You are on page 1of 49

CISSP Security Training – Information Security and Risk Management

1
Information Security and Risk
Management
CISSP Security Training – Information Security and Risk Management 2
Agenda
Aspectos Generales
Administración de la Seguridad
Controles de InfoSec
C-I-A (Confidencialidad, Integridad y Disponibilidad)
Definiciones de Seguridad
Gestión del Riesgo
Análisis de Riesgos
Tratamiento de Riesgos
Políticas, Procedimientos, Estándares, Baselines y
Guidelines.
CISSP Security Training – Information Security and Risk Management

3
Agenda (Cont.)
Clasificación de la Información
Roles y Responsabilidades
Políticas y Practicas de Empleo
Information Security Awareness
Referencias y Lecturas Complementarias
Preguntas
CISSP Security Training – Information Security and Risk Management
2
Information Security and Risk
Management
Aspectos Generales
CISSP Security Training – Information Security and Risk Management 5
Aspectos Generales
Gestión de Seguridad de la Información
Proteger los activos de información de la organización.
Comprende:
Gestión de riesgos
Normativas de seguridad: políticas, normas, procedimientos,
estándares, guías
Clasificación de la información
Organización de la seguridad
Educación en seguridad
Definición e implantación de controles
Seguimiento y mejora continuos
CISSP Security Training – Information Security and Risk Management 6
Aspectos Generales (Cont.)
Incumbencia
La Seguridad de la Información debe ser incumbencia de la alta
gerencia de la organización.
Definitivamente NO debe circunscribirse al área de TI o al
área de seguridad.
Enfoque TOP-DOWN.
CISSP Security Training – Information Security and Risk Management
3
CISSP Security Training – Information Security and Risk Management 7
Aspectos Generales (Cont.)
Función del Information Security Manager
Establecer y mantener un Programa Integral de
Seguridad, el cual permita garantizar la existencia de
tres requerimientos básicos: Confidencialidad,
Integridad y Disponibilidad, sobre los activos de
información de la organización.
Determinar Objetivos, alcance, políticas, prioridades,
estándares y estrategias.
CISSP Security Training – Information Security and Risk Management 8
Aspectos Generales (Cont.)
Ubicación dentro de la estructura
Independencia de otras áreas de la organización.
Llegada a los altos mandos.
Alta Gerencia
Gerencia
Administrativa
Gerencia
Financiera
Gerencia
Comercial
Gerencia
de Producción
Gerencia
de TI …
Gerencia de
Seguridad de la
Información
Alta Gerencia
Gerencia
Administrativa
Gerencia
Financiera
Gerencia
Comercial
Gerencia
de Producción
Gerencia
de TI …
Area de
Seguridad de la
Información
CISSP Security Training – Information Security and Risk Management 9
Aspectos Generales (Cont.)
Posibles inconvenientes con la Alta Gerencia
Falta de entendimiento sobre la necesidad de
seguridad.
Concepción de la seguridad como costosa e
innecesaria
Incapacidad de identificar amenazas y vulnerabilidades.
Incapacidad para estimar el impacto y probabilidad de
los riesgos relacionados con los recursos.
Creer que la implementación de seguridad interferirá
con los objetivos de negocio.
Creer que la seguridad es un tema de TI.
CISSP Security Training – Information Security and Risk Management
4
CISSP Security Training – Information Security and Risk Management 10
Aspectos Generales (Cont.)
Sistema Confiable (Trustworthy System)
Un Sistema Confiable, suele ser definido como aquel
que posee la combinación apropiada de
Confidencialidad, Integridad y Disponibilidad a efectos
de soportar los objetivos particulares de negocio
fijados por la organización.
CISSP Security Training – Information Security and Risk Management 11
Controles de InfoSec
El principal objetivo del establecimiento de Controles
de Seguridad de la Información, es el de reducir los
efectos producidos por las amenazas de seguridad
(threats) y vulnerabilidades (vulnerabilities) a un nivel
tolerable por la empresa.
Estos controles pueden ser:
Preventivos / Detectivos / Correctivos
Físicos / Técnicos (Lógicos) / Administrativos
CISSP Security Training – Information Security and Risk Management 12
Controles de InfoSec (Cont.)
Controles Físicos
Controles Administrativos
Controles Técnicos
Datos y Activos de la
Organización
Políticas, Estándares,
Procedimientos,
Guidelines, Baselines,
Security Awareness,
Screening de personal,
Change Control
Control de Acceso Lógico,
Encripción, Identificación
y Autenticación,
Monitoreo Lógico
Guardias de Seguridad,
Cerraduras, Protección
del edificio,
Cámaras de seguridad,
Controles ambientales
CISSP Security Training – Information Security and Risk Management
5
CISSP Security Training – Information Security and Risk Management 13
The BIG three / AIC Triad / C-I-A
Confidencialidad
Disponibilidad
Integridad
Amenazas
Vulnerabilidades
Riesgos
Controles y
medidas de
seguridad
CISSP Security Training – Information Security and Risk Management 14
The BIG three – Confidencialidad
Confidencialidad
La información es accedida solo por personal
autorizado y de manera autorizada.
Identificación, Autenticación y Autorización
CISSP Security Training – Information Security and Risk Management 15
The BIG three – Confidencialidad (Cont.)
Cuales son las amenazas respecto de la
Confidencialidad?
“Shoulder surfing”
Ingeniería Social
Usuarios descuidados
Hacker / Cracker
Masqueraders / Spoofing (Suplantación)
Descarga de archivos sin protección
Actividad de usuario no autorizada
Caballos de Troya
Sniffing / Man-in-the-middle
Trashing
Emanations
Etc.
CISSP Security Training – Information Security and Risk Management
6
CISSP Security Training – Information Security and Risk Management 16
The BIG three – Confidencialidad (Cont.)
Medidas de Protección contra la perdida de
Confidencialidad
Encripción de datos (Origen, Transito y Destino)
Estrictos mecanismos de Control de Acceso
Clasificación de la información
Capacitación del Personal
Procedimientos
CISSP Security Training – Information Security and Risk Management 17
The BIG three - Integridad
Integridad
Toda modificación a datos o información es realizada
por personas autorizadas de manera autorizada.
Integridad de datos / información. Consistencia
Integridad del proceso de manipulación de datos /
información.
Consistencia Interna y Externa
Interna: La información es consistente dentro del sistema
Informático
Externa: La información es consistente con “el mundo real”.
CISSP Security Training – Information Security and Risk Management 18
The BIG three – Integridad (Cont.)
Cuales son las amenazas respecto de la
Integridad?
Ingeniería Social
Usuarios descuidados
Hacker / Cracker
Masqueraders (Suplantación)
Actividad de usuario no autorizada
Descarga de archivos sin protección
Caballos de Troya
Virus / Gusanos
Buffer overflow
Trapdoor – Maintenance hook
Etc.
CISSP Security Training – Information Security and Risk Management
7
CISSP Security Training – Information Security and Risk Management 19
The BIG three – Integridad (Cont.)
Medidas de Protección contra amenazas a la
Integridad
Menor Privilegio - Need-to-Know Access (Otorgar
acceso solo a lo necesario)
Separación de Deberes / Tareas (Separation of Duties)
Rotación de Deberes / Tareas (Rotation of Duties)
Procedimientos de control de cambios
Integrity Checkers (Tripwire)
Algoritmos de hash
CISSP Security Training – Information Security and Risk Management 20
The BIG three - Disponibilidad
Disponibilidad
La información y datos se encuentran disponibles para
personal autorizado cuando se necesitan.
CISSP Security Training – Information Security and Risk Management 21
The BIG three – Disponibilidad (Cont.)
Cuales son las amenazas respecto de la
Disponibilidad?
Denegación de Servicio
Desastres naturales
Acciones humanas – intencionales o accidentales
CISSP Security Training – Information Security and Risk Management
8
