Académique Documents
Professionnel Documents
Culture Documents
Octubre de 2010
Temario
Objetivos del taller - Por qu se crea el taller? - Qu se espera de los asistentes? Repaso de conceptos clave - Activo de informacin - Amenaza - Vulnerabilidad - Exposicin - Probabilidad de ocurrencia - Impacto - Riesgo - Incidente de seguridad - Control - Relacin entre los conceptos
Temario
Proceso de gestin de riesgos Caso de estudio -Identificacin de activos -Dependencia entre activos -Valoracin de activos -Identificacin de amenazas -Caracterizacin de amenazas -Identificacin de controles -Determinacin del impacto -Clculo de riesgos -Tratamiento de riesgos
Demostrar mediante casos de estudio la aplicacin de la metodologa de gestin de riesgos presentada en el curso de Gestin de Riesgos de Seguridad de la informacin.
Relacionados
Eventos naturales: huracanes, terremotos, tormentas de nieve, erupciones volcnicas, inundaciones, etc. Eventos terroristas, sabotajes o actos de guerra: bombas, secuestros, ataques qumicos, etc. Accidentes: explosiones, incendios, cortes de energa u otros suministros, rotura de tuberas, desastres nucleares, choques de vehculos, etc. Otros eventos: errores en dispositivos, prdida de comunicacin, errores en los sistemas, errores humanos, vandalismo, etc.
VULNERABILIDAD
EXPOSICIN
PROBABILIDAD DE OCURRENCIA
IMPACTO
RIESGO
Se conoce por riesgo como la funcin que combina la probabilidad de ocurrencia y el impacto de un incidente de seguridad.
PROBABILIDAD DE OCURENCIA
IMPACTO
INCIDENTE DE SEGURIDAD
Probabilidad de ocurrencia
y/o
Impacto
RIESGO
INCIDENTE DE SEGURIDAD
CONTROLES
1. EVALUACIN DE RIESGOS
2. TRATAMIENTO DE RIESGOS
Caso de estudio
Identificacin de activos
FUNCIONES DE LA ORGANIZACION Administracin de RRHH Administracin contable ENTORNO Centro de cmputos Oficina de RRHH Oficina de contadura Edificio BASES DE DATOS Base de datos de RRHH Base de datos contable INFORMACIN Datos de RRHH Datos contables Datos impositivos EQUIPAMIENTO Srv1-Aplic Srv2-BD Srv3-Aplic 4 PCs de RRHH 10 PCs de contadura Red LAN Enlace de Internet RRHH Usuarios finales de RRHH Usuarios finales de contadura Administradores de red Administradores de servidores Administrador de sistema DBA SISTEMAS Sistema RRHH Sistema contable
Caso de estudio
Dependencia entre activos
Administracin de RRHH Datos de RRHH BD de RRHH Sistema de RRHH 4 PCs de RRHH Srv2-BD Administracin contable Datos contables BD contable Datos impositivos Sistema contable 10 PCs de contadura
Srv1-Aplic
Srv3-Aplic
Red LAN Usuarios finales de RRHH Administradores de red Centro de cmputos Administradores de servidores Oficina de RRHH
Enlace de Internet Usuarios finales de contadura Oficina de Contadura DBA Administradores de sistema
RRHH
Edificio
Entorno
Caso de estudio
Valoracin de activos Criterio para datos
INFORMACION CONFIDENCIALIDAD 1 2 3 4 Puede ser conocida y utilizada sin autorizacin por cualquier persona. Puede ser conocida y utilizada por todos los empleados y algunas entidades externas autorizadas, y cuya divulgacin o uso no autorizados podra ocasionar riesgos o prdidas leves para el Organismo, el Sector Pblico Nacional o terceros. Puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgacin o uso no autorizados podra ocasionar prdidas significativas al Organismo, al Sector Pblico Nacional o a terceros. Puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente de la alta direccin del Organismo, y cuya divulgacin o uso no autorizados podra ocasionar prdidas graves al mismo, al Sector Pblico Nacional o a terceros.
Caso de estudio
Valoracin de activos Criterio para datos
INFORMACION INTEGRIDAD 1 2 3 4 Su modificacin no autorizada puede repararse fcilmente, o no afecta la operatoria. Su modificacin no autorizada puede repararse aunque podra ocasionar prdidas leves para el Organismo, el Sector Pblico Nacional o terceros. Su modificacin no autorizada es de difcil reparacin y podra ocasionar prdidas significativas para el Organismo, el Sector Pblico Nacional o terceros. Su modificacin no autorizada no podra repararse, ocasionando prdidas graves al Organismo, al Sector Pblico Nacional o a terceros. Su inaccesibilidad no afecta la operatoria del Organismo. Su inaccesibilidad permanente durante 5 das podra ocasionar prdidas significativas para el Organismo, el Sector Pblico Nacional o terceros. Su inaccesibilidad permanente durante 2 das podra ocasionar prdidas significativas al Organismo, al Sector Pblico Nacional o a terceros. Su inaccesibilidad permanente durante 8 hs. podra ocasionar prdidas significativas al Organismo, al Sector Pblico Nacional o a terceros.
