Académique Documents
Professionnel Documents
Culture Documents
DE LOS RIESGOS
Agenda
Antecedentes
La Seguridad y sus problemas
El Risk Management y el Risk Analysis
Conceptos
Enfoques del Anlisis de Riesgos
El Anlisis de Riesgos en el Proceso de la Seguridad
El Manejo del Riesgo
La Estrategia de Seguridad
Gente
De herramientas de Seguridad
Infraestructura de TI
Negocio
Organizacional
La seguridad, verdades y
mentiras
La seguridad no se arreglar si invertimos nicamente en
tecnologa, por ejemplo nuevas redes, equipos, herramientas,
etc.
Confiar en que los empleados, clientes, competidores y
externos actuarn de forma tica y preventiva no dar
resultado.
Pensar que si hasta ahora no ha pasado nada, seguramente
nunca ocurrir.
Los esfuerzos aislados y sin una estrategia
nunca tendrn una visin completa
e integral.
La seguridad, verdades y
mentiras
La seguridad es relativa y dinmica.
Lo que hoy puede ser seguro, maana seguramente no lo
ser.
La seguridad, verdades y
mentiras
La seguridad siempre ser una prioridad de segundo nivel .
La seguridad es Responsabilidad de Todos.
Seguridad
Operacin
Estado de
EQUILIBRIO
Seguridad que
permita al
negocio
operar de
manera eficaz,
eficiente,
segura y
confiable.
Estado de EQUILIBRIO
Seguridad en
proporcin del posible
impacto y costo de
implantacin
Esto es logrado
mediante la
construccin de una
arquitectura de
seguridad basada en
anlisis de riesgos
Virus.
Borrado de Informacin.
Dao de equipos.
No identificacin de actividades sospechosas.
Y mucho menos
Estratgica
Demasiada improvisacin.
Orientados a un rea de experiencia.
La seguridad, qu se requiere?
Antecedentes
Entrando Ms en Materia
Antecedentes
por dnde empezar a resolver este gran problema?
Antecedentes
Anlisis de Vulnerabilidades y Anlisis de Riesgos, son lo
mismo?
Es adecuado realizar un Anlisis de Riesgos a ???
Las redes
Los sistemas operativos
Las Bases de Datos
Las Aplicaciones
Los Sites e Instalaciones
La respuesta es NO
Polticas organizacionales
Las polticas de seguridad informtica (PSI) surgen como
una herramienta organizacional para concientizar a cada
uno de los miembros de una organizacin sobre la
importancia y sensibilidad de la informacin y servicios
crticos que permiten a la compaa desarrollarse y
mantenerse en su sector de negocios.
Polticas organizacionales
De acuerdo con lo anterior, el proponer o identificar una
poltica de seguridad requiere un alto compromiso con la
organizacin, agudeza tcnica para establecer fallas y
debilidades, y constancia para renovar y actualizar dicha
poltica en funcin del dinmico ambiente que rodea las
organizaciones modernas.
ISO/IEC 27001
Es la certificacin que deben obtener las
organizaciones, especfica los requisitos para la
implantacin del SGSI. Es la ms importante de la
familia y adopta un enfoque de gestin de riesgos
y promueve la mejora continua de los procesos.
PDCA
Documentacin de un SGSI
Manual de seguridad: Es el documento que inspira y dirige todo el
sistema, determina las intenciones, alcance, objetivos,
responsabilidades, polticas y directrices principales del SGSI.
Procedimientos: Documentos en el nivel operativo, que aseguran
que se realicen de forma eficaz la planificacin, operacin y control
de los procesos de seguridad de la informacin.
Instrucciones, checklists y formularios: Son los documentos que
describen como se realizan las tareas relacionadas con la seguridad
de la informacin.
Registros: Son los documentos que proporcionan una evidencia
objetiva del cumplimiento de los requisitos del SGSI; estn asociados
a documentos de los otros tres niveles como output que demuestra
que se ha cumplido lo indicado en los mismos.
Importancia de la Auditora
Informtica
A pesar de ser una disciplina cuya prctica ha aumentado
en nuestro pas durante los ltimos aos, la Auditora
Informtica, es importante en las organizaciones por las
siguientes razones:
Se pueden difundir y utilizar resultados o informacin
errnea si la calidad de datos de entrada es inexacta o los
mismos son manipulados, lo cual abre la posibilidad de
que se provoque un efecto domin y afecte seriamente
las operaciones, toma de decisiones e imagen de la
empresa.
Importancia de la Auditora
Informtica
Las computadoras, servidores y los Centros de
Procesamiento de Datos se han convertido en blancos
apetecibles para fraudes, espionaje, delincuencia y
terrorismo informtico.