CISSP Security Training – Information Security and Risk Management 22
The BIG three – Disponibilidad (Cont.)
Medidas de Protección contra amenazas a la
Disponibilidad
Conjunto de Controles: Físicos, Técnicos y
Administrativos
Seguridad física
Mecanismos de tolerancia a fallos
Plan de contingencia
Procedimientos operativos
CISSP Security Training – Information Security and Risk Management 23
En resumen: Objetivos de Seguridad
Confidencialidad
Prevenir la divulgación NO Autorizada de
información sensible.
Integridad
Prevenir la modificación NO Autorizada de los
sistemas e información.
Disponibilidad
Prevenir interrupción del servicio y la perdida de
productividad.
CISSP Security Training – Information Security and Risk Management 24
En resumen: Objetivos de Seguridad (Cont.)
El Opuesto a las The BIG three
Revelación (disclosure)
Modificación (alteration)
Destrucción - Interrupción (detruction - disruption)
CISSP Security Training – Information Security and Risk Management
9
CISSP Security Training – Information Security and Risk Management 25
Otros Conceptos
Identificación Identification
Autenticación Authentication
Autorización Authorization
Responsabilidad Accounting
No-repudio Non-Repudiation
“AAA”
CISSP Security Training – Information Security and Risk Management 26
Otros Conceptos (Cont.)
Identificación
Forma en la cual los usuarios comunican su identidad
a un sistema. Identificación es un paso necesario para
lograr la autenticación y autorización.
“Equivale a la presentación de credenciales a un autoridad”
CISSP Security Training – Information Security and Risk Management 27
Otros Conceptos (Cont.)
Autenticación
Es el proceso por el cual se prueba que la información
de identificación se corresponde con el sujeto que la
presenta.
“Equivale a la validación por parte de la autoridad de las
credenciales presentadas”
CISSP Security Training – Information Security and Risk Management
10
CISSP Security Training – Information Security and Risk Management 28
Otros Conceptos (Cont.)
Autorización
Derechos y permisos otorgados a un individuo (o
proceso) que le permite acceder a un recurso del
sistema / computadora.
El proceso de Autorización se realiza una vez que se
ha logrado la Identificación y Autenticación del
usuario.
CISSP Security Training – Information Security and Risk Management 29
Otros Conceptos (Cont.)
Ejemplo
Identificación ID
Autenticación Password
Autorización Derechos / Permisos
CISSP Security Training – Information Security and Risk Management 30
Otros Conceptos (Cont.)
Responsabilidad (Accountability)
Habilidad para determinar las acciones individuales
que un usuario efectúa en un sistema y cuándo las
efectúa, y para identificar unívocamente a dicho
usuario. Usualmente este principio esta soportado por
logs de auditoría.
CISSP Security Training – Information Security and Risk Management
11
CISSP Security Training – Information Security and Risk Management 31
Otros Conceptos (Cont.)
Privacidad vs. Confidencialidad
Privacidad
Es un principio de la seguridad que busca proteger la
información del individuo empleando controles para
garantizar que la misma no es diseminada o accedida
en forma no autorizada.
Confidencialidad
Es un principio de la seguridad que busca garantizar
que la información no es revelada a personas no
autorizadas.
CISSP Security Training – Information Security and Risk Management 32
Otros Conceptos (Cont.)
No-Repudio
El principio de No-Repudio, evita que el responsable
de una transacción niegue haberla realizado
posteriormente.
Information Security and Risk
Management
Gestión del Riesgo
CISSP Security Training – Information Security and Risk Management
12
CISSP Security Training – Information Security and Risk Management 34
Conceptos Previos
Vulnerabilidad
Amenaza
Riesgo
Exposición
Contramedida o Salvaguarda
CISSP Security Training – Information Security and Risk Management 35
Conceptos Previos (Cont.)
Vulnerabilidad
Ausencia o debilidad de un control.
Condición que podría permitir que una amenaza se materialice con
mayor frecuencia, impacto o ambas.
Una vulnerabilidad puede ser la ausencia o debilidad en los
controles administrativos, técnicos o físicos.
CISSP Security Training – Information Security and Risk Management 36
Amenaza
Evento cuya ocurrencia podría impactar en forma
negativa en la organización.
La amenazas explotan (toman ventaja de) las vulnerabilidades.
La “entidad” que toma ventaja de una vulnerabilidad, suele referirse
como “agente de la amenaza” (Threat Agent).
Conceptos Previos (Cont.)
CISSP Security Training – Information Security and Risk Management
13
CISSP Security Training – Information Security and Risk Management 37
Riesgo
Probabilidad de que un agente de amenaza explote
una vulnerabilidad, en combinación con el impacto
que esto ocasiona.
Se conoce por riesgo a la combinación de probabilidad de
ocurrencia e impacto de una amenaza.
Conceptos Previos (Cont.)
CISSP Security Training – Information Security and Risk Management 38
Exposición
Instancia en la cual la información o un activo de
información es susceptible a dañarse o perderse por
el accionar de un agente de amenaza.
La exposición, no significa que el evento que produce la perdida o
daño del recurso “este ocurriendo”, solo significa que podría ocurrir
dado que existe una amenaza y una vulnerabilidad que ésta podría
explotar.
Conceptos Previos (Cont.)
CISSP Security Training – Information Security and Risk Management 39
Contramedida o Salvaguarda
Cualquier tipo de medida, que permita detectar,
prevenir o minimizar el riesgo asociado con la
ocurrencia de una amenaza especifica.
Las contramedidas también son conocidas como controles.
Conceptos Previos (Cont.)
CISSP Security Training – Information Security and Risk Management
14
CISSP Security Training – Information Security and Risk Management 40
Relación Entre los Conceptos
Vulnerabilidad
Agente de
amenaza
Amenaza
Riesgo
Contramedida
Exposición
Activo
Produce
Explota
Ocasiona
Puede dañar
Sujeto a
Puede ser
contrarrestado con
Directly affect
CISSP Security Training – Information Security and Risk Management 41
Relación Entre los Conceptos: Ejemplo
Software Antivirus + Firmas Desactualizadas
(Vulnerabilidad)
Vulnerable al ataque de un virus (Amenaza)
Al ingresar el virus en la compañía,
comienza la exposición
Mantener actualizadas las firmas
(Contramedida)
CISSP Security Training – Information Security and Risk Management 42
Gestión del Riesgo
El riesgo de una organización, comienza desde el
momento mismo que la esta inicia sus actividades (Tal
vez antes…)
El riesgo puede ser identificado y reducido, nunca
eliminado.
Una organización se encuentra permanentemente en
riesgo.
No existe un entorno 100% seguro.
CISSP Security Training – Information Security and Risk Management
15
CISSP Security Training – Information Security and Risk Management 43
Gestión del Riesgo (Cont.)
Por Gestión del Riesgo, debemos entender el proceso
de identificar, analizar, determinar, mitigar y transferir
o aceptar el riesgo.
CISSP Security Training – Information Security and Risk Management 44
Gestión del Riesgo (Cont.)
Gestión del Riesgo - Information Risk Management (IRM)
Proceso compuesto por las siguientes fases:
1. Análisis de riesgos - Risk assessment
Identificación de vulnerabilidades y amenazas, análisis de
probabilidad de ocurrencia e impacto, análisis de las medidas
para aceptar, evitar o transferir el riesgo.
2. Tratamiento de riesgos
Priorización, presupuestación, implementación y mantenimiento
de medidas para la mitigación de riesgos.
CISSP Security Training – Information Security and Risk Management 45
Gestión del Riesgo (Cont.)
IDENTIFICACIÓN DE ACTIVOS
IDENTIFICACIÓN
DE AMENAZAS
IDENTIFICACIÓN
DE VULNERABILIDADES
ANÁLISIS DE
CONTROLES
DETERMINACIÓN DE LA
PROBABILIDAD DE OCURRENCIA
ANÁLISIS DE IMPACTO
DETERMINACIÓN DEL RIESGO
TRATAMIENTO DEL RIESGO
D

