Sie sind auf Seite 1von 49

CISSP Security Training Information Security and Risk Management

Information Security and Risk Management

Agenda
Aspectos Generales
Administracin de la Seguridad Controles de InfoSec C-I-A (Confidencialidad, Integridad y Disponibilidad) Definiciones de Seguridad

Gestin del Riesgo


Anlisis de Riesgos Tratamiento de Riesgos

Polticas, Procedimientos, Estndares, Baselines y Guidelines.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

Agenda (Cont.)
Clasificacin de la Informacin Roles y Responsabilidades Polticas y Practicas de Empleo Information Security Awareness Referencias y Lecturas Complementarias Preguntas

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training Information Security and Risk Management

Information Security and Risk Management


Aspectos Generales

Aspectos Generales
Gestin de Seguridad de la Informacin
Proteger los activos de informacin de la organizacin. Comprende: Gestin de riesgos Normativas de seguridad: polticas, normas, procedimientos, estndares, guas Clasificacin de la informacin Organizacin de la seguridad Educacin en seguridad Definicin e implantacin de controles Seguimiento y mejora continuos
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

Aspectos Generales (Cont.)


Incumbencia
La Seguridad de la Informacin debe ser incumbencia de la alta gerencia de la organizacin. Definitivamente NO debe circunscribirse al rea de TI o al rea de seguridad. Enfoque TOP-DOWN.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training Information Security and Risk Management

Aspectos Generales (Cont.)


Funcin del Information Security Manager Establecer y mantener un Programa Integral de Seguridad, el cual permita garantizar la existencia de tres requerimientos bsicos: Confidencialidad, Integridad y Disponibilidad, sobre los activos de informacin de la organizacin.
Determinar Objetivos, alcance, polticas, prioridades, estndares y estrategias.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

Aspectos Generales (Cont.)


Ubicacin dentro de la estructura
Independencia de otras reas de la organizacin. Llegada a los altos mandos.
Alta Gerencia

Gerencia Administrativa

Gerencia Financiera

Gerencia Comercial

Gerencia de Produccin

Gerencia de TI

Gerencia de Seguridad de la Informacin

Alta Gerencia Area de Seguridad de la Informacin Gerencia Administrativa Gerencia Financiera Gerencia Comercial Gerencia de Produccin Gerencia de TI

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

Aspectos Generales (Cont.)


Posibles inconvenientes con la Alta Gerencia
Falta de entendimiento sobre la necesidad de seguridad. Concepcin de la seguridad como costosa e innecesaria Incapacidad de identificar amenazas y vulnerabilidades. Incapacidad para estimar el impacto y probabilidad de los riesgos relacionados con los recursos. Creer que la implementacin de seguridad interferir con los objetivos de negocio. Creer que la seguridad es un tema de TI.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training Information Security and Risk Management

Aspectos Generales (Cont.)


Sistema Confiable (Trustworthy System) Un Sistema Confiable, suele ser definido como aquel que posee la combinacin apropiada de Confidencialidad, Integridad y Disponibilidad a efectos de soportar los objetivos particulares de negocio fijados por la organizacin.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

10

Controles de InfoSec
El principal objetivo del establecimiento de Controles de Seguridad de la Informacin, es el de reducir los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable por la empresa. Estos controles pueden ser: Preventivos / Detectivos / Correctivos Fsicos / Tcnicos (Lgicos) / Administrativos

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

11

Controles de InfoSec (Cont.)


Polticas, Estndares, Procedimientos, Guidelines, Baselines, Security Awareness, Screening de personal, Change Control Guardias de Seguridad, Cerraduras, Proteccin del edificio, Cmaras de seguridad, Controles ambientales Control de Acceso Lgico, Encripcin, Identificacin y Autenticacin, Monitoreo Lgico

Controles Fsicos Controles Tcnicos Controles Administrativos

Datos y Activos de la Organizacin

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

12

CISSP Security Training Information Security and Risk Management

The BIG three / AIC Triad / C-I-A


Amenazas Vulnerabilidades Riesgos Disponibilidad

Integridad

Confidencialidad Controles y medidas de seguridad

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

13

The BIG three Confidencialidad


Confidencialidad La informacin es accedida solo por personal autorizado y de manera autorizada.
Identificacin, Autenticacin y Autorizacin

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

14

The BIG three Confidencialidad (Cont.)


Cuales son las amenazas respecto de la Confidencialidad?
Shoulder surfing Ingeniera Social Usuarios descuidados Hacker / Cracker Masqueraders / Spoofing (Suplantacin) Descarga de archivos sin proteccin Actividad de usuario no autorizada Caballos de Troya Sniffing / Man-in-the-middle Trashing Emanations Etc.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

15

CISSP Security Training Information Security and Risk Management

The BIG three Confidencialidad (Cont.)


