ModuloIIIx2 PDF

Haga clic para cambiar el estilo de ttulo
Haga clic para modificar el estilo de texto del patrn

Segundo nivel
Curso de Seguridad de la
Informacin
Tercer nivel
Cuarto nivel
Quinto nivel
Estructura y Organizacin de Gestin de Seguridad
Agenda
Estructura y Organizacin de Gestin de Seguridad
El rea de Seguridad
Introduccin a la Administracin de Riesgos
Administracin de Riesgos de Seguridad de la Informacin
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Pgina 1

Segundo nivel
Tercer nivel
El rea de Seguridad
Cuarto nivel
Quinto nivel
Seguridad de la Informacin
La seguridad no es un conjunto de medidas que se toman
por nica vez, sino un proceso dinmico en el que todos los
actores juegan un rol permanente.
La seguridad debe abarcar las tres reas de incumbencia:
Gente
Procesos
Tecnologa
Pgina 3
La trada de la seguridad
La C-I-A
Confidencialidad
(Confidentiality)
Integridad
(Integrity)
Disponibilidad
(Availability)
Pgina 4
Confidencialidad
Caractersticas:
La informacin debe ser accedida solo por personal
autorizado.
Prevenir el acceso no autorizado a informacin o datos.
Se deber acompaar de algn tipo de cifrado de la
informacin
Amenazas:
Hackers/ Crakers
Accesos no autorizados
Sniffing de red
Ingeniera Social
Pgina 5
Integridad
Toda modificacin o destruccion de datos o informacin es realizada
por personas autorizadas utilizando procedimientos autorizados.
Tenemos:
Integridad de datos/ informacin
Integridad del proceso de manipulacin de datos/ informacin
Se deber establecer a travs de tres principios bsicos:
Need to know Access
Separacin de responsabilidades
Rotacin de roles
Pgina 6
Disponibilidad
La informacin y datos se deben encontrar

disponibles cuando se necesiten.
Los usuarios requieren:
La red de datos para trabajar.
Contar con acceso a sus recursos de informacin en la red.
Amenazas:
Ataques de Denegacin de Servicio
Catstrofes humanas, naturales, tecnolgicas.
Pgina 7
Se ocupa de proteger la informacin de la organizacin en cualquier
forma en que se encuentre.
Debe velar por la transmisin, procesamiento y almacenamiento de la
misma.
Pgina 8
Su lugar en la organizacin
Gerencia
General
Gerencia
General
Auditoria
Gerencia
General
Auditoria
Auditoria
Sistemas / IT Gerencia 2
Seguridad
de la
Informacin
Gerencia 3
Seguridad
de la
Informacin
Seguridad
de la
Informacin
Sistemas / IT Gerencia 2
Gerencia 3
Sistemas / IT
Gerencia 2
Gerencia 3
Pgina 9
Estructura Funcional del rea de Seguridad
Pgina 10
Funciones del rea de Seguridad Modelo

Rol
Principales Funciones
Operaciones de
Seguridad -
A/B/M de accesos y usuarios
Administracin de Accesos
y Soporte
Soporte de seguridad a plataformas (Unix,

Windows, etc.)
Administracin de accesos remotos
Soporte al Proceso de Patch Management

Operaciones de
Seguridad Revisin de
LOGs y Gestin de
Incidentes
Revisiones de logs de seguridad

Identificacin de potenciales incidentes
Soporte en la resolucin de problemas de seguridad
Pgina 11
Funciones del rea de Seguridad Modelo (Cont.)

Rol
Cumplimiento y
Gestin
Administracin de Matrices de Riesgo, mantenimiento de la
clasificacin de activos de informacin
Monitoreo del cumplimiento regulatorio / de polticas y
procedimientos
Mantenimiento de Mtricas de seguridad y Tablero de
Comando
Desarrollo del Programa de Concientizacin y Capacitacin
en seguridad
Desarrollo y Mantenimiento de polticas y procedimientos de
seguridad
Mantenimiento de las matrices de Roles Funcionales de las
Aplicaciones
Desarrollo y Mantenimiento del Plan de Contingencia / Plan
de Continuidad de Negocio
Revisin trimestre/semestral/anual de los accesos a
sistemas y recursos
Validacin de accesos para sistemas / recursos con
administracin de seguridad delegada
Seguimiento de la Resolucin de Issues / Problemas de
Seguridad identificados por Auditora
Pgina 12
Funciones del rea de Seguridad Modelo (Cont.)

