GESTIN DE LA SEGURIDAD Y

DE LOS RIESGOS

Prof. Lic. Luis Roig Ing. Csar Molina

Agenda

Antecedentes
La Seguridad y sus problemas
El Risk Management y el Risk Analysis
Conceptos
Enfoques del Anlisis de Riesgos
El Anlisis de Riesgos en el Proceso de la Seguridad
El Manejo del Riesgo
La Estrategia de Seguridad

La seguridad, verdades y mentiras

De quin es el problema de la seguridad?
reas Tecnolgicas

Gente

De herramientas de Seguridad

Infraestructura de TI

Negocio

Organizacional

La seguridad, verdades y
mentiras
La seguridad no se arreglar si invertimos nicamente en
tecnologa, por ejemplo nuevas redes, equipos, herramientas,
etc.
Confiar en que los empleados, clientes, competidores y
externos actuarn de forma tica y preventiva no dar
resultado.
Pensar que si hasta ahora no ha pasado nada, seguramente
nunca ocurrir.
Los esfuerzos aislados y sin una estrategia
nunca tendrn una visin completa
e integral.

La seguridad, verdades y
mentiras
La seguridad es relativa y dinmica.
Lo que hoy puede ser seguro, maana seguramente no lo
ser.

Por lo anterior, podemos concluir que la seguridad es un

proceso continuo.

La seguridad, verdades y
mentiras
La seguridad siempre ser una prioridad de segundo nivel .
La seguridad es Responsabilidad de Todos.

La seguridad y sus problemas

La seguridad corre en sentido opuesto a la operacin...

Seguridad

Operacin

Entonces, mucha o poca seguridad???

La seguridad y sus problemas

Nivel de Seguridad y la Operacin

Estado de
EQUILIBRIO
Seguridad que
permita al
negocio
operar de
manera eficaz,
eficiente,
segura y
confiable.

La seguridad y sus problemas

Nivel de Seguridad y la funcin de costos

Estado de EQUILIBRIO
Seguridad en
proporcin del posible
impacto y costo de
implantacin
Esto es logrado
mediante la
construccin de una
arquitectura de
seguridad basada en
anlisis de riesgos

La seguridad y sus problemas

La gente no conoce su rol y responsabilidad.
Los usuarios realizan acciones indebidas, cuando esto no
sucede, se equivocan.
La mayor cantidad de incidentes de seguridad son generados
por el desconocimiento de la gente.

Virus.
Borrado de Informacin.
Dao de equipos.
No identificacin de actividades sospechosas.

La seguridad y sus problemas

Hablar de seguridad es hablar de:
Temas complejos.
Intangibles.
Difciles de vender interna o externamente.
No existe un ROI claro.
Confusiones entre herramientas y seguridad

La seguridad y sus problemas

La seguridad y su implantacin es vista y realizada de forma:
Reactiva
Correctiva
Emergente

Difcilmente se trata de forma

Preventiva
Proactiva

Y mucho menos
Estratgica

La seguridad y mas problemas

Demasiados proveedores.
Demasiados productos.
Demasiados servicios.
Poca informacin slida.

Problemas en el escalamiento y/o comprensin de las

necesidades de seguridad.
Ya tenemos un firewall!!! o no?

La seguridad y mas problemas

El administrador de seguridad debe estar prevenido de todos
y cada uno de los ataques y vulnerabilidades, conocidos y
desconocidos.
Los atacantes SLO necesitan explotar UNA vulnerabilidad.
Poca gente disponible y especializada.

La seguridad y mas problemas

El proceso de correccin de vulnerabilidades es muy restrictivo:
Disponibilidad de la gente y los usuarios.
Downtime excesivo.

Qu pasa cuando NO HAY un parche?

Qu pasa cuando NO se ha identificado/publicado una vulnerabilidad?
Qu pasa cuando NO es posible corregir una vulnerabilidad?

La seguridad y mas problemas

Los ambientes de produccin no fueron diseados para la
aplicacin continua de parches
Sistemas operativos y aplicaciones empiezan a tomar esto en
cuenta.
Alta disponibilidad y tolerancia a fallas empiezan a llegar al nivel
de los componentes de red.

Muy poca consideracin en la etapa de diseo de redes y

aplicaciones para la seguridad.

La seguridad y mas problemas

Pocos proveedores enfocados a la seguridad:
Muy pocos con verdadera provisin de Soluciones Integrales, o
son productos o servicios.

Demasiada improvisacin.
Orientados a un rea de experiencia.

No existe seguridad a prueba de todo.

La seguridad, qu se requiere?