O

C

U

M

E

N

T

A

C

I

Ó
N
CISSP Security Training – Information Security and Risk Management
16
CISSP Security Training – Information Security and Risk Management 46
Gestión del Riesgo (Cont.)
Principal objetivo
Reducir los riesgos hasta niveles de tolerancia
aceptables para la organización.
CISSP Security Training – Information Security and Risk Management 47
Gestión del Riesgo (Cont.)
Tipos de Riesgo
Daño físico
Acciones humanas
Fallas del equipamiento
Ataques internos o externos
Pérdida de datos
Errores en las aplicaciones
Etc.
CISSP Security Training – Information Security and Risk Management 48
Conceptos de Gestión del Riesgo
Activo (Recurso / Asset)
Recurso, producto, proceso, dato, todo aquello que
tenga un valor para la organización.
Amenaza
Evento que pueda impactar en forma negativa en la
organización.
Vulnerabilidad
Ausencia o debilidad de un control.
Nota: La combinación de Activo, Amenaza y Vulnerabilidad conforman lo que
se conoce como Triple en seguridad informática.
CISSP Security Training – Information Security and Risk Management
17
CISSP Security Training – Information Security and Risk Management 49
Conceptos de Gestión del Riesgo (Cont.)
Control (implantado)
Su función es reducir el riesgo asociado con una
amenaza o grupo de amenazas.
CISSP Security Training – Information Security and Risk Management 50
Política de Gestión del Riesgo
Parte de la Política de Gestión de Riesgos de la
organización
Alineada con la Política de Seguridad de la Información
Alineada con la Estrategia de la organización
Definición del equipo de Gestión del Riesgo
Contempla:
Objetivos
Definición de niveles aceptables de riesgo
Procesos de análisis y tratamiento de riesgos
Metodologías
Definición de roles y responsabilidades
Indicadores claves para el monitoreo de los controles
implementados para la mitigación del riesgo
CISSP Security Training – Information Security and Risk Management 51
Equipo de Gestión del Riesgo
Objetivo
Garantizar que la organización se encuentra protegida ante
los riesgos teniendo en cuenta la relación costo-beneficio de
la implementación de controles.
Conformación
Personal de las áreas sustantivas de la organización,
incluyendo TI y seguridad de la información.
CISSP Security Training – Information Security and Risk Management
18
CISSP Security Training – Information Security and Risk Management 52
Equipo de Gestión del Riesgo (Cont.)
Funciones
Proposición de la política
Redacción de los procedimientos
Análisis de riesgos
Tratamiento de riesgos
Definición de métricas
Concienciación del personal
Capacitación del personal
Documentación
Integración de la Gestión de Riesgos al proceso de Control
de Cambios
CISSP Security Training – Information Security and Risk Management 53
De qué se trata la Gestión del Riesgo?
Qué puede pasar (amenaza)?
Si pasa, qué tan malo puede ser (impacto de la amenaza)?
Qué tan seguido puede pasar (frecuencia de la amenaza)?
Qué tan seguro estoy de las respuestas anteriores
(reconocimiento de inseguridad)?
Qué puedo hacer (mitigar el riesgo)?
Cuanto me costara (anualizado)?
Dicho costo es efectivo (Relación Costo/Beneficio)?
CISSP Security Training – Information Security and Risk Management 54
Análisis de Riesgos
El Análisis de Riesgos, es la principal herramienta a
utilizar como parte del proceso de “Gestión de
Riesgos”.
El Análisis de Riesgos no es más que un método por
medio del cual, es posible identificar los riesgos
relacionados con un recurso y evaluar el daño
potencial que este puede sufrir, a fin de justificar los
costos asociados con las contramedidas o
salvaguardas necesarias para minimizarlo.
CISSP Security Training – Information Security and Risk Management
19
CISSP Security Training – Information Security and Risk Management 55
Análisis de Riesgos (Cont.)
El Análisis de Riesgos, busca alcanzar cinco objetivos
principales:
Identificar activos y sus amenazas y
vulnerabilidades asociadas
Cuantificar el impacto en caso de concretarse la
amenaza
Estimar la probabilidad de ocurrencia de la
materialización de la amenaza
Calcular el riesgo
Analizar la relación costo/beneficio en los controles
a implementar
CISSP Security Training – Information Security and Risk Management 56
Identificación de Activos
Tangibles
Datos
Software
Computadoras, equipos de comunicaciones,
cableado
Documentos, Registros de Auditoría, Libros, etc.
Análisis de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk Management 57
Identificación de Activos
Intangibles
Privacidad
Seguridad y Salud de los empleados
Imagen y Reputación
Continuidad de las actividades
Moral del empleado
Análisis de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk Management
20
CISSP Security Training – Information Security and Risk Management 58
Valoración de activos
¿Por qué?
Es necesario para realizar el análisis de costo/
beneficio.
Para saber verdaderamente qué es lo que está en
riesgo.
Puede ser necesario para determinar pólizas de
seguro.
Es requerido para cumplir con el “Due Care”
(Cuidado Debido)
Análisis de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk Management 59
Valoración de activos
Cómo?
Costo inicial (licenciamiento, compra, flete, instalación,
puesta a punto, etc.)
Costo de mantenimiento (mantenimiento preventivo, mejoras,
etc.)
Valor del activo para los dueños, usuarios, competencia, etc.
Valor estimado de la propiedad intelectual.
Costo de reemplazo.
Operaciones y actividades que se verían afectadas si el
recurso no se encuentra disponible.
Responsabilidades en caso de que el recurso sea
comprometido.
Análisis de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk Management 60
Análisis de Riesgos (Cont.)
Identificación de Amenazas y vulnerabilidades
Daños severos al
equipamiento de
procesamiento crítico
Falta de un sistema de
detección de incendios
Fuego
Ejecución de transacciones de
privilegio de forma no
autorizada
Deficiente asignación de
permisos de acceso en la
aplicación
Empleado
Acceso no autorizado a la
información
Servidor configurado de forma
insegura
Hacker
Resultando en la siguiente
amenaza
Puede explotar esta
vulnerabilidad
Fuente de amenaza
CISSP Security Training – Information Security and Risk Management
21
CISSP Security Training – Information Security and Risk Management 61
Análisis de Riesgos (Cont.)
Análisis de controles
Identificar los controles ya implementados y analizar
su vigencia y efectividad.
CISSP Security Training – Information Security and Risk Management 62
Determinación del riesgo
El riesgo es una combinación entre la probabilidad
de ocurrencia y el impacto.
Análisis de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk Management 63
Análisis Cuantitativo de Riesgos
Asigna valores monetarios hard (objetivos) a cada
componente de la evaluación de riesgos y a cada
potencial pérdida.
Análisis Cualitativo de Riesgos
Utiliza elementos soft de la organización (opinión,
mejores prácticas, intuición, experiencia, etc.) para
