analisis de riego primera parte
TRANSCRIPT
Datos del Profesor: Ing. Jesús Vílchez Sandoval
CIP 129615 email:[email protected]
http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094
Coordinador de la Oficina de Calidad y Acreditación - FIEM
Ing. Jesús Vílchez Sandoval
Sistemas de
SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
Terminología - Seguridad de la Información Gestión de Riesgos Inventario de Activos Laboratorio
Contenido
© Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
Porque Seguridad de Información?
Terminología seguridad de la información
Activo de la información, amenazas, vulnerabilidades, riesgo, exposición, salvaguarda, impacto.
Terminología
Activo de Información
Amenaza
Vulnerabilidad
Riesgo
Exposición
Salvaguarda
Impacto
ACTIVO DE INFORMACION: aquel bien o servicio tangible o intangible, que genera, procesa o almacena información al cual una organización directamente le atribuye un valor y por tanto requiere una adecuada protección y cuidado.
Documentos: contratos, guías Software: aplicativos y software de sistemas Dispositivos físicos: PCs, medios removibles (usb, dvd, etc.) Personas: personal Imagen y reputación de la empresa: marca, logotipo, razón social. Servicios: red comunicaciones, telefonia, internet
Activos de Información
Activ
os d
e In
form
ació
n En Papel • Recibos, Facturas • Memorando, Contratos • Manuales, Reglamentos • etc.
Electrónico • Correos • Archivos digitales, doc, pdf, ppt, etc.
Documentos
Activ
os d
e In
form
ació
n Sistemas • Sistema Contable • Sistema de Gestión de Clientes • Sistema de Gestión de Recursos, etc
Aplicaciones y Programas • Office • Acrobat Reader • Outlook
Activos de Software
Activ
os d
e In
form
ació
n • Procesamiento
• Comunicación
• Medios de Almacenamiento
• Otros
Activos de Físicos
Activ
os d
e In
form
ació
n • Procesamiento y Comunicaciones
• Servicios Generales
• Otros Proveedores
Servicios Terceros
Activo Fijo o Activo de Información?
• ¿Debo considerar a la caja fuerte como un activo?
Activo de Información
Activo de Información
Clasificación
Marcado
Ubicación
Valoración
Propietario
Custodio
Usuario
Frecuencia
Clasificación de Información
Restringida
Confidencial
Interna
Publica
Ubicación (Física o Lógica)
Lugares donde se almacenan los Activos de Información más importantes: • Oficinas • Archivos • Centro de Cómputo • Bóvedas • Custodio de Información
(Proveedor)
Propietario
• Persona o entidad que tiene la responsabilidad gerencial aprobada de controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos.
• El propietario de los activos debe ser responsable por definir apropiadamente la clasificación de seguridad y los derechos de acceso a los activos y establecer los sistemas de control.
• El término propietario no significa que la persona es dueña del activo.
Propietario
Ejemplos: Activo de Información: Sistema Contabilidad Propietario del Activo: Gerente de Contabilidad y
Finanzas Custodio de la Base de Datos: Gerencia de TI Derecho de Propiedad del Activo: Empresa
Amenazas
Potencial para causar un incidente indeseado que puede resultar en daño al sistema o a la empresa o a sus activos. Puede ser accidental o intencional Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades: • Desastres Naturales: terremoto, inundación, etc. • Humanas: errores de mantenimiento, huelga, errores
de usuario, ataques hackers • Tecnológicas: caída de red, sobrecarga de trafico, falla
de hardware
Que es Ingeniería Social?
• Consiste en engañar a alguien para que entregue información o permita el acceso no autorizado o divulgación no autorizada, que usualmente no daría, a un Sistema de Información, Aplicativo o Recurso Informático.
“El arte de engañar a las personas”
Vulnerabilidades
• Una vulnerabilidad es una debilidad o ausencia de control en la seguridad de información de una organización
• Por sí sola no causa daños
• Si no es administrada, permitirá que una amenaza se concrete
• Ejemplos: – Ausencia de personal clave – Cableado desprotegido – Archivadores sin llaves – Falta de conciencia de seguridad – Ausencia de sistema extintor
Gestión de riesgos
Es definido como la “Probabilidad de que una Amenaza pueda explotar una Vulnerabilidad en particular” (Peltier 2001)
Definición del Riesgo
Relación Causa – Efecto:
Amenaza Vulnerabilidad Riesgo Activo de Información
Causa Probabilidad Efecto Impacto
Determinación del Riesgo y sus Consecuencias
Riesgos en Documentos
Riesgos en Activos Físicos
» Las evaluaciones del riesgo deben ser realizadas periódicamente para incluir los cambios en los requerimientos del sistema y en la situación del riesgo, por ejemplo en los activos, amenazas, vulnerabilidades, impactos, valoración del riesgo y cuando ocurran cambios significativos
» Estas evaluaciones del riesgo deben ser emprendidas de una forma metódica, capaz de producir resultados comparables y reproducibles.
» La evaluación de la información del riesgo de seguridad debe tener un alcance claro y definido para que éste sea efectivo y debe incluir relaciones con las evaluaciones del riesgo en otras áreas, si es apropiado.
» El alcance de la evaluación del riesgo puede ser para toda la organización, partes de ella, un sistema individual de información, componentes específicos del sistema o servicios donde esto puede ser utilizado, realista y provechoso.
CONSIDERACIONES
» Identificar los procesos y sus activos de información que los soportan.
» Determinar la amenazas y vulnerabilidades actuales existentes que afectan o pueden afectar a los activos de información identificados previamente.
» Evaluar y determinar el nivel de riesgo efectivo o riesgo actual existente en la organización.
» Establecer las acciones y controles requeridos para realizar un adecuado Tratamiento de los Riesgos altos o no tolerables previamente identificados,
» Buscar la aprobación de la alta dirección para tratar los riesgos y lograr el nivel de riesgo residual deseado y aceptado por la organización.
OBJETIVOS
La norma no exige una Metodología de Gestión de Riesgos específica. Determinar la Metodología de Gestión de Riesgos a utilizar en la organización. Utilizar una Metodología práctica y de fácil aplicación y entendimiento para los usuarios y personal involucrado. Basada en una norma o estándar internacional reconocido, Ejemplo: • Magerit • Octave • ISO 31000 • ISO 27005 • ASNZ 4360 • NIST 800 30. • RISK IT Alinear la Metodología de gestión de riesgos de Seguridad con otras metodologías de la empresa relacionadas a riesgo operativo y/o riesgo financiero, tecnológico, etc.
Proceso de la Gestión de Riesgos
Etapas para la Gestión de Riesgos
Metodología de Riesgos
1
Inventario de Activos
2
Análisis y Evaluación de
Riesgos 3
Tratamiento de Riesgos
4
Etapas para la Gestión de Riesgos
Inventario de Activos
Inventario de Activos Relación de todos los Activos importantes.
Cada Activo debe tener un Propietario y Custodio (responsabilidades
definidas)
Los activos se identifican, no se inventan.
“La información debe protegerse cualquiera que sea la forma que
tome o los medios por los que se comparta o
almacene”. NTP ISO/IEC 17799:2007 No confundir con activos fijos
Valor de Activos ¿La organización ha identificado el valor de sus activos de información? • Determinar el valor de cada activo es el primer paso para una
estrategia efectiva de seguridad ¿Es un componente vital del proceso de evaluación de riesgo? • Los activos de información no necesariamente incluyen todas aquellas
cosas que normalmente tienen valor dentro de la organización. Ej.: caja fuerte
• La Institución debe determinar cuáles son los activos de información
que afectan la entrega de sus productos o servicios por causa de su ausencia o degradación.
La mejor persona para determinar el valor del activo es quien usa la información, no quien la crea, transfiere, guarda o procesa.
Valor del Activo
? Preguntas
Laboratorio
Inventario de Activos
Ejercicio
Elaborar un Inventario de Activos
SEGURIDAD EN REDES FIN DE SESION