You are on page 1of 43

Administración de Riesgos

en Seguridad Informática

Objetivo
Proveer información complementaria para la
aplicación de la Administración de Riesgos en
Ambientes Informáticos

Agenda

Qué es Administración de Riesgos?
 Proceso de Administración de Riesgos

Qué es Administración de Riesgos?
Herramienta gerencial
que apoya la toma de
decisiones organizacionales
facilitando con ello el
cumplimiento de los
objetivos del negocio

valoración. tratamiento y monitoreo de los riesgos y sus impactos en el negocio RIESGOS .Qué es Administración de Riesgos? Proceso iterativo basado en el conocimiento.

Qué es Administración de Riesgos? Aplicable a cualquier situación donde un resultado no deseado o inesperado podría ser significativo en el logro de los objetivos o donde se identifiquen oportunidades de negocio Proceso Proyecto Unidad Organizacional Sistema de Información Oportunidad Ubicación Geográfica .

Identificar Riesgos 3.Proceso de Administración de Riesgos 1. Análisis de Riesgos 4. Tratamiento del Riesgo Monitorear Monitorear yyRevisar Revisar . Evaluar y Priorizar Riesgos 5. Establecer Marco General 2.

4. 1. Entender la Oganización 1.2. Identificar Criterios de Calificación 1.4. Establecer Marco General 1.Identificar IdentificarObjetos ObjetosCríticos Críticos .3.1. Entender el Entorno 1.Administración de Riesgos 1.

2. clientes.Objetos Críticos 1. Identificar 1. Entender la Oganización Análisis Externo Criterios de Calificación 1. Establecer Marco General 1.4. culturales y legales Stakeholders Objetivos Estrategias .Administración de Riesgos 1. operacionales.4.1. Identificar Aspectos financieros.3. competitivos. sociales. Entender el Entorno 1. Identificar Objetos Críticos políticos (percepción / imagen).

1.2. Entender el Entorno Políticas Criterios de Calificación y Tablas de Valoración 1.4.Identificar IdentificarObjetos ObjetosCríticos Críticos .4. Entender la Oganización Universo de Objetos y Objetos Críticos Priorizados 1. Establecer Marco General Metodología 1. 1. Identificar Criterios de Calificación 1.3.Administración de Riesgos 1.

Objeto 1 Objeto 2 Objeto 3 Objeto n Criterio n Criterio 8 Criterio 3 Criterio 4 Criterio 5 Criterio 6 Criterio 7 Criterio 1 Criterio 2 Administración de Riesgos Qué y Cómo calificar .priorizar? .

Administración de Riesgos Qué calificar .Objetos? Cómo dividir la organización?       Interés de la Dirección Procesos – Subprocesos Proyectos Unidades Orgánicas Sistemas .Aplicaciones Geográficamente Lista de Objetos a los cuáles se les puede realizar Administración de Riesgos .

Objetos?     Basado en Procesos (Negocio – COBIT) Planeación estratégica de sistemas Desarrollo de sistemas Basado en Sistemas Evolución o mantenimiento de sistemas Integración de paquetes de software Capacitación Basado Proyectos Proceso deen datos en ambientes de trabajo en batch Atención a requerimientos de usuarios Administrar servicios de terceros (incluye outsourcing) Administración de proyectos Basado en Infraestructura Administración de la infraestructura informática Dirección y control del área de tecnología de información Administración de recursos materiales (equipo.Administración de Riesgos Qué calificar . tecnología e instalaciones) Administración de recursos humanos Administración de recursos financieros .

Procedimientos Eventos .Entrada – Comunicación – Proceso – Salida .Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas  Para un sistema en particular Basado en–Proyectos Programas Archivos .Administración de Riesgos Qué calificar .Distribución  Basado en Infraestructura .

Administración de Riesgos Qué calificar .Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas  Basado en Proyectos  A Productos Basado en Infraestructura Análisis al Proceso .

