Académique Documents
Professionnel Documents
Culture Documents
Riesgos
ISO/IEC 27002:2005
Luis Bartolini Siqueiros
Nivel de
Riesgo
ROI
Conectado
Productivo
2
Cambiar el enfoque de la
Seguridad
DE
Ad-hoc y tctico
Irregular
Reactivo
Sin medicin
Absoluto
Administrado y
estratgico
Sistemtico
Adaptativo
Medible
Adecuado
Componentes (organizacin) de la
Seguridad de Informacin
Poltica General de
Seguridad de Informacin
Programa Integral de
Seguridad de Informacin
Continuidad de
Negocio
Equipo de DRP
Estructura Organizacional
Infraestructura
Comit de Proteccin
de Informacin
Operacin y
Mantenimiento
de Seguridad
Seguimiento de
Amenazas y
Vulnerabilidades
Seguridad de Informacin
Procesos,
Polticas,
Estndares,
Procedimientos
Sub-Comit de SI de TI
Plan de
Respuesta a
Incidentes
Administracin de
Riesgos y Baselines
Concientizacin
y Capacitacin
Cumplimiento
Equipo de
Respuesta a
Incidentes
Evaluacin
de Riesgos
Programas
de Trabajo
Statement of
Aplicability
Seleccin de
Controles
Administracin de
Riesgos
Provee un marco de trabajo para que la
administracin trate efectivamente con la
incertidumbre y el riesgo y oportunidad
asociados y as mejore su capacidad para
construir valor
La seguridad es un asunto estratgico para la
supervivencia de una organizacin
El riesgo debe ser administrado en una base
diaria dentro de una organizacin
Un programa de seguridad a nivel empresarial
es una reflexin y ejecucin de una estrategia
de administracin de riesgos
Contexto Estratgico
Leyes y Regulaciones
Entorno Econmico
Ambiente Social
Ambiente Tecnolgico
Clientes
Competencia
Objetivos del
Negocio
Rendimiento Financiero,
Crecimiento Institucional,
Crecimiento competitivo, Calidad, Servicio al
Cliente, Eficiencia operacional, Productividad, Etc.
Estructura Organizacional
Procesos
Actividades
Lneas de negocio
Productos
Administracin de
Riesgos
La evaluacin de riesgos es una parte muy
importante de la planeacin de la estrategia de
proteccin de informacin.
Provee una base para la implementacin de los
planes de proteccin de activos contra varias
amenazas.
Una vez hecha la evaluacin de riesgos, es
necesario realizar la planeacin proactiva y
reactiva de proteccin de informacin.
Administracin de Riesgos
Definicin
Es un proceso interactivo e iterativo
basado en el conocimiento, evaluacin y
manejo de los riesgos y sus impactos, con el
propsito de mejorar la toma de decisiones
organizacionales
Aplicable a cualquier situacin donde un
resultado no deseado o inesperado pueda ser
significativo o donde se identifiquen
oportunidades
8
Proceso de Administracin
de Riesgos
Agente
Afecta
directamente
a un
Amenaza
Y produce un
Vulnerabilidad
Que puede daar un
Y causar una
Riesgo
Activo
Exposicin
Control
10
11
Riesgos de seguridad
Explotan
Amenazas
Proteccin
contra
Controles
Au
m
Vulnerabilidades
en
ta
Au
Requerimientos de
seguridad
l ec
b
sta
Exponen
Activos
Riesgo
Reduce
Implementan
a
nt
e
m
Tiene
Au
me
nt
a
Impacto en la organizacin
12
13
Poltica de seguridad
Organizacin de la seguridad de informacin
Administracin de activos
Seguridad de los recursos humanos
Seguridad fsica y ambiental
