P. 1
01-InformationSecurityandRiskManagementv3

01-InformationSecurityandRiskManagementv3

|Views: 7|Likes:
Published by Adolfo Choquellampa

More info:

Published by: Adolfo Choquellampa on Apr 10, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

04/21/2014

pdf

text

original

CISSP Security Training – Information Security and Risk Management

Information Security and Risk Management

Agenda
Aspectos Generales
Administración de la Seguridad Controles de InfoSec C-I-A (Confidencialidad, Integridad y Disponibilidad) Definiciones de Seguridad

Gestión del Riesgo
Análisis de Riesgos Tratamiento de Riesgos

Políticas, Procedimientos, Estándares, Baselines y Guidelines.

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

2

Agenda (Cont.)
Clasificación de la Información Roles y Responsabilidades Políticas y Practicas de Empleo Information Security Awareness Referencias y Lecturas Complementarias Preguntas

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

3

1

CISSP Security Training – Information Security and Risk Management

Information Security and Risk Management
Aspectos Generales

Aspectos Generales
Gestión de Seguridad de la Información
Proteger los activos de información de la organización. Comprende: Gestión de riesgos Normativas de seguridad: políticas, normas, procedimientos, estándares, guías Clasificación de la información Organización de la seguridad Educación en seguridad Definición e implantación de controles Seguimiento y mejora continuos
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

5

Aspectos Generales (Cont.)
Incumbencia
La Seguridad de la Información debe ser incumbencia de la alta gerencia de la organización. Definitivamente NO debe circunscribirse al área de TI o al área de seguridad. Enfoque TOP-DOWN.

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

6

2

CISSP Security Training – Information Security and Risk Management

Aspectos Generales (Cont.)
Función del Information Security Manager Establecer y mantener un Programa Integral de Seguridad, el cual permita garantizar la existencia de tres requerimientos básicos: Confidencialidad, Integridad y Disponibilidad, sobre los activos de información de la organización.
Determinar Objetivos, alcance, políticas, prioridades, estándares y estrategias.

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

7

Aspectos Generales (Cont.)
Ubicación dentro de la estructura
Independencia de otras áreas de la organización. Llegada a los altos mandos.
Alta Gerencia

Gerencia Administrativa

Gerencia Financiera

Gerencia Comercial

Gerencia de Producción

Gerencia de TI

Gerencia de Seguridad de la Información

Alta Gerencia Area de Seguridad de la Información Gerencia Administrativa Gerencia Financiera Gerencia Comercial Gerencia de Producción Gerencia de TI


8

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

Aspectos Generales (Cont.)
Posibles inconvenientes con la Alta Gerencia
Falta de entendimiento sobre la necesidad de seguridad. Concepción de la seguridad como costosa e innecesaria Incapacidad de identificar amenazas y vulnerabilidades. Incapacidad para estimar el impacto y probabilidad de los riesgos relacionados con los recursos. Creer que la implementación de seguridad interferirá con los objetivos de negocio. Creer que la seguridad es un tema de TI.

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

9

3

CISSP Security Training – Information Security and Risk Management

Aspectos Generales (Cont.)
Sistema Confiable (Trustworthy System) Un Sistema Confiable, suele ser definido como aquel que posee la combinación apropiada de Confidencialidad, Integridad y Disponibilidad a efectos de soportar los objetivos particulares de negocio fijados por la organización.

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

10

Controles de InfoSec
El principal objetivo del establecimiento de Controles de Seguridad de la Información, es el de reducir los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable por la empresa. Estos controles pueden ser: Preventivos / Detectivos / Correctivos Físicos / Técnicos (Lógicos) / Administrativos

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

11

Controles de InfoSec (Cont.)
Políticas, Estándares, Procedimientos, Guidelines, Baselines, Security Awareness, Screening de personal, Change Control Guardias de Seguridad, Cerraduras, Protección del edificio, Cámaras de seguridad, Controles ambientales Control de Acceso Lógico, Encripción, Identificación y Autenticación, Monitoreo Lógico

Controles Físicos Controles Técnicos Controles Administrativos

Datos y Activos de la Organización

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

12

4

L.CISSP Security Training – Information Security and Risk Management The BIG three / AIC Triad / C-I-A Amenazas Vulnerabilidades Riesgos Disponibilidad Integridad Confidencialidad Controles y medidas de seguridad CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. 15 5 .R. 13 The BIG three – Confidencialidad Confidencialidad La información es accedida solo por personal autorizado y de manera autorizada. Identificación.R. 14 The BIG three – Confidencialidad (Cont. Autenticación y Autorización CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.L.) Cuales son las amenazas respecto de la Confidencialidad? “Shoulder surfing” Ingeniería Social Usuarios descuidados Hacker / Cracker Masqueraders / Spoofing (Suplantación) Descarga de archivos sin protección Actividad de usuario no autorizada Caballos de Troya Sniffing / Man-in-the-middle Trashing Emanations Etc.

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Integridad de datos / información. Consistencia Interna y Externa Interna: La información es consistente dentro del sistema Informático Externa: La información es consistente con “el mundo real”.R. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.Integridad Integridad Toda modificación a datos o información es realizada por personas autorizadas de manera autorizada. 17 The BIG three – Integridad (Cont.L.R. Transito y Destino) Estrictos mecanismos de Control de Acceso Clasificación de la información Capacitación del Personal Procedimientos CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.L. Consistencia Integridad del proceso de manipulación de datos / información.) Cuales son las amenazas respecto de la Integridad? Ingeniería Social Usuarios descuidados Hacker / Cracker Masqueraders (Suplantación) Actividad de usuario no autorizada Descarga de archivos sin protección Caballos de Troya Virus / Gusanos Buffer overflow Trapdoor – Maintenance hook Etc.) Medidas de Protección contra la perdida de Confidencialidad Encripción de datos (Origen.R. 18 6 . 16 The BIG three .CISSP Security Training – Information Security and Risk Management The BIG three – Confidencialidad (Cont.L.

CISSP Security Training – Information Security and Risk Management The BIG three – Integridad (Cont. 19 The BIG three .R. 20 The BIG three – Disponibilidad (Cont. 21 7 .R.Need-to-Know Access (Otorgar acceso solo a lo necesario) Separación de Deberes / Tareas (Separation of Duties) Rotación de Deberes / Tareas (Rotation of Duties) Procedimientos de control de cambios Integrity Checkers (Tripwire) Algoritmos de hash CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.) Medidas de Protección contra amenazas a la Integridad Menor Privilegio .R.L.) Cuales son las amenazas respecto de la Disponibilidad? Denegación de Servicio Desastres naturales Acciones humanas – intencionales o accidentales CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.L. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.Disponibilidad Disponibilidad La información y datos se encuentran disponibles para personal autorizado cuando se necesitan.L.