Rol
Ingeniera de
Seguridad
Anlisis de Riesgo y Aspectos de Seguridad en Nuevos
Proyectos (de Sistemas y/o de Negocio)
Desarrollo y Mantenimiento de estndares tcnicos de
seguridad
Diseo de infraestructura de seguridad (redes, Internet,
etc.)
Administracin matrices de flujos de informacin de
Aplicaciones y Procesos crticos.
Investigaciones de seguridad sobre nuevos productos y/o
sistemas implementados por la Gerencia de Sistemas
Investigacin sobre nuevos productos / sistemas que
permitan mejorar la gestin de seguridad
Investigaciones de seguridad y respuesta ante incidentes
Soporte a Comunicaciones y a Desarrollo de Aplicaciones
Definicin de Estrategias de Resolucin de Vulnerabilidades
Mantenimiento y definicin de eventos de seguridad a
registrar en LOGs
Pgina 13
Roles y Responsabilidades
Gerencia General
Responsable final por la seguridad informtica de la compaa.

ISSO (Information Systems Security Officer)
Responsable funcional por la seguridad informtica de la

compaa.
Dueo de la informacin
Determina el nivel de clasificacin de la informacin.
Pgina 14
Roles y Responsabilidades
Custodio
Preserva la Confidencialidad, Integridad y Disponibilidad (CIA) de

la informacin.
Usuario/ Operador
Trabaja respetando las polticas, normas y procedimientos

definidos.
Auditor
Evalua los controles de seguridad informtica y presenta

recomendaciones a la alta gerencia.
Pgina 15
Background checks
De que puede, potencialmente, prevenirnos un
background check:?
Juicios de parte de empleados despedidos.
Juicios de 3ra partes o clientes por negligencia a la hora de
contratacin de personal.
Empleados no calificados.
Prdida de negocios y de ganancias.
Prdida de tiempo de reclutamiento y entrenamiento.
Robo, dao a propiedad de la compaa, fraude.
Prdida de dinero (relacionada con la contratacin del empleado).
Disminucin de la moral de los empleados.
Juicios por violencia o acoso sexual.
Pgina 16
Background checks
Quin debe ser evaluado?
Background checks deben ser realizados para toda posicin sensitiva en
la compaa.
Dentro del rea de seguridad informtica se incluyen:
Administradores de Firewalls
Administradores de e-commerce
Administradores de Kerberos/ SSO
Administradores de SecurID y operadores de cuentas de usuarios
Etc.
Pgina 17
Contratos de Empleo
Debe contener una clusula de

Non-compete.
Debe contener una clusula de

Non-disclosure.
Deben existir restricciones a la

distribucin de informacin
corporativa en cualquiera de sus
formas.
Pgina 18
Contratacin y Despido
Polticas y Procedimientos definidos por RR.HH.
Deben contemplar:
Cmo manejar la salida del empleado
Deshabilitacin/ borrado de cuentas de usuarios
Reenvo del e-mail y del voice-mail
Cambios en las cerraduras y cdigos de acceso
Modificacin de contraseas de sistemas relacionadas
Pgina 19
Separacin de Tareas
El principio de separacin de tareas es aquel que determina que

aquellas personas involucradas en la revisin/ anlisis de uso no
autorizado de activos no debe estar en condicin de efectuar dicho uso
no autorizado.
Quien controla no ejecuta.
Nadie debe ser responsable de realizar una tarea que involucra

informacin sensitiva de principio a fin. Asimismo, un individuo no
puede ser responsable de aprobar su propio trabajo.
Pgina 20
Separacin de Tareas
Separar:
Desarrollo de Produccin
Seguridad de Auditora
Cuentas a Cobrar de Cuentas a Pagar
Administracin de Claves de Encripcin de Cambio de Claves
Conocimiento distribuido
Claves de encripcin separadas en dos componentes, cada uno de los
cuales no permiten la obtencin del otro
Pgina 21
Preguntas?
Pgina 22

Segundo nivel
Tercer nivel
Introduccin a la Administracin de
Riesgos
Cuarto nivel
Quinto nivel
Principales Trminos Utilizados

Humanas
Amenazas: Representan cualquier peligro

potencial, los cuales pueden generar
prdidas o daos a los activos de la
Entidad.
Naturales
Ambientales
Son materializadas por Agentes capaces de

explotar las vulnerabilidades de seguridad
existentes (puntos dbiles).
Las Organizaciones son cada vez ms dependientes de sus Sistemas y Servicios de
Informacin, por lo tanto podemos afirmar que son cada vez ms vulnerables a las amenazas
concernientes a su seguridad.
Por qu se incrementan en el tiempo?
Crecimiento exponencial de las redes y usuarios interconectados
Falta de madurez en las nuevas tecnologas utilizadas
Existencia de numerosas herramientas automatizadas de ataques
Etc.
Bsicamente:
Pgina 24
Principales Trminos Utilizados (Cont.)