Administracin de las comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de sistemas de
informacin
Administracin de incidentes de seguridad de informacin
Administracin de la continuidad de negocios
Cumplimiento
14
Administracin de Riesgos
Beneficios para la Organizacin
15
Administracin de Riesgos
Beneficios para el rea de Auditoria
16
Anlisis de Riesgos
Alguno
s
Riesgo
s
Alguna
s
Causas
18
Anlisis de Riesgos
Riesgos de TI
Desarrollo y
Adquisicin
de Software
Operacin de
Instalaciones
Tcnicos y
Tecnolgicos
Relacionados con
la Informacin
Sub o sobre
dimensionamiento
Negacin del
servicio
Seleccin
inadecuada
de estrategias
Prdida de
Informacin
Diseo
Inadecuado
Cambios no
autorizados
Obsolescencia
Tecnolgica
Prdida de
Confidencialidad
Ineficiente uso
de los recursos
Prdida de
informacin
Prdida de
integridad o
Confiabilidad
Aceptacin de
sw no acorde con
las necesidades
Falta de oportunidad en entrada
en produccin
Acceso no
autorizado
Incumplimiento
de normas
19
Mapa de Riesgos
PROBABILIDAD DE OCURRENCIA
10
II
Riesgos de
atencin
peridica
Riesgos de
atencin
inmediata
IV
III
Riesgos
controlados
Riesgos de
seguimiento
5
IMPACTO DEL RIESGO
10
20
Anlisis de Riesgo
Haga uso de la informacin histrica que tenga
disponible.
Aplique un mtodo cuantitativo
1
2
3
4
5
Prdida Financiera
Prdida de Imagen
Prdida de Disponibilidad
0 No hay prdida
1 de
1 a 10.000
2 de 10.000 a 50.000
3 de 50.000 a 100.000
4 de 100.000 a 500.000
5 ms de 500.000
0 No se afecta la imagen
1 ante los empleados
2 ante un cliente
3 ante una ciudad
4 ante el pas
5 ante el mundo
0 No se afecta
1 por algunos segundos
2 por algunos minutos
3 por algunas horas
4 por un da/semana
5 por una semana/mes
21
Seguridad en el Desarrollo y
Mantenimiento de Sistemas de
Informacin
22
Evaluacin y tratamiento
de riesgos
Evaluacin y tratamiento
de riesgos
Priorizacin de Riesgos
785
750
675
585
400
250
175
25
Evaluacin y tratamiento
de riesgos
Evaluacin y tratamiento
de riesgos
Evaluacin y tratamiento
de riesgos
Identificacin de
Salvaguardas
29
Identificacin de
Salvaguardas
30
Visin de los
Controles de
Seguridad de
Informacin
31
Gestin de Riesgos
Elabore la lista de los mecanismos de control que
aplican a cada uno de los componentes de su objeto
analizado
Procedimientos formales de planeacin.
uso de estndares de programacin, identificacin, codificacin.
uso de mecanismos de autenticacin.
procedimientos documentados, divulgados y aplicados.
Esta ser ms
uso de metodologas de desarrollo de sw.
sencilla de
uso metodologas de definicin de requerimientos.
realizar si se
divide
procedimientos para el control de cambios.
adecuadamen
acuerdos explcitos de niveles de servicio.
te el objeto
mecanismos de encripcin
de anlisis en
redundancia en dispositivos y recursos crticos.
sus partes
clasificacin de la informacin
procedimientos de respaldo
sensores y alarmas de factores ambientales (humo, humedad, temperatura)
toma fsica de inventarios de recursos computacionales
verificadores de licencias
32
Gestin de Riesgos
Nivel de Exposicin = Riesgo Controles aplicados
Definir el nivel de exposicin le permitir conocer la
efectividad de los controles.
