Professional Documents
Culture Documents
ArmandoCarvajal GerenteConsultora GlobaltekSecurity armando.carvajal@globalteksecurity.com Msc M enseguridadinformticadelaUniversidadOberta d C l id d i f i d l U i id d Ob deCatalunya E Espaa EspecialistaenconstruccindesoftwarepararedesUniandes,Colombia Ing.Sistemas UniversidadIncca deColombia
Antecedentes
Toda ti id d T d actividad para que logre los objetivos de g j manera eficiente debe ser p planeada y debe tener unos beneficios claros
UNA URBANIZACIN
UN CENTRO VACACIONAL
UN CRUCE DE AUTOPISTAS
ELRIESGOOPERACIONAL
Es la posibilidad de incurrir en prdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la Tecnologa, la infraestructura o por la ocurrencia de g , p acontecimientos externos
Superfinanciera de Colombia
Administracin
Factor Humano
CircularesSuperfinanciera p
La Circular Externa 041 de 2007, aprob la implementacin del Sistema de Administracin de Riesgos Operativos
QUEESANLISISDERIESGOS?
Es l consideracin sistemtica del dao la l probable que puede causar en el negocio un fallo en la seguridad de la informacin informacin, con las consecuencias potenciales de p prdida de confidencialidad, integridad y , g disponibilidad de la informacin
CUANTOINVERTIRENSEGURIDADDELA INFORMACION?
La respuesta esta directamente relacionada con EL VALOR DEL ACTIVO A PROTEGER El valor de un activo depende de varios factores: No solo de su costo de adquisicin La informacin contenida en los activos Los procesos controlados El impacto en la organizacin cuando falle
PROCESODEEVALUACION DELRIESGO
Amenazas
Aprovechan
Vulnerabilidades
Exponen
Aumentan Protegen de
Aumentan
Controles
Disminuyen y
Riesgos
Activos
Tienen
Requerimientos de seguridad
Juan Carlos Reyes, Seltika, 2007
Riesgo (1 de 2)
Es la posibilidad de que se p produzca un impacto sobre algn p g activo (Incurrir en perdidas)
Riesgo (2 de 2)
El control del riesgo como resultado del anlisis de riesgos, es un proceso complejo que parte de la determinacin de los activos y las amenazas
PROCESODEEVALUACION DELRIESGO
Amenazas
Aprovechan
Vulnerabilidades
Exponen
Aumentan Protegen de
Aumentan
Controles
Disminuyen y
Riesgos
Activos
Tienen
Requerimientos de seguridad
Juan Carlos Reyes, Seltika, 2007
Amenazas (1 de 4)
Las amenazas son los eventos que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos
Amenazas (2 de 4)
La consecuencia de la amenaza, si se materializa, es un incidente que modifica el estado de seguridad de los activos amenazados Es decir, hace pasar el activo de un ado a a o o o do o o estado inicial anterior conocido a otro posterior, que puede ser no deseable
Amenazas (3 de 4) ( )
Los activos estn expuestos a muchas clases de amenazas Las cuales pueden explotar sus vulnerabilidades
Amenazas (4 de 4)
Los controles de seguridad que se implementen se seleccionarn teniendo en cuenta las vulnerabilidades vulnerabilidades, no las amenazas (*)
PROCESODEEVALUACION DELRIESGO
Amenazas
Aprovechan
Vulnerabilidades
Exponen
Aumentan Protegen de
Aumentan
Controles
Disminuyen y
Riesgos
Activos
Tienen
Requerimientos de seguridad
Juan Carlos Reyes, Seltika, 2007
Vulnerabilidades(1de4)
Falla Falla, error, causa
Vulnerabilidades(2de4)
Tambin se le conoce a la vulnerabilidad como una lne abilidad na debilidad Agujero, falla o error en la seguridad del sistema de informacin
Vulnerabilidades(3de4)
En s misma no causa dao, es una condicin o un conjunto de condiciones que pueden permitir a una amenaza afectar a un activo f
Vulnerabilidades(4de4) ( )
Una propiedad de la relacin p p entre un activo y una amenaza, amenaza Si no se gestiona adecuadamente permitir a la amenaza materializarse
Impacto (1 de 2)
Es la consecuencia sobre un activo de la materializacin de una amenaza
Impacto (2 de 2) p ( )
El impacto mide la diferencia entre el estado de seguridad de un activo Lo hace antes y despus de la materializacin d una amenaza l de
PROCESODEEVALUACION DELRIESGO
Amenazas
Aprovechan
Vulnerabilidades
Exponen
Aumentan Protegen de
Aumentan
Controles
Disminuyen y
Riesgos
Activos
Tienen
Requerimientos de seguridad
Juan Carlos Reyes, Seltika, 2007
Riesgo Intrinseco
Es el estudio que se realiza sin tener en consideracin las diferentes medidas de seguridad que ya estn implantadas en una organizacin
QUEHACERDESPUESDELANLISISDE RIESGOS? Gestin de los riesgos detectados que soporta la identificacin, seleccin y adopcin de controles con base a los riesgos identificados y a la reduccin de esos riesgos a un nivel aceptable definido por la ALTA direccin. ISO 27002:2005 (antes 17799:2005) ayuda en esta tarea
SGSI
La organizacin debe entender la seguridad como un Identificar proceso que nunca termina
Retroalimentar y Medir riesgos y amenazas
Identifique
Evale E
Mida a
Controle
Evaluar el impacto .