Reconozca la importancia de la seguridad.

Conozca su rol y responsabilidad.
Cuente con los mecanismos para soportar el
desempeo de sus funciones de manera segura.
Aplique los procesos formales eficientemente.
Definido
Normado e implantado
Monitoreado y optimizado
Seguro
Confiable

Soportar el proceso de negocio de forma:

Eficaz y eficiente
Segura y confiable
Administrada adecuadamente para mantener los
principios de seguridad de:
Integridad
Confidencialidad
Disponibilidad

Antecedentes
Entrando Ms en Materia

Antecedentes
por dnde empezar a resolver este gran problema?

Antecedentes
Anlisis de Vulnerabilidades y Anlisis de Riesgos, son lo
mismo?
Es adecuado realizar un Anlisis de Riesgos a ???

Las redes
Los sistemas operativos
Las Bases de Datos
Las Aplicaciones
Los Sites e Instalaciones

La respuesta es NO

Caso de Estudio para la

Planificacin de la Seguridad
La seguridad de la informacin es el conjunto de medidas
preventivas y reactivas de las organizaciones y de los
sistemas tecnolgicos que permitan resguardar y proteger
la informacin buscando mantener la confidencialidad, la
disponibilidad e integridad de la misma.

Polticas organizacionales
Las polticas de seguridad informtica (PSI) surgen como
una herramienta organizacional para concientizar a cada
uno de los miembros de una organizacin sobre la
importancia y sensibilidad de la informacin y servicios
crticos que permiten a la compaa desarrollarse y
mantenerse en su sector de negocios.

Polticas organizacionales
De acuerdo con lo anterior, el proponer o identificar una
poltica de seguridad requiere un alto compromiso con la
organizacin, agudeza tcnica para establecer fallas y
debilidades, y constancia para renovar y actualizar dicha
poltica en funcin del dinmico ambiente que rodea las
organizaciones modernas.

Elementos de una poltica de

seguridad informtica
Los elementos de una PSI requiere una disposicin de cada
uno de los miembros de la empresa para lograr una visin
conjunta de lo que se considera importante.
Las PSI deben considerar entre otros, los siguientes
elementos:
Alcance de la polticas, incluyendo facilidades, sistemas y
personal sobre la cual aplica.
Objetivos de la poltica y descripcin clara de los
elementos involucrados en su definicin.

Elementos de una poltica de

seguridad informtica
Responsabilidades por cada uno de los servicios y recursos
informticos a todos los niveles de la organizacin.
Requerimientos mnimos, para configuracin de la seguridad
de los sistemas que cobija el alcance de la poltica.
Definicin de violaciones y de las consecuencias del no
cumplimiento de la poltica.
Responsabilidades de los usuarios con respecto a la
informacin a la que l o ella tiene acceso.

Algunos parmetros para establecer

polticas de seguridad
Algunos aspectos generales recomendados para la
formulacin de las PSI:
Considere efectuar un ejercicio de anlisis de riesgos
informtico, a travs del cual valore sus activos, el cual le
permitir afinar las PSI de su organizacin.
Involucre a los actores de las reas propietarias de los
recursos o servicios, pues ellos poseen la experiencia y
son fuente principal para establecer el alcance y las
definiciones de violaciones a la PSI.
Comunique a todo el personal involucrado en el desarrollo
de las PSI, los beneficios y riesgos relacionados con los
recursos y bienes, y sus elementos de seguridad.

Algunos parmetros para establecer

polticas de seguridad
Recuerde que es necesario identificar quien tiene la
autoridad para tomar decisiones, pues son ellos los
interesados en salvaguardar los activos crticos de la
funcionalidad de su rea u organizacin.
Desarrolle un proceso de monitoreo peridico de las
directrices en el hacer de la organizacin, que permita una
actualizacin oportuna de las mismas.

Algunos parmetros para establecer

polticas de seguridad
Un consejo ms, no de por hecho algo que es obvio. Haga
explcito y concreto los alcances y propuestas de
seguridad, con el propsito de evitar sorpresas y malos
entendidos en el momento de establecer los mecanismos
de seguridad que respondan a las PSI trazadas.

Las Polticas de seguridad informtica como base de

la Administracin de la seguridad integral
Las PSI constituyen las alarmas y compromisos
compartidos en la organizacin, que le permiten actuar
proactivamente ante situaciones que comprometan su
integridad.
Por lo tanto, deben constituir un proceso continuo y
retroalimentado que observe la concientizacin, mtodos
de acceso a la informacin, monitoreo de cumplimiento y
renovacin, aceptacin de las directrices y estrategia de
implantacin, que lleven a una formulacin de directivas
institucionales que logren aceptacin general.