ponderar el riesgo y sus componentes.
Aplicable a todas las situaciones
Análisis de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk Management
22
CISSP Security Training – Information Security and Risk Management 64
Análisis Cuantitativo de Riesgos
Pasos del Análisis de Riesgo:
1. Asignar valor a los activos.
2. Estimar la pérdida potencial por cada amenaza.
3. Analizar las amenazas.
4. Estimar la pérdida anual.
CISSP Security Training – Information Security and Risk Management 65
Análisis Cuantitativo de Riesgos (Cont.)
2. Estimar la pérdida potencial por cada amenaza
Factor de Exposición (EF)
Porcentaje de pérdida sobre el valor del un activo
generado por la concreción de una amenaza.
0% ≤ EF ≤ 100%
CISSP Security Training – Information Security and Risk Management 66
Análisis Cuantitativo de Riesgos (Cont.)
2. Estimar la pérdida potencial por cada amenaza
Expectativa de Pérdida Individual (SLE)
Valor monetario asociado a un evento determinado.
Representa la pérdida producida por una amenaza
determinada en forma individual.
SLE = Valor Activo ($) * EF (Factor de Exposición)
CISSP Security Training – Information Security and Risk Management
23
CISSP Security Training – Information Security and Risk Management 67
Análisis Cuantitativo de Riesgos (Cont.)
3. Analizar las amenazas
Tasa de Ocurrencia Anual (ARO)
Representa la frecuencia estimada de ocurrencia de
un evento (amenaza), dentro del período de un año.
0 ≤ ARO < ∞ (Krutz - Cuantitativo)
0 ≤ ARO ≤ 1 (Harris - Probabilístico)
CISSP Security Training – Information Security and Risk Management 68
Análisis Cuantitativo de Riesgos (Cont.)
Tasa de Ocurrencia Anual (ARO)
Valores ARO Frecuencia de Ocurrencia
.01 Una vez cada 100 años (1/100)
.02 Una vez cada 50 años (1/50)
.2 Una vez cada 5 años (1/5)
.5 Una vez cada 2 años (1/2)
1 Una vez al año
10 10 veces al año
20 20 veces al año
CISSP Security Training – Information Security and Risk Management 69
Análisis Cuantitativo de Riesgos (Cont.)
4. Estimar la pérdida anual
Expectativa de Pérdida Anualizada (ALE)
Representa la pérdida anual producida por una
amenaza determinada individual.
ALE = SLE (Expectativa de Perdida Individual) * ARO
(Taza de Ocurrencia Anual)
CISSP Security Training – Information Security and Risk Management
24
CISSP Security Training – Information Security and Risk Management 70
Activo: Data Warehouse
Valor: u$s 100.000
Amenaza: Virus
Análisis Cuantitativo de Riesgos (Cont.)
SLE = Valor x EF = u$s 100.000 x 25% = u$s 25.000
ARO (Tasa de Ocurrencia Anual – Annualized Rate of Ocurrence)
ALE (Expectativa de Perdida Anual – Annualized Loss Expectancy)
EF (Factor de Exposición – Exposure Factor)
SLE (Expectativa de Perdida Individual – Single Loss Expectancy)
ALE = SLE x ARO = u$s 25.000 x 2 = u$s 50.000
EF: 25%
ARO: 2 (2 veces al año)
CISSP Security Training – Information Security and Risk Management 71
Activo: Edificio
Valor: u$s 1.000.000
Amenaza: Fuego
Análisis Cuantitativo de Riesgos (Cont.)
SLE = Valor x EF = u$s 1.000.000 x 50% = u$s 500.000
ARO (Tasa de Ocurrencia Anual – Annualized Rate of Ocurrence)
ALE (Expectativa de Perdida Anual – Annualized Loss Expectancy)
EF (Factor de Exposición – Exposure Factor)
SLE (Expectativa de Perdida Individual – Single Loss Expectancy)
ALE = SLE x ARO = u$s 500.000 x 0.1 = u$s 50.000
EF: 50%
ARO: 1/10 (1 vez cada 10 años)
CISSP Security Training – Information Security and Risk Management 72
Activo: Web server
Valor: u$s 5.000
Amenaza: DoS
Análisis Cuantitativo de Riesgos (Cont.)
SLE = Valor x EF = u$s 5.000 x 50% = u$s 2.500
ARO (Tasa de Ocurrencia Anual – Annualized Rate of Ocurrence)
ALE (Expectativa de Perdida Anual – Annualized Loss Expectancy)
EF (Factor de Exposición – Exposure Factor)
SLE (Expectativa de Perdida Individual – Single Loss Expectancy)
ALE = SLE x ARO = u$s 2.500 x 0.5 = u$s 1.250
EF: 50%
ARO: 1/2 (1 vez cada 2 años)
CISSP Security Training – Information Security and Risk Management
25
CISSP Security Training – Information Security and Risk Management 73
Qué obtenemos luego de realizar un Análisis
Cuantitativo de Riesgos
Valor de los activos (en dinero)
Posibles amenazas a los activos
Probabilidad de ocurrencia de cada amenaza
Posible pérdida anual por cada amenaza
Análisis Cuantitativo de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk Management 74
Análisis Cualitativo de Riesgos
El Análisis de Riesgo Cualitativo, a diferencia del
Cuantitativo, es un modelo basado mas bien en
escenarios que en cálculos.
En vez de asignar el costo exacto respecto de las
posibles pérdidas, en este escenario se ponderan en
escala, los riesgos, costos y efectos de una amenaza en
relación del activo.
Este tipo de procesos, conjuga: juicio, experiencia e
intuición.
CISSP Security Training – Information Security and Risk Management 75
Análisis Cualitativo de Riesgos (Cont.)
Técnicas y Métodos del Análisis de Riesgos
Cualitativo:
Brainstorming
Técnicas Delphi
Cuestionarios
Checklist
Entrevistas
Etc.
CISSP Security Training – Information Security and Risk Management
26
CISSP Security Training – Information Security and Risk Management 76
Análisis Cualitativo de Riesgos (Cont.)
Métodos Delphi
Feedback Anónimo
A cada participante se le requiere comentarios anónimos
respecto de cada uno de los puntos a tratar.
Los resultados son compilados y presentados al grupo
para su evaluación.
El proceso es repetido hasta lograr el consenso.
CISSP Security Training – Information Security and Risk Management 77
Análisis Cualitativo de Riesgos (Cont.)
Pasos del Análisis Cualitativo de Riesgos:
1. Definición de:
- Niveles de probabilidad de ocurrencia de las amenazas
- Niveles de impacto de las amenazas
- Niveles de riesgo (en función a las anteriores)
2. Clasificación de las amenazas en cuanto a su
probabilidad de ocurrencia e impacto
3. Estimación del riesgo
CISSP Security Training – Information Security and Risk Management 78
Análisis Cualitativo de Riesgos (Cont.)
Ejemplo de criterio de ponderación
Probabilidad de ocurrencia: ALTO – MEDIO – BAJO
Impacto: ALTO – MEDIO - BAJO
Riesgo:
BAJO BAJO MEDIO BAJO
BAJO MEDIO ALTO MEDIO
MEDIO ALTO ALTO ALTO
BAJO MEDIO ALTO
Impacto Probabilidad
de ocurrencia
CISSP Security Training – Information Security and Risk Management
27
CISSP Security Training – Information Security and Risk Management 79
Análisis Cualitativo de Riesgos (Cont.)
Ejemplo de criterio de ponderación
Probabilidad de ocurrencia: 0 - 5
Impacto: 0 - 5
Riesgo:
ALTO ALTO ALTO MEDIO MEDIO [4 ; 5]
ALTO ALTO MEDIO MEDIO MEDIO [3 ; 4)
ALTO MEDIO MEDIO MEDIO BAJO [2 ; 3)
MEDIO MEDIO MEDIO BAJO BAJO [1 ; 2)
[0 ; 1)
Probabilidad de
ocurrencia
BAJO
[0 ; 1)
Impacto
MEDIO MEDIO BAJO BAJO
[4 ; 5] [3 ; 4) [2 ; 3) [1 ; 2)
CISSP Security Training – Information Security and Risk Management 80
Análisis Cualitativo de Riesgos (Cont.)
Ejemplo de Análisis Cualitativo
Amenaza: Acceso físico no autorizado al equipamiento
crítico
2.5 4.25 1.25 4.5 2.75 Promedio