Administración de Riesgos Qué calificar .Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas   Datos Sistemas de Información (Aplicaciones) Tecnología – SW de base y SMBD – SW de Productividad – Basado en(Equipos Proyectos Metodologías) Instalaciones Recursos Humanos Elementos de Administración Basado en Infraestructura Recursos Financieros Proveedores .

o Exposición financiera dirección) Pérdida y riesgo potencial • Tamaño de la Unidad (Utilidades. sistemas. Ingresos. compromiso y juicio) • Integridad de la Dirección (códigos de ética) • Cambios recientes en procesos (políticas. sistemas y controles • Complejidad de operaciones Oportunidades de alcanzar beneficios • Crecimiento rápido operativos • Regulación gubernamental Capacidades del persona • Condición económica deteriorada de una unidad • Presión de la Dirección en cumplir objetivos • Nivel de moral de los empleados • Exposición política / Publicidad adversa • Distancia de la oficina principal IIA • • • • • • .Administración de Riesgos Cómo calificar – Criterios? De Negocio •• Pérdida financiera Pérdida de imagen • Discontinuidad del negocio • Incumplimiento de la misión • Calidad del Control Interno • Competencia de la Dirección (entrenamiento. Activos) Requerimientos de la dirección • Liquidez de activos Cambios importantes en operaciones. • Cambio en personal clave programas. experiencia.

Administración de Riesgos Cómo calificar – Criterios Seguridad Informática Confidencialidad Los activos de un sistema computacional son accedidos solo por personas autorizadas El tipo de acceso es de lectura: leyendo. RESERVA. imprimiendo o aún solo conociendo la existencia de un objeto SECRETO. visualizando. PRIVACIDAD “SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS” Integridad Disponibilidad Previene la divulgación no autorizada de datos .

cambiar. cambiar estados. NO MODIFICADO. CONSISTENCIA. borrar y crear PRECISIÓN. EXACTITUD. Y DETECCIÓN Y Disponibilidad CORRECCIÓN DE ERRORES “CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER CUALES RECURSOS EN QUE FORMAS” Previene la modificación no autorizada de datos .Administración de Riesgos Cómo calificar – Criterios Seguridad Informática Los activos pueden ser modificados solo por partes autorizadas o solo en formas autorizadas La modificación incluye escribir. MODIFICADO SOLO POR PERSONAS AUTORIZADAS. SEPARACIÓN Y PROTECCIÓN DE RECURSOS. MODIFICADO SOLO POR Confidencialidad PROCESOS AUTORIZADOS. CONSISTENCIA INTERNA. SIGNIFICADO Y RESULTADOS CORRECTOS Integridad ACCIONES AUTORIZADAS. MODIFICADO SOLO EN FORMAS ACEPTABLES.

Administración de Riesgos Cómo calificar – Criterios Seguridad Informática Los activos son accesibles a partes autorizadas Aplica a datos y servicios PRESENCIA DE OBJETOS O SERVICIOS EN FORMA UTIL. TOLEREANCIA A FALLAS. TIEMPO DE ESPERA LIMITADO. CAPACIDAD PARA CUMPLIR LAS NECESIDADES DE SERVICIO. UTILIDAD. CONCURRENCIA CONTROLADA (Soporte para acceso simultáneo. TIEMPO DE SERVICIO Confidencialidad ADECUADO RESPUESTA OPORTUNA. administración de concurrencia y Integridad acceso exclusivo) Disponibilidad NEGACIÓN O REPUDIACIÓN DEL SERVICIO Previene la negación de acceso autorizado a datosINDEPENDENCIA - TRASLAPO .

Identificar Riesgos 2.Administración de Riesgos 2. Desarrollar Criterios de Valoración de Riesgos 2. Identificar causas .5. Establecer el Contexto de Administración de Riesgos 2. Definir la Estructura 2.3.4.2. Identificar riesgos 2.1.

Administración de Riesgos Seguridad Informática .Activos Hardware Software Datos Medios de almacenamiento Redes Acceso Gente clave .

sistemas operativos en estaciones cliente. fibras  Software (o Servicios) Sistemas operativos de red. procesamiento de palabra. estaciones cliente. hojas electrónicas. email De la red: Privilegios de acceso a usuarios. pistas de auditoria.Administración de Riesgos Seguridad en Redes – Activos (Componentes)  Hardware Servidores. dispositivos periférico. configuración y parámetros de la red De los usuarios: datos procesados personal. password de usuarios. backup). aplicaciones. cables. herramientas (administrativas. modem). hub. software bajo desarrollo  Datos De la organización: bases de datos. bridge. archivos de propiedad del usuario . gateway. mantenimiento. dispositivos de comunicación (router.