DISPONIBILIDAD 1 2 3 4
Caso de estudio
Valoracin de activos - Datos
Informacin Datos de RRHH Datos contables Datos impositivos
CONFIDENCIALI DAD INTEGRIDAD DISPONIBILIDAD CRITICIDAD
4 2 2
3 4 4
3 3 2
4 3 3
Caso de estudio
Valoracin de activos Herencia de valoracin
Activos Sistema RH Sistema contable BD de RRHH BD contable Srv1-Aplic Srv2-BD DBA Centro Cmputos
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CRITICIDAD
4 2 4 2 4 4 4 4
3 4 3 4 3 3 3 3
3 3 3 3 3 3 3 3
4 3 4 3 4 4 4 4
Caso de estudio
Identificacin de amenazas
Activo Entorno Amenaza Desastres naturales Incendio Activo Informacin Amenaza Robo Alteracin Divulgacin Destruccin Funciones de la Interrupcin organizacin RRHH Desastres naturales Incendio Enfermedades Huelgas Ingeniera social
Equipamiento Desastres naturales Incendio Fallas de hardware Fallas de administracin Robo Sistemas Cdigo malicioso Fallas de administracin Intrusin
Caso de estudio
Caracterizacin de amenazas
FRECUENCIA Cantidad de veces que se estima puede ocurrir la amenaza en un ao. Ej.: 5 5 veces en un ao 0,1 1 vez en 2 aos DEGRADACION Porcentaje de afectacin de la amenaza sobre la Confidencialidad, Integridad y Disponibilidad respectivamente.
Caso de estudio
Caracterizacin de amenazas
Activo Amenaza F 0,25 1 0,25 1 2 4 1 10 4 2 D(C) 100% 100% 75% 100% 100% D(I) 25% 100% 75% 100% 75% D(D) 100% 75% 100% 75% 100% 25% 100% 75% 25% 50%
Centro de Desastres naturales Cmputos Incendio Srv1-Aplic Desastres naturales Incendio Fallas de hardware Fallas de administracin Robo Cdigo malicioso Fallas de administracin Intrusin
Sistema RH
Caso de estudio
Identificacin de controles
IMPACTO CONTROL
Influye en
PROBABILIDAD DE OCURRENCIA
Debe presentar
VIGENCIA EFECTIVIDAD
Caso de estudio
Identificacin de controles
Controles Construccin antissmica Sistemas de deteccin y extincin de incendios Equipamiento Mantenimiento preventivo Capacitacin de los administradores Monitoreo de funcionamiento Control de acceso fsico Sistemas Antivirus Sistemas de deteccin/prevencin de intrusiones Control de acceso lgico Informacin Cifrado Copias de respaldo Funciones de la Procedimientos alternativos organizacin RRHH Concientizacin Segregacin de funciones Activo Entorno
Caso de estudio
Determinacin del impacto
Activo Amenaza I(C) 4 4 3 4 4 I(I) 1 3 2 3 2 I(D) 3 2 3 2 3 1 3 2 1 2
V(D) * D(D)
I(total) 3 2 3 2 4 8 7 7 8 8
Centro de Desastres naturales Cmputos Incendio Srv1-Aplic Desastres naturales Incendio Fallas de hardware Fallas de administracin Robo Cdigo malicioso Fallas de administracin Intrusin
Sistema RH
Caso de estudio
Clculo del riesgo
Activo Amenaza Riesgo (amenaza) 1 2 1 2 8 32 7 70 32 16
I(total) * F
Riesgo 2 10 Nivel de riesgo MUY BAJO BAJO
Centro de Desastres naturales Cmputos Incendio Srv1-Aplic Desastres naturales Incendio Fallas de hardware Fallas de administracin Robo Sistema RH Cdigo malicioso Fallas de administracin Intrusin
39
MUY ALTO
PROM(Riesgo(amenaza))
Caso de estudio
Tcnicas de tratamiento de riesgos
MITIGAR ACEPTAR TRANSFERIR EVITAR
20 15 10 5
NIVEL DE RIESGO ACEPTABLE
Caso de estudio
Tcnicas de tratamiento de riesgos
ACEPTAR
MUY BAJO Centro de Cmputos BAJO
Srv1-Aplic
MITIGAR
MUY ALTO
Sistema de RH
Caso de estudio
Mitigacin de riesgos
MUY ALTO
Sistema de RH
CONTROL Gestin de parches de seguridad Gestin de antivirus Control de malware Capacitacin de administradores Registro de actividades Alarmas Control de actividades IPS / IDS Monitoreo Tests de penetracin
Fallas de administracin
MUY ALTO
Intrusin
ALTO
Caso de estudio
Evaluacin de las medidas de tratamiento:
Establecimiento de puntos de control y mtricas Registro de mediciones Evaluacin de cumplimiento con los objetivos previstos Identificacin de desvos: incumplimiento de objetivos, falta de reduccin de riesgos, generacin de costos no previstos, etc. Correcciones
Bibliografa
NORMA ISO/IEC 27005 - Tecnologa de la informacin - Tcnicas de seguridad - Gestin del riesgo de seguridad de la informacin NORMA IRAM - ISO/IEC 27001 - Tecnologa de la informacin Sistemas de gestin de seguridad de la informacin (SGSI) - Requisitos NORMA IRAM - ISO/IEC 27002 - Tecnologa de la informacin Tcnicas de Seguridad - Cdigo de prctica para la gestin de la seguridad de la informacin MAGERIT versin 2 Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin Metodologa de Anlisis de Riesgos de ArCERT NIST SP 800-30 - Risk Management Guide for Information Technology Systems