Interrupción (detruction .disruption) CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.CISSP Security Training – Information Security and Risk Management The BIG three – Disponibilidad (Cont. 23 En resumen: Objetivos de Seguridad (Cont.L. Integridad Prevenir la modificación NO Autorizada de los sistemas e información.R. Técnicos y Administrativos Seguridad física Mecanismos de tolerancia a fallos Plan de contingencia Procedimientos operativos CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.) El Opuesto a las The BIG three Revelación (disclosure) Modificación (alteration) Destrucción .) Medidas de Protección contra amenazas a la Disponibilidad Conjunto de Controles: Físicos.R. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.L.L. Disponibilidad Prevenir interrupción del servicio y la perdida de productividad. 22 En resumen: Objetivos de Seguridad Confidencialidad Prevenir la divulgación NO Autorizada de información sensible. 24 8 .

“Equivale a la validación por parte de la autoridad de las credenciales presentadas” CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.) Autenticación Es el proceso por el cual se prueba que la información de identificación se corresponde con el sujeto que la presenta.R. 27 9 .L.R.L. 26 Otros Conceptos (Cont.L. “Equivale a la presentación de credenciales a un autoridad” CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Identificación es un paso necesario para lograr la autenticación y autorización.CISSP Security Training – Information Security and Risk Management Otros Conceptos Identificación Autenticación Autorización Responsabilidad No-repudio Identification Authentication Authorization Accounting Non-Repudiation “AAA” CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.) Identificación Forma en la cual los usuarios comunican su identidad a un sistema. 25 Otros Conceptos (Cont.

30 10 .) Responsabilidad (Accountability) Habilidad para determinar las acciones individuales que un usuario efectúa en un sistema y cuándo las efectúa.R.R.R.) Ejemplo Identificación Autenticación Autorización ID Password Derechos / Permisos CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. El proceso de Autorización se realiza una vez que se ha logrado la Identificación y Autenticación del usuario.L. 28 Otros Conceptos (Cont.CISSP Security Training – Information Security and Risk Management Otros Conceptos (Cont.L. Usualmente este principio esta soportado por logs de auditoría. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.) Autorización Derechos y permisos otorgados a un individuo (o proceso) que le permite acceder a un recurso del sistema / computadora. 29 Otros Conceptos (Cont.L. y para identificar unívocamente a dicho usuario.

) No-Repudio El principio de No-Repudio.R. 31 Otros Conceptos (Cont. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.L. 32 Information Security and Risk Management Gestión del Riesgo 11 . Confidencialidad Es un principio de la seguridad que busca garantizar que la información no es revelada a personas no autorizadas.R.CISSP Security Training – Information Security and Risk Management Otros Conceptos (Cont. Confidencialidad Privacidad Es un principio de la seguridad que busca proteger la información del individuo empleando controles para garantizar que la misma no es diseminada o accedida en forma no autorizada.L. evita que el responsable de una transacción niegue haberla realizado posteriormente.) Privacidad vs. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.

técnicos o físicos.) Vulnerabilidad Ausencia o debilidad de un control.R. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L. La “entidad” que toma ventaja de una vulnerabilidad. La amenazas explotan (toman ventaja de) las vulnerabilidades. suele referirse como “agente de la amenaza” (Threat Agent). impacto o ambas. 34 Conceptos Previos (Cont. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.L.R.L. Condición que podría permitir que una amenaza se materialice con mayor frecuencia.CISSP Security Training – Information Security and Risk Management Conceptos Previos Vulnerabilidad Amenaza Riesgo Exposición Contramedida o Salvaguarda CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.) Amenaza Evento cuya ocurrencia podría impactar en forma negativa en la organización. 35 Conceptos Previos (Cont. Una vulnerabilidad puede ser la ausencia o debilidad en los controles administrativos. 36 12 .

R. que permita detectar. prevenir o minimizar el riesgo asociado con la ocurrencia de una amenaza especifica.) Contramedida o Salvaguarda Cualquier tipo de medida.) Riesgo Probabilidad de que un agente de amenaza explote una vulnerabilidad. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.L.) Exposición Instancia en la cual la información o un activo de información es susceptible a dañarse o perderse por el accionar de un agente de amenaza. no significa que el evento que produce la perdida o daño del recurso “este ocurriendo”.L. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.CISSP Security Training – Information Security and Risk Management Conceptos Previos (Cont. 38 Conceptos Previos (Cont. 39 13 .L. La exposición. en combinación con el impacto que esto ocasiona. Las contramedidas también son conocidas como controles.R. solo significa que podría ocurrir dado que existe una amenaza y una vulnerabilidad que ésta podría explotar. Se conoce por riesgo a la combinación de probabilidad de ocurrencia e impacto de una amenaza.R. 37 Conceptos Previos (Cont.

R. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. comienza desde el momento mismo que la esta inicia sus actividades (Tal vez antes…) El riesgo puede ser identificado y reducido.R. Una organización se encuentra permanentemente en riesgo. 40 Relación Entre los Conceptos: Ejemplo Software Antivirus + Firmas Desactualizadas (Vulnerabilidad) Vulnerable al ataque de un virus (Amenaza) Al ingresar el virus en la compañía. 41 Gestión del Riesgo El riesgo de una organización.L. 42 14 . nunca eliminado.L.L.CISSP Security Training – Information Security and Risk Management Relación Entre los Conceptos Produce Explota Amenaza Vulnerabilidad Directly affect Riesgo Ocasiona Agente de amenaza Activo Exposición Contramedida Puede dañar Sujeto a Puede ser contrarrestado con CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. No existe un entorno 100% seguro. comienza la exposición Mantener actualizadas las firmas (Contramedida) CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.

presupuestación. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. 2.L. debemos entender el proceso de identificar. 43 Gestión del Riesgo (Cont.R. mitigar y transferir o aceptar el riesgo. implementación y mantenimiento de medidas para la mitigación de riesgos.) IDENTIFICACIÓN DE ACTIVOS IDENTIFICACIÓN DE AMENAZAS IDENTIFICACIÓN DE VULNERABILIDADES ANÁLISIS DE CONTROLES DETERMINACIÓN DE LA PROBABILIDAD DE OCURRENCIA ANÁLISIS DE IMPACTO DETERMINACIÓN DEL RIESGO TRATAMIENTO DEL RIESGO CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Tratamiento de riesgos Priorización. análisis de las medidas para aceptar.) Gestión del Riesgo .L.L. analizar.Risk assessment Identificación de vulnerabilidades y amenazas. 44 Gestión del Riesgo (Cont. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R. evitar o transferir el riesgo.R.Information Risk Management (IRM) Proceso compuesto por las siguientes fases: 1.CISSP Security Training – Information Security and Risk Management Gestión del Riesgo (Cont. DOCUMENTACIÓN 45 15 . Análisis de riesgos . determinar.) Por Gestión del Riesgo. análisis de probabilidad de ocurrencia e impacto.