2 4 1 5 4 Responsable de
Seg. Info.
3 4 1 4 2 Jefe de
Seguridad
2 5 1 5 2 Jefe del Centro
de Cómputos
3 4 2 4 3 Gerente de TI
CCTV Control
biométrico
Guardia
Efectividad de la contramedida Impacto Probabilidad de
ocurrencia
Personal
consultado
RIESGO ALTO
CISSP Security Training – Information Security and Risk Management 81
Incertidumbre en el Análisis de Riesgos
Incertidumbre
En análisis de riesgos, la incertidumbre se refiere al nivel
de falta de certidumbre en una estimación. Se expresa con
un porcentaje de 0% a 100%. Tener 20% de confianza en
una estimación implica tener el 80% de incertidumbre.
Es vital tener en cuenta el nivel de incertidumbre existente
en el proceso de análisis de riesgos ya que esto indicará
la confianza que la gerencia podrá depositar luego en los
resultados de dicho análisis.
CISSP Security Training – Information Security and Risk Management
28
CISSP Security Training – Information Security and Risk Management 82
Cuantitativo vs Cualitativo
Cada método posee sus ventajas y desventajas.
La aplicación de análisis puramente cuantitativo
sencillamente NO es posible. Principalmente debido a
que parte de los ítems que se deberán evaluar como
parte del análisis, son cualitativos y por tanto no son
certeros en cuanto a valores cuantitativos.
La aplicación de análisis puramente cualitativo es
posible.
CISSP Security Training – Information Security and Risk Management 83
Cuantitativo vs Cualitativo (Cont.)
Sí No Utiliza métricas claras
Aplicable No aplicable Herramientas automatizadas
Más Menos Comprensible por la dirección
Alta Baja Objetividad
Concreto Subjetivo Análisis de costo/beneficio
No siempre Siempre Aplicable
Complejos Simples Cálculos
Cuantitativo Cualitativo Característica
CISSP Security Training – Information Security and Risk Management 84
Herramientas Automatizadas
Permiten documentar la información recolectada.
Establece criterios homogéneos de valoración.
Generan gráficos e informes en forma automática.
Centraliza la información relativa al análisis de
riesgos.
Facilita el control de las tareas de análisis de riesgos.
Reducen el esfuerzo manual en cada una de las
tareas agilizando los resultados.
Permite simular distintos escenarios con facilidad, de
modo tal de analizar supuestos.
Facilita la mejora continua del proceso de análisis de
riesgos.
CISSP Security Training – Information Security and Risk Management
29
CISSP Security Training – Information Security and Risk Management 85
Tratamiento de Riesgos
Análisis de las contramedidas o controles
Análisis Costo / Beneficio
Costo Control < Valor del Activo
Valor del control = (ALE antes del control) – (ALE
después del control) – (costo anual del control)
CISSP Security Training – Information Security and Risk Management 86
Tratamiento de Riesgos (Cont.)
Análisis de las contramedidas o controles
Ejemplo: Web server
Valor del activo: u$s 25.000 ARO: 0.50 SLE: u$s 6.250
EF (antes de la contramedida): 0.25 ALE: u$s 3.125
Costo anual de la UPS: u$s 1.000
EF (luego de la contramedida) = 0.05 En caso de que el corte de energía sea más
prolongado que la autonomía de la UPS.
ARO (luego de la contramedida) = 0.20
ALE (luego de la contramedida) = 25.000 x 0.05 x 0.20 = u$s 250
Valor de la contramedida = u$s 3.125 – u$s 250 – u$s 1.000 = u$s1.875
Beneficio de la organización:
u$s 1.875 – u$s 1.000 = u$s 875 por año de la contramedida
CISSP Security Training – Information Security and Risk Management 87
Tratamiento de Riesgos (Cont.)
Análisis de las contramedidas o controles
Aspectos a tener en cuenta en la estimación del costo
anual de un control:
Costo de adquisición
Costo de diseño y planeamiento
Costo de implementación
Impacto en el entorno (compatibilidad)
Mantenimiento
Pruebas
Reparación, reemplazo, actualización
Nivel de operación manual requerida
Efectos sobre la productividad
Habilidad de Recupero
CISSP Security Training – Information Security and Risk Management
30
CISSP Security Training – Information Security and Risk Management 88
Tratamiento de Riesgos (Cont.)
Conceptos generales
Riesgo Total: Es el riesgo que una organización
asume, en caso de no implementar contramedidas.
Amenaza * Vulnerabilidades * Valor del recurso = Riesgo Total
Riesgo Residual: Es el riesgo remanente una vez
implementadas las contramedidas.
Riesgo Total – Control Gap = Riesgo Residual
CISSP Security Training – Information Security and Risk Management 89
Tratamiento de Riesgos (Cont.)
Conceptos generales
Control Gap: Es la cantidad de riesgo que se ha
logrado reducir por medio de la implementación de
una contramedida. Es la reducción del riesgo. No se
utiliza para el cálculo del riesgo.
Control Gap = Riesgo Total – Riesgo Residual
CISSP Security Training – Information Security and Risk Management 90
Tratamiento de Riesgos (Cont.)
Aceptar
Mitigar
Transferir
Rechazar o Ignorar
RIESGO ACEPTABLE !!!
CISSP Security Training – Information Security and Risk Management
31
Information Security and Risk
Management
Políticas, Procedimientos,
Estándares, Baselines y Guidelines
CISSP Security Training – Information Security and Risk Management 92
Estructura normativa
NIVEL ESTRATÉGICO
NIVEL TÁCTICO
NIVEL OPERATIVO
Políticas
Normas
(Guidelines)
Baselines Estándares
Procedimientos
CISSP Security Training – Information Security and Risk Management 93
Objetivos de las normativas
Definir y clasificar las metas y objetivos
Definir roles, responsabilidades y escala de autoridad
Establecer criterios aceptables y uniformes de
conducta
Informar al personal sobre sus obligaciones y medidas
a tomar por incumplimiento
Informar a terceros sobre las definiciones establecidas
por la organización
Garantizar el cumplimiento de normativas externas
CISSP Security Training – Information Security and Risk Management
32
CISSP Security Training – Information Security and Risk Management 94
Políticas
Presentan directivas de la Alta Gerencia.
Define la filosofía organizacional de seguridad de la
información.
Define cómo se desarrollará el Programa de
Seguridad.
Independiente de la tecnología y las soluciones.
Define responsabilidades y autoridades para la
implantación de la seguridad informática.
De carácter abreviado y de alto nivel.
Se alinean con la Política General de la organización.
Determinan las normativas que deben cumplirse
CISSP Security Training – Information Security and Risk Management 95
Políticas (Cont.)
Consideraciones:
Debe ser dictada por un Comité de Seguridad.
Debe ser aprobada por las máximas autoridades.
Debe ser comunicada a todo el personal y terceros.
El personal y los terceros debe aceptar formalmente la
Política.
Debe integrarse con la Política de Gestión de Riesgos.
Debe ser escrita en lenguaje claro sin ambigüedades.
Debe ser consistente con las normativas legales y
corporativas existentes.
CISSP Security Training – Information Security and Risk Management 96
Otros documentos
Estándares
Especifican la forma de poner en práctica un objetivo de la