Cules son las potenciales amenazas que podran
afectar al banco? (Ejemplos)
Cules son los agentes que podran materializarlas?
Robo de informacin
Hackers, Virus
Borrado de informacin crtica
Ex-Empleados o empleados disconformes
Robo de activos del Banco
Intrusos
Humanas
Fuego
Falla elctrica
Falta de electricidad
Corte de suministro
Falla en los equipos
Humedad, temperatura
Ambientales
Equipos arruinados
Inundacin
Instalaciones arruinadas
Terremoto
Personal interno no disponible
Alerta meteorolgica
Naturales
Pgina 25

Vulnerabilidades: Representan debilidades o fallas en los
controles, las cuales pueden facilitar que una amenaza sea
materializada. Al ser explotadas, afectan la confidencialidad,
disponibilidad e integridad de la informacin.
El objetivo de la seguridad de la informacin

es impedir que las amenazas exploten las
vulnerabilidades existentes.
Qu vulnerabilidades podran identificar en su ambiente de

trabajo?
Ausencia de Antivirus
Contagio de Virus
Falta de Guardias de Seguridad
Robo de un activo de la Entidad
Ausencia de UPS
Cadas de servicios ante cortes de energa
Pgina 26

Riesgo: Es la probabilidad de que las amenazas se
materialicen, a travs de la explotacin de las
vulnerabilidades existentes, causando prdidas o daos
a la Entidad, dado que ha sido comprometida la
confidencialidad, integridad y/o disponibilidad de la
informacin.
Qu factores determinan la probabilidad de ocurrencia de una
amenaza?
Motivacin
Habilidad
de la
amenaza
Controles
Existentes
Pgina 27
Ejemplos de los trminos utilizados

Agente
Virus
Puede explotar esta vulnerabilidad:
Lo cual resulta en la materializacin de esta

amenaza:
Falta de software antivirus.
Infeccin de virus.
Servicio siendo ejecutado en un equipo

con altos privilegios.
Acceso no autorizado a informacin

confidencial.
Errores en la parametrizacin del sistema

operativo.
Funcionamiento inesperado del sistema.
Falta de extintores de incendio.
Daos sobre las computadoras, personas o

instalaciones causadas por un incendio.
Falta de entrenamiento o de
estandarizacin. Falta de auditora o
monitoreo.
Informacin sensible compartida a personas no

autorizadas.
Proveedor
Fallas en los mecanismos de control de

acceso.
Robo de informacin sensible del negocio.
Intruso
Inexistencia de un guardia de seguridad,

o falta de capacitacin de los mismos.
Robo de activos de la Entidad.
Hacker
Administrador
Fuego
Empleado
Modificacin no autorizada de los datos de

entrada y/ o salida de las aplicaciones.
Hagamos un repaso de los trminos utilizados....

Pgina 28
Resmen de trminos utilizados
Pgina 29
Alternativas de Tratamiento de Riesgos

Una vez identificados los riesgos, existen las siguientes opciones de tratamiento:
Aceptarlos -> No se toman medidas.
Asignarlos / Transferirlos -> Un tercero se hace cargo del
control y/o los costos asociados al riesgo. Normalmente implica un
costo a modo de cuota o pliza (por ej. Seguro, soporte 24x360).
Disminuirlos / Mitigarlos -> Se implementan controles para reducir

la prdida y/o disminuir la probabilidad de ocurrencia.
Tipos de Controles a implementar:
Tcnicos
Fsicos: (Lgicos):
Administrativos:
9acceso
lgico,
9Proteccin
de las
9polticas,
instalaciones,
9encriptacin,
9procedimientos,
9guardias de
9dispositivos
deseguridad,
9estndares,
seguridad,
9candados,
9lineamientos,
etc.
9etc
9etc.
Controles Fsicos
Controles Tcnicos
Controles Administrativos
Datos y activos de la Compaa
Pgina 30
Controles de Seguridad
Controles de Seguridad: Son acciones llevadas a cabo
o mecanismos implementados para reducir o eliminar
vulnerabilidades.
Se pueden diferenciar los siguientes categoras de controles:
Preventivos: Utilizados para evitar la materializacin de una
amenaza.
9Firewall
9Candado
Detectivos: Utilizados para identificar la materializacin de

una amenaza.
9Anlisis de LOGs
9Intrusion Detection Systems
Recuperacin: Utilizados para recuperar un servicio o proceso.

