Upload
vumien
View
231
Download
2
Embed Size (px)
Citation preview
Objetivo
Proveer información complementaria para la aplicación de la Administración de Riesgos en
Ambientes Informáticos
Qué es Administración de Riesgos?
Herramienta gerencialHerramienta gerencial
que apoya la toma de que apoya la toma de decisiones organizacionalesdecisiones organizacionales
facilitando con ello el facilitando con ello el cumplimiento de los cumplimiento de los objetivos del negocioobjetivos del negocio
RIESGOSRIESGOS
Proceso iterativo Proceso iterativo basado en el basado en el
conocimiento, conocimiento, valoración, valoración,
tratamiento y tratamiento y monitoreo de los monitoreo de los
riesgos y sus impactos riesgos y sus impactos en el negocioen el negocio
Qué es Administración de Riesgos?
Aplicable a cualquier Aplicable a cualquier situación donde un situación donde un
resultado no deseado o resultado no deseado o inesperado podría ser inesperado podría ser
significativo significativo en el en el logro de los objetivos logro de los objetivos o o donde se identifiquen donde se identifiquen
oportunidadesoportunidades de de negocionegocio
UbicaciónUbicaciónGeográficaGeográfica
UnidadUnidadOrganizacionalOrganizacional
Sistema de Sistema de InformaciónInformación
ProyectoProyectoProcesoProceso
OportunidadOportunidad
Qué es Administración de Riesgos?
1. Establecer Marco General
2. Identificar Riesgos
3. Análisis de Riesgos
4. Evaluar y Priorizar Riesgos
5. Tratamiento del Riesgo
Monitorear y Revisar
Proceso de Administración de Riesgos
1.3. Identificar Criterios de Calificación
1.1. Entender el Entorno
1.2. Entender la Oganización
Administración de Riesgos1. Establecer Marco General
1.4. Identificar Objetos Críticos
1.3. Identificar Criterios de Calificación
1.1. Entender el Entorno
1.2. Entender la Oganización
Administración de Riesgos1. Establecer Marco General
1.4. Identificar Objetos Críticos
Análisis Externo
Aspectos financieros, operacionales, competitivos,
políticos (percepción / imagen), sociales, clientes, culturales y
legales
Stakeholders
Objetivos
Estrategias
1.3. Identificar Criterios de Calificación
1.1. Entender el Entorno
1.2. Entender la Oganización
Administración de Riesgos1. Establecer Marco General
1.4. Identificar Objetos Críticos
MetodologíaMetodologíaPolíticasPolíticas
Criterios de Calificación y Tablas de ValoraciónCriterios de Calificación y Tablas de ValoraciónUniverso de Objetos y Objetos Críticos PriorizadosUniverso de Objetos y Objetos Críticos Priorizados
Objeto 1Objeto 1Objeto 2Objeto 2Objeto 3Objeto 3
Objeto nObjeto n
Crit
erio
1C
riter
io 1
Crit
erio
2C
riter
io 2
Crit
erio
3C
riter
io 3
Crit
erio
4C
riter
io 4
Crit
erio
5C
riter
io 5
Crit
erio
nC
riter
io n
Crit
erio
6C
riter
io 6
Crit
erio
8C
riter
io 8
Crit
erio
7C
riter
io 7
Administración de RiesgosQué y Cómo calificar - priorizar?
Interés de la Dirección Procesos – Subprocesos Proyectos Unidades Orgánicas Sistemas - Aplicaciones Geográficamente
Lista de Objetos a los cuáles se les
puede realizar Administración
de Riesgos
Administración de RiesgosQué calificar - Objetos?
Cómo dividir la organización?