Sin embargo, tenga presente en relacin con la
efectividad de los controles los siguientes aspectos:
Internos
Manuales
Previos
Preventivos
Generales
Continuos
Peridicos
frente a los
frente a los
frente a los
frente a los
frente a los
frente a los
frente a los
Externos
Automticos
Posteriores
Correctivos y Detectivos
Especficos
Discretos (aplicacin)
Espordicos
33
MAGERIT
34
MAGERIT
35
Administracin de la Seguridad
de Informacin - etapas
36
Administracin de la Seguridad
de Informacin - etapas
Administracin de la Seguridad
de Informacin - etapas
MAGERIT - Metodologa de
Anlisis y Gestin de Riesgos
de los Sistemas de
Informacin
39
42
44
45
46
47
Seleccin de
Salvaguardas
Seleccin de
Salvaguardas
Respaldo de la gerencia
Responsables
Presupuestos
Compromiso con la fecha de finalizacin
50
Seleccin de
Salvaguardas
Reflexin sobre el proceso de Administracin de Riesgos
DOCUMENTACIN
52
MEDICIN
55
56
ENFOQUE CUANTITATIVO VS
CUALITATIVO
57
Enfoques de la administracin de
riesgos
Beneficios
Cuantitativo
Cualitativo
Habilita la visibilidad y
entendimiento de la
categorizacin de riesgos
Es ms fcil de alcanzar el
consenso
No necesitan cuantificarse
la frecuencia de las
amenazas
No necesitan determinarse
los valores financieros de
los activos
Es ms fcil de involucrar a
gente no experta en
seguridad o computadoras
58
Enfoques de la administracin de
riesgos
Desventajas
Cuantitativo
Cualitativo
No hay suficiente
diferenciacin entre los
riesgos importantes
Es difcil de justificar la
inversin en la
implementacin de los
controles debido a que no
hay bases para un anlisis
costo-beneficio
Los resultados son
dependientes de la calidad
del equipo de
administracin de riesgos
creado
59
Programa de Administracin
de Riesgos
60
CRITERIOS DE MADUREZ DE LA
ADMINISTRACIN DE RIESGOS
61
Criterios de Madurez de la
Administracin de Riesgos en las
Organizaciones
0
No existe
La directiva (o el proceso) no est documentada y la organizacin,
anteriormente, no ha tomado conciencia del riesgo de negocios
asociado a esta administracin de riesgos. Por lo tanto, no ha habido
comunicados al respecto.
1
Ad hoc
Es evidente que algunos miembros de la organizacin han llegado a
la conclusin de que la administracin de riesgos tiene valor. No
obstante, los esfuerzos de administracin de riesgos se han llevado a
cabo de un modo ad hoc. No hay directivas o procesos
documentados y el proceso no se puede repetir por completo. En
general, los proyectos de administracin de riesgos parecen caticos
y sin coordinacin; los resultados no se han medido ni auditado.
62
Criterios de Madurez de la
Administracin de Riesgos en las
Organizaciones
2
Repetible
Hay una toma de conciencia de la administracin de riesgos en la
organizacin. El proceso de administracin de riesgos es repetible
aunque inmaduro. El proceso no est totalmente documentado; no
obstante, las actividades se realizan peridicamente y la organizacin
est trabajando en establecer un proceso de administracin de
riesgos exhaustivo con la participacin de los directivos. No hay
cursos formales ni comunicados acerca de la administracin de
riesgos; la responsabilidad de la implementacin est en manos de
empleados individuales.
63
Criterios de Madurez de la
Administracin de Riesgos en las
Organizaciones
3
Proceso definido
La organizacin ha tomado una decisin formal de adoptar la
administracin de riesgos incondicionalmente con el fin de llevar a
cabo su programa de seguridad de informacin. Se ha desarrollado
un proceso de lnea de base en el que se han definido los objetivos de
forma clara con procesos documentados para lograr y medir el xito.
Adems, todo el personal dispone de algunos cursos de
administracin de riesgos rudimentaria. Finalmente, la organizacin
est implementando de forma activa sus procesos de administracin
de riesgos documentados.