9Restauracin de una cinta de backup
9Plan de Recuperacin ante Desastres Tecnolgicos (DRP)
Pgina 31
Controles de Seguridad (Cont.)

Categoras de Controles (Cont.)
Correctivos: Utilizados para remediar un incidente y mitigar el
dao prdida. Permite la restauracin de los controles.
9Limpieza de virus sobre un equipo infectado
9Un guardia cerrando una puerta con llave que un empleado dejo abierta sin
prestar atencin
Compensatorios: Representan una alternativa a otros controles.

9Monitoreo y supervisin
9Procedimientos de manejo de personal
Disuasivos: Tienen como objetivo disuadir a las personas de

violar una poltica de seguridad.
9Seal de prohibido el paso
9Cmaras de seguridad
Pgina 32
Relacin entre los Tipos y Categoras de Controles

Categora
Disuasivo
Preventivo
Detectivo
Correctivo
Recuperacin
Compensatorio
Administrativo
Polticas
Procedimiento de
registracin de
usuarios
Anlisis de
reportes de
violaciones de
seguridad
Despido
DRP
Rotacin de
funciones,
supervisin
Tcnico
Banner
(mensaje) de
advertencia
Login utilizando
contraseas, IPS
Logs, IDS
Desconexin
de un
dispositivo,
aislamiento
Cintas de backups
Logging, CCTV
Fsico
Seal de no
traspasar
Cerca perimetral
CCTV, alarma
Extinguidor de
fuego
Reconstruccin
Diferentes niveles
de control de
acceso al edificio
Tipo de
Control
Pgina 33
Preguntas?

Segundo nivel
Tercer nivel
Administracin de Riesgos de
Cuarto nivel
Quinto nivel
Pgina 34
Administracin de Riesgos de Seguridad
Aspectos Generales
Los riesgos de seguridad existen desde el mismo
momento en que un sistema es creado. La nica manera
de tratarlo es a travs de la Administracin de Riesgos.
No existe un ambiente 100% seguro, todos tienen un
cierto nivel de vulnerabilidades y amenazas.
Los riesgos pueden ser reducidos, transferidos o
aceptados, pero nunca eliminados. Los responsables de
administrarlos deben ser capaces de reconocerlos, analizar su
probabilidad de ocurrencia, su impacto, analizar las
medidas de control posibles para mitigarlos y finalmente,
priorizar la implementacin de dichas medidas, en base a las
necesidades del negocio.
No importa cuan seguro sea un sistema, siempre podr ser vulnerado si se
utilizan suficientes:
Recursos
- Tiempo
- Motivacin
Entre los componentes de un sistema (personas, tecnologa,

procesos), las personas son normalmente el componente
ms fcil de vulnerar.
Pgina 36
Proceso de Administracin de Riesgos

La Administracin de Riesgos de la Informacin es el proceso de
identificar los riesgos existentes, reducirlos a un nivel
aceptable e implementar los mecanismos adecuados para que el
riesgo se mantenga en los niveles aceptados.
La administracin de riesgos de la informacin, es un subproceso dentro del proceso
general de administracin de riesgos de la Entidad, el cual est directamente
relacionado con la Poltica de Seguridad.
Riesgo para la Organizacin, abarca mucho ms
que aspectos de seguridad de la informacin
El proceso de Administracin de Riesgos estar regido por una Poltica de
Administracin de Riesgos, la cual podra contemplar:
Nivel de riesgo que ser considerado aceptable para la Entidad.
Los lineamientos bsicos para la identificacin de riesgos.
Relacin existente entre la Poltica de Administracin de Riesgos y los
planes estratgicos de la Entidad.
Relacin existente entre los riesgos identificados y los controles
internos.
Relacin entre los riesgos e indicadores de rendimiento y
presupuestos.
Pgina 37
Flujo del Proceso de Administracin de Riesgos

El Proceso de Administracin de Riesgos de Seguridad est
compuesto por las siguientes etapas:

Anlisis de Riesgos:
Identificar los activos y valuarlos
Identificar vulnerabilidades y amenazas
Determinar la probabilidad de ocurrencia y el impacto
Identificar las contramedidas
Evaluar costo beneficio de las contramedidas
Monitoreo y evaluacin
de los Controles
Implementados:
Revisar / Monitorear la
efectividad de los
controles
Administracin
de
Riesgos
Seleccin e Implementacin de
Controles:
Seleccionar contramedidas
Priorizar la implementacin de las
contramedidas
Planificar la implementacin /
Asignar Responsables
Implementar Controles
Determinar Riesgo Residual
Pgina 38
Administracin de Riesgos
Anlisis de Riesgos:
Es una herramienta para la Administracin de Riesgos.
Representa el mtodo utilizado para identificar las
vulnerabilidades y las amenazas, derivar el posible dao o
prdida y determinar donde implementar medidas de seguridad.
Principales Objetivos del Anlisis de Riesgos:

Identificar los activos de la Entidad y valuarlos.
Identificar las vulnerabilidades y las amenazas.
Cuantificar la probabilidad de ocurrencia y el impacto de dichas
amenazas.
Documentar el anlisis comparativo entre el impacto de la
amenaza y el costo de las contramedidas (Costo-beneficio del
control), el cual ser utilizado para seleccionar los controles ms
convenientes.
En proyecto relevantes, esta actividad suele ser llevada a cabo

por un equipo compuesto por personal de diferentes reas,
de modo que se identifiquen mayor cantidad de riesgos. En caso
que no sea posible la inclusin de las mismas, al menos deben ser
tenidas en cuenta para las entrevistas.
Pgina 39
Anlisis de Riesgos Enfoque:

Los pasos bsicos que se deben cumplir en una anlisis de riesgos
contemplan:
Identificar y analizar las amenazas.
Identificar y valuar de los activos que se desean proteger.
Realizar un anlisis de vulnerabilidades.
Realizar la evaluacin de riesgos.
Establecer el criterio de aceptacin de riesgos.
Identificar controles que podran mitigar las vulnerabilidades identificadas.
Documentar un anlisis costo-beneficio de los mismos.
Pgina 40
Anlisis de Riesgos Enfoque:

Al momento de realizar el anlisis de riesgos, se pueden utilizar dos
enfoques, estos son:
Cuantitativo
Intenta asignar un valor real a todos los elementos involucrados
en el anlisis de riesgos.
Se utilizan valores monetarios para evaluar el riesgo.
No permite cuantificar todos los activos y todas las
amenazas posibles (Por ejemplo el impacto en la imagen de la
Entidad).
Permite obtener una idea del riesgo y su correspondiente
impacto monetario.
Cualitativo
Es ms subjetivo dado que se basa en categorizar las
amenazas, los controles y su efectividad, de acuerdo a un
sistema de puntuacin.
Con este enfoque se determina el riesgo relativo al entorno
evaluado.
Permite determinar la severidad de los riesgos identificados,
pero no asignarles valores monetarios en forma directa.
Es mucho ms sencillo de aplicar que el enfoque cuantitativo.
Pgina 41
Anlisis de Riesgos Enfoque Cuantitativo (Cont.):
Principales pasos involucrados en el proceso:

1. Identificar y valuar los activos: Para cada activo que se desea proteger, las
respuestas a las siguientes preguntas nos darn una nocin de su valor:
Cul es el valor de este activo para la Entidad?
Cunto cuesta mantenerlo?
Qu beneficio le brinda a la Entidad?

Cunto vale para la competencia?
Cunto costara recrearlo, reproducirlo, adquirirlo o desarrollarlo?
Cules son las actividades operacionales y de produccin que se veran
afectadas si el activo no estuviese disponible?.
2. Estimar la prdida potencial por amenaza: Para estimar la prdida

potencial ante una amenaza, responder las siguientes preguntas:
Qu dao fsico podra ocasionar y cuanto costara repararlo?
Qu prdida de productividad podra ocasionar y cuanto costara?
Cul es el valor de la prdida si se revela informacin confidencial?
Cul es el costo de recuperarse del evento?
Cul es el costo de falla de dispositivos o servicios crticos?
Calcular la Prdida Simple Estimada (SLE Simple

