Datos del Profesor: Ing. Jesús Vílchez Sandoval

CIP 129615 email:jvilchez@utp.edu.pe

http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094

Coordinador de la Oficina de Calidad y Acreditación - FIEM

Ing. Jesús Vílchez Sandoval

Sistemas de

SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio

Gestión del Riesgo Determinación del Nivel Riesgo Determinación de la Probabilidad Determinación del Impacto Evaluación del Riesgo Tratamiento del Riesgo

Contenido

© Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados

Gestión del Riesgo

En la cláusula 4.2.1 (c) se requiere que la organización identifique y adopte un método y un enfoque sistémico para el cálculo del riesgo de sus activos de información.

La gestión de los riesgos puede utilizar diferentes enfoques gerenciales y métodos de cálculo del riesgo que satisfagan a la organización.

El enfoque que la empresa escoja y su nivel de detalle y complejidad afectará proporcionalmente en el esfuerzo y cantidad de recursos requeridos durante el proceso de cálculo y posterior tratamiento de los riesgos.

El cálculo del riesgo debe ser tan detallado y complejo como sea necesario para poder atender eficazmente los requerimientos de la organización y lo que se requiera según el alcance establecido por el SGSI.

Enfoque para la Gestión del Riesgo

Se debe determinar el criterio para la aceptación del riesgo, documentando las circunstancias bajo las cuales la organización está dispuesta a aceptar los riesgos.

Identificación de los niveles de riesgo que la organización considere aceptables.

Cobertura de todos los aspectos del alcance del SGSI. El enfoque escogido por la empresa, para el cálculo del riesgo debe contemplar un análisis exhaustivo de todos los controles presentados en el Anexo A de ISO 27001:2005.

El cálculo del riesgo debe lograr un claro entendimiento sobre que factores deben controlarse , en la medida en que estos factores afecten el correcto funcionamiento de los sistemas, servicios y procesos que sean críticos para la organización.

Consideraciones para la Gestión del Riesgo

Ciclo del Análisis y Evaluación del Riesgo

Proceso del Análisis y Evaluación del Riesgo

Determinación del nivel de

riesgo

Basado en MAGERIT

Identificación de Riesgos

• Probabilidad de que una amenaza se materialice, explotando alguna vulnerabilidad.

• Identificar activos TI, • Identificar amenazas y vulnerabilidades, • Determinar frecuencia e impacto, • Determinar el riesgo.

(*) Revisar catálogo MAGERIT.

Iden

tific

ació

n de

l Rie

sgo

Amenazas y Vulnerabilidades

• A cargo de especialistas en seguridad, riesgos y administradores de activos.

[A] Amenazas que pueden comprometer las dimensiones de un activo[N] Desastres naturales[I] De origen industrial[E] Errores y fallos no intencionados[A] Ataques intencionados

D I C A T[SW] Software / Aplicaciones

I.5 Avería de origen físico o lógico 1 1E.1 Errores de los usuarios 1 1E.2 Errores de los administradores 1 1 1 1 1E.3 Errores de monitoreo (logs) 1E.4 Error en el establecimiento de datos de configuración 1 1 1 1 1E.8 Difusión casual de software dañino (malware) 1 1 1 1 1E.9 Errores de encaminamiento (de información) 1 1 1 1E.10 Errores de secuencia (orden) de mensajes transmitidos 1E.14 Escape de información 1E.20 Vulnearbilidades en el código (programa) 1 1 1E.21 Errores en el mantenimiento del código (programa) 1 1A.4 Manipulación de la configuración 1 1 1 1 1A.5 Suplantación de identidad de usuario 1 1 1A.6 Abuso de privilegios de acceso 1 1A.7 Utilización del recurso para uso no previsto 1A.8 Difusión intencionada de software dañino (malware) 1 1 1 1 1A.9 Encaminamiento de mensajes 1 1 1 1A.10 Alteración de secuencia (de mensajes) 1A.11 Acceso no autorizado (aprovechando una debilidad) 1 1A.14 Interceptación de información (escucha) 1A.22 Manipulación de programas 1 1 1 1

Dimensiones

D DisponibilidadI IntegridadC ConfidencialidadA AutenticidadT Trazabilidad

Dimensiones

Determinación de Riesgos

1

1

2

3

4

5

2 3 5 8

Impacto

Probabilidad / Frecuencia

Extremo

Intolerable

Tolerable

Aceptable

MAPA DE RIESGOS

Dete

rmin

ació

n de

l Rie

sgo

Medición del Riesgo

Determinación de la

Probabilidad

Basado en MAGERIT

Determinación de la Probabilidad

Enfoque cualitativo, basado en juicio experto.

Determinación del Impacto

Basado en el Método Australiano

Determinación del Impacto

• El Impacto de los procesos en la empresa debido a la no disponibilidad de servicios TI (BIA-Business Impact Analysis).

• Se puede determinar a partir de:

– Factor de impacto del macro proceso en el cumplimiento de la misión y objetivos (Fp)

– Nivel de soporte del servicio TI (NS) – RTO-Recovery Time Objective.