La organizacin d b entender l seguridad como un L i i debe t d la id d proceso que nunca termina g p p La inseguridad es una propiedad inherente a los recursos informticos y la gestin es la nica forma de medirla y aminorarla
PLANEAR HACER VERFICAR ACTUAR
SGSI
MEJORAS CONTINUAS
METODOLOGIAS/HERRAMIENTAS
@Risk LAVA (Los Alamos Vulnerability Analysis) Analyze des Risques Programmes LRAM&ALRAM ([Automated] Livermore Risk AnalyZ AROME+ BDS Risk Assesor BDSS (Bayesian Decision Support System) Buddy System COBRA CONTROL-IT CRITI_CALC CRAMM CCTA Risk Analysis and Management Methods DDIS (Datenschutz-und-datensicherheits Informations System) MAGERIT MINIRISK PREDICT PSICHE RANK-IT RISAN RiskCALC RiskWatch SBA (Security by Analysis) SISSI XRM (eXpert Risk Management) Analysis)
Magerit
Unametodologaexitosamuyprobadaesla creadaporel ConsejoSuperiorde creada por el Consejo Superior de InformticadeEspaasobreelAnlisisy GestindeRiesgosdelossistemasde Gestin de Riesgos de los sistemas de Informacin La primera versin se hizo en 1997 Laprimeraversinsehizoen1997, actualmenteexistelaversinII
Magerit
MAGERIT:MetodologadeAnlisisyGestin deRiesgosdelosSistemasdeInformacin de Riesgos de los Sistemas de Informacin Elaspectopositivodeestametodologaes queelresultadoseexpresaenvalores que el resultado se expresa en valores econmicos
Ventajasdemagerit
Lasdecisionesquedebantomarseyque tenganqueservalidadasporladireccin estarnfundamentadasysernfcilmente defendibles
Desventajasdemagerit
Porelcontrario,elhechodetenerque traducirdeformadirectatodaslas valoracionesenvaloreseconmicoshaceque laaplicacindeestametodologasea realmentecostosa
Dondeconsigolametodologa versinII?