Loss Expectancy) para cada activo y cada amenaza.
Pgina 42

3. Analizar la probabilidad de ocurrencia de las amenazas:
Recabar informacin acerca de la probabilidad de ocurrencia de cada una
de las amenazas en cada uno de los departamentos o reas de la Entidad,
incluyendo registros histricos y fuentes oficiales que brindan este tipo de
informacin.
Calcular la Tasa de Ocurrencia Anual (ARO Annualized rate of

ocurrence), la cual representa la cantidad de veces que puede
ocurrir cada amenaza en un perodo de 12 meses.
4. Inferir la prdida total por amenaza y seleccionar las medidas de

proteccin adecuadas:
Para inferir la prdida total asociada a una amenaza, combinar la prdida
potencial (SLE) y la probabilidad de ocurrencia (ARO).
Calcular la Prdida Estimada Anual (ALE) por amenaza.

Seleccionar las medidas de proteccin adecuadas para cada amenaza.
Llevar adelante un anlisis costo-beneficio para las medidas seleccionadas.
Pgina 43

5. Reducir, Transferir o Aceptar el riesgo: Para cada riesgo, se deber optar
por una de las 3 opciones:
Aceptacin del riesgo: Vivir con el riesgo y no erogar dinero
en protecciones adicionales.
Transferencia del Riesgo: Contratacin de seguros o soporte

por parte de proveedores.
Reduccin de Riesgos a travs de alguno de los siguientes
mtodos:
Implementar controles y componentes de seguridad.
Implementar/ mejorar procedimientos de seguridad.
Proveer mtodos de deteccin temprana, para identificar las
amenazas al momento en que ocurren y reducir el posible dao que
puedan ocasionar.
Desarrollar un plan de contingencia que detalle como seguir operando
en caso que la amenaza ocurra, reduciendo el dao que la misma pueda
ocasionar.
Llevar adelante un proceso de concientizacin de usuarios.
Modificar el ambiente de procesamiento.
Pgina 44
Anlisis de Riesgos Enfoque Cuantitativo:

Este enfoque utiliza dos elementos fundamentales:
La probabilidad de
ocurrencia de un
evento
Dao o Prdida
potencial en caso de
ocurrencia.
El anlisis Cuantitativo utiliza un concepto que surge de la combinacin

de ambos elementos, para calcular un valor denominado Expectativa
de Prdida Anual (ALE Annual Loss Expectancy).
De esta manera, es posible tomar el valor del ALE para

priorizar y poner atencin a determinados riesgos y su
mitigacin.
Pgina 45

Resumen de clculos necesarios...
Factor de Exposicin (EF - Exposure Factor): Representa el el porcentaje de prdida sobre
un activo ante la ocurrencia de una amenaza.
Prdida Simple Estimada (SLE Simple Loss Expectancy): Es un monto ($) que
representa la prdida ocasionada sobre un activo ante la ocurrencia de una amenaza.
SLE = Valor del activo x EF

Tasa de Ocurrencia Anual (ARO Annualized rate of ocurrence): Representa la tasa de
ocurrencia de una amenaza en el transcurso de un ao.
Prdida Estimada Anual (ALE Annualized loss expectancy): Es un monto ($) que
representa la prdida anual estimada por la ocurrencia de una amenaza determinada.
ALE = SLE x ARO

Activo
Amenaza
Valor
Factor de
Exposicin
Single Loss
Expectancy
Annualized rate of
ocurrence
Annual Loss
Expectancy
(EF)
(SLE)
(ARO)
(ALE)
File Server
Fuego
20.000
25%
5.000
0,1
500
Clave transaccional de
cliente
Robo
50.000
50%
25.000
75.000
Pgina 46

Principales desventajas del enfoque cuantitativo:
Requiere la realizacin de clculos complejos. Podr la Alta Gerencia
comprender de donde fueron obtenidos los datos y cmo fueron calculados?
Sin la utilizacin de herramientas automatizadas, este proceso es
extremadamente laborioso.
Necesidad de relevamiento de gran cantidad de informacin detallada
acerca del ambiente de procesamiento: histrico de incidentes, costos,
porcentajes, etc.
Falta de estandarizacin del proceso entre los diferentes proveedores
del mercado. Cada uno tiene sus propias formas de interpretar los procesos
involucrados y los resultados.
Difcil de inferir, ya que intenta asignar valores exactos a variables
cualitativas.
Suele extenderse en el tiempo.
Pgina 47
Anlisis de Riesgos Enfoque Cualitativo:

Este enfoque no asigna nmeros o montos ($) a los componentes y a las
prdidas potenciales evaluadas.
En su lugar, este enfoque requiere el planteamiento y evaluacin de diferentes
escenarios de riesgos posibles, para luego priorizar las amenazas segn el
impacto y las diferentes contramedidas segn su efectividad y eficiencia.
Las tcnicas de anlisis cualitativo se basan en el criterio del evaluador,
mejores prcticas, intuicin y experiencia.
Entre las tcnicas ms utilizadas para llevar adelante este enfoque se incluyen:
Brainstorming (Lluvia de ideas).
Storyboarding.
Focus Groups.
Cuestionarios.
Checklists.
Entrevistas.
Delphy
El equipo de administracin de riesgo

determinar las tcnicas apropiadas y el
personal involucrado para la evaluacin de
los diferentes escenarios.
Etc.
Pgina 48
Anlisis de Riesgos Enfoque Cualitativo (Cont.):

Principales pasos involucrados en el proceso:
1. Descripcin de los escenario y de las amenazas: Se describe en detalle cada uno de
los escenarios para cada una de las amenazas. El o las personas ms familiarizadas con ese
tipo de amenaza validan que se hayan tenido en cuenta todas las variables.
2. Anlisis de contramedidas: Se evalan las contramedidas que podran reducir el impacto
de la amenaza, y se reproduce el escenario para cada una de las contramedidas.
3. Establecer la escala de prioridad: El factor de exposicin y la prdida posible pueden
ser estimados utilizando escalas como Alto Medio Bajo o 1-2-3-4-5.
4. Asignacin de valores: El personal seleccionado debe establecer para cada amenaza: La
probabilidad de ocurrencia, la prdida potencial, y las ventajas/ desventajas de cada
contramedida.
5. Documentacin de las tareas de anlisis: El Equipo de Administracin de Riesgos
documenta los escenarios y controles planteados y los resultados simulados de la
evaluacin de los mismos.
Pgina 49

Caso prctico:
Situacin: Un rea de negocio ha planteado que:
Un socio comercial debe acceder a un servidor crtico de la Entidad
para realizar consultas especficas y ha solicitado que se le brinde
soporte para evaluar los riesgos y escoger la solucin costobeneficio ms apropiada.
El acceso se realizar desde Internet.
Cmo respondera al requerimiento? (Utilizar un enfoque cualitativo y los
indicadores que se presentan en la figura).
Cmo planteara el anlisis con un enfoque Cuantitativo?
Pgina 50

Principales desventajas del enfoque cualitativo:
Las inferencias y los resultados son subjetivos.
No contempla el poder asignar valores monetarios ($) que puedan ser
utilizados para el anlisis de costo-beneficio objetivo. Provee indicadores
generales de riesgo.
Falta de estandarizacin del proceso entre los diferentes proveedores
del mercado. Cada uno tiene sus propias formas de interpretar los
procesos involucrados y los resultados.
Pgina 51
Anlisis de Riesgos Enfoque Cualitativo vs. Cuantitativo:

Principales Caractersticas:
Atributo
Mtodo
Cuantitativo
Requiere clculos simples.

Requiere clculos complejos.
Mtodo
Cualitativo
X
Requiere un alto grado de anlisis subjetivo o

guesswork.
Provee indicadores y reas generales de riesgos
Es ms fcil de evaluar.
Usado para evaluar el rendimiento del proceso

de administracin de riesgos.
Facilita un anlisis costo-beneficio creble /

sustentable.
Utiliza mtricas objetivas y verificables.
Contempla la opinin de las personas que ms

conocen el proceso.
Muestra los costos en trminos exactos para un
perodo de un ao.
X
X
Pgina 52
Seleccin e Implementacin de Controles:

Una vez que se ha llevado a cabo el Anlisis de Riesgos y se ha
documentado el anlisis Costo-Beneficio, se deber proceder a
seleccionar e implementar los controles ms apropiados para
la Entidad.
Principales Objetivos de la seleccin e implementacin de controles:

Identificar los controles ms convenientes a ser implementados,
en funcin de la relacin costo-beneficio y del nivel de riesgo
que se desee asumir.
Priorizar y planificar la implementacin de los controles.
Identificar y asignar responsabilidades en la implementacin
para asegurar el xito de la tarea.
Implementar los controles seleccionados.
Para lograr el xito y la alineacin estratgica de esta
actividad crtica, se deber contar con el soporte de los
mximos responsables de todas las reas involucradas en el
proceso.
Pgina 53
Seleccin e Implementacin de Controles (Cont.):