Las polticas por si solas no constituyen una

garanta para la seguridad de la informacin
Ellas deben responder a intereses y necesidades
organizacionales basadas en la visin de negocio, que lleven a
un esfuerzo conjunto de sus actores por administrar sus
recursos, y a reconocer en los mecanismos de seguridad
informtica factores que facilitan la formalizacin y
materializacin de los compromisos adquiridos con la
organizacin.

Entonces Qu son las PSI?

Son el canal formal de actuacin del
personal, en relacin con los recursos y
servicios informticos importantes de la
organizacin, que debe concluir en una
posicin consciente y vigilante del personal
por el uso y limitaciones de los recursos y
servicios informticos crticos de la
compaa

Por qu las PSI no se logran

implantar?
Muchos de los inconvenientes se inician por los
tecnicismos informticos y la falta de una estrategia de
mercadeo de los especialistas en seguridad, que llevan a
los altos directivos a pensamientos como: "ms dinero
para los juguetes de los ingenieros", esta situacin ha
llevado a que muchas empresas con activos muy
importantes, se encuentren expuestas a graves problemas
de seguridad, que en muchos de los casos lleva a
comprometer su informacin sensitiva y por ende su
imagen corporativa.

Buenas prcticas para preservar la

seguridad informtica
Podemos indicar que el fundamento de las buenas prcticas
radican esencialmente en seguir los estndares y normas
establecidas, de esta forma podemos garantizar el mantener las
buenas prcticas dentro de nuestros Sistema de Gestin de
Seguridad de la Informacin (SGSI).

Buenas prcticas para preservar la

seguridad informtica

Norma ISO/IEC 27000 Series

Especifica los requisitos de los controles de
seguridad de acuerdo con las necesidades de las
organizaciones, independientemente de su tipo,
tamao o actividad, de estas series podemos
hacer nfasis en:
27000 Fundamentos y vocabulario
27001 Requisitos para certificacin
27002 Buenas prcticas
27003 Directrices para la implementacin

ISO/IEC 27001
Es la certificacin que deben obtener las
organizaciones, especfica los requisitos para la
implantacin del SGSI. Es la ms importante de la
familia y adopta un enfoque de gestin de riesgos
y promueve la mejora continua de los procesos.

PDCA

Documentacin de un SGSI
Manual de seguridad: Es el documento que inspira y dirige todo el
sistema, determina las intenciones, alcance, objetivos,
responsabilidades, polticas y directrices principales del SGSI.
Procedimientos: Documentos en el nivel operativo, que aseguran
que se realicen de forma eficaz la planificacin, operacin y control
de los procesos de seguridad de la informacin.
Instrucciones, checklists y formularios: Son los documentos que
describen como se realizan las tareas relacionadas con la seguridad
de la informacin.
Registros: Son los documentos que proporcionan una evidencia
objetiva del cumplimiento de los requisitos del SGSI; estn asociados
a documentos de los otros tres niveles como output que demuestra
que se ha cumplido lo indicado en los mismos.

Algunos puntos que deben ser

evaluados en la organizacin

Algunos puntos que deben ser

evaluados en la organizacin

Algunos puntos que deben ser

evaluados en la organizacin

Rol de la auditora para detectar niveles

bajos de Seguridad Informtica
(Mantenimiento informatico) por parte de empresas
distintas a las instaladoras de software.
Una auditora de seguridad informtica o auditora de
seguridad de sistemas de informacin (SI) es el estudio que
comprende el anlisis y gestin de sistemas llevado a cabo por
profesionales para identificar, enumerar y posteriormente
describir las diversas.
Vulnerabilidades que pudieran presentarse en una revisin
exhaustiva de las estaciones de trabajo, redes de
comunicaciones o servidores.

Rol de la auditora para detectar niveles

bajos de Seguridad Informtica
Una vez obtenidos los resultados, se detallan, archivan y
reportan a los responsables quienes debern establecer
medidas preventivas de refuerzo y/o correccin siguiendo
siempre un proceso secuencial que permita a los
administradores mejorar la seguridad de sus sistemas
aprendiendo de los errores cometidos con anterioridad.

Rol de la auditora para detectar niveles

bajos de Seguridad Informtica
Las auditoras de seguridad de SI permiten conocer en el
momento de su realizacin cul es la situacin exacta de
sus activos de informacin en cuanto a proteccin, control
y medidas de seguridad.
Finalmente, de forma sencilla y grafica podemos decir que
la Auditora Informtica es el proceso de recoleccin y
evaluacin de evidencia para determinar s un sistema
automatizado.