L. Amenaza y Vulnerabilidad conforman lo que se conoce como Triple en seguridad informática. todo aquello que tenga un valor para la organización. dato.CISSP Security Training – Information Security and Risk Management Gestión del Riesgo (Cont. Nota: La combinación de Activo. 46 Gestión del Riesgo (Cont.) Principal objetivo Reducir los riesgos hasta niveles de tolerancia aceptables para la organización.R. 48 16 .R.L.) Tipos de Riesgo Daño físico Acciones humanas Fallas del equipamiento Ataques internos o externos Pérdida de datos Errores en las aplicaciones Etc. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. producto. Vulnerabilidad Ausencia o debilidad de un control. 47 Conceptos de Gestión del Riesgo Activo (Recurso / Asset) Recurso. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. proceso.L.R. Amenaza Evento que pueda impactar en forma negativa en la organización.

51 17 .) Control (implantado) Su función es reducir el riesgo asociado con una amenaza o grupo de amenazas. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.R.L.L. incluyendo TI y seguridad de la información.L. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. 49 Política de Gestión del Riesgo Parte de la Política de Gestión de Riesgos de la organización Alineada con la Política de Seguridad de la Información Alineada con la Estrategia de la organización Definición del equipo de Gestión del Riesgo Contempla: Objetivos Definición de niveles aceptables de riesgo Procesos de análisis y tratamiento de riesgos Metodologías Definición de roles y responsabilidades Indicadores claves para el monitoreo de los controles implementados para la mitigación del riesgo CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. 50 Equipo de Gestión del Riesgo Objetivo Garantizar que la organización se encuentra protegida ante los riesgos teniendo en cuenta la relación costo-beneficio de la implementación de controles.CISSP Security Training – Information Security and Risk Management Conceptos de Gestión del Riesgo (Cont.R. Conformación Personal de las áreas sustantivas de la organización.

R. 52 De qué se trata la Gestión del Riesgo? Qué puede pasar (amenaza)? Si pasa.R.L.L. 54 18 . qué tan malo puede ser (impacto de la amenaza)? Qué tan seguido puede pasar (frecuencia de la amenaza)? Qué tan seguro estoy de las respuestas anteriores (reconocimiento de inseguridad)? Qué puedo hacer (mitigar el riesgo)? Cuanto me costara (anualizado)? Dicho costo es efectivo (Relación Costo/Beneficio)? CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. es posible identificar los riesgos relacionados con un recurso y evaluar el daño potencial que este puede sufrir. es la principal herramienta a utilizar como parte del proceso de “Gestión de Riesgos”. El Análisis de Riesgos no es más que un método por medio del cual.L. a fin de justificar los costos asociados con las contramedidas o salvaguardas necesarias para minimizarlo. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.) Funciones Proposición de la política Redacción de los procedimientos Análisis de riesgos Tratamiento de riesgos Definición de métricas Concienciación del personal Capacitación del personal Documentación Integración de la Gestión de Riesgos al proceso de Control de Cambios CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R. 53 Análisis de Riesgos El Análisis de Riesgos.CISSP Security Training – Information Security and Risk Management Equipo de Gestión del Riesgo (Cont.

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.) Identificación de Activos Intangibles Privacidad Seguridad y Salud de los empleados Imagen y Reputación Continuidad de las actividades Moral del empleado CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R. etc.R.L. busca alcanzar cinco objetivos principales: Identificar activos y sus amenazas y vulnerabilidades asociadas Cuantificar el impacto en caso de concretarse la amenaza Estimar la probabilidad de ocurrencia de la materialización de la amenaza Calcular el riesgo Analizar la relación costo/beneficio en los controles a implementar CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. 57 19 . 56 Análisis de Riesgos (Cont. equipos de comunicaciones.CISSP Security Training – Information Security and Risk Management Análisis de Riesgos (Cont. cableado Documentos.R. 55 Análisis de Riesgos (Cont.L.) El Análisis de Riesgos. Libros.L.) Identificación de Activos Tangibles Datos Software Computadoras. Registros de Auditoría.

instalación. etc. flete.) Valoración de activos Cómo? Costo inicial (licenciamiento. 59 Análisis de Riesgos (Cont. Costo de reemplazo. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. competencia. mejoras. Operaciones y actividades que se verían afectadas si el recurso no se encuentra disponible.L. usuarios. Responsabilidades en caso de que el recurso sea comprometido. compra. 58 Análisis de Riesgos (Cont. Puede ser necesario para determinar pólizas de seguro. Es requerido para cumplir con el “Due Care” (Cuidado Debido) CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.L.R. etc.) Identificación de Amenazas y vulnerabilidades Fuente de amenaza Hacker Puede explotar esta vulnerabilidad Servidor configurado de forma insegura Deficiente asignación de permisos de acceso en la aplicación Falta de un sistema de detección de incendios Resultando en la siguiente amenaza Acceso no autorizado a la información Ejecución de transacciones de privilegio de forma no autorizada Daños severos al equipamiento de procesamiento crítico Empleado Fuego CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.) Costo de mantenimiento (mantenimiento preventivo.L. Para saber verdaderamente qué es lo que está en riesgo. etc.CISSP Security Training – Information Security and Risk Management Análisis de Riesgos (Cont. puesta a punto. 60 20 .) Valor del activo para los dueños.) Valoración de activos ¿Por qué? Es necesario para realizar el análisis de costo/ beneficio.R. Valor estimado de la propiedad intelectual.R.

experiencia.) Determinación del riesgo El riesgo es una combinación entre la probabilidad de ocurrencia y el impacto.L.L.) Análisis de controles Identificar los controles ya implementados y analizar su vigencia y efectividad. intuición. 61 Análisis de Riesgos (Cont.R.) para ponderar el riesgo y sus componentes. Análisis Cualitativo de Riesgos Utiliza elementos soft de la organización (opinión. mejores prácticas.) Análisis Cuantitativo de Riesgos Asigna valores monetarios hard (objetivos) a cada componente de la evaluación de riesgos y a cada potencial pérdida. etc. 63 21 . 62 Análisis de Riesgos (Cont.R.R.CISSP Security Training – Information Security and Risk Management Análisis de Riesgos (Cont. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Aplicable a todas las situaciones CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.L.

