la gestión de riesgos y controles en sistemas de .... la gestión... · mehari • identificar las...
TRANSCRIPT
Marlene Lucila Guerrero Julio, MSc
Profesor Asociado Universidad Pontificia Bolivariana
Luis Carlos Gómez Flórez, MSc
Profesor Titular Universidad Industrial de Santander
La Gestión de Riesgos y Controles en Sistemas de Información - GRCSI
Agenda
Acercamiento a la Situación de Interés
La Seguridad de la Información en el Marco de la GRCSI
Resultados de la Concepción del Modelo
Conclusiones
Referencias
1
2
3
4
5
Acercamiento a la Situación de Interés
Sistematización y Organización de la
Información
Laudon (2010) Pressman (2008) Sommerville (2007) Bennet (2008)
Apoyo
Aumento en la competitividad
Propician
Rapidez en la toma de decisiones acertadas
23% de los desarrollos de software fallan,
49% es cuestionado y 28% es satisfactorio
(Piattini, 2007) «La crisis en la Ingeniería del
software»
Sistemas de Información
•Incrementar el enfoque de protección de datos.
•Priorizar las investigaciones de seguridad basadas en riesgo.
•Fortalecer los programas de gestión de riesgos y controles de la compañía.
•Reducir, mitigar o transferir los principales riesgos.
•Reenfocar el núcleo de las estrategias existentes.
•Acelerar la adopción de tecnologías de automatización relacionadas con la seguridad para incrementar la eficiencia u reducir costos.
•Adoptar un reconocido marco de trabajo de seguridad como un medio para la preparación de próximos requerimientos regulatorios.
¿Qué esperan los Ejecutivos de la Seguridad de la Información”
• Cumplimiento regulatorio.
• Gestión de accesos e identidades.
• Protección de información y prevención de fugas.
• Mejoras en las infraestructuras de seguridad.
• Gobierno de la seguridad.
Informe Anual de Seguridad de la Información en las Instituciones Financieras
• Incrementar la Comunicación y Visibilidad de los Riesgos
• Definir Políticas y Procedimientos de Riesgos.
• Subcontratar la Gestión de Riesgos.
• Implementar la Tecnología Relevante parta el Gobierno de las Metas de los Procesos.
Managing Risk in the Current Climate
La Seguridad de la Información en el Marco de la GRCSI
Brenner (2009)
Deloitte (2009) Ernst & Young (2009)
Resultados de la Concepción del Modelo
Convenciones
1. Nivel de Riesgo Acceso. 2. Nivel de Riesgo de Ingreso de Información 3. Nivel de Riesgo Ítems
Rechazados o en Suspenso. 4. Nivel de Riesgo Procesamiento. 5. Nivel de Riesgo Estructura
Organizativa. 6. Nivel de Riesgo Cambio a los Programas
Guerrero y Gómez (2011)
Resultados de la Concepción del Modelo
Estándar
Actividad
ISO
27
00
5
OC
TA
VE
ISM
3
AS
/NZ
S
SP
80
0-3
0
SO
MA
P
MA
GU
ER
IT
ME
HA
RI
SP
80
0-3
9
A1. Establecer el contexto. Medir y caracterizar el estado actual
de la seguridad de los sistemas y la organización. Evaluar la
Exposición Inherente.
X X X X X X
A2. Identificar y valorar los activos críticos. X X
A3. Identificar las amenazas y las vulnerabilidades de la
organización.
X X X X
A4. Identificar los componentes claves y las vulnerabilidades
técnicas que ocasionan los riesgos.
X X X
A5. Evaluar el riesgo. Identificar el riesgo. Estimar el riesgo.
Valorar el riesgo
X X X X X X X
A6. Determinar y evaluar el Impacto. X X
A7. Evaluar la Gravedad del Escenario X
A8. Tratar el riesgo. Identificar las exigencias de seguridad y las
normas existentes. Desarrollar estrategias de protección basadas
en buenas prácticas. Implementar Protecciones.