Política.
Define actividades, acciones, reglas o regulaciones
obligatorias.
Definen el uso de una determinada tecnología o la
aplicación de una determinada solución de manera
uniforme.
Ej.: Política: Se protegerá la red de la organización de
accesos no autorizados desde redes externas.
Estándar: Se implementarán equipos firewall para el
control de accesos a cada DMZ y a la LAN de la
organización
CISSP Security Training – Information Security and Risk Management
33
CISSP Security Training – Information Security and Risk Management 97
Otros documentos (Cont.)
Baselines
Determinan cómo deben ser configurados los aspectos
de seguridad de las diferentes tecnologías.
Ej.: Política: Se protegerá la red de la organización de
accesos no autorizados desde redes externas.
Estándar: Se implementarán equipos firewall para el
control de accesos a cada DMZ y a la LAN de la
organización
Baseline: Permitir en el puerto XX el tráfico YY, etc.
CISSP Security Training – Information Security and Risk Management 98
Otros documentos (Cont.)
Procedimientos
Descripción detallada de tareas a realizar para
cumplimentar los Estándares y Baselines.
Constituyen el nivel más bajo en la escala de
normativas.
Ej.: Política: Se protegerá la red de la organización de
accesos no autorizados desde redes externas.
Estándar: Se implementarán equipos firewall para el
control de accesos a cada DMZ y a la LAN de la
organización
Baseline: Permitir en el puerto XX el tráfico YY, etc.
Procedimiento: Loguearse al equipo firewall con el
usuario NN, ingresar en la consola de administración,
seleccionar la opción para crear ACLs, etc.
CISSP Security Training – Information Security and Risk Management 99
Otros documentos (Cont.)
Normas (Guidelines)
Definiciones generales establecidas para colaborar con
el cumplimiento de los objetivos de las Políticas,
proporcionando un marco en el cual implementar
controles adicionales.
Tienen carácter de recomendación (no son obligatorias).
Ej.: Política: Se protegerá la red de la organización de
accesos no autorizados desde redes externas.
Estándar: Se implementarán equipos firewall para el
control de accesos a cada DMZ y a la LAN de la
organización.
Norma: Los administradores de red serán capacitados
sobre la implementación y configuración de firewalls.
CISSP Security Training – Information Security and Risk Management
34
CISSP Security Training – Information Security and Risk Management 100
Consideraciones
Para todo el marco normativo se debe tener en cuenta:
Vigencia – actualizaciones
Acceso
Propietarios
Responsabilidades: revisión, actualización, cumplimiento
Control de versiones
CISSP Security Training – Information Security and Risk Management 101
Responsabilidad
Due Diligence (Diligencia Debida)
Este te termino se refiere al acto de investigar y entender los riesgos a los
que se expone la organización.
Actuar de buena fe y cumplir con el concepto de Hombre Prudente (En lo
que refiere a la protección de la informacion)
Due Care (Cuidado Debido)
Se entiende que una organización se encuentra alineada con la premisa
de “Cuidado Debido”, cuando en ella se desarrollan políticas de seguridad,
procedimientos y estándares. El “Cuidado Debido” demuestra que una
organización asume su responsabilidad por las actividades que en ella se
llevan a cabo, y ha tomado las medidas adecuadas para proteger la
organización, sus recursos y empleados de las posibles amenazas.
Si alguien practica “due care” entonces actúa en forma responsable y
tendrá menos posibilidades de ser acusado de negligencia o ser hallado
responsable si algo malo ocurre.
Ej.: si el Propietario de la info no protege su información esta violando el
principio de Due Care
Information Security and Risk
Management
Clasificación de la
Información
CISSP Security Training – Information Security and Risk Management
35
CISSP Security Training – Information Security and Risk Management 103
Clasificación de la Información
Justificación:
No todos los datos / información tienen el mismo valor.
No todo el mundo debe acceder a todos los datos /
información.
El valor de la información influye directamente en la
definición de los controles para protegerla.
Se deben cumplir aspectos legales / regulatorios.
CISSP Security Training – Information Security and Risk Management 104
Clasificación de la Información (Cont.)
Beneficios:
Demuestra el compromiso de una organización hacia la
seguridad de la información.
Permite identificar que información / datos son los más
críticos para la organización.
Optimiza la inversión en controles.
Podría ser requerido por aspectos legales, regulatorios u
otros.
CISSP Security Training – Information Security and Risk Management 105
Política de Clasificación de Información
Contempla lo siguiente:
Define la información como un activo de la organización.
Define los propietarios de la información.
Define a los custodios de la información.
Define el proceso de clasificación de la información.
Establece las responsabilidades en el proceso de
clasificación de la información.
Determina el criterio de clasificación de la información.
Establece los controles mínimos sobre la información para
cada nivel establecido, en cumplimiento con normativas
existentes.
CISSP Security Training – Information Security and Risk Management
36
CISSP Security Training – Information Security and Risk Management 106
Política de Clasificación de Información (Cont.)
Como norma general, toda información que no sea
de naturaleza publica, debe clasificarse.
CISSP Security Training – Information Security and Risk Management 107
Proceso de Clasificación de Información
1. Definición de los niveles de clasificación
2. Definición del criterio de clasificación
3. Clasificación de la información por parte de los propietarios
4. Identificación de custodios de la información
5. Definir los controles de seguridad de la información para cada
nivel
6. Documentar excepciones a la clasificación
7. Definir métodos de reasignación de la custodia de la
información.
8. Desarrollar un procedimiento de revisión periódica de la
clasificación de la información y la definición de propietarios.
9. Desarrollar un procedimiento para la desclasificación de la
información.
10. Introducir el proceso de clasificación de información en la
concientización del personal.
CISSP Security Training – Information Security and Risk Management 108
Tips para la clasificación
Qué tener en cuenta a la hora de clasificar información?
Valor la información
Validez
Vida útil
Impacto por divulgación
Impacto por alteración
Impacto por no disponibilidad
Implicancias legales
CISSP Security Training – Information Security and Risk Management
37
CISSP Security Training – Information Security and Risk Management 109
Criterios de clasificación - Confidencialidad
Comercial - Privado
Confidencial
Privado
Sensitivo
Publico
Modelo Habitual
Confidencial
Interno
Publico
Militar - Gubernamental
Top Secret
Secret
Confidencial