65 Análisis Cuantitativo de Riesgos (Cont. Estimar la pérdida potencial por cada amenaza Factor de Exposición (EF) Porcentaje de pérdida sobre el valor del un activo generado por la concreción de una amenaza. Representa la pérdida producida por una amenaza determinada en forma individual. SLE = Valor Activo ($) * EF (Factor de Exposición) CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Estimar la pérdida anual. Estimar la pérdida potencial por cada amenaza. Asignar valor a los activos. 3. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. 66 22 .R.L. 4.CISSP Security Training – Information Security and Risk Management Análisis Cuantitativo de Riesgos Pasos del Análisis de Riesgo: 1. Analizar las amenazas.) 2. 2.L.L.) 2.R. 64 Análisis Cuantitativo de Riesgos (Cont. 0% ≤ EF ≤ 100% CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Estimar la pérdida potencial por cada amenaza Expectativa de Pérdida Individual (SLE) Valor monetario asociado a un evento determinado.R.

) Tasa de Ocurrencia Anual (ARO) Valores ARO . Analizar las amenazas Tasa de Ocurrencia Anual (ARO) Representa la frecuencia estimada de ocurrencia de un evento (amenaza).) 4.01 .5 1 10 20 Frecuencia de Ocurrencia Una vez cada 100 años (1/100) Una vez cada 50 años (1/50) Una vez cada 5 años (1/5) Una vez cada 2 años (1/2) Una vez al año 10 veces al año 20 veces al año CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.02 .Cuantitativo) 0 ≤ ARO ≤ 1 (Harris .R.CISSP Security Training – Information Security and Risk Management Análisis Cuantitativo de Riesgos (Cont.L. Estimar la pérdida anual Expectativa de Pérdida Anualizada (ALE) Representa la pérdida anual producida por una amenaza determinada individual.) 3.R.2 . 68 Análisis Cuantitativo de Riesgos (Cont. 67 Análisis Cuantitativo de Riesgos (Cont.Probabilístico) CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.L. dentro del período de un año.L. 0 ≤ ARO < ∞ (Krutz .R. ALE = SLE (Expectativa de Perdida Individual) * ARO (Taza de Ocurrencia Anual) CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. 69 23 .

000.000 x 25% = u$s 25.5 = u$s 1.) Activo: Web server Valor: u$s 5.) Activo: Data Warehouse Valor: u$s 100.000 ALE = SLE x ARO = u$s 25. 72 24 .R.1 = u$s 50.R.L.L.500 x 0.000 ALE = SLE x ARO = u$s 500. 70 Análisis Cuantitativo de Riesgos (Cont.000 Amenaza: Fuego EF: 50% ARO: 1/10 (1 vez cada 10 años) SLE = Valor x EF = u$s 1.500 ALE = SLE x ARO = u$s 2.000.) Activo: Edificio Valor: u$s 1.L.000 Amenaza: Virus EF: 25% ARO: 2 (2 veces al año) SLE = Valor x EF = u$s 100.000 Amenaza: DoS EF: 50% ARO: 1/2 (1 vez cada 2 años) SLE = Valor x EF = u$s 5.250 ARO (Tasa de Ocurrencia Anual – Annualized Rate of Ocurrence) ALE (Expectativa de Perdida Anual – Annualized Loss Expectancy) EF (Factor de Exposición – Exposure Factor) SLE (Expectativa de Perdida Individual – Single Loss Expectancy) CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.000 x 50% = u$s 500.000 ARO (Tasa de Ocurrencia Anual – Annualized Rate of Ocurrence) ALE (Expectativa de Perdida Anual – Annualized Loss Expectancy) EF (Factor de Exposición – Exposure Factor) SLE (Expectativa de Perdida Individual – Single Loss Expectancy) CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.000 x 0.CISSP Security Training – Information Security and Risk Management Análisis Cuantitativo de Riesgos (Cont.000 x 2 = u$s 50.000 x 50% = u$s 2. 71 Análisis Cuantitativo de Riesgos (Cont.000 ARO (Tasa de Ocurrencia Anual – Annualized Rate of Ocurrence) ALE (Expectativa de Perdida Anual – Annualized Loss Expectancy) EF (Factor de Exposición – Exposure Factor) SLE (Expectativa de Perdida Individual – Single Loss Expectancy) CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.

a diferencia del Cuantitativo.R. En vez de asignar el costo exacto respecto de las posibles pérdidas.) Qué obtenemos luego de realizar un Análisis Cuantitativo de Riesgos Valor de los activos (en dinero) Posibles amenazas a los activos Probabilidad de ocurrencia de cada amenaza Posible pérdida anual por cada amenaza CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.L. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R. conjuga: juicio.) Técnicas y Métodos del Análisis de Riesgos Cualitativo: Brainstorming Técnicas Delphi Cuestionarios Checklist Entrevistas Etc. Este tipo de procesos. 73 Análisis Cualitativo de Riesgos El Análisis de Riesgo Cualitativo. 74 Análisis Cualitativo de Riesgos (Cont.L. es un modelo basado mas bien en escenarios que en cálculos.R. costos y efectos de una amenaza en relación del activo.L. experiencia e intuición. 75 25 .CISSP Security Training – Information Security and Risk Management Análisis Cuantitativo de Riesgos (Cont. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. los riesgos. en este escenario se ponderan en escala.

CISSP Security Training – Information Security and Risk Management Análisis Cualitativo de Riesgos (Cont. 26 . 77 Análisis Cualitativo de Riesgos (Cont. 76 Análisis Cualitativo de Riesgos (Cont. Clasificación de las amenazas en cuanto a su probabilidad de ocurrencia e impacto 3.) Métodos Delphi Feedback Anónimo A cada participante se le requiere comentarios anónimos respecto de cada uno de los puntos a tratar.L.R.R.L.L. Definición de: Niveles de probabilidad de ocurrencia de las amenazas Niveles de impacto de las amenazas Niveles de riesgo (en función a las anteriores) 2. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.) Pasos del Análisis Cualitativo de Riesgos: 1.) Ejemplo de criterio de ponderación Probabilidad de ocurrencia: ALTO – MEDIO – BAJO Impacto: ALTO – MEDIO .BAJO Riesgo: Probabilidad de ocurrencia ALTO MEDIO BAJO Impacto ALTO ALTO ALTO MEDIO MEDIO ALTO MEDIO BAJO BAJO MEDIO BAJO BAJO 78 CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R. El proceso es repetido hasta lograr el consenso. Estimación del riesgo CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Los resultados son compilados y presentados al grupo para su evaluación.