64
Criterios de Madurez de la
Administracin de Riesgos en las
Organizaciones
4
Administrado
Hay un conocimiento extendido de la administracin de riesgos en
todos los niveles de la organizacin. Los procedimientos de
administracin de riesgos existen, el proceso est bien definido, la
comunicacin de la toma de conciencia es muy amplia, hay
disponibles cursos rigurosos y se han implementado algunas formas
iniciales de medicin para determinar la efectividad. Se han dedicado
recursos suficientes al programa de administracin de riesgos,
muchas partes de la organizacin disfrutan de sus ventajas y el
equipo de administracin de riesgos de seguridad puede mejorar
continuamente sus procesos y herramientas. Se utilizan herramientas
de tecnologa como ayuda para la administracin de riesgos, pero la
mayora de los procedimientos, si no todos, de evaluacin de riesgos,
identificacin de controles y anlisis de costo-beneficios son
manuales.
65
Criterios de Madurez de la
Administracin de Riesgos en las
Organizaciones
5
Optimizado
La organizacin ha dedicado recursos importantes a la administracin
de riesgos de seguridad y los miembros del personal miran al futuro
intentando determinar los problemas y soluciones que habr en los
meses y aos venideros. El proceso de administracin de riesgos se
ha comprendido bien y se ha automatizado considerablemente
mediante el uso de herramientas (desarrolladas internamente o
adquiridas a proveedores de software independientes). La causa
principal de todos los problemas de seguridad se ha identificado y se
han adoptado medidas adecuadas para minimizar el riesgo de
repeticin. El personal dispone de cursos en distintos niveles de
experiencia.
66
68
69
70
72
DEFINICIONES
73
Activo
Administracin de riesgos
Definiciones
Amenaza
74
Definiciones
Anlisis costo/beneficio
Anlisis de riesgos
75
Definiciones
Clasificacin de datos
Confidencialidad
76
Definiciones
Contramedidas
Control
Correccin
Defensa en profundidad
77
Definiciones
Deteccin preventiva
Disuasin
Estndares
78
Definiciones
Evaluacin de riesgos
Exposicin
Exploit
Gua
Una descripcin que clarifica qu debe ser hecho y cmo, para obtener
los objetivos fijados en las polticas
79
Definiciones
Impacto
Mitigacin
Integridad
Objetivo de control
Definiciones
Poltica
Prevencin
Procedimiento
81
Definiciones
Remediacin
Reputacin
Riesgo
Riesgo intrnseco
Definiciones
Riesgo residual
Risk Assessment
Seguridad de Informacin
Definiciones
Sistema de Informacin
Tratamiento de riesgos
Vulnerabilidad
Umbral de riesgo
Vulnerabilidad efectiva
84
Definiciones
Vulnerabilidad intrnseca
Vulnerabilidad residual
85
Tipos de Activos
1. Activos relacionados con el nivel del Entorno
Equipamientos y suministros (energa, climatizacin,
comunicaciones)
Personal (de direccin, de operacin, de desarrollo, otro)
Otros tangibles (edificaciones, mobiliario, instalacin fsica)
2. Activos relacionados con el nivel de los Sistemas de Informacin
Hardware (de proceso, de almacenamiento, de interfaz, servidores,
firmware, otros)
Software (de base, paquetes, produccin de aplicaciones,
modificacin de firmware)
Comunicaciones (redes propias, servicios, componentes de
conexin, etc.)
3. Activos relacionados con el nivel de la Informacin
Datos (informatizados, concurrentes al o resultantes del Sistema de
Informacin)
Meta-informacin (estructuracin, formatos, cdigos, claves de
cifrado)
Soportes (tratables informticamente, no tratables)
86
Tipos de Activos
4. Activos relacionados con el nivel de las Funcionalidades de la
organizacin
Objetivos y misin de la organizacin
Bienes y servicios producidos
Personal usuario y/o destinatario de los bienes o servicios
producidos
5. Otros Activos no relacionados con los niveles anteriores
Credibilidad (tica, jurdica, etc.) o buena imagen de una persona
jurdica o fsica,
Conocimiento acumulado,
Independencia de criterio o de actuacin,
Intimidad de una persona fsica,
Integridad material de las personas, etc.