Riesgos R1 = Acceso no autorizado a la red o sus recursos R2 = Divulgación no autorizada de información R3 = Modificación no autorizada a datos y/o software R4 = Interrupción de las funciones de la red (no disponibilidad de datos o servicios) R4a = incluyendo perdida o degradación de las comunicaciones R4b = incluyendo destrucción de equipos y/o datos R4c = incluyendo negación del servicio R5 = Acciones engañosas en la red (no saber quien) .Administración de Riesgos Seguridad en Redes .

vandalism Human Error: Accidental or intentional action Equipment malfunction: Failure of system Inside and outside attacks: Hacking . cracking Misuse of data:Sharing trade secrets Loss od data: Intentional or unintentional loss Application error: Computation errors. water.Information Security Risks        Physical Damage: Fire. power loss. input errors .

Cómo escribir Riesgos? Riesgo Riesgo Concepto Conceptousado usadopara paraexpresar expresarincertidumbre incertidumbresobre sobre "consecuencias "consecuenciasy/o y/oeventos eventosque quepodrían podríanllegar llegaraaimpactar impactarelel logro logrode delos losobjetivos" objetivos" Consecuencia Consecuencia Resultado Resultadode deun unevento eventooo situación situaciónexpresado expresado cualitativa cualitativaoo cuantitativamente cuantitativamente Evento Evento Situación Situaciónque quepodría podríallegar llegaraa ocurrir ocurriren enun unlugar lugar determinado determinadoen enun unmomento momento dado dado Causa Causa Evento Eventoprimario primariofundamento fundamento uuorígen orígende deuna unaconsecuencia consecuencia .Administración de Riesgos 2.

Evento. Consecuencia. Amenaza Amenaza + Causa. Cómo escribir Riesgos? Riesgo Riesgo Concepto Conceptousado usadopara paraexpresar expresarincertidumbre incertidumbresobre sobre "consecuencias "consecuenciasy/o y/oeventos eventosque quepodrían podríanllegar llegaraaimpactar impactarelel logro logrode delos losobjetivos" objetivos" Consecuencia. Causa. Impacto. Impacto. Exposición Exposición ooResultado Resultado Evento.Administración de Riesgos 2. Evento Evento primario primario ooSituación Situación .

Administración de Riesgos Seguridad en redes – Impactos Significativos Violación de la privacidad  Demandas legales  Perdida de tecnología propietaria  Multas  Perdida de vidas humanas  Desconcierto en la organización  Perdida de confianza  .

Administración de Riesgos Seguridad Informática .Amenazas Naturales  Accidentales  Deliberadas  .

R4a. R4b . R4a Fenómenos biológicos Muerte de personal crítico R4. tormentas eléctricas Interrupción de potencia.Administración de Riesgos Seguridad Informática – Amenazas Naturales Origen Amenaza directa Terremotos. temperatura extrema debido a daños en construcciones. R4c Impacto inmediato R4. Fenómenos astrofísicos Perturbaciones electromagnéticas R4.

derrame de café) R3. mal empleo de equipos. control de acceso. Formateo de drive. errores de entrada R3. R4 Error del Administrador Configuración inapropiada de parámetros. R5 Fallas de equipos Problemas técnicos con servidores de archivos. borrado de información R1: R2. R3.Administración de Riesgos Seguridad Informática – Amenazas Accidentales Origen Amenaza directa Impacto inmediato Error del Usuario Borrado de archivos. dispositivos de comunicación. R4b . R4. R4. servidores de impresión. estaciones cliente. equipo de soporte (cintas de back-up.

Administración de Riesgos Seguridad Informática – Involucrados •Amateurs •Hackers • Empleados maliciosos • Rateros •Crackers • Vándalos •Criminales •Espías (gobiernos foráneos) • Terroristas .

no está disponible. o no se puede utilizar • Intercepción: alguna parte (persona. programa o sistema de computo) no autorizada accede un activo • Modificación: una parte no autorizada accede y manipula indebidamente un activo • Fabricación: Fabricar e insertar objetos falsos en un sistema computacional .Administración de Riesgos Seguridad Informática – Vulnerabilidades Características o debilidades en el sistema de seguridad que pueden ser explotadas para causar daños o perdidas (facilitan la ocurrencia de una amenaza) • Interrupción: un activo se pierde.