R.L.L. 3) BAJO MEDIO MEDIO MEDIO ALTO [3 .5 RIESGO ALTO CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Es vital tener en cuenta el nivel de incertidumbre existente en el proceso de análisis de riesgos ya que esto indicará la confianza que la gerencia podrá depositar luego en los resultados de dicho análisis. Análisis Cualitativo de Riesgos (Cont. Se expresa con un porcentaje de 0% a 100%. 1) [1 . CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. 2) BAJO BAJO MEDIO MEDIO MEDIO [2 .25 Control biométrico 4 5 4 4 4. Info. 80 Incertidumbre en el Análisis de Riesgos Incertidumbre En análisis de riesgos.L. 81 27 .R.R. 5] 0-5 Impacto [0 . Tener 20% de confianza en una estimación implica tener el 80% de incertidumbre. 4) [4 .5 2 1 1 1 1. 2) [2 . 3) [3 .75 Impacto Efectividad de la contramedida Guardia 4 5 4 5 4.CISSP Security Training – Information Security and Risk Management Análisis Cualitativo de Riesgos (Cont. Promedio Probabilidad de ocurrencia 3 2 2 4 2.) Ejemplo de criterio de ponderación Probabilidad de ocurrencia: Impacto: 0 .25 CCTV 3 2 3 2 2. 1) BAJO BAJO BAJO MEDIO MEDIO [1 . 5] MEDIO MEDIO ALTO ALTO ALTO 79 CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. la incertidumbre se refiere al nivel de falta de certidumbre en una estimación.5 Riesgo: Probabilidad de ocurrencia [0 . 4) MEDIO MEDIO MEDIO ALTO ALTO [4 .) Ejemplo de Análisis Cualitativo Amenaza: Acceso físico no autorizado al equipamiento crítico Personal consultado Gerente de TI Jefe del Centro de Cómputos Jefe de Seguridad Responsable de Seg.

Facilita la mejora continua del proceso de análisis de riesgos.R.R. 83 Herramientas Automatizadas Permiten documentar la información recolectada. Generan gráficos e informes en forma automática. de modo tal de analizar supuestos. La aplicación de análisis puramente cuantitativo sencillamente NO es posible. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L. Permite simular distintos escenarios con facilidad. Reducen el esfuerzo manual en cada una de las tareas agilizando los resultados.CISSP Security Training – Information Security and Risk Management Cuantitativo vs Cualitativo Cada método posee sus ventajas y desventajas. Establece criterios homogéneos de valoración. La aplicación de análisis puramente cualitativo es posible. Facilita el control de las tareas de análisis de riesgos. son cualitativos y por tanto no son certeros en cuanto a valores cuantitativos. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.L.L. Centraliza la información relativa al análisis de riesgos. 84 28 .) Característica Cálculos Aplicable Análisis de costo/beneficio Objetividad Comprensible por la dirección Herramientas automatizadas Utiliza métricas claras Cualitativo Simples Siempre Subjetivo Baja Menos No aplicable No Cuantitativo Complejos No siempre Concreto Alta Más Aplicable Sí CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Principalmente debido a que parte de los ítems que se deberán evaluar como parte del análisis. 82 Cuantitativo vs Cualitativo (Cont.

125 – u$s 250 – u$s 1.CISSP Security Training – Information Security and Risk Management Tratamiento de Riesgos Análisis de las contramedidas o controles Análisis Costo / Beneficio Costo Control < Valor del Activo Valor del control = (ALE antes del control) – (ALE después del control) – (costo anual del control) CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.20 ALE (luego de la contramedida) = 25. ARO (luego de la contramedida) = 0.20 = u$s 250 Valor de la contramedida = u$s 3.) Análisis de las contramedidas o controles Aspectos a tener en cuenta en la estimación del costo anual de un control: Costo de adquisición Costo de diseño y planeamiento Costo de implementación Impacto en el entorno (compatibilidad) Mantenimiento Pruebas Reparación.R.250 Costo anual de la UPS: u$s 1.50 ALE: u$s 3.L.000 x 0. reemplazo.R.125 SLE: u$s 6.L. 87 29 . 86 Tratamiento de Riesgos (Cont.875 – u$s 1. 85 Tratamiento de Riesgos (Cont.) Análisis de las contramedidas o controles Ejemplo: Web server Valor del activo: u$s 25.000 = u$s 875 por año de la contramedida CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.000 = u$s1.25 ARO: 0. actualización Nivel de operación manual requerida Efectos sobre la productividad Habilidad de Recupero CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.000 EF (antes de la contramedida): 0.L.000 EF (luego de la contramedida) = 0.05 En caso de que el corte de energía sea más prolongado que la autonomía de la UPS.875 Beneficio de la organización: u$s 1.05 x 0.

R. Amenaza * Vulnerabilidades * Valor del recurso = Riesgo Total Riesgo Residual: Es el riesgo remanente una vez implementadas las contramedidas. en caso de no implementar contramedidas. 90 30 . Riesgo Total – Control Gap = Riesgo Residual CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.CISSP Security Training – Information Security and Risk Management Tratamiento de Riesgos (Cont.R.L.) Mitigar Transferir Aceptar RIESGO ACEPTABLE !!! Rechazar o Ignorar CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.L. Es la reducción del riesgo. Control Gap = Riesgo Total – Riesgo Residual CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R. 88 Tratamiento de Riesgos (Cont. 89 Tratamiento de Riesgos (Cont.) Conceptos generales Control Gap: Es la cantidad de riesgo que se ha logrado reducir por medio de la implementación de una contramedida.) Conceptos generales Riesgo Total: Es el riesgo que una organización asume. No se utiliza para el cálculo del riesgo.L.