Administración de RiesgosQué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en Infraestructura
Planeación estratégica de sistemasDesarrollo de sistemasEvolución o mantenimiento de sistemasIntegración de paquetes de softwareCapacitaciónProceso de datos en ambientes de trabajo en batchAtención a requerimientos de usuariosAdministrar servicios de terceros (incluye outsourcing)Administración de proyectos
Administración de la infraestructura informáticaDirección y control del área de tecnología de informaciónAdministración de recursos materiales (equipo, tecnología e instalaciones)Administración de recursos humanosAdministración de recursos financieros
Administración de RiesgosQué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en Infraestructura
Para un sistema en particular Programas – Archivos - Procedimientos Eventos - Entrada – Comunicación – Proceso – Salida - Distribución
Administración de RiesgosQué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en InfraestructuraA ProductosAnálisis al Proceso
Administración de RiesgosQué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en Infraestructura
Datos Sistemas de Información (Aplicaciones)Tecnología (Equipos – SW de base y SMBD – SW de Productividad – Metodologías)Instalaciones Recursos HumanosElementos de AdministraciónRecursos Financieros Proveedores
Administración de RiesgosCómo calificar – Criterios?
• Calidad del Control Interno• Competencia de la Dirección (entrenamiento, experiencia,
compromiso y juicio)• Integridad de la Dirección (códigos de ética)• Cambios recientes en procesos (políticas, sistemas, o
dirección)• Tamaño de la Unidad (Utilidades, Ingresos, Activos)• Liquidez de activos• Cambio en personal clave• Complejidad de operaciones• Crecimiento rápido• Regulación gubernamental• Condición económica deteriorada de una unidad• Presión de la Dirección en cumplir objetivos• Nivel de moral de los empleados• Exposición política / Publicidad adversa• Distancia de la oficina principal
De Negocio
IIA
• Exposición financiera• Pérdida y riesgo potencial• Requerimientos de la dirección• Cambios importantes en operaciones,
programas, sistemas y controles• Oportunidades de alcanzar beneficios
operativos• Capacidades del persona
• Pérdida financiera• Pérdida de imagen• Discontinuidad del negocio• Incumplimiento de la misión
Confidencialidad
Integridad Disponibilidad
Los activos de un sistema computacional son accedidos solo por personas autorizadasEl tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la
existencia de un objetoSECRETO, RESERVA, PRIVACIDAD
“SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”
Previene la divulgación no autorizada de datos
Administración de RiesgosCómo calificar – Criterios Seguridad Informática
Confidencialidad
Integridad Disponibilidad
Administración de RiesgosCómo calificar – Criterios Seguridad InformáticaLos activos pueden ser modificados solo por partes
autorizadas o solo en formas autorizadasLa modificación incluye escribir, cambiar, cambiar
estados, borrar y crearPRECISIÓN, EXACTITUD, NO MODIFICADO,
MODIFICADO SOLO EN FORMAS ACEPTABLES, MODIFICADO SOLO POR
PERSONAS AUTORIZADAS, MODIFICADO SOLO POR PROCESOS AUTORIZADOS,
CONSISTENCIA, CONSISTENCIA INTERNA, SIGNIFICADO Y RESULTADOS CORRECTOS
ACCIONES AUTORIZADAS, SEPARACIÓN Y PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y
CORRECCIÓN DE ERRORES
“CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER CUALES RECURSOS EN QUE
FORMAS”
Previene la modificación no autorizada de datos
Confidencialidad
Integridad Disponibilidad
INDEPENDENCIA - TRASLAPO
Los activos son accesibles a partes autorizadasAplica a datos y servicios
PRESENCIA DE OBJETOS O SERVICIOS EN FORMA UTIL, CAPACIDAD PARA
CUMPLIR LAS NECESIDADES DE SERVICIO, TIEMPO DE ESPERA
LIMITADO, TIEMPO DE SERVICIO ADECUADO
RESPUESTA OPORTUNA, TOLEREANCIA A FALLAS, UTILIDAD, CONCURRENCIA
CONTROLADA (Soporte para acceso simultáneo, administración de concurrencia y
acceso exclusivo)
NEGACIÓN O REPUDIACIÓN DEL SERVICIO
Previene la negación de acceso autorizado a datos
Administración de RiesgosCómo calificar – Criterios Seguridad Informática
