos de usuariosAdministrar servicios de terceros (incluye outsourcing)Administración de proyectos

Administración de la infraestructura informáticaDirección y control del área de tecnología de informaciónAdministración de recursos materiales (equipo, tecnología e instalaciones)Administración de recursos humanosAdministración de recursos financieros

Administración de RiesgosQué calificar - Objetos?

Basado en Procesos (Negocio – COBIT)

Basado en Sistemas

Basado en Proyectos

Basado en Infraestructura

Para un sistema en particular Programas – Archivos - Procedimientos Eventos - Entrada – Comunicación – Proceso – Salida - Distribución

Administración de RiesgosQué calificar - Objetos?

Basado en Procesos (Negocio – COBIT)

Basado en Sistemas

Basado en Proyectos

Basado en InfraestructuraA ProductosAnálisis al Proceso

Administración de RiesgosQué calificar - Objetos?

Basado en Procesos (Negocio – COBIT)

Basado en Sistemas

Basado en Proyectos

Basado en Infraestructura

Datos Sistemas de Información (Aplicaciones)Tecnología (Equipos – SW de base y SMBD – SW de Productividad – Metodologías)Instalaciones Recursos HumanosElementos de AdministraciónRecursos Financieros Proveedores

Administración de RiesgosCómo calificar – Criterios?

• Calidad del Control Interno• Competencia de la Dirección (entrenamiento, experiencia,

compromiso y juicio)• Integridad de la Dirección (códigos de ética)• Cambios recientes en procesos (políticas, sistemas, o

dirección)• Tamaño de la Unidad (Utilidades, Ingresos, Activos)• Liquidez de activos• Cambio en personal clave• Complejidad de operaciones• Crecimiento rápido• Regulación gubernamental• Condición económica deteriorada de una unidad• Presión de la Dirección en cumplir objetivos• Nivel de moral de los empleados• Exposición política / Publicidad adversa• Distancia de la oficina principal

De Negocio

IIA

• Exposición financiera• Pérdida y riesgo potencial• Requerimientos de la dirección• Cambios importantes en operaciones,

programas, sistemas y controles• Oportunidades de alcanzar beneficios

operativos• Capacidades del persona

• Pérdida financiera• Pérdida de imagen• Discontinuidad del negocio• Incumplimiento de la misión

Confidencialidad

Integridad Disponibilidad

Los activos de un sistema computacional son accedidos solo por personas autorizadasEl tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la

existencia de un objetoSECRETO, RESERVA, PRIVACIDAD

“SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”

Previene la divulgación no autorizada de datos

Administración de RiesgosCómo calificar – Criterios Seguridad Informática

Confidencialidad

Integridad Disponibilidad

Administración de RiesgosCómo calificar – Criterios Seguridad InformáticaLos activos pueden ser modificados solo por partes

autorizadas o solo en formas autorizadasLa modificación incluye escribir, cambiar, cambiar

estados, borrar y crearPRECISIÓN, EXACTITUD, NO MODIFICADO,

MODIFICADO SOLO EN FORMAS ACEPTABLES, MODIFICADO SOLO POR

PERSONAS AUTORIZADAS, MODIFICADO SOLO POR PROCESOS AUTORIZADOS,

CONSISTENCIA, CONSISTENCIA INTERNA, SIGNIFICADO Y RESULTADOS CORRECTOS

ACCIONES AUTORIZADAS, SEPARACIÓN Y PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y

CORRECCIÓN DE ERRORES

“CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER CUALES RECURSOS EN QUE

FORMAS”

Previene la modificación no autorizada de datos

Confidencialidad

Integridad Disponibilidad

INDEPENDENCIA - TRASLAPO

Los activos son accesibles a partes autorizadasAplica a datos y servicios

PRESENCIA DE OBJETOS O SERVICIOS EN FORMA UTIL, CAPACIDAD PARA

CUMPLIR LAS NECESIDADES DE SERVICIO, TIEMPO DE ESPERA

LIMITADO, TIEMPO DE SERVICIO ADECUADO

RESPUESTA OPORTUNA, TOLEREANCIA A FALLAS, UTILIDAD, CONCURRENCIA

CONTROLADA (Soporte para acceso simultáneo, administración de concurrencia y

acceso exclusivo)

NEGACIÓN O REPUDIACIÓN DEL SERVICIO

Previene la negación de acceso autorizado a datos

Administración de RiesgosCómo calificar – Criterios Seguridad Informática

2.1. Establecer el Contexto de Administración de Riesgos

2.2. Desarrollar Criterios de Valoración de Riesgos

2.3. Definir la Estructura

2.4. Identificar riesgos

2.5. Identificar causas

Administración de Riesgos2. Identificar Riesgos

Hardware

Software Datos

Medios de almacenamientoRedesAcceso

Gente clave

Administración de RiesgosSeguridad Informática - Activos

HardwareServidores, estaciones cliente, dispositivos de comunicación (router, bridge, hub, gateway, modem), dispositivos periférico, cables, fibras