X X X X X X X X
A9. Aceptar el riesgo. Dar prioridad a la inversión de los
procesos de seguridad.
X X X X
A10. Comunicar el riesgo. X X
A11. Realizar seguimiento al riesgo. Establecer un plan de
reducción de los riesgos. Monitorear y Revisar.
X X X X X X X X X
A12. Documentar Resultados X X
Co
nv
en
cio
ne
s:
X –
Activid
ad
inclu
ida
en
el e
stá
nd
ar
Gu
erre
ro y
Gó
mez
(20
11)
Resultados de la Concepción del Modelo
A6. Documentar los
resultados y revisar casos
A7. Monitoreo
y Control
A1. Establecer el
contexto
organizacional
A2. Identificar los
activos críticos
A3. Identificar y evaluar
las amenazas y
vulnerabilidades de los
activos
A4.Diseñar escenarios de
riesgo vs impacto
organizacional
A5. Diseñar estrategias de
tratamiento y protección
Guerrero (2010)
Actividad A1. Establecer el Contexto Organizacional
Clarificar la Estrategia de
la Organización en
términos de los SI
• Entrevistar a los Jefes del Dpto. de Sistemas o
Administradores de TI.
• Revisar la documentación sobre las políticas
organizacionales de adquisición, implementación y uso de
los SI.
Especificar los SI que
apoyan los procesos de
negocio
Método
Especificar los roles de los
actores y sus
responsabilidades en los
riesgos asociados a los SI
• Determinar la dependencia de los procesos de negocio
respecto de los SI.
•Determinar los niveles de servicio de los SI.
• Revisar la documentación de los SI - diagramas de
casos de uso y especificaciones de los requisitos
funcionales del SI.
• Entrevistar a los actores de los SI sobre la conducta
ante riesgos.
Resultados de la Concepción del Modelo
Guerrero (2010)
Actividad A2. Identificar los Activos Críticos
Catalogar los activos
relacionados con los SI • Implantar un software de catalogación de activos o diccionario
de activos
Determinar la Información
Sensible y Crítica
Dimensionar los activos en
cuanto a los niveles de riesgos
y su relación con la
disponibilidad, autenticidad,
integridad y confidencialidad
Método
• Revisar las Bases de Datos y los Informes de los SI para
Detectar la Información Vulnerable
• Utilizar el esquema comparativo provisto por el modelos de
GRCSI
Resultados de la Concepción del Modelo
Guerrero (2010)
Actividad A3. Identificar y Evaluar las Amenazas y Vulnerabilidades de los Activos Críticos
Esquema de relación entre las amenazas y vulnerabilidades y como
estos están relacionados con los activos de los SI.
Resultados de la Concepción del Modelo
Guerrero (2010)
Actividad A4. Diseñar Escenarios de Riesgos con Respecto a su Impacto Organizacional
Crear una base especifica de
escenarios de riesgo.
• Utilizar la BD de escenarios genéricos propuesta por
MEHARI
• Identificar las causas y consecuencias de los escenarios de
riesgo específicos.
Derivar el impacto que los
escenarios de riesgo tienen
sobre la organización.
Método
• Relacionar por cada escenario de riesgo específico los activos
impactados en la organización
Resultados de la Concepción del Modelo
Guerrero (2010)
Actividad A5. Diseñar Estrategias de Tratamiento y Protección
Identificar las estrategias de mitigación candidatas.
• Asociar los escenarios con los niveles de riesgo
• Identificar los controles pertinentes de acuerdo con el nivel de
riesgo.
Seleccionar la alternativa más adecuada en términos de costo y recursos disponibles.