Alcance de la Auditora Informtica

El alcance de la Auditora Informtica no es nada ms que la precisin
con que se define el entorno y los lmites en que va a desarrollarse la
misma y se complementa con los objetivos establecidos para la
revisin.
El alcance de la Auditora Informtica deber definirse de forma clara
en el Informe Final, detallando no solamente los temas que fueron
examinados, sino tambin indicando cuales se omitieron.

Importancia de la Auditora
Informtica
A pesar de ser una disciplina cuya prctica ha aumentado
en nuestro pas durante los ltimos aos, la Auditora
Informtica, es importante en las organizaciones por las
siguientes razones:
Se pueden difundir y utilizar resultados o informacin
errnea si la calidad de datos de entrada es inexacta o los
mismos son manipulados, lo cual abre la posibilidad de
que se provoque un efecto domin y afecte seriamente
las operaciones, toma de decisiones e imagen de la
empresa.

Importancia de la Auditora
Informtica
Las computadoras, servidores y los Centros de
Procesamiento de Datos se han convertido en blancos
apetecibles para fraudes, espionaje, delincuencia y
terrorismo informtico.
La continuidad de las operaciones, la administracin y
organizacin de la empresa no deben descansar en
sistemas mal diseados, ya que los mismos pueden
convertirse en un serio peligro para la empresa.
La vigencia de la Ley de Derecho de Autor, la piratera de
software y el uso no autorizado de programas, con las
implicaciones legales y respectivas sanciones que esto
puede tener para la empresa.

Importancia de la Auditora
Informtica
Los recursos tecnolgicos de la empresa incluyendo
instalaciones fsicas, personal subalterno, horas de trabajo
pagadas, programas, aplicaciones, servicios de correo,
internet, o comunicaciones; son utilizados por el personal sin
importar su nivel jerrquico, para asuntos personales, alejados
totalmente de las operaciones de la empresa o de las labores
para las cuales fue contratado.

Plan Efectivo de Respuestas a Incidentes O Equipo de

Respuesta Frente a Incidencias de Seguridad
Informtica (CSIRT)
Es un grupo de profesionales que recibe los informes sobre
incidentes de seguridad, analiza las situaciones y responde a las
amenazas. Un CSIRT puede ser un grupo ya establecido o un
grupo ad hoc.

Qu es un incidente de seguridad
informtica?
Es cualquier evento adverso real o sospechoso en relacin a la
seguridad de sistemas informticos o redes computacionales.
Ejemplos de incidentes:
Intentos (ya sean exitosos o no) de lograr acceso sin
autorizacin a un sistema o a sus datos.
Interrupcin o negacin no requeridos del sistema.
El uso sin autorizacin de un sistema para el procesamiento o
almacenamiento de datos.
Cambios al hardware, firmware o a las caractersticas del
software del sistema sin el conocimiento, instruccin o
consentimiento del propietario.

Tiempo de Respuesta de CSIRT

1. Respuesta rpida y efectiva puede minimizar el dao
financiero, de hardware y software causado por un
incidente concreto.
2. Importante es la capacidad del CSIRTS para identificar a
los causantes del incidente, de manera que los
atacantes puedan ser perseguidos y castigados.
3. Se refiere al endurecimiento del software y la
estructura para reducir el numero de ataques a lo largo
del tiempo.

Tiempo de Respuesta de CSIRT

Entre los trminos equivalentes al CSIRTS se incluye el CIRC
(Capacidad de respuesta frente a incidentes informticos), CIRT
(Equipo de respuesta ante incidentes informticos), IRT (Equipo
de respuesta frente a incidentes), SERT (Equipo de respuesta
ante emergencias de seguridad) y SIRT (Equipo de respuesta
ante incidentes de seguridad).
Los CSIRTS internos normalmente usan el trmino con el que
ms se identifican. El CSIRTS de Estados Unidos, por ejemplo es
el US-CERT.

Costo e un CSIRT
El costo para crear un CSIRT depender en el nmero de
recursos y servicios a ser provistos, los costos administrativos
para el rea de administracin, y la estructura del CSIRT.
Mientras los costos para la seccin de un CSIRT no esta muy
disponible, hay algunos recursos que pueden ayudar a
determinar el costo de incidentes de seguridad informtica y las
estrategias de respuesta.