87
Valuacin de Activos
88
Tipos de Amenazas
Grupo A de Accidentes
A1: Accidente fsico de origen industrial: incendio, explosin,
inundacin por roturas, contaminacin por industrias cercanas o
emisiones radioelctricas
A2: Avera: de origen fsico o lgico, debida a un defecto de origen
o sobrevenida durante el funcionamiento del sistema
A3: Accidente fsico de origen natural: riada, fenmeno ssmico o
volcnico, meteoro, rayo, corrimiento de tierras, avalancha,
derrumbe, ...
A4: Interrupcin de servicios o de suministros esenciales:
energa, agua, telecomunicacin, fluidos y suministros diversos
A5: Accidentes mecnicos o electromagnticos: choque, cada,
cuerpo extrao, radiacin, electrosttica...
89
Tipos de Amenazas
Grupo E de Errores
E1: Errores de utilizacin ocurridos durante la recogida y
transmisin de datos o en su explotacin por el sistema
E2: Errores de diseo existentes desde los procesos de desarrollo
del software (incluidos los de dimensionamiento, por la posible
saturacin de los flujos en los sistemas).
E3: Errores de ruta, secuencia o entrega de la informacin en
trnsito
E4: Inadecuacin de monitorizacin, trazabilidad, registro del
trfico de informacin
90
Tipos de Amenazas
Grupo P de Amenazas Intencionales Presenciales
P1: Acceso fsico no autorizado con inutilizacin por
destruccin o sustraccin (de equipos, accesorios o
infraestructura)
P2: Acceso lgico no autorizado con intercepcin pasiva
simple de la informacin (requiere slo su lectura)
P3: Acceso lgico no autorizado con alteracin o sustraccin
de la informacin en trnsito o de configuracin (requiere
lectura y escritura); es decir, reduccin de la confidencialidad del
sistema para obtener bienes o servicios aprovechables (programas,
datos ...)
P4: Acceso lgico no autorizado con corrupcin o destruccin
de informacin en trnsito o de configuracin
P5: Indisponibilidad de recursos, sean humanos (huelga,
abandono, rotacin) o tcnicos (desvo del uso del sistema,
bloqueo).
91
Tipos de Amenazas
Grupo T de Amenazas Intencionales de Origen Remoto
T1: Acceso lgico no autorizado con intercepcin pasiva (para
anlisis de trfico...)
T2: Acceso lgico no autorizado con corrupcin o destruccin
de informacin en trnsito o de configuracin (requiere lectura
y escritura) y usando o no un reemisor o man in the middle: es
decir, reduccin de la integridad y/o disponibilidad del sistema sin
provecho directo (sabotaje inmaterial, infeccin vrica..)
T3: Acceso lgico no autorizado con modificacin (Insercin,
Repeticin) de informacin en trnsito
T4: Suplantacin de Origen (del emisor o reemisor, man in the
middle) o de Identidad
T5: Repudio del Origen o de la Recepcin de informacin en
trnsito
92
93
Tiempos de Respuesta
94
Tipos de Vulnerabilidad
Vulnerabilidades organizativas
Exactitud y coherencia de la informacin manejada
Acceso al sistema por personas externas
Trascendencia de informacin del sistema al exterior
Disponibilidad de acceso al sistema (cadas, lentitud,...) Obtencin
de productos del sistema acceso de personas externas al recinto de
terminales
Vulnerabilidades tcnicas
Averas en terminales/impresoras: frecuencia/solucin
Cortes de fluido elctrico
Ubicacin de terminales e impresoras
Aprobacin del diseo y pruebas por el usuario
Control del soporte papel. Almacenamiento de ste
95
Tipos de Vulnerabilidad
Vulnerabilidades humanas
Posibilidad fsica de robo/inutilizacin de recursos
Errores en la introduccin de datos
Inasistencias de personal significativas
Dependencia de ciertas personas/rotacin del personal
Obtencin de informacin por personas ajenas
Conocimiento de las aplicaciones
Uso indebido de claves de usuario. Borre de antiguas
Cambio peridico de claves
Uso de medios de seguridad en terminales (llaves,...)