Evaluacin de las contramedidas: Se deben seleccionar
las contramedidas en base al resultado del anlisis costobeneficio de las mismas.
El costo de una contramedida es mucho ms que el valor
de la orden de pago. Los siguientes elementos deben ser
evaluado al momento de inferir el verdadero costo de una
contramedida:
Costo del producto.
Costo del diseo/ planificacin de la solucin.
Costo de implementacin.
Modificaciones necesarias en el ambiente para la implementacin.
Compatibilidad con otras contramedidas.
Requerimientos de mantenimiento.
Requerimientos de soporte, actualizacin o reparacin.
Costos de operacin.
Efectos sobre la productividad/ funcionalidades del negocio.
Pgina 54
Monitoreo / Evaluacin Continua de los Controles:

Como etapa final del proceso de administracin de riesgos, se debe
velar por el cumplimiento de los controles establecidos para
reducir los riesgos a un nivel aceptable e implementar los
mecanismos adecuados para que el riesgo se mantenga en los
niveles aceptados.
Los principales objetivos del monitoreo y la evaluacin de controles son:

Asegurar que los controles definidos se encuentren
implementados.
Que dichos controles estn operando en forma efectiva.
Que se mantengan en el tiempo.
Que no se hayan generado nuevas amenazas o
vulnerabilidades, a las identificadas en la evaluacin inicial.
Riesgo Residual vs Riesgo Total: La razn por la que se implementan las

contramedidas es para reducir el Riesgo Total a un nivel aceptable. Sin
embargo, ningn ambiente es 100% seguro, lo cual implica que siempre
queda un margen de riesgo. Dicho margen es llamado Riesgo Residual.
Pgina 55
Anlisis de Riesgos Conclusiones Finales:

El proceso de administracin de riesgos es crucial para todas las
Organizaciones.
Debe aplicarse un enfoque de arriba hacia abajo.
Debe estar alineado a los objetivos del Negocio.
Deben utilizarse trminos entendibles para la Gerencia (costobeneficio, etc.).
El proceso de anlisis de riesgos debe ser continuo. Es la nica
manera de estar seguros que las medidas de proteccin continan
siendo efectivas y eficientes.
Pgina 56
Preguntas?
Pgina 57

ModuloIIIx2 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ModuloIIIx2 PDF

Transféré par

Droits d'auteur :

Formats disponibles

Haga clic para cambiar el estilo de ttulo

Haga clic para modificar el estilo de texto del patrn

Estructura y Organizacin de Gestin de Seguridad

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Haga clic para cambiar el estilo de ttulo

Haga clic para modificar el estilo de texto del patrn

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

La informacin y datos se deben encontrar

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Estructura Funcional del rea de Seguridad

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Funciones del rea de Seguridad Modelo

A/B/M de accesos y usuarios

Soporte de seguridad a plataformas (Unix,

Administracin de accesos remotos

Soporte al Proceso de Patch Management

Revisiones de logs de seguridad

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Funciones del rea de Seguridad Modelo (Cont.)

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Funciones del rea de Seguridad Modelo (Cont.)

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Responsable final por la seguridad informtica de la compaa.

Responsable funcional por la seguridad informtica de la

Determina el nivel de clasificacin de la informacin.

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Preserva la Confidencialidad, Integridad y Disponibilidad (CIA) de

Trabaja respetando las polticas, normas y procedimientos

Evalua los controles de seguridad informtica y presenta

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Debe contener una clusula de

Debe contener una clusula de

Deben existir restricciones a la

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

El principio de separacin de tareas es aquel que determina que

Quien controla no ejecuta.

Nadie debe ser responsable de realizar una tarea que involucra

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Haga clic para cambiar el estilo de ttulo

Haga clic para modificar el estilo de texto del patrn

Introduccin a la Administracin de Riesgos

Principales Trminos Utilizados

Amenazas: Representan cualquier peligro

Son materializadas por Agentes capaces de

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Introduccin a la Administracin de Riesgos

Principales Trminos Utilizados (Cont.)

Borrado de informacin crtica

Ex-Empleados o empleados disconformes

Robo de activos del Banco

Falla en los equipos

Personal interno no disponible

Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad

Introduccin a la Administracin de Riesgos

Principales Trminos Utilizados (Cont.)

El objetivo de la seguridad de la informacin