Baselines y Guidelines Estructura normativa Políticas NIVEL ESTRATÉGICO Estándares Baselines Normas (Guidelines) NIVEL TÁCTICO Procedimientos NIVEL OPERATIVO CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.CISSP Security Training – Information Security and Risk Management Information Security and Risk Management Políticas. Procedimientos. 92 Objetivos de las normativas Definir y clasificar las metas y objetivos Definir roles. responsabilidades y escala de autoridad Establecer criterios aceptables y uniformes de conducta Informar al personal sobre sus obligaciones y medidas a tomar por incumplimiento Informar a terceros sobre las definiciones establecidas por la organización Garantizar el cumplimiento de normativas externas CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.L. Estándares. 93 31 .

L. Debe ser consistente con las normativas legales y corporativas existentes. De carácter abreviado y de alto nivel. 96 32 . Debe ser escrita en lenguaje claro sin ambigüedades. Debe ser aprobada por las máximas autoridades.R. Define responsabilidades y autoridades para la implantación de la seguridad informática.) Consideraciones: Debe ser dictada por un Comité de Seguridad. Definen el uso de una determinada tecnología o la aplicación de una determinada solución de manera uniforme. Define la filosofía organizacional de seguridad de la información. Se alinean con la Política General de la organización. acciones. Determinan las normativas que deben cumplirse CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. 94 Políticas (Cont.L. 95 Otros documentos Estándares Especifican la forma de poner en práctica un objetivo de la Política.CISSP Security Training – Information Security and Risk Management Políticas Presentan directivas de la Alta Gerencia. Ej. Define cómo se desarrollará el Programa de Seguridad. Estándar: Se implementarán equipos firewall para el control de accesos a cada DMZ y a la LAN de la organización CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Debe ser comunicada a todo el personal y terceros. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. El personal y los terceros debe aceptar formalmente la Política. Independiente de la tecnología y las soluciones. Define actividades.R.R.L.: Política: Se protegerá la red de la organización de accesos no autorizados desde redes externas. Debe integrarse con la Política de Gestión de Riesgos. reglas o regulaciones obligatorias.

seleccionar la opción para crear ACLs. ingresar en la consola de administración.) Normas (Guidelines) Definiciones generales establecidas para colaborar con el cumplimiento de los objetivos de las Políticas.) Baselines Determinan cómo deben ser configurados los aspectos de seguridad de las diferentes tecnologías. etc. 97 Otros documentos (Cont.: Política: Se protegerá la red de la organización de accesos no autorizados desde redes externas.L.R.L. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.: Política: Se protegerá la red de la organización de accesos no autorizados desde redes externas.) Procedimientos Descripción detallada de tareas a realizar para cumplimentar los Estándares y Baselines. Estándar: Se implementarán equipos firewall para el control de accesos a cada DMZ y a la LAN de la organización.R. etc.R. 98 Otros documentos (Cont. 99 33 . Estándar: Se implementarán equipos firewall para el control de accesos a cada DMZ y a la LAN de la organización Baseline: Permitir en el puerto XX el tráfico YY. Tienen carácter de recomendación (no son obligatorias). Norma: Los administradores de red serán capacitados sobre la implementación y configuración de firewalls. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Estándar: Se implementarán equipos firewall para el control de accesos a cada DMZ y a la LAN de la organización Baseline: Permitir en el puerto XX el tráfico YY.: Política: Se protegerá la red de la organización de accesos no autorizados desde redes externas. Procedimiento: Loguearse al equipo firewall con el usuario NN. Constituyen el nivel más bajo en la escala de normativas. proporcionando un marco en el cual implementar controles adicionales. Ej. etc. Ej. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.CISSP Security Training – Information Security and Risk Management Otros documentos (Cont. Ej.L.

: si el Propietario de la info no protege su información esta violando el principio de Due Care CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. 101 Information Security and Risk Management Clasificación de la Información 34 . Ej. El “Cuidado Debido” demuestra que una organización asume su responsabilidad por las actividades que en ella se llevan a cabo. 100 Responsabilidad Due Diligence (Diligencia Debida) Este te termino se refiere al acto de investigar y entender los riesgos a los que se expone la organización. Si alguien practica “due care” entonces actúa en forma responsable y tendrá menos posibilidades de ser acusado de negligencia o ser hallado responsable si algo malo ocurre.L. cumplimiento Control de versiones CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. procedimientos y estándares.R.CISSP Security Training – Information Security and Risk Management Consideraciones Para todo el marco normativo se debe tener en cuenta: Vigencia – actualizaciones Acceso Propietarios Responsabilidades: revisión.R. sus recursos y empleados de las posibles amenazas.L. Actuar de buena fe y cumplir con el concepto de Hombre Prudente (En lo que refiere a la protección de la informacion) Due Care (Cuidado Debido) Se entiende que una organización se encuentra alineada con la premisa de “Cuidado Debido”. cuando en ella se desarrollan políticas de seguridad. y ha tomado las medidas adecuadas para proteger la organización. actualización.

R. El valor de la información influye directamente en la definición de los controles para protegerla. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. regulatorios u otros. 103 Clasificación de la Información (Cont. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Se deben cumplir aspectos legales / regulatorios. Define los propietarios de la información. Define el proceso de clasificación de la información.R. Podría ser requerido por aspectos legales. Establece las responsabilidades en el proceso de clasificación de la información.) Beneficios: Demuestra el compromiso de una organización hacia la seguridad de la información.L. 105 35 . Optimiza la inversión en controles.L. No todo el mundo debe acceder a todos los datos / información. Establece los controles mínimos sobre la información para cada nivel establecido. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R. 104 Política de Clasificación de Información Contempla lo siguiente: Define la información como un activo de la organización. Determina el criterio de clasificación de la información. en cumplimiento con normativas existentes.L. Permite identificar que información / datos son los más críticos para la organización. Define a los custodios de la información.CISSP Security Training – Information Security and Risk Management Clasificación de la Información Justificación: No todos los datos / información tienen el mismo valor.