La continuidad de las operaciones, la administracin y
organizacin de la empresa no deben descansar en
sistemas mal diseados, ya que los mismos pueden
convertirse en un serio peligro para la empresa.
La vigencia de la Ley de Derecho de Autor, la piratera de
software y el uso no autorizado de programas, con las
implicaciones legales y respectivas sanciones que esto
puede tener para la empresa.
Importancia de la Auditora
Informtica
Los recursos tecnolgicos de la empresa incluyendo
instalaciones fsicas, personal subalterno, horas de trabajo
pagadas, programas, aplicaciones, servicios de correo,
internet, o comunicaciones; son utilizados por el personal sin
importar su nivel jerrquico, para asuntos personales, alejados
totalmente de las operaciones de la empresa o de las labores
para las cuales fue contratado.
Qu es un incidente de seguridad
informtica?
Es cualquier evento adverso real o sospechoso en relacin a la
seguridad de sistemas informticos o redes computacionales.
Ejemplos de incidentes:
Intentos (ya sean exitosos o no) de lograr acceso sin
autorizacin a un sistema o a sus datos.
Interrupcin o negacin no requeridos del sistema.
El uso sin autorizacin de un sistema para el procesamiento o
almacenamiento de datos.
Cambios al hardware, firmware o a las caractersticas del
software del sistema sin el conocimiento, instruccin o
consentimiento del propietario.
Costo e un CSIRT
El costo para crear un CSIRT depender en el nmero de
recursos y servicios a ser provistos, los costos administrativos
para el rea de administracin, y la estructura del CSIRT.
Mientras los costos para la seccin de un CSIRT no esta muy
disponible, hay algunos recursos que pueden ayudar a
determinar el costo de incidentes de seguridad informtica y las
estrategias de respuesta.
Costo e un CSIRT
Esta informacin puede ser utilizada para ayudar a determinar
los recursos necesarios para prevenir o recuperarse de un
incidente. Esta informacin tambin puede ser utilizada en un
anlisis costo/beneficio para comparar el costo de un incidente
con el costo de prevenir el incidente o reducir el tiempo de
recuperacin mediante la implementacin de un CSIRT.
Para mas referencias podemos ir al siguiente enlace
http://www.sei.cmu.edu/reports/03hb002.pdf, este documento
es derecho de The Carnegie Mellon Software Engineering
Institute (SEI).
Evaluacin de Riesgo
El anlisis de riesgos supone ms que el hecho de calcular la
posibilidad de que ocurran cosas negativas. Se debe poder
obtener una evaluacin econmica del impacto de los sucesos,
este valor se podr utilizar para contrastar el costo de la
proteccin de la informacin en anlisis, versus el costo de
volverla a producir (reproducir).
Se debe tener en cuenta la probabilidad que sucedan cada uno
de los problemas posibles, de esta forma se pueden priorizar los
problemas y su coste potencial desarrollando un plan de accin
adecuado.
Evaluacin de Riesgo
Se debe conocer que se quiere proteger, dnde y cmo,
asegurando que con los costos en los que se incurren se
obtengan beneficios efectivos.
Para esto se deber identificar los recursos (hardware, software,
informacin, personal, accesorios, etc.) con que se cuenta y las
amenazas a las que se est expuesto.
Evaluacin de Riesgo
Estos son los ms importantes.
Amenaza: Es la causa potencial de un dao a un activo.
Vulnerabilidad: debilidad de un activo que puede ser
aprovechada por una amenaza.
Impacto: consecuencias de que la amenaza ocurra.
Riesgo intrnseco: clculo del dao probable a un activo si se
encontrara desprotegido.
Salvaguarda: Medida tcnica u organizativa que ayuda a paliar
el riesgo.
Riesgo residual: Riesgo remanente tras la aplicacin de
salvaguardas.
Evaluacin de Riesgo
La evaluacin de riesgos y presentacin de respuestas debe
prepararse de forma personalizada para cada organizacin; pero
se puede presuponer algunas preguntas que ayudan en la
identificacin de lo anteriormente expuesto:
Que puede ir mal?
Con que frecuencia puede ocurrir?
Cules seran sus consecuencias?
Que fiabilidad tienen las respuestas a las tres primeras
preguntas?
Se est preparado para abrir las puertas del negocio sin
sistemas, por un da, una semana, cuanto tiempo?
Cul es el costo de una hora sin procesar, un da, una
semana...?
Evaluacin de Riesgo
Hay que tener en cuenta que la realizacin de un anlisis de
riesgos es un proceso laborioso. Para cada activo se van a
valorar todas las amenazas que pueden afectarle, la
vulnerabilidad cada una de las amenaza y el impacto que
causara la amenaza en caso de ocurrir. Con todos esos datos, se
calcula el valor del riesgo para ese activo.