Sensitivo pero sin
Clasificar
Sin Clasificar
*DoD
CISSP Security Training – Information Security and Risk Management 110
Modelo Habitual
De uso público
Información cuyo conocimiento fuera de la organización no
causaría daño a la misma. Ejemplo: web site.
Solo para uso interno
Información cuya sensibilidad permite ser divulgada dentro de la
organización, pero su conocimiento fuera de la misma podría
ocasionar daños. Ejemplo: lista de clientes, costos de productos/
servicios, etc.
Confidencial
El acceso a esta información se logra solo si existe la necesidad de
conocer (need-to-know). Ejemplo: planes de marketing, Desarrollo
e Investigación, información de adquisiciones y ventas a nivel
corporativo, etc.
Criterios de clasificación – Confidencialidad (Cont.)
CISSP Security Training – Information Security and Risk Management 111
Modelo Comercial - Privado
Publico
Puede ser publica, su conocimiento no causa impacto negativo
o adverso a la organización o el personal.
Sensitivo
Requiere precauciones especiales. Ej.: información sobre
proyectos.
Privado
Información para uso interno de la compañía. Su conocimiento
podría afectar negativamente al personal o la compañía. Ej.:
información de RRHH.
Confidencial
Sumamente Sensible, su conocimiento podría impactar
fuertemente en la compañía. Ej.: estrategia comercial.
Criterios de clasificación – Confidencialidad (Cont.)
CISSP Security Training – Information Security and Risk Management
38
CISSP Security Training – Information Security and Risk Management 112
Modelo militar - Gubernamental
Sin Clasificar
No Clasificada, Información que puede ser Publica.
Sensitivo pero sin Clasificar
De Baja Sensibilidad. Si se hace publica, puede causar serios
daños. Ej.: respuesta a tests.
Confidencial
De conocerse, podría causar serios daños. Sólo para uso
interno. Ej.: información de salud, código de programación.
Secret
De conocerse, podría causar serios daños a la Seguridad
Nacional. Ej.: desplazamiento de tropas.
Top Secret
El grado más alto. De conocerse podría causar daño extremo
en relación a la Seguridad Nacional. Ej.: planos de nuevo
armamento, información de espionaje.
Criterios de clasificación – Confidencialidad (Cont.)
CISSP Security Training – Information Security and Risk Management 113
Roles
Propietario de la información
Quién debe ser?
Nivel gerencial.
Conocimiento del valor de la información.
Qué debe hacer?
Definir el nivel de clasificación que le corresponde a
la información que le pertenece.
Definir los controles que requiere la información.
Revisar la existencia de los controles.
Revisar los niveles de clasificación periódicamente y
realiza los cambios que sean necesarios a la
información.
CISSP Security Training – Information Security and Risk Management 114
Roles (Cont.)
Propietario de la información
Qué debe hacer?
Definir los perfiles de acceso a la información.
Aprobar su asignación. Revisarlos periódicamente.
Asignar tareas protección de datos al custodio.
Aprobar la recuperación de información.
CISSP Security Training – Information Security and Risk Management
39
CISSP Security Training – Information Security and Risk Management 115
Roles (Cont.)
Custodio
Quién debe ser?
Generalmente esta función se asigna a personal de
TI.
Qué debe hacer?
Ejecutar backups en forma regular de la
información que custodia.
Proteger la información almacenada.
Restaurar la información cuando se necesita.
Mantener el rótulo de la información.
Cumplimentar las disposiciones de seguridad
definidas para cada nivel de clasificación.
CISSP Security Training – Information Security and Risk Management 116
Usuario
Seguir los procedimientos definidos para el manejo
de información.
Proteger la información clasificada.
Utilizar los recursos asignados solo para fines de
negocio.
Roles (Cont.)
Information Security and Risk
Management
Roles y Responsabilidades
CISSP Security Training – Information Security and Risk Management
40
CISSP Security Training – Information Security and Risk Management 118
Roles y Responsabilidades
Gerencia General
Responsable final por la seguridad de la información de la
organización.
Responsable de Seguridad de la Información
Responsable de la gestión de la seguridad de la
información de la organización.
Analista de Seguridad de la Información
Encargado de evaluar las amenazas y vulnerabilidades y
definir los estándares, normas y baselines necesarios.
Diseñar esquemas seguros.
Administrador de Seguridad
Encargado de implementar las definiciones de seguridad
en los entornos informáticos.
CISSP Security Training – Information Security and Risk Management 119
Roles y Responsabilidades (Cont.)
Dueño de aplicación
Define los requisitos de seguridad funcional necesarios.
Define y aprueba los perfiles de acceso a la aplicación.
DBA
Define y administra la seguridad de las bases de datos.
Change Control Analyst
Evalúa el impacto en la seguridad de los cambios
informáticos. Aprueba y controla los cambios.
Auditor
Evalúa los controles de seguridad informática y presenta
recomendaciones a la alta gerencia.
Information Security and Risk
Management
Políticas y Prácticas
de Empleo
CISSP Security Training – Information Security and Risk Management
41
121
Background Checks
Tareas:
Revisión de información pública.
Verificación de información del CV.
Beneficios:
Verificar que la información provista por el candidato es
verdadera y actualizada.
Obtener una primera idea del nivel de integridad del
candidato.
Prevenir empleados no calificados.
Evitar incorporar personas con ética y moral alterados.
Prevenir posibles conflictos con el personal existente.
122
Background Checks (Cont.)
Beneficios:
Prevenir posibles pérdidas por acciones fraudulentas.
Prevenir acciones legales
de parte de empleados despedidos.
de 3ra partes o clientes por negligencia a la hora
de contratación de personal.
De parte de otros empleados: por violencia, malos
tratos, etc.
123
Background Checks (Cont.)
Quién debe ser evaluado?
Implementar una serie de controles básicos a TODO
el personal a incorporar.
Evaluar la conveniencia de implementar controles
exhaustivos al personal que vaya a desempeñar
tareas críticas o a manejar información sensible.
CISSP Security Training – Information Security and Risk Management
42
124
Security Clearances
Security Clearances
Permiso de acceso a información clasificada
Sólo requerido para puestos especiales de Gobierno y
Militar (a veces usado en ámbitos privados)
Requerido por DoD (Departamento de Defensa)
Requiere un PSI o Personal Security Investigation:
investigación personal (carácter, lealtad, confiabilidad,
etc.) con el objeto de determinar si dicha persona puede
recibir un permiso de acceso a información clasificada
125
Acuerdos
Acuerdos sobre:
Confidencialidad (Non-Disclosure)
Uso de Recursos
Conocimiento, comprensión y aceptación de las
Políticas
Auditabilidad
Non-Compete
Quiénes deben firmarlos?
Personal
Terceros
126
Contratación y Despido