L. 10. 107 Tips para la clasificación Qué tener en cuenta a la hora de clasificar información? Valor la información Validez Vida útil Impacto por divulgación Impacto por alteración Impacto por no disponibilidad Implicancias legales CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R. 4. toda información que no sea de naturaleza publica. 3. Definición de los niveles de clasificación Definición del criterio de clasificación Clasificación de la información por parte de los propietarios Identificación de custodios de la información Definir los controles de seguridad de la información para cada nivel Documentar excepciones a la clasificación Definir métodos de reasignación de la custodia de la información.L. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. 9. 5. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. 106 Proceso de Clasificación de Información 1.R. 6.L. Desarrollar un procedimiento de revisión periódica de la clasificación de la información y la definición de propietarios.R. Desarrollar un procedimiento para la desclasificación de la información.CISSP Security Training – Information Security and Risk Management Política de Clasificación de Información (Cont. debe clasificarse. 7. 108 36 . 8. Introducir el proceso de clasificación de información en la concientización del personal.) Como norma general. 2.

etc.R. Sensitivo Requiere precauciones especiales. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.Confidencialidad Comercial . Privado Información para uso interno de la compañía. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Ejemplo: lista de clientes.) Modelo Habitual De uso público Información cuyo conocimiento fuera de la organización no causaría daño a la misma. Ejemplo: planes de marketing. 111 37 .: información de RRHH.L. su conocimiento podría impactar fuertemente en la compañía. su conocimiento no causa impacto negativo o adverso a la organización o el personal.Privado Confidencial Privado Sensitivo Publico Modelo Habitual Confidencial Interno Publico Militar . Confidencial El acceso a esta información se logra solo si existe la necesidad de conocer (need-to-know). Confidencial Sumamente Sensible. 109 Criterios de clasificación – Confidencialidad (Cont. 110 Criterios de clasificación – Confidencialidad (Cont.: información sobre proyectos. etc. información de adquisiciones y ventas a nivel corporativo. Desarrollo e Investigación. pero su conocimiento fuera de la misma podría ocasionar daños.Privado Publico Puede ser publica.) Modelo Comercial .Gubernamental Top Secret Secret Confidencial Sensitivo pero sin Clasificar Sin Clasificar *DoD CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Ej. Ej.R. Solo para uso interno Información cuya sensibilidad permite ser divulgada dentro de la organización. costos de productos/ servicios.: estrategia comercial. Ej.L.CISSP Security Training – Information Security and Risk Management Criterios de clasificación .R.L. Ejemplo: web site. Su conocimiento podría afectar negativamente al personal o la compañía.

R.: respuesta a tests. Sólo para uso interno. puede causar serios daños. Conocimiento del valor de la información. información de espionaje.L.L.L. 112 Roles Propietario de la información Quién debe ser? Nivel gerencial. Revisar los niveles de clasificación periódicamente y realiza los cambios que sean necesarios a la información. Aprobar su asignación. Aprobar la recuperación de información.: información de salud. Ej. Top Secret El grado más alto. Sensitivo pero sin Clasificar De Baja Sensibilidad. Definir los controles que requiere la información. Qué debe hacer? Definir el nivel de clasificación que le corresponde a la información que le pertenece. Información que puede ser Publica. Ej. Ej. 114 38 . Secret De conocerse. Revisarlos periódicamente. De conocerse podría causar daño extremo en relación a la Seguridad Nacional.: desplazamiento de tropas. código de programación.CISSP Security Training – Information Security and Risk Management Criterios de clasificación – Confidencialidad (Cont. Revisar la existencia de los controles. podría causar serios daños a la Seguridad Nacional. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.Gubernamental Sin Clasificar No Clasificada.R.R.) Propietario de la información Qué debe hacer? Definir los perfiles de acceso a la información. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. podría causar serios daños.: planos de nuevo armamento.) Modelo militar . 113 Roles (Cont. Asignar tareas protección de datos al custodio. Si se hace publica. Ej. Confidencial De conocerse.

) Usuario Seguir los procedimientos definidos para el manejo de información. Proteger la información almacenada. Restaurar la información cuando se necesita. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Cumplimentar las disposiciones de seguridad definidas para cada nivel de clasificación.CISSP Security Training – Information Security and Risk Management Roles (Cont.) Custodio Quién debe ser? Generalmente esta función se asigna a personal de TI. Utilizar los recursos asignados solo para fines de negocio. Qué debe hacer? Ejecutar backups en forma regular de la información que custodia.L. 116 Information Security and Risk Management Roles y Responsabilidades 39 . Mantener el rótulo de la información. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R. 115 Roles (Cont.R.L. Proteger la información clasificada.

L. 119 Information Security and Risk Management Políticas y Prácticas de Empleo 40 . CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. 118 Roles y Responsabilidades (Cont. Diseñar esquemas seguros. DBA Define y administra la seguridad de las bases de datos.L. Aprueba y controla los cambios. Responsable de Seguridad de la Información Responsable de la gestión de la seguridad de la información de la organización.R. Define y aprueba los perfiles de acceso a la aplicación. normas y baselines necesarios. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.) Dueño de aplicación Define los requisitos de seguridad funcional necesarios.R. Change Control Analyst Evalúa el impacto en la seguridad de los cambios informáticos. Auditor Evalúa los controles de seguridad informática y presenta recomendaciones a la alta gerencia.CISSP Security Training – Information Security and Risk Management Roles y Responsabilidades Gerencia General Responsable final por la seguridad de la información de la organización. Administrador de Seguridad Encargado de implementar las definiciones de seguridad en los entornos informáticos. Analista de Seguridad de la Información Encargado de evaluar las amenazas y vulnerabilidades y definir los estándares.

121 Background Checks (Cont. de 3ra partes o clientes por negligencia a la hora de contratación de personal. Verificación de información del CV. Beneficios: Verificar que la información provista por el candidato es verdadera y actualizada. 122 Background Checks (Cont.) Beneficios: Prevenir posibles pérdidas por acciones fraudulentas. 123 41 . Evitar incorporar personas con ética y moral alterados.CISSP Security Training – Information Security and Risk Management Background Checks Tareas: Revisión de información pública. Prevenir empleados no calificados. Evaluar la conveniencia de implementar controles exhaustivos al personal que vaya a desempeñar tareas críticas o a manejar información sensible.) Quién debe ser evaluado? Implementar una serie de controles básicos a TODO el personal a incorporar. De parte de otros empleados: por violencia. Prevenir acciones legales de parte de empleados despedidos. Prevenir posibles conflictos con el personal existente. etc. Obtener una primera idea del nivel de integridad del candidato. malos tratos.

etc. Deshabilitación / borrado de cuentas de usuarios Reenvío del e-mail y del voice-mail Cambios en las cerraduras y códigos de acceso Modificación de contraseñas de sistemas relacionadas 126 42 . confiabilidad. lealtad.) con el objeto de determinar si dicha persona puede recibir un permiso de acceso a información clasificada 124 Acuerdos Acuerdos sobre: Confidencialidad (Non-Disclosure) Uso de Recursos Conocimiento. Deben contemplar: Cómo manejar la salida del empleado. comprensión y aceptación de las Políticas Auditabilidad Non-Compete Quiénes deben firmarlos? Personal Terceros 125 Contratación y Despido Políticas y Procedimientos definidos por RR.HH.CISSP Security Training – Information Security and Risk Management Security Clearances Security Clearances Permiso de acceso a información clasificada Sólo requerido para puestos especiales de Gobierno y Militar (a veces usado en ámbitos privados) Requerido por DoD (Departamento de Defensa) Requiere un PSI o Personal Security Investigation: investigación personal (carácter.