Costo e un CSIRT
Esta informacin puede ser utilizada para ayudar a determinar
los recursos necesarios para prevenir o recuperarse de un
incidente. Esta informacin tambin puede ser utilizada en un
anlisis costo/beneficio para comparar el costo de un incidente
con el costo de prevenir el incidente o reducir el tiempo de
recuperacin mediante la implementacin de un CSIRT.
Para mas referencias podemos ir al siguiente enlace
http://www.sei.cmu.edu/reports/03hb002.pdf, este documento
es derecho de The Carnegie Mellon Software Engineering
Institute (SEI).

Costos de implementar un Plan de

Seguridad VS. La ausencia del mismo
Desde un punto de vista oficial, el desafo de responder la
pregunta del valor de la informacin ha sido siempre difcil, y
ms difcil an hacer estos costos justificables, siguiendo el
principio que "si desea justificarlo, debe darle un valor".

Costos de implementar un Plan de

Seguridad de Informtica
Adems, las medidas de seguridad no influyen en la
productividad del sistema por lo que las organizaciones
son reticentes a dedicar recursos a esta tarea.
Por eso es importante entender que los esfuerzos
invertidos en la seguridad son costeables.
La evaluacin de costos ms ampliamente aceptada
consiste en cuantificar los daos que cada posible
vulnerabilidad puede causar teniendo en cuenta las
posibilidades.

Costos de implementar un Plan de

Seguridad de Informtica
Establecer el valor de los datos es algo totalmente
relativo, pues la informacin constituye un recurso que,
en muchos casos, no se valora adecuadamente debido a
su intangibilidad, cosa que no ocurre con los equipos, la
documentacin o las aplicaciones.

Costos de implementar un Plan de

Seguridad de Informtica
Un planteamiento posible para desarrollar esta poltica es el
anlisis de lo siguiente:
Que recursos se quieren proteger?
De que personas necesita proteger los recursos?
Que tan reales son las amenazas?
Que tan importante es el recurso?
Que medidas se pueden implantar para proteger sus bienes
de una manera econmica y oportuna?
Con esas sencillas preguntas (ms la evaluacin de riesgo) se
debera conocer cules recursos vale la pena (y justifican su
costo) proteger, y entender que algunos son ms importantes
que otros.

Evaluacin de Riesgo
El anlisis de riesgos supone ms que el hecho de calcular la
posibilidad de que ocurran cosas negativas. Se debe poder
obtener una evaluacin econmica del impacto de los sucesos,
este valor se podr utilizar para contrastar el costo de la
proteccin de la informacin en anlisis, versus el costo de
volverla a producir (reproducir).
Se debe tener en cuenta la probabilidad que sucedan cada uno
de los problemas posibles, de esta forma se pueden priorizar los
problemas y su coste potencial desarrollando un plan de accin
adecuado.

Evaluacin de Riesgo
Se debe conocer que se quiere proteger, dnde y cmo,
asegurando que con los costos en los que se incurren se
obtengan beneficios efectivos.
Para esto se deber identificar los recursos (hardware, software,
informacin, personal, accesorios, etc.) con que se cuenta y las
amenazas a las que se est expuesto.

Evaluacin de Riesgo
Estos son los ms importantes.
Amenaza: Es la causa potencial de un dao a un activo.
Vulnerabilidad: debilidad de un activo que puede ser
aprovechada por una amenaza.
Impacto: consecuencias de que la amenaza ocurra.
Riesgo intrnseco: clculo del dao probable a un activo si se
encontrara desprotegido.
Salvaguarda: Medida tcnica u organizativa que ayuda a paliar
el riesgo.
Riesgo residual: Riesgo remanente tras la aplicacin de
salvaguardas.

Evaluacin de Riesgo
La evaluacin de riesgos y presentacin de respuestas debe
prepararse de forma personalizada para cada organizacin; pero
se puede presuponer algunas preguntas que ayudan en la
identificacin de lo anteriormente expuesto:
Que puede ir mal?
Con que frecuencia puede ocurrir?
Cules seran sus consecuencias?
Que fiabilidad tienen las respuestas a las tres primeras
preguntas?
Se est preparado para abrir las puertas del negocio sin
sistemas, por un da, una semana, cuanto tiempo?
Cul es el costo de una hora sin procesar, un da, una
semana...?

Evaluacin de Riesgo
Hay que tener en cuenta que la realizacin de un anlisis de
riesgos es un proceso laborioso. Para cada activo se van a
valorar todas las amenazas que pueden afectarle, la
vulnerabilidad cada una de las amenaza y el impacto que
causara la amenaza en caso de ocurrir. Con todos esos datos, se
calcula el valor del riesgo para ese activo.