Software (o Servicios)Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones, herramientas (administrativas, mantenimiento, backup), software bajo desarrollo

DatosDe la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-mailDe la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria, configuración y parámetros de la redDe los usuarios: datos procesados personal, archivos de propiedad del usuario

Administración de RiesgosSeguridad en Redes – Activos (Componentes)

R1 = Acceso no autorizado a la red o sus recursos

R2 = Divulgación no autorizada de información

R3 = Modificación no autorizada a datos y/o software

R4 = Interrupción de las funciones de la red (no disponibilidad de datos o servicios)R4a = incluyendo perdida o degradación de las comunicacionesR4b = incluyendo destrucción de equipos y/o datosR4c = incluyendo negación del servicio

R5 = Acciones engañosas en la red (no saber quien)

Administración de RiesgosSeguridad en Redes - Riesgos

Information Security Risks Physical Damage: Fire, water, power loss, vandalism

Human Error: Accidental or intentional action

Equipment malfunction: Failure of system

Inside and outside attacks: Hacking , cracking

Misuse of data:Sharing trade secrets

Loss od data: Intentional or unintentional loss

Application error: Computation errors, input errors

CausaCausaEvento primario fundamento Evento primario fundamento u orígen de una consecuenciau orígen de una consecuencia

CausaCausaEvento primario fundamento Evento primario fundamento u orígen de una consecuenciau orígen de una consecuencia

RiesgoRiesgoConcepto usado para expresar incertidumbre sobre Concepto usado para expresar incertidumbre sobre

"consecuencias y/o eventos que podrían llegar a impactar el "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"logro de los objetivos"

RiesgoRiesgoConcepto usado para expresar incertidumbre sobre Concepto usado para expresar incertidumbre sobre

"consecuencias y/o eventos que podrían llegar a impactar el "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"logro de los objetivos"

ConsecuenciaConsecuenciaResultado de un evento o Resultado de un evento o

situación expresado situación expresado cualitativa o cualitativa o

cuantitativamentecuantitativamente

ConsecuenciaConsecuenciaResultado de un evento o Resultado de un evento o

situación expresado situación expresado cualitativa o cualitativa o

cuantitativamentecuantitativamente

EventoEventoSituación que podría llegar a Situación que podría llegar a

ocurrir en un lugar ocurrir en un lugar determinado en un momento determinado en un momento

dadodado

EventoEventoSituación que podría llegar a Situación que podría llegar a

ocurrir en un lugar ocurrir en un lugar determinado en un momento determinado en un momento

dadodado

Administración de Riesgos2. Cómo escribir Riesgos?

Causa,Causa,Evento primarioEvento primario

o Situacióno Situación

Causa,Causa,Evento primarioEvento primario

o Situacióno Situación

RiesgoRiesgoConcepto usado para expresar incertidumbre sobre Concepto usado para expresar incertidumbre sobre

"consecuencias y/o eventos que podrían llegar a impactar el "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"logro de los objetivos"

RiesgoRiesgoConcepto usado para expresar incertidumbre sobre Concepto usado para expresar incertidumbre sobre

"consecuencias y/o eventos que podrían llegar a impactar el "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"logro de los objetivos"

Evento,Evento,AmenazaAmenazaEvento,Evento,

AmenazaAmenazaConsecuencia,Consecuencia,

Impacto,Impacto,ExposiciónExposicióno Resultadoo Resultado

Consecuencia,Consecuencia,Impacto,Impacto,

ExposiciónExposicióno Resultadoo Resultado

++

Administración de Riesgos2. Cómo escribir Riesgos?

Violación de la privacidad Demandas legales Perdida de tecnología propietaria Multas Perdida de vidas humanas Desconcierto en la organización Perdida de confianza

Administración de RiesgosSeguridad en redes – Impactos Significativos

Naturales Accidentales Deliberadas

Administración de RiesgosSeguridad Informática - Amenazas

Origen Amenaza directa Impacto inmediato

Terremotos, tormentas eléctricas

Fenómenos astrofísicos

Fenómenos biológicos

Interrupción de potencia, temperatura extrema debido a daños en construcciones,

Perturbaciones electromagnéticas

Muerte de personal crítico

R4, R4a, R4b

R4, R4a

R4, R4c

Administración de RiesgosSeguridad Informática – Amenazas Naturales

Origen Amenaza directa Impacto inmediato

Error del Usuario

Error del Administrador

Fallas de equipos

Borrado de archivos, Formateo de drive, mal empleo de equipos, errores de entrada

Configuración inapropiada de parámetros, borrado de información

Problemas técnicos con servidores de archivos, servidores de impresión, dispositivos de comunicación, estaciones cliente, equipo de soporte (cintas de back-up, control de acceso, derrame de café)

R3, R4

R1: R2, R3, R4, R5

R3, R4, R4b

Administración de RiesgosSeguridad Informática – Amenazas Accidentales

•Amateurs•Hackers• Empleados maliciosos• Rateros•Crackers• Vándalos•Criminales•Espías (gobiernos foráneos)• Terroristas