: para la apertura de una compuerta se requiere que dos personas en diferentes sitios presionen un botón. Un individuo no puede ser responsable de aprobar su propio trabajo. Ej. Previene el FRAUDE 127 Control de actividades (Cont.) Segregación de funciones: Ejemplo: Desarrollo de Producción Seguridad de Auditoría Cuentas a Cobrar de Cuentas a Pagar Administración de Claves de Encripción de Cambio de Claves Conocimiento distribuido Dos o más personas se requieren para efectuar una tarea de forma que cada una posee un conocimiento que el resto no tiene. 129 43 .CISSP Security Training – Information Security and Risk Management Control de actividades Segregación de funciones Nadie debe ser responsable de realizar una tarea que involucra información sensitiva de principio a fin. Control dual Dos o más personas se requieren para efectuar una tarea de forma que ninguna es prescindible.) Rotación de funciones Evita que el personal permanezca demasiado tiempo en una función. Ej. Favorece el backup de empleados.: Generación de una clave por más de una persona. Quien controla no ejecuta. Vacaciones obligatorias Permite la detección de fraude. logrando un nivel elevado de control sobre las actividades. Previene el mal desempeño. 128 Control de actividades (Cont.

) Objetivos: Comprender el concepto de INFORMACIÓN Comprender los principios de seguridad de la información Conocer las amenazas a la seguridad Asimilar las vulnerabilidades del personal Conocer la estrategia de la organización con respecto a la seguridad de la información CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.CISSP Security Training – Information Security and Risk Management Information Security and Risk Management InfoSec Awareness (Concientización en Seguridad Informática) InfoSec Awareness Normalmente una de las áreas de menor consideración.L. El “eslabón mas débil” CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R. 132 44 . 131 InfoSec Awareness (Cont.L.R.

etc.R.) Beneficios: Importante reducción de la cantidad de acciones no autorizadas generadas por el personal de la organización. mouse pads.).L. boletines e intranet. Incremento significativo de la efectividad de los controles implantados.L. Recordatorios: banners de login. desperdicio y abuso de recursos informáticos.CISSP Security Training – Information Security and Risk Management InfoSec Awareness (Cont. trípticos. 135 45 . Publicación / Distribución: newsletters.) Selección de audiencia: Management Staff Empleados técnicos CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R. Ayuda a evitar el fraude. 133 InfoSec Awareness (Cont.L. Incentivos: premios y reconocimiento por alcanzar objetivos relacionados con la seguridad de la información.) Formas de lograr la concientización: Presentaciones en vivo o grabadas: conferencias/ presentaciones. mails. stickers. etc. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. accesorios de marketing (tazas. lapiceras. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. entrenamiento basado en computadoras (CBT). 134 InfoSec Awareness (Cont. video. Prevención de amenazas que explotan vulnerabilidades del personal.R.

L.L.R. etc.) Concientización al Staff: Clara y dinámica Derechos y obligaciones Actividades aceptables Ejemplos Interacción CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. guidelines. 136 InfoSec Awareness (Cont. 138 46 .R. etc. 137 InfoSec Awareness (Cont. Manejo de incidentes Funciones Responsabilidades CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R. procedimientos. procedimientos.L. Responsabilidades CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.CISSP Security Training – Information Security and Risk Management InfoSec Awareness (Cont. estándares.) Concientización al Management: Breve Lenguaje acorde Focalizar en los activos críticos de la organización Considerar el impacto financiero de la falta de seguridad Explicar implicancias legales Definir conceptos: políticas.) Concientización al Personal Técnico: Lenguaje técnico Implicancias de la seguridad en las tareas habituales Comportamiento esperado Estándares.

Usualmente involucra el engañar a las personas con el propósito de quebrar procedimientos de seguridad existentes.) Revisión de resultados: Encuestas de opinión. 141 47 . CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Duración de los encuentros: No mas de 30’.CISSP Security Training – Information Security and Risk Management InfoSec Awareness (Cont. Observación del comportamiento del personal. 139 InfoSec Awareness (Cont.R.L. Consejos / Pautas: Creíbles y Realizables.L.R. Monitoreo de uso de recursos. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Material actualizado periódicamente.) Algunos Consejos: Trabajar en conjunto con el departamento de RRHH. Medición de incidentes antes y después de la concientización. CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Cracking de passwords. Material atractivo.L. 140 Ingeniería Social Ingeniería social describe el tipo de intrusión no técnico basado en la interacción humana.R. Encuestas de calificación de la concientización. Resumen de Políticas del Usuario final: No mas de 5 páginas.

R.R. Ed Tittel. Stewart. Krutz. Third Edition (All-in-One) By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121 Official (ISC)2 Guide to the CISSP Exam By Susan Hansche (AUERBACH) ISBN: 084931707X The CISSP Prep Guide: Gold Edition By Ronald L. Fifth Edition By Harold F. Tipton. Russell Dean Vines (Wiley) ISBN: 0471236632 Information Security Management Handbook.Org WebSite: http://www.cccure. Russell Dean Vines (Wiley) ISBN: 047126802X CISSP Certification Training Guide By Roberta Bragg (Que) ISBN: 078972801X CCCure.L.L. Mike Chapple (Sybex) ISBN: 0782144438 CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S. Krutz. 142 Information Security and Risk Management Referencias y Lecturas Complementarias Referencias y Lecturas Complementarias CISSP All-in-One Exam Guide.org By Clement Dupuis Advanced CISSP Prep Guide: Exam Q&A By Ronald L.) Proceso: Recolección de información Selección del objetivo Ataque Tipos de ataque: Ataque al Ego Ataques de condolencia (Sympathy) Ataques de intimidación CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.CISSP Security Training – Information Security and Risk Management Ingeniería Social (Cont. Third Edition By James M. 144 48 . Micki Krause (Que) ISBN: 0849319978 CISSP: Certified Information Systems Security Profesional Study Guide.

CISSP Security Training – Information Security and Risk Management Information Security and Risk Management Preguntas? 49 .

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->