Intervencin de informticos en cambiar datos reales
96
Tipos de Impacto
Impactos con consecuencias cualitativas funcionales
El deterioro del estado de Autenticacin (SA) no suele ser evolutivo
(multiplicacin en cadena) pero produce directamente anulacin de
documentos y procedimientos e indirectamente inseguridad jurdica (muy
importante en la Administracin pblica)
El deterioro del estado de Confidencialidad (SC) no suele ser evolutivo y
tiene consecuencias de distintos rdenes, unas directas (divulgacin de
informacin no revelable o revelada anticipadamente, sustraccin puntual
o masiva) y otras indirectas (desconfianza, incomodidades, chantaje ...).
El deterioro del estado de Integridad (SI) puede ser evolutivo y tiene
consecuencias directas como la alteracin de informacin sensible o vital
en mayor o menor escala, e indirectas como la posible contaminacin de
programas (prdida, tratamiento errneo, etc).
El deterioro del estado de Disponibilidad (SD) puede ser evolutivo y
causar de inmediato desde la degradacin de la productividad del activo
como recurso o la interrupcin de su funcionamiento de forma ms o
menos duradera y profunda (de unos datos, de una aplicacin, de un
servicio o de todo un sistema). Indirectamente esto se traduce en cada
de margen por falta de resultados; as como en gastos suplementarios
para recuperar o mantener la funcionalidad precedente a la amenaza.
97
Tipos de Impacto
Una parte de los deterioros anteriores tienen Impactos con
consecuencias cuantitativas de diversos tipos
N1: Prdidas de valor econmico, ligadas a activos inmobiliarios o
inventariables, que comprenden todos los costes de reposicin de la
funcionalidad, incluyendo los gastos de tasar, sustituir, reparar o limpiar
lo daado: edificios y obras, instalaciones, computadores, redes,
accesorios, etc..
N2: Prdidas indirectas, valorables econmicamente y ligadas a
intangibles en general no inventariados: gastos de tasacin y
restauracin o reposicin de elementos no materiales del sistema:
datos, programas, documentacin, procedimientos, etc.
N3: Prdidas indirectas, valorables econmicamente y unidas a
disfuncionalidades tangibles: se aprecian por el coste del retraso o
interrupcin de funciones operacionales de la organizacin; la
perturbacin o ruptura de los flujos y ciclos productivos (de productos,
servicios o expedientes, por ejemplo), incluido el deterioro de la calidad
de stos; y la incapacidad de cumplimentar las obligaciones
contractuales o estatutarias.
N4: Prdidas econmicas relativas a responsabilidad legal (civil,
penal o administrativa) del propietario del sistema de informacin por
los perjuicios causados a terceros ((incluidas, por ejemplo, sanciones
98
de la Agencia de Proteccin de Datos).
Tipos de Impacto
Otros deterioros de los estados de seguridad tienen Impactos con
consecuencias cualitativas orgnicas de varios tipos
L1: Prdida de fondos patrimoniales intangibles: conocimientos
(documentos, datos o programas) no recuperables, informacin
confidencial, 'know-how' ...
L2: Responsabilidad penal por Incumplimiento de obligaciones
legales
L3: Perturbacin o situacin embarazosa polticoadministrativa (deontologa, credibilidad, prestigio, competencia
poltica ...)
L4: Dao a las personas
99
FIN
Muchas gracias!
100