Determinación del Impacto

)()(***

10

1

5

1ik A

kRTO

ippp PRINSFI

= ∑∑

==

Tabla de Impacto (x Área)

8 Desastroso Pérdida total del servicio

5 Mayor Pérdida permanente de la información o sistemas

3 Moderado Pérdida temporal de la información o sistemas

2 Menor Pérdida de información parcial

1 Insignificante Sin pérdida de información

Los servicios TI heredan el impacto del principal

proceso al que asisten.

Impacto

Evaluación del Riesgo

Basado en ISO 27001 – Anexo A

Evaluación del Riesgo

• Si el riesgo es aceptable, finaliza el proceso. • Caso contrario:

– Transferir (tomar un seguro), – Evitar (retirar activo), o – Mitigar el riesgo, a través de:

• Controles1 preventivos, o • Correctivos.

--- [1] Salvaguardas o medidas de mitigación.

Probabilidad

Impa

cto

Transferir Evitar

Aceptar Mitigar

A5 - Política de S.I.

Ejemplo: • Los sistemas de información son activos de vital importancia para el

Banco, y sus debilidades de seguridad afectarían el normal desarrollo de las actividades y operaciones.

• La gestión del riesgo operativo y tecnológico forma parte de la gestión institucional (vía políticas y controles de sus sistemas de información). El Banco acata los requerimientos de seguridad de las entidades competentes nacionales e internacionales.

• Los colaboradores asumen una responsabilidad individual respecto a la seguridad de los sistemas de información, así como del uso de información privilegiada en la Institución.

22

A6 - Organización de la S.I.

Participación integral de los responsables del proceso.

23

Unidad Organizacional1 Política de Seguridad Gerencias Centrales

2 Organización de la Seguridad Gerencia de Riesgos

3 Control y Clasificación de la Información Secretaria General

4 Seguridad del Personal Gerencia de Recursos Humanos

5 Seguridad Física y Ambiental Gerencia de Compras y Servicios

6 Gestión de Comunicaciones y Operaciones

7 Control de Acceso

8 Desarrollo y Mantenimiento de Sistemas

9 Gestión de Incidentes Gerencia de Riesgos

10 Gestión de la Continuidad Gerencias Centrales

11 Cumplimiento regulatorio Gerencia Jurídica

Dominio ISO 27001

Gerencia de Tecnologías de Información

A7 - Gestión Activos de Información

24

EjemplosSW Software / Aplicaciones Aplicaciones, sistemas operativos, herramientas de desarrollo y utilitarios

HW Hardware / equipos Servidores (S.O.), PCs, routers, hubs, firewalls, medio magnético, gabinetes, cajas fuertes, salas, mobiliario, sistema de alarma, etc.

SI Soportes de información SAN, discos, cintas, USB, CD, DVDCOM Redes de comunicaciones Medios de transporte que llevan datos de un sitio a otro

DAT Datos / Información

BD, archivos de datos, contratos y acuerdos, documentación del sistema, información de investigación, manuales de usuario, material de entrenamiento, de operación, procedimientos de soporte, planes de continuidad y contingencia, acuerdos

AUX Equipamiento auxiliar Equipamiento de soporte a los sistemas de información (UPS, Generados, Aire acondicionado, cableado, etc.)

INS Locales / Instalaciones Lugares donde se hospedan los sistemas de Información, registros vitales y comunicaciones

PER Personal / RR.HH. Personas, calificaciones, experiencia y capacidades (usuarios, proveedores, personal de TI)

SRV Servicios generales Vigilancia, servicios de impresión, computación, telecomunicaciones, eléctrica, agua, etc.

Clasificación de Recursos / Activos TI*Categoría

BDs

Ej. Servidor de BD1

2 Medio

N° Activo TI Valor1 Aplicación LBTR Web (Java EE - BD) 5 2 Medio

2 Servidor de BD (DBS) 5 1 Bajo

3 Servidor de Aplicaciones 5 2 Medio

4 Servidor Web (SUN Web Server) 5 1 Bajo

5 Seguridad de datos (Six/Security, HSM) 4 2 Medio

6 Red de Bancos (Extranet) 4 1 Bajo

7 Red Of. Principal (Intranet) 3 2 Medio

8 Seguridad Perimétrica (Firewall) 3 1 Bajo

9 Administración TI (Resp. servicio) 4 2 Medio

10 Normativa (Procedimientos / guías) 2 1 Bajo

11 Estación de trabajo 2 1 Bajo

RiesgoServicio LBTR

Base de DatosPlataforma Sun Solaris Administración TI (DBA)Normativa (Procedimiento / Guía)

Servidor de BD

Servidor y Sistema OperativoSistema de almacenamientoCentro de Datos Institucional (CDI)Centro Externo de Respaldo (CER)Servicio de respaldo (Back-up)Administrador TI (Plataforma)Normativa (Procedimiento / Guía)

Plataforma SUN Solaris

1] Los valores son de ejemplo.

BDs

A8 - Seguridad de los RR.HH.

Cuidados 1. Antes 2. Durante, y 3. Después de la incorporación de talentos. Normativa / Procedimientos, buenas prácticas.

? Preguntas

Laboratorio

Análisis de Riesgos

Ejercicio

Análisis de Riesgos

SEGURIDAD EN REDES FIN DE SESION