Ataques físicos. Problemas de potencia. Bombas Robo .Administración de Riesgos Seguridad Informática – Vulnerabilidades Interrupción (Negación del Servicio) Intercepción (Robo) Hardware Actos Involuntarios/Accidentales – Intencionales/Voluntarios que limitan la disponibilidad Software Datos Destrucción Agua. Cenizas. Ratones. Alimentos. Fuego.

Fuga de Información .Administración de Riesgos Seguridad Informática – Vulnerabilidades Borrado accidental o destrucción de programas Robo . de instrucciones – bombas Interrupción (Borrado) lógicas.Copia ilícita de programas Hardware Causar fallas o errores Salvar una copia mala de un Software programa Datos destruyendo una buena. efectos colaterales) Intercepción Caballos de Troya. Puerta Modificación falsa. Virus. Programas modificados (cambio de bits.

preguntando. adicionar registros en una base de datos Datos Interrupción (Perdida) Intercepción Modificación Fabricación . utilidades del sistema de Software archivos. soborno a empleados claves. compra Hardware Programas maliciosos – Técnica de salami.Administración de Riesgos Robo Seguridad Informática – Vulnerabilidades Confidencialidad – líneas derivadas. facilidades de comunicación defectuosas Reprocesamiento de datos utilizados. inferencia. recipientes de basura.

2.Administración de Riesgos 3.1. Analizar Riesgos 3. Determinar Controles Existentes 3. Valorar Riesgo Inherente 3. Identificar Nivel de Exposición Valorar el posible daño que puede ser causado .3.

Administración de Riesgos Cómo valorar riesgo? Probabilidad x Impacto Frecuencia x Impacto $ Inherente Nivel de exposición Residual .

Estándares. Controles ambientales . candados. Guardias. Identificación y autenticación Controles físicos Protección de instalaciones. Entrenamiento Controles Técnicos Acceso lógico. Procedimientos. dispositivos de seguridad. Monitoreo. controles. Guías. encripción.Administración de Riesgos Controles en Seguridad Controles Administrativos Politícas.

Interc. Integ. . Encripción Administración de la Configuración (Control de Cambios a Programas) Políticas Controles de Hardware Controles Físicos (candados y guardas) Interr. procedimientos o técnicas – que reducen una vulnerabilidad Conf. dispositivos. Mod. Fab. Disp.Administración de Riesgos Controles en Seguridad Medidas protectoras – acciones.

financiando cuando sea apropiado Reducir probabilidad Reducir consecuencia Transferir total o parcialmente Porción transferida Porción retenida NO Riesgo residual aceptable? Evitar SI Retener Asegurar la efectividad costo/beneficio de los controles . transferir o evitar el riesgo. y niveles de riesgo EVALUAR OPCIONES DE TRATAMIENTO Recomendar estrategias de tratamiento Monitorea Monitorea rryyRevisar Revisar Seleccionar estrategia de tratamiento PREPARAR PLANES DE TRATAMIENTO IMPLEMENTAR PLANES DE TRATAMIENTO Preparar planes de tratamiento para reducir.Valorar prioridades de riesgo VALORAR Y PRIORIZAR RIESGOS Riesgo aceptable? Riesgo residual no aceptable IDENTIFICAR OPCIONES DE TRATAMIENTO Reducir probabilidad SI Aceptar NO Reducir consecuencia Transferir total o parcialmente Evitar Considerar factibilidad. costos y beneficios.

Administración de Riesgos Dónde invertir? Principio de la Adecuada Protección: Los ítems deben ser protegidos solo hasta que ellos pierden su valor y deben ser protegidos de manera consistente con su valor Hardware Software Datos Variables: Cantidad de involucrados Esfuerzo de Aseguramiento Valor del activo Duración del Activo Esfuerzo de detección de incidentes Impacto en los objetivos del negocio Efectividad de la medida Nivel de sofisticación Facilidad de uso .

Analysis and Implementation January 1996 .MG-1 . Communications Security Establishment (CSE) .http://www. Pfleeger – Prentice Hall  Network Security .Bibliografía  Security in Computing – Charles P.cse.dnd.ca Government of Canadá.