Elaborar e Implementar un plan para el tratamiento del
riesgo
Método
• Elaborar una matriz de relación control – costo – recursos
• Priorizar los riesgos
• Especificar el (los) responsables del tratamiento del riesgo
•Generar un calendario de implementación
• Evaluar los riesgos luego del tratamiento
• Evidenciar el seguimiento del riesgo
Resultados de la Concepción del Modelo
Guerrero (2010)
Actividad A6. Documentar los Resultados y Revisar Casos
Caso Presentado Frecuencia
de
Ocurrencia
Mecanismo (s)
de Mitigación
Resultados
Resultados de la Concepción del Modelo
Guerrero (2010)
Conclusiones
• La Gestión de riesgos y Controles en Sistemas de Información no debe verse divorciada de la calidad del software.
• El modelo brinda a las organizaciones una serie de actividades definidas y organizadas metodológicamente.
• La integración de las actividades relacionadas por los estándares, permitirán concretar futuras investigaciones.
• Para cada una de las actividades se propuso un conjunto de métodos, los cuales apoyan a los distintos involucrados en el “hacer” que conlleva la GRCSI.
Conclusiones
• El modelo centra la GRCSI en la concepción de niveles de riesgo.
• El modelo propuesto contribuye a la definición de medidas de mitigación asociadas a cada uno de los niveles de riesgo.
• El modelo diseñado no tiene la pretensión de convertirse en un patrón para todas las organizaciones
Referencias 1. M. Bennett y F. Bennett. “Object Oriented Systems Analysis and Design Using UML”,
McGraw Hill, 2005.
2. K.C. Laudon y J.P. Laudon. “Sistemas de Información Gerencial”, Prentice Hall, 2010.
3. R. Pressman. “Ingeniería del Software – Un enfoque práctico”. McGrawHill, 2008.
4. I. Sommerville. “Ingeniería del Software”. Prentice Hall, 2007.
5. M. Piattini. “Calidad de Sistemas de Información”, Alfa y Omega, 2007.
6. B. Brenner. “The Global State of Information Security”, www.pwc.com/gx/en/information-security-survey, 2009.
7. Deloitte. “Confianza y Garantía. Informe Anual de Seguridad de la Información en Instituciones Financieras”, Febrero 2009.
8. Ernst & Young. “Managing Risk in the Current Climate”. 2009.
9. Ministerio de Administraciones Públicas. “MAGUERIT - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información”, 1997.
10. M. Guerrero y L. Gómez. “Gestión de riesgos y controles en Sistemas de Información”. Tesis de Maestría, 2010.
11. M. Guerrero y L. Gómez. “Revisión de estándares relevantes y literatura de gestión de riesgos y controles en Sistemas de Información”. Revista Estudios Gerenciales, Vol. 27, No. 120, 2011.
Referencias 12. C. Alberts. “Operationally Critical Threat, Asset, and Vulnerability Evaluation SM
(OCTAVESM) Framework, Version 1.0”. TECHNICAL REPORT. CMU/SEI-99-TR-017. ESC-TR-99-017, 1999.
13. ISM3 Consortium. “Information Security Managemente Maturity Model. Versión 2.0”, 2009.
14. AS/NZS. “Estándar Australiano. Administración de Riesgos”. Tercera edición, 2004.
15. G. Stonebumer. “Risk Management Guide for Information Technology Systems. Recommendations of the National Institute of Standards and Technology”. NIST, Special Publication 800-30, 2002.
16. SOMAP. Open Information Security Risk Management Handbook. Versión 1.0, 2006.
17. CLUSIF. “MEHARI 2007. Guide de l’analyse des risques”, http://www.clusif.asso.fr, 2007.
18. ISO Directory. “Introduction To ISO 27005 (ISO27005)”. ICONTEC, 2008.
19. R. Ross. “Managing Risk from Information Systems. Recommendations of the National Institute of Standards and Technology. Gaithersburg”, NIST Special Publication 800-39, 2008.
20. ISACA. “Documento S11”. http://www.isaca.org, 2002.
21. Ministerio de Administraciones Públicas. “Modelo Estándar de Control Interno – MECI”, Decreto 1599, 2005.
22. L. Elissondo. “Informática Aplicada a los Negocios - Seguridad en los Sistemas de Información”, 2008.