http://www.csi.map.es/ htt // i /
EjemplometodologaMagerit
Establecimiento deParmetros
Tabla Costo de Activos MA Muy alto 2.100.000 2 100 000 A Alto 300.000 72.000 M Medio B Bajo 4.000 Explicacion:
EF MF F FN PF
Tabla Vulnerabilidad de los activos Extremadamente frecuente 1 0,071 Muy Frecuente Frecuente 0,016 Frecuencia Normal 0,005 Poco Frecuente 0,003
Valoracion deactivos
Cdigo 90 51 22 68 Nombre Imagen Organizacional Bases de datos Desarrollo Servidor WEB valor 2.100.000 72.000 300.000 4.000
2.476.000
Estos son los cuatro activos elegidos del archivo excel: Imagen Organizacional, Bases de datos, Desarrollo y servidor web
Amenazasglobales
Cd go Cdigo A1 A2 A4 A3 Amenaza e a a Incendio oficinas Danio de Hardware Acceso a oficinas no autorizado Vulnerabilidad Impacto u e ab dad pacto PF EF 0,003 A 1 M 0,071 B 0,005 B 90 50 10 10 Activos ct os Riesgo Intrnseco t seco 6.685 1.238.000 17.580 1.238 1.263.503 2.476.000 2.476.000 2.476.000 2.476.000 9.904.000
TOTAL
Aca se hace el anlisis de amenazas y la formula utilizada para calcular el Riesgo Intrinseco seria: Valor de los activos * Vulnerabilidad * (Impacto/100) = Riesgo Intrinseco
Controlesporamenazas
Dism. Vulnerabilidad Amenaza A1 A2 A4 S12 S14 S02 S04 S06 S08 A3 S10 A Control A M A M M A 90 60 90 60 60 90 90 M A M M M A M 60 90 60 60 60 90 60 Dism. Impacto
Ahora relacionamos cada amenaza con su respectivo control/salvaguardas y asignamos un valor de disminucin de la vulnerabilidad como disminucin del impacto por cada control/salvaguarda asignado
Riesgoefectivoxactivo
RIESGO EFECTIVO
ACTIVOS
A1 Incend Oficinas dio Am menazas
AMENAZAS
A2 Danio en Hardware e A4 Acceso a Oficinas o no autorizado a A3 No dis sponibilidad de Personal P RIESGO EFECTIVO POR ACTIVO 0,071 10 0,005 10 90 60
0,003 90
1 50
Disminucin de Vulnerabilidad (%) ( ) Cdigo 90 51 22 68 Valor del Activo Descripcin del Activo Disminucin de Impacto (%)
90 60
60 90
99,84 , 99,36
42 1 6 0
50
Ahora calculamos el riesgo efectivo por amenaza y por activo: Riesgo Efectivo = Riesgo Intrinseco * ( 1 - Disminucion de la vulnerabilidad)*(1-Disminucion vulnerabilidad)*(1 Disminucion del impacto)
Quemiralaaltagerencia?
Conclusiones Finales
Valor de Activos
Riesgo Intrnseco
Riesgo Efectivo
2.476.000
1.263.503
49.837
TOT
2.476.000
1.263.503
49.837
El riesgo intrnseco para este estudio es de 51.03% del valor de los activos y el riesgo efectivo es de 2.01%
Planificar
Definir: Alcance Poltica g Metodologa
Identificar y Analizar
Identificar: Activos Amenazas Vulnerabilidades Analizar: Anali ar Riesgos
La direccin
Decidir tratamiento de riesgos g Aceptar riesgo residual
Costo/beneficios
Reducir
Controles: Seleccionar Implantar
Transferir
Seguros Proveedores
Aceptar
Evitar
Cesar la actividad que lo origina
No hacer nada
CONCLUSIONES
La forma de conseguir el mayor beneficio en seguridad de la informacin es contar con una adecuada evaluacin de riesgos riesgos, que oriente las inversiones, que minimicen el impacto en casos de incidentes No importa la metodologa que se seleccione
CONCLUSIONES
La seguridad de la informacin no es una responsabilidad nicamente del rea de tecnologa debe fluir desde la alta gerencia hacia todos los procesos de negocios
CONCLUSIONES
Un comit de seguridad de la informacin compuesto por cada jefe de rea genera mas compromiso para hacer cumplir las polticas de seguridad de la informacin
CONCLUSIONES
Si la seguridad de la informacin depende nicamente d IT entonces l probabilidad es d l i de la b bilid d del 100% de que no se implemente
CONCLUSIONES
Los recursos financieros de una organizacin deben invertirse de la mejor manera mirando siempre el retorno de inversin
CONCLUSIONES
La organizacin debe entender la seguridad como un proceso que nunca termina La inseguridad es una propiedad inherente a los recursos informticos y la gestin es la nica forma de medirla y aminorarla
BIBLIOGRAFA
Maestria en seguridad i f i id d informatica (h :// i (http //www.uoc.edu) (http://www.uoc.edu), d ), Daniel Cruz Allende g ( p // p ) Creadoresdelametodologia (http://www.csi.map.es) BCI (TheBussiness ContinuityInstitute)www.thebci.org CRAMMwww.cramm.com esCERT http://escert.upc.edu FIRSThttp://www.first.org/ ISO ISOwww.iso.org i ITILhttp://www.itil.co.uk/ MAGERIT www csi map es/csi/pg5m20 htm MAGERITwww.csi.map.es/csi/pg5m20.htm
Preguntasyaportes