Medidas de Proteccin contra la perdida de Confidencialidad
Encripcin de datos (Origen, Transito y Destino) Estrictos mecanismos de Control de Acceso Clasificacin de la informacin Capacitacin del Personal Procedimientos

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

16

The BIG three - Integridad


Integridad Toda modificacin a datos o informacin es realizada por personas autorizadas de manera autorizada. Integridad de datos / informacin. Consistencia Integridad del proceso de manipulacin de datos / informacin. Consistencia Interna y Externa
Interna: La informacin es consistente dentro del sistema Informtico Externa: La informacin es consistente con el mundo real.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

17

The BIG three Integridad (Cont.)


Cuales son las amenazas respecto de la Integridad?
Ingeniera Social Usuarios descuidados Hacker / Cracker Masqueraders (Suplantacin) Actividad de usuario no autorizada Descarga de archivos sin proteccin Caballos de Troya Virus / Gusanos Buffer overflow Trapdoor Maintenance hook Etc.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

18

CISSP Security Training Information Security and Risk Management

The BIG three Integridad (Cont.)


Medidas de Proteccin contra amenazas a la Integridad
Menor Privilegio - Need-to-Know Access (Otorgar acceso solo a lo necesario) Separacin de Deberes / Tareas (Separation of Duties) Rotacin de Deberes / Tareas (Rotation of Duties) Procedimientos de control de cambios Integrity Checkers (Tripwire) Algoritmos de hash

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

19

The BIG three - Disponibilidad


Disponibilidad La informacin y datos se encuentran disponibles para personal autorizado cuando se necesitan.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

20

The BIG three Disponibilidad (Cont.)


Cuales son las amenazas respecto de la Disponibilidad?
Denegacin de Servicio Desastres naturales Acciones humanas intencionales o accidentales

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

21

CISSP Security Training Information Security and Risk Management

The BIG three Disponibilidad (Cont.)


Medidas de Proteccin contra amenazas a la Disponibilidad
Conjunto de Controles: Fsicos, Tcnicos y Administrativos Seguridad fsica Mecanismos de tolerancia a fallos Plan de contingencia Procedimientos operativos

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

22

En resumen: Objetivos de Seguridad


Confidencialidad Prevenir la divulgacin NO Autorizada de informacin sensible. Integridad Prevenir la modificacin NO Autorizada de los sistemas e informacin. Disponibilidad Prevenir interrupcin del servicio y la perdida de productividad.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

23

En resumen: Objetivos de Seguridad (Cont.)


El Opuesto a las The BIG three Revelacin (disclosure) Modificacin (alteration) Destruccin - Interrupcin (detruction - disruption)

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

24

CISSP Security Training Information Security and Risk Management

Otros Conceptos
Identificacin Autenticacin Autorizacin Responsabilidad No-repudio Identification Authentication Authorization Accounting Non-Repudiation

AAA

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

25

Otros Conceptos (Cont.)


Identificacin Forma en la cual los usuarios comunican su identidad a un sistema. Identificacin es un paso necesario para lograr la autenticacin y autorizacin.
Equivale a la presentacin de credenciales a un autoridad

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

26

Otros Conceptos (Cont.)


Autenticacin Es el proceso por el cual se prueba que la informacin de identificacin se corresponde con el sujeto que la presenta.
Equivale a la validacin por parte de la autoridad de las credenciales presentadas

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

27

CISSP Security Training Information Security and Risk Management

Otros Conceptos (Cont.)


Autorizacin Derechos y permisos otorgados a un individuo (o proceso) que le permite acceder a un recurso del sistema / computadora. El proceso de Autorizacin se realiza una vez que se ha logrado la Identificacin y Autenticacin del usuario.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

28

Otros Conceptos (Cont.)


Ejemplo Identificacin Autenticacin Autorizacin ID Password Derechos / Permisos

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

29

Otros Conceptos (Cont.)


Responsabilidad (Accountability) Habilidad para determinar las acciones individuales que un usuario efecta en un sistema y cundo las efecta, y para identificar unvocamente a dicho usuario. Usualmente este principio esta soportado por logs de auditora.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

30

10

CISSP Security Training Information Security and Risk Management

Otros Conceptos (Cont.)


Privacidad vs. Confidencialidad
Privacidad Es un principio de la seguridad que busca proteger la informacin del individuo empleando controles para garantizar que la misma no es diseminada o accedida en forma no autorizada. Confidencialidad Es un principio de la seguridad que busca garantizar que la informacin no es revelada a personas no autorizadas.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

31

Otros Conceptos (Cont.)