Administración de RiesgosSeguridad Informática – Involucrados

Características o debilidades en el sistema de seguridad que pueden ser explotadas para causar daños o perdidas (facilitan la ocurrencia de una amenaza)

• Interrupción: un activo se pierde, no está disponible, o no se puede utilizar

• Intercepción: alguna parte (persona, programa o sistema de computo) no autorizada accede un activo

• Modificación: una parte no autorizada accede y manipula indebidamente un activo

• Fabricación: Fabricar e insertar objetos falsos en un sistema computacional

Administración de RiesgosSeguridad Informática – Vulnerabilidades

Hardware

Software Datos

Interrupción (Negación del Servicio) Intercepción (Robo)

Actos Involuntarios/Accidentales – Intencionales/Voluntarios que limitan la disponibilidad

DestrucciónAgua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas,

Ataques físicos, Bombas

Robo

Administración de RiesgosSeguridad Informática – Vulnerabilidades

Hardware

Software Datos

Interrupción (Borrado)

Intercepción

Modificación

Borrado accidental o destrucción de programas

Robo - Copia ilícita de programas

Causar fallas o erroresSalvar una copia mala de un

programa destruyendo una buena, Programas modificados (cambio de

bits, de instrucciones – bombas lógicas, efectos colaterales)

Caballos de Troya, Virus, Puerta falsa, Fuga de Información

Administración de RiesgosSeguridad Informática – Vulnerabilidades

Administración de RiesgosSeguridad Informática – Vulnerabilidades

Hardware

Software Datos

Interrupción (Perdida)

Intercepción

Modificación

Fabricación

Robo

Confidencialidad – líneas derivadas, recipientes de basura,

soborno a empleados claves, inferencia, preguntando, compra

Programas maliciosos – Técnica de salami, utilidades del sistema de

archivos, facilidades de comunicación defectuosas

Reprocesamiento de datos utilizados, adicionar registros en

una base de datos

3.1. Valorar Riesgo Inherente

3.2. Determinar Controles Existentes

3.3. Identificar Nivel de Exposición

Administración de Riesgos3. Analizar Riesgos

Valorar el posible daño que puede ser causado

Administración de RiesgosCómo valorar riesgo?

$ InherenteNivel de exposiciónResidual

Probabilidad x ImpactoFrecuencia x Impacto

ControlesAdministrativos

Politícas, Estándares,Procedimientos,

Guías,Entrenamiento

Controles Técnicos

Acceso lógico,controles,encripción,

dispositivos de seguridad,Identificación y autenticación

Controles físicos

Protección de instalaciones,Guardias, candados,

Monitoreo,Controles ambientales

Administración de RiesgosControles en Seguridad

Medidas protectoras – acciones, dispositivos, procedimientos o técnicas – que reducen una vulnerabilidad

Encripción

Interc.Interr. Fab.Mod.Integ.Conf. Disp.

Administración de la Configuración (Control de Cambios a Programas)

Políticas

Controles de Hardware

Controles Físicos (candados y guardas)

Administración de RiesgosControles en Seguridad

Monitorear y Revisar

Monitorear y Revisar

Valorar prioridades de riesgo

Riesgo aceptable? AceptarSI

Considerar factibilidad, costos y beneficios, y niveles de riesgo

EvitarTransferir total o

parcialmente

Reducir consecuencia

Reducir probabilidad

NO

Recomendar estrategias de tratamiento

Seleccionar estrategia de tratamiento

Preparar planes de tratamiento para reducir, transferir o evitar el riesgo, financiando cuando sea apropiado

EvitarTransferir total o

parcialmente

Reducir consecuencia

Reducir probabilidad

Riesgo residual aceptable? RetenerSINO

VALORAR Y PRIORIZAR RIESGOS

IDENTIFICAR OPCIONES DE TRATAMIENTO

EVALUAR OPCIONES DE TRATAMIENTO

PREPARAR PLANES DE

TRATAMIENTO

IMPLEMENTAR PLANES DE

TRATAMIENTO

Riesgo residual no aceptable

Porciónretenida

Porcióntransferida

Asegurar la efectividad costo/beneficio de los controles

Hardware

Software Datos

Variables:Cantidad de involucrados

Esfuerzo de AseguramientoValor del activo

Duración del ActivoEsfuerzo de detección de incidentes

Impacto en los objetivos del negocio

Efectividad de la medidaNivel de sofisticación

Facilidad de uso

Principio de la Adecuada Protección: Los ítems deben ser protegidos solo hasta que ellos pierden su valor y deben ser protegidos de

manera consistente con su valor

Administración de RiesgosDónde invertir?

Bibliografía

Security in Computing – Charles P. Pfleeger – Prentice Hall

Network Security - Analysis and Implementation - January 1996 - MG-1 - http://www.cse.dnd.ca - Government of Canadá, Communications Security Establishment (CSE)