Políticas y Procedimientos definidos por RR.HH.
Deben contemplar:
Cómo manejar la salida del empleado,
Deshabilitación / borrado de cuentas de usuarios
Reenvío del e-mail y del voice-mail
Cambios en las cerraduras y códigos de acceso
Modificación de contraseñas de sistemas relacionadas
CISSP Security Training – Information Security and Risk Management
43
127
Control de actividades
Segregación de funciones
Nadie debe ser responsable de realizar una tarea que
involucra información sensitiva de principio a fin.
Un individuo no puede ser responsable de aprobar su
propio trabajo.
Quien controla no ejecuta.
Previene el FRAUDE
128
Segregación de funciones:
Ejemplo:
Desarrollo de Producción
Seguridad de Auditoría
Cuentas a Cobrar de Cuentas a Pagar
Administración de Claves de Encripción de Cambio de
Claves
Conocimiento distribuido
Dos o más personas se requieren para efectuar una tarea de forma que
cada una posee un conocimiento que el resto no tiene. Ej.: Generación
de una clave por más de una persona.
Control dual
Dos o más personas se requieren para efectuar una tarea de forma que
ninguna es prescindible. Ej.: para la apertura de una compuerta se
requiere que dos personas en diferentes sitios presionen un botón.
Control de actividades (Cont.)
129
Rotación de funciones
Evita que el personal permanezca demasiado tiempo en
una función, logrando un nivel elevado de control sobre
las actividades.
Favorece el backup de empleados.
Vacaciones obligatorias
Permite la detección de fraude.
Previene el mal desempeño.
Control de actividades (Cont.)
CISSP Security Training – Information Security and Risk Management
44
Information Security and Risk
Management
InfoSec Awareness (Concientización
en Seguridad Informática)
CISSP Security Training – Information Security and Risk Management 131
InfoSec Awareness
Normalmente una de las áreas de menor
consideración.
El “eslabón mas débil”
CISSP Security Training – Information Security and Risk Management 132
InfoSec Awareness (Cont.)
Objetivos:
Comprender el concepto de INFORMACIÓN
Comprender los principios de seguridad de la información
Conocer las amenazas a la seguridad
Asimilar las vulnerabilidades del personal
Conocer la estrategia de la organización con respecto a la
seguridad de la información
CISSP Security Training – Information Security and Risk Management
45
CISSP Security Training – Information Security and Risk Management 133
InfoSec Awareness (Cont.)
Beneficios:
Importante reducción de la cantidad de acciones no
autorizadas generadas por el personal de la organización.
Incremento significativo de la efectividad de los controles
implantados.
Prevención de amenazas que explotan vulnerabilidades del
personal.
Ayuda a evitar el fraude, desperdicio y abuso de recursos
informáticos.
CISSP Security Training – Information Security and Risk Management 134
InfoSec Awareness (Cont.)
Formas de lograr la concientización:
Presentaciones en vivo o grabadas: conferencias/
presentaciones, video, entrenamiento basado en
computadoras (CBT), etc.
Publicación / Distribución: newsletters, trípticos, boletines e
intranet.
Incentivos: premios y reconocimiento por alcanzar objetivos
relacionados con la seguridad de la información.
Recordatorios: banners de login, mails, accesorios de
marketing (tazas, lapiceras, mouse pads, stickers, etc.).
CISSP Security Training – Information Security and Risk Management 135
InfoSec Awareness (Cont.)
Selección de audiencia:
Management
Staff
Empleados técnicos
CISSP Security Training – Information Security and Risk Management
46
CISSP Security Training – Information Security and Risk Management 136
InfoSec Awareness (Cont.)
Concientización al Management:
Breve
Lenguaje acorde
Focalizar en los activos críticos de la organización
Considerar el impacto financiero de la falta de seguridad
Explicar implicancias legales
Definir conceptos: políticas, estándares, procedimientos, etc.
Responsabilidades
CISSP Security Training – Information Security and Risk Management 137
InfoSec Awareness (Cont.)
Concientización al Staff:
Clara y dinámica
Derechos y obligaciones
Actividades aceptables
Ejemplos
Interacción
CISSP Security Training – Information Security and Risk Management 138
InfoSec Awareness (Cont.)
Concientización al Personal Técnico:
Lenguaje técnico
Implicancias de la seguridad en las tareas habituales
Comportamiento esperado
Estándares, procedimientos, guidelines, etc.
Manejo de incidentes
Funciones
Responsabilidades
CISSP Security Training – Information Security and Risk Management
47
CISSP Security Training – Information Security and Risk Management 139
InfoSec Awareness (Cont.)
Revisión de resultados:
Encuestas de opinión.
Encuestas de calificación de la concientización.
Medición de incidentes antes y después de la
concientización.
Observación del comportamiento del personal.
Monitoreo de uso de recursos.
Cracking de passwords.
CISSP Security Training – Information Security and Risk Management 140
InfoSec Awareness (Cont.)
Algunos Consejos:
Trabajar en conjunto con el departamento de RRHH.
Duración de los encuentros: No mas de 30’.
Resumen de Políticas del Usuario final: No mas de 5 páginas.
Material actualizado periódicamente.
Material atractivo.
Consejos / Pautas: Creíbles y Realizables.
CISSP Security Training – Information Security and Risk Management 141
Ingeniería Social
Ingeniería social describe el tipo de intrusión no
técnico basado en la interacción humana. Usualmente
involucra el engañar a las personas con el propósito
de quebrar procedimientos de seguridad existentes.
CISSP Security Training – Information Security and Risk Management
48
CISSP Security Training – Information Security and Risk Management 142
Ingeniería Social (Cont.)
Proceso:
Recolección de información
Selección del objetivo
Ataque
Tipos de ataque:
Ataque al Ego
Ataques de condolencia (Sympathy)
Ataques de intimidación
Information Security and Risk
Management
Referencias y Lecturas
Complementarias
CISSP Security Training – Information Security and Risk Management

144
CISSP All-in-One Exam Guide, Third Edition (All-in-One)
By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121
Official (ISC)2 Guide to the CISSP Exam
By Susan Hansche (AUERBACH) ISBN: 084931707X
The CISSP Prep Guide: Gold Edition
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X
CISSP Certification Training Guide
By Roberta Bragg (Que) ISBN: 078972801X
CCCure.Org WebSite: http://www.cccure.org
By Clement Dupuis
Advanced CISSP Prep Guide: Exam Q&A
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632
Information Security Management Handbook, Fifth Edition
By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978
CISSP: Certified Information Systems Security Profesional Study Guide,
Third Edition
By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438
Referencias y Lecturas Complementarias
CISSP Security Training – Information Security and Risk Management
49
Information Security and Risk
Management
Preguntas?