No-Repudio El principio de No-Repudio, evita que el responsable de una transaccin niegue haberla realizado posteriormente.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

32

Information Security and Risk Management


Gestin del Riesgo

11

CISSP Security Training Information Security and Risk Management

Conceptos Previos
Vulnerabilidad Amenaza Riesgo Exposicin Contramedida o Salvaguarda

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

34

Conceptos Previos (Cont.)


Vulnerabilidad Ausencia o debilidad de un control.
Condicin que podra permitir que una amenaza se materialice con mayor frecuencia, impacto o ambas. Una vulnerabilidad puede ser la ausencia o debilidad en los controles administrativos, tcnicos o fsicos.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

35

Conceptos Previos (Cont.)


Amenaza Evento cuya ocurrencia podra impactar en forma negativa en la organizacin.
La amenazas explotan (toman ventaja de) las vulnerabilidades. La entidad que toma ventaja de una vulnerabilidad, suele referirse como agente de la amenaza (Threat Agent).

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

36

12

CISSP Security Training Information Security and Risk Management

Conceptos Previos (Cont.)


Riesgo Probabilidad de que un agente de amenaza explote una vulnerabilidad, en combinacin con el impacto que esto ocasiona.
Se conoce por riesgo a la combinacin de probabilidad de ocurrencia e impacto de una amenaza.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

37

Conceptos Previos (Cont.)


Exposicin Instancia en la cual la informacin o un activo de informacin es susceptible a daarse o perderse por el accionar de un agente de amenaza.
La exposicin, no significa que el evento que produce la perdida o dao del recurso este ocurriendo, solo significa que podra ocurrir dado que existe una amenaza y una vulnerabilidad que sta podra explotar.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

38

Conceptos Previos (Cont.)


Contramedida o Salvaguarda Cualquier tipo de medida, que permita detectar, prevenir o minimizar el riesgo asociado con la ocurrencia de una amenaza especifica.
Las contramedidas tambin son conocidas como controles.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

39

13

CISSP Security Training Information Security and Risk Management

Relacin Entre los Conceptos


Produce Explota Amenaza Vulnerabilidad Directly affect Riesgo Ocasiona

Agente de amenaza

Activo Exposicin Contramedida

Puede daar

Sujeto a

Puede ser contrarrestado con

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

40

Relacin Entre los Conceptos: Ejemplo


Software Antivirus + Firmas Desactualizadas (Vulnerabilidad)

Vulnerable al ataque de un virus (Amenaza)

Al ingresar el virus en la compaa, comienza la exposicin

Mantener actualizadas las firmas (Contramedida)

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

41

Gestin del Riesgo


El riesgo de una organizacin, comienza desde el momento mismo que la esta inicia sus actividades (Tal vez antes) El riesgo puede ser identificado y reducido, nunca eliminado. Una organizacin se encuentra permanentemente en riesgo. No existe un entorno 100% seguro.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

42

14

CISSP Security Training Information Security and Risk Management

Gestin del Riesgo (Cont.)


Por Gestin del Riesgo, debemos entender el proceso de identificar, analizar, determinar, mitigar y transferir o aceptar el riesgo.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

43

Gestin del Riesgo (Cont.)


Gestin del Riesgo - Information Risk Management (IRM) Proceso compuesto por las siguientes fases:
1. Anlisis de riesgos - Risk assessment
Identificacin de vulnerabilidades y amenazas, anlisis de probabilidad de ocurrencia e impacto, anlisis de las medidas para aceptar, evitar o transferir el riesgo.

2. Tratamiento de riesgos
Priorizacin, presupuestacin, implementacin y mantenimiento de medidas para la mitigacin de riesgos.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

44

Gestin del Riesgo (Cont.)


IDENTIFICACIN DE ACTIVOS IDENTIFICACIN DE AMENAZAS IDENTIFICACIN DE VULNERABILIDADES ANLISIS DE CONTROLES DETERMINACIN DE LA PROBABILIDAD DE OCURRENCIA ANLISIS DE IMPACTO DETERMINACIN DEL RIESGO TRATAMIENTO DEL RIESGO
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

DOCUMENTACIN
45

15

CISSP Security Training Information Security and Risk Management

Gestin del Riesgo (Cont.)


Principal objetivo Reducir los riesgos hasta niveles de tolerancia aceptables para la organizacin.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

46

Gestin del Riesgo (Cont.)


Tipos de Riesgo
Dao fsico Acciones humanas Fallas del equipamiento Ataques internos o externos Prdida de datos Errores en las aplicaