isec infosecurity tour 2016 infosecurity 2016... · relacionados con tecnología informática y...
TRANSCRIPT
Copyright ©2013 BDO ARGENTINA. Presentación confidencial solo para ser utilizada por miembros de Becher y Asociados S.R.L.
ISEC INFOSECURITY TOUR 2016
Seguridad Digital Total basada en Riesgos
Por Ing. Pablo A. SILBERFICH (CISA, CISM)
BDO Argentina
Dpto. API (Aseguramiento de Procesos Informáticos)
Setiembre 2016
Qué es el Riesgo
2
El término riesgo normalmente se utiliza únicamente cuando
existe al menos la posibilidad de consecuencias negativas
En algunas situaciones, el riesgo proviene de la posibilidad de
un desvío del resultado o del suceso previsto
Combinación de la probabilidad
de un suceso y su consecuencia
3
Regulaciones y Normas que tratan el riesgo de TIComunicación “A” 4609 del BCRA para Entidades Financieras
• Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información.
ISO/IEC 27001-27005
• Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)
Basilea
• Estándar internacional que sirve de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos.
Ley Sarbanes Oxley (SOX)
• Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros.
4
Se puede definir como “el proceso de toma de decisiones en unambiente de incertidumbre sobre una acción que puede sucedery sobre las consecuencias que existirán si esta acción ocurre.
¿Y la Gestión del Riesgo?
Gestión de Riesgos
El Análisis de Riesgos implica:
Determinar qué se necesita proteger.
De qué hay que protegerlo.
Cómo hacerlo.
El Análisis de Riesgos de TI con impacto en el negocio sirve para:
• Mejorar la Administración de los activos de TI (eficacia, eficiencia,
costo-beneficio)
• Armar el plan anual y detalles ad-hoc de la Auditoría Informática
(TIC´s)
• Administrar la utilización de las salvaguardas de
Seguridad de la Información.
5
6
Amenaza
Se entiende por una amenaza una condición del entorno del sistema de
información (persona, máquina, suceso o idea) que ante determinada
circunstancia podría dar lugar a que se produjese una violación de seguridad
(no cumplimiento de alguno de los aspectos mencionados) afectando alguno
de los activos de la compañía.
Riesgo
Es la posibilidad de que se produzca un impacto en la organización.
Contramedidas o Salvaguardas
Protecciones u acciones que disminuyen el riesgo.
Vulnerabilidad
Es un hecho o actividad que permite concretar una amenaza.
Impacto
Es el daño producido por la efectivización de una amenaza.
Conceptos y Definiciones Generales de Riesgo de IT
Relación con la Seguridad de la Información
7
El riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia.
La administración de riesgos es el proceso de identificación, evaluación y toma de decisiones para reducir el riesgo a un nivel aceptable.
El análisis de Riesgo Informático es un elemento que forma parte del programa de Gestión de Continuidad del Negocio (Business ContinuityManagement)
En el Análisis del Riesgo Informático es necesario identificar si existen controles, procedimientos, etc.(Seguridad de la Información) que ayuden a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado); de no existir controles, la vulnerabilidad será de riesgo no controlado.
Gestión de Riesgos de TI
8
Fase 1 - Entender el negocio
• Identificar las estrategias de la organización y los objetivos de negocio
• Comprender el perfil de riesgo de la organización
• Identificar como la organización estructura sus operaciones de negocio
• Entender el modelo de TI que soporta al negocio
Fase 2 - Definir el universo de TI y de la información
• Identificar las aplicaciones significativas que soportan las operaciones
• Identificar la infraestructura crítica para las aplicaciones significativas
• Comprender el papel de las tecnologías que sustentan a TI
• Identificar los principales proyectos e iniciativas
• Identificar las salvaguardas
Fases para utilizar apropiadamente el Análisis de Riesgos
9
Fase 3 - Realizar la evaluación de riesgos • Identificar riesgos a considerar • Evaluar el riesgo y rankear los sujetos a asegurar usando factores de riesgo de TI y de negocio
Fase 4 - Formalizar el Plan de Seg Info • Seleccionar las áreas / temas y agruparlos en los respectivos
proyectos • Validar el plan resultante con la alta gerencia / dirección del
negocio
Fases para utilizar apropiadamente el Análisis de Riesgos
11
Fase 2 - Definir el universo se TI y de la información
En esta fase se examina el modelo de negocio identificando las
aplicaciones que lo sustentan, así como el uso de tecnologías de soporte
(aplicaciones de mail, software de encripción, etc.). También se
consideran las funciones del área de TI y sus procesos (centralizados o
descentralizados) y las normativas específicas que apliquen (p.ej.; PCI-
DSS).
Generalmente el universo de TI es clasificado en las siguientes
categorías:
• aplicaciones
• operaciones
• infraestructura
Fases para utilizar apropiadamente el Análisis de Riesgos
12
Fase 3 - Realizar la evaluación de riesgos
La elaboración de un plan de Seg Info debe basarse en la cuantificación
de los riesgos presentes en todos los ciclos / áreas sujetos a revisión.
Para que este proceso de gestión de riesgos sea eficaz debe estar basado
en principios generales y reunir una serie de componentes relativos al
proceso de detección / medición (en el caso de riesgos cuantificables) y
control de las posiciones para las principales categorías de riesgos
asumidos.
Fases para utilizar apropiadamente el Análisis de Riesgos
13
Fase 3 - Realizar la evaluación de riesgos (continuación)
Entre los principios generales en los que se basa la Gestión de Riesgos se pueden
destacar:
• Establecer una función independiente de gestión de riesgos, para supervisar
todas las actividades y cubrir toda la operatoria de cada ciclo.
• Para cada tipo de riesgo establecer las políticas adecuadas de asunción de
riesgos, esto implica fijar límites operativos apropiados para los riesgos
cuantificables, y definir procedimientos adecuados para mitigar los no
cuantificables y determinar el procedimiento de autorización necesario para
determinar las nuevas tareas.
• El cumplimiento de las políticas y de los límites debe ser vigilado de forma
continua y establecerse unos procedimientos bien definidos de seguimiento
de los posibles incumplimientos. Asimismo dichas políticas y límites deben
revisarse periódicamente teniendo en cuenta la evolución del mercado.
.
Fases para utilizar apropiadamente el Análisis de Riesgos
14
Fases para utilizar apropiadamente el Análisis de Riesgos
Matriz de scoring
Area
Financial Impact
IT Risks
Score and Level
Quality of Internal Controls
Changes in Audit Unit
Availability Integrity Confidentia
lity
L I L I L I L I L I L I
Administración de seguridad de la información 3 3 2 2 2 3 2 2 2 3 3 3 38
Controles generales de TI 3 3 2 2 2 3 2 3 2 3 2 3 37
Revisión de la seguridad y de la administración de correo electrónico 2 3 2 2 2 2 1 1 2 2 3 3 28
Gestión de redes 2 2 3 2 3 2 3 3 2 2 2 2 33
Revisión de sistemas operativos 2 2 2 2 2 2 3 3 2 2 2 2 29
Revisión de base de dato SQL Server 2 2 2 2 2 2 3 3 2 2 2 2 29
Administración de Continuidad 2 2 3 3 1 2 3 3 1 2 1 1 27
Selección, Implantación y Mantenimiento de Aplicativos 1 2 3 2 2 2 1 1 2 2 1 2 19
Licencias de software 2 1 3 2 2 2 1 2 1 2 1 1 17
Gestión de Incidente Service Desk / Soporte Técnico 1 1 2 2 2 1 3 1 1 3 2 2 17
Administración de Proyectos 1 1 2 2 1 1 3 1 1 1 1 2 12
Penetration testing 1 2 2 2 2 2 2 3 1 2 1 2 20
Revisión de Seguridad Intranets 1 1 2 1 1 2 2 2 1 1 1 2 12
L = Likelihood I = Impact
Fase 4 - Formalizar el Plan de Seg Info
15
ISO/IEC 27005
1. Establecer el contexto.
2. Evaluación del riesgo.
a. Identificación del riesgo
b. Estimación del riesgo
c. Valoración del riesgo
3. Tratamiento del riesgo.
4. Aceptación del riesgo.
5. Comunicación del riesgo.
6. Seguimiento del riesgo.
18
Caso de Estudio
Grupos de amenazas
se puede eliminar las que no corresponden por su muy baja probabilidad de ocurrencia o
frecuencia.
24
Caso de Estudio
Frecuencia
1 Una vez al año
2 Dos veces al año
10 Mensual
100 Diario
0.5 Cada 2 años
0.1 Cada 10 años
Degradación
Valoración de las amenazas
26
Caso de Estudio
Se identifican las salvaguardas existentes y se las valoriza en función
de la eficacia de la misma
Niveles de madurez
¿Qué es el PESI?
PLAN ESTRATÉGICO DE SEGURIDAD DE LA INFORMACIÓN (PESI)
Es un instrumento en donde se refleja secuencialmente y priorizados las
políticas, inversiones, recursos y necesidades del negocio relacionadas
con la Seguridad de la Información.
1. Identificar tareas actuales aplicados a S.I.
2. Identificar tiempos asociados a las tareas (1).
3. Identificar tiempos disponibles del personal de S.I.
4. Identificar la capacidad del personal de S.I.
¿Cómo armar e Implementar un PESI?
¿Cómo armar e Implementar un PESI?
Segunda Etapa: Identificar Objetivos
1. Identificar tareas requeridas por normativa determinada.
2. Identificar tareas resultado de procesos controles y/o auditorias
previas.
3. Identificar tareas objeto de procesos ajenos a Seguridad de la
Información.
4. Identificar los niveles de implementación requeridos por el
negocio para cada tarea.
5. Proyectar/Identificar necesidades POST implementación de una
tarea.
¿Cómo armar e Implementar un PESI?
Tercera Etapa: Armado del PESI
1. Identificar los tiempos requeridos por cada tarea.
2. Identificar responsables de llevarla a cabo / su implementación.
3. Identificar los costos/recursos asociados.
4. Generar el Plan de Implementación y los requerimientos externos.
¿Cómo armar e Implementar un PESI?
Cuarta Etapa: Implementación Exitosa
1. Sponsoreo de la Alta Dirección
2. Monitoreo de los avances
3. Gestión de los retrasos/desvíos
4. Adecuaciones oportunas
¡¡ SEGUIMIENTO CONTINUO !!
SEGURIDAD DE LA INFORMACIÓN
Servicios de consultoría en:
Normas de la serie ISO 27000, Ley de Protección de Datos
Personales, test de intrusión, Asesoramiento a Gerencias de
Seguridad de la Información (PESI basado en Riesgos), planes de
concientización (awareness), Computación forense, PCI/DSS,
MSSP, SIaaS, BCP (Business Continuity Plan) y DRP (Disaster
Recovery Plan) y otros servicios especializados del área, etc,
etc, etc ...
EJEMPLOS DE SERVICIOS DE BDO A.P.I.– CONSULTORÍA
NORMAS Y REGULACIONES LOCALES E INTERNACIONALES
Diagnóstico, asesoramiento y consultoría para el cumplimiento
de diferentes regulaciones y normativas, incluyendo entre las
principales: Secc. 404 de la Ley Sarbanes-Oxley, PCI-DSS, SSAE
16, ISAE 3402, ISO 20000, ISO 27000 y otras.
EJEMPLOS DE SERVICIOS DE BDO A.P.I.– CONSULTORÍA