2.1. Establecer el Contexto de Administración de Riesgos
2.2. Desarrollar Criterios de Valoración de Riesgos
2.3. Definir la Estructura
2.4. Identificar riesgos
2.5. Identificar causas
Administración de Riesgos2. Identificar Riesgos
Hardware
Software Datos
Medios de almacenamientoRedesAcceso
Gente clave
Administración de RiesgosSeguridad Informática - Activos
HardwareServidores, estaciones cliente, dispositivos de comunicación (router, bridge, hub, gateway, modem), dispositivos periférico, cables, fibras
Software (o Servicios)Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones, herramientas (administrativas, mantenimiento, backup), software bajo desarrollo
DatosDe la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-mailDe la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria, configuración y parámetros de la redDe los usuarios: datos procesados personal, archivos de propiedad del usuario
Administración de RiesgosSeguridad en Redes – Activos (Componentes)
R1 = Acceso no autorizado a la red o sus recursosR2 = Divulgación no autorizada de informaciónR3 = Modificación no autorizada a datos y/o softwareR4 = Interrupción de las funciones de la red (no
disponibilidad de datos o servicios)R4a = incluyendo perdida o degradación de las comunicacionesR4b = incluyendo destrucción de equipos y/o datosR4c = incluyendo negación del servicio
R5 = Acciones engañosas en la red (no saber quien)
Administración de RiesgosSeguridad en Redes - Riesgos
Information Security Risks Physical Damage: Fire, water, power loss, vandalism Human Error: Accidental or intentional action Equipment malfunction: Failure of system Inside and outside attacks: Hacking , cracking Misuse of data:Sharing trade secrets Loss od data: Intentional or unintentional loss Application error: Computation errors, input errors
CausaCausaEvento primario fundamento Evento primario fundamento u orígen de una consecuenciau orígen de una consecuencia
RiesgoRiesgoConcepto usado para expresar incertidumbre sobre Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"logro de los objetivos"
ConsecuenciaConsecuenciaResultado de un evento o Resultado de un evento o
situación expresado situación expresado cualitativa o cualitativa o
cuantitativamentecuantitativamente
EventoEventoSituación que podría llegar a Situación que podría llegar a
ocurrir en un lugar ocurrir en un lugar determinado en un momento determinado en un momento
dadodado
Administración de Riesgos2. Cómo escribir Riesgos?
Causa,Causa,Evento primarioEvento primario
o Situacióno Situación
RiesgoRiesgoConcepto usado para expresar incertidumbre sobre Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"logro de los objetivos"
Evento,Evento,AmenazaAmenaza
Consecuencia,Consecuencia,Impacto,Impacto,
ExposiciónExposicióno Resultadoo Resultado
++
Administración de Riesgos2. Cómo escribir Riesgos?
Violación de la privacidad Demandas legales Perdida de tecnología propietaria Multas Perdida de vidas humanas Desconcierto en la organización Perdida de confianza
Administración de RiesgosSeguridad en redes – Impactos Significativos
Origen Amenaza directa Impacto inmediatoTerremotos, tormentas eléctricas
Fenómenos astrofísicos
Fenómenos biológicos
Interrupción de potencia, temperatura extrema debido a daños en construcciones,
Perturbaciones electromagnéticas
Muerte de personal crítico
R4, R4a, R4b
R4, R4a
R4, R4c
Administración de RiesgosSeguridad Informática – Amenazas Naturales
Origen Amenaza directa Impacto inmediatoError del Usuario
Error del Administrador
Fallas de equipos
Borrado de archivos, Formateo de drive, mal empleo de equipos, errores de entrada
Configuración inapropiada de parámetros, borrado de información
Problemas técnicos con servidores de archivos, servidores de impresión, dispositivos de comunicación, estaciones cliente, equipo de soporte (cintas de back-up, control de acceso, derrame de café)
R3, R4
R1: R2, R3, R4, R5
R3, R4, R4b
Administración de RiesgosSeguridad Informática – Amenazas Accidentales
•Amateurs•Hackers• Empleados maliciosos• Rateros•Crackers• Vándalos•Criminales•Espías (gobiernos foráneos)• Terroristas
Administración de RiesgosSeguridad Informática – Involucrados
Características o debilidades en el sistema de seguridad que pueden ser explotadas para causar daños o perdidas (facilitan la ocurrencia de una amenaza)
• Interrupción: un activo se pierde, no está disponible, o no se puede utilizar
• Intercepción: alguna parte (persona, programa o sistema de computo) no autorizada accede un activo
• Modificación: una parte no autorizada accede y manipula indebidamente un activo
• Fabricación: Fabricar e insertar objetos falsos en un sistema computacional
Administración de RiesgosSeguridad Informática – Vulnerabilidades
Hardware
Software Datos
Interrupción (Negación del Servicio) Intercepción (Robo)
Actos Involuntarios/Accidentales – Intencionales/Voluntarios que limitan la disponibilidad
DestrucciónAgua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas,
Ataques físicos, Bombas
Robo
Administración de RiesgosSeguridad Informática – Vulnerabilidades
Hardware
Software Datos
Interrupción (Borrado)
Intercepción
Modificación
Borrado accidental o destrucción de programas
Robo - Copia ilícita de programas
Causar fallas o erroresSalvar una copia mala de un
programa destruyendo una buena, Programas modificados (cambio de
bits, de instrucciones – bombas lógicas, efectos colaterales)
Caballos de Troya, Virus, Puerta falsa, Fuga de Información
Administración de RiesgosSeguridad Informática – Vulnerabilidades
Administración de RiesgosSeguridad Informática – Vulnerabilidades
Hardware
Software Datos
Interrupción (Perdida)Intercepción
ModificaciónFabricación
Robo
Confidencialidad – líneas derivadas, recipientes de basura,
soborno a empleados claves, inferencia, preguntando, compra
Programas maliciosos – Técnica de salami, utilidades del sistema de
archivos, facilidades de comunicación defectuosas
Reprocesamiento de datos utilizados, adicionar registros en
una base de datos
3.1. Valorar Riesgo Inherente
3.2. Determinar Controles Existentes
3.3. Identificar Nivel de Exposición
Administración de Riesgos3. Analizar Riesgos
Valorar el posible daño que puede ser causado
Administración de RiesgosCómo valorar riesgo?
$ InherenteNivel de exposiciónResidual
Probabilidad x ImpactoFrecuencia x Impacto
ControlesAdministrativos
Politícas, Estándares,Procedimientos,
Guías,Entrenamiento
Controles Técnicos
Acceso lógico,controles,encripción,
dispositivos de seguridad,Identificación y autenticación
Controles físicos
Protección de instalaciones,Guardias, candados,
Monitoreo,Controles ambientales
Administración de RiesgosControles en Seguridad
Medidas protectoras – acciones, dispositivos, procedimientos o técnicas – que reducen una vulnerabilidad
Encripción
Interc.Interr. Fab.Mod.Integ.Conf. Disp.
Administración de la Configuración (Control de Cambios a Programas)
Políticas
Controles de Hardware
Controles Físicos (candados y guardas)
Administración de RiesgosControles en Seguridad
Monitorear y Revisar
Valorar prioridades de riesgo
Riesgo aceptable? AceptarSI
Considerar factibilidad, costos y beneficios, y niveles de riesgo
EvitarTransferir total o
parcialmente
Reducir consecuencia
Reducir probabilidad
NO
Recomendar estrategias de tratamiento
Seleccionar estrategia de tratamiento
Preparar planes de tratamiento para reducir, transferir o evitar el riesgo, financiando cuando sea apropiado
EvitarTransferir total o
parcialmenteReducir
consecuenciaReducir
probabilidad
Riesgo residual aceptable? RetenerSINO
VALORAR Y PRIORIZAR RIESGOS
IDENTIFICAR OPCIONES DE TRATAMIENTO
EVALUAR OPCIONES DE TRATAMIENTO
PREPARAR PLANES DE
TRATAMIENTO
IMPLEMENTAR PLANES DE
TRATAMIENTO
Riesgo residual no aceptable
Porciónretenida
Porcióntransferida
Asegurar la efectividad costo/beneficio de los controles
Hardware
Software Datos
Variables:Cantidad de involucrados
Esfuerzo de AseguramientoValor del activo
Duración del ActivoEsfuerzo de detección de incidentes
Impacto en los objetivos del negocio
Efectividad de la medidaNivel de sofisticación
Facilidad de uso
Principio de la Adecuada Protección: Los ítems deben ser protegidos solo hasta que ellos pierden su valor y deben ser protegidos de
manera consistente con su valor
Administración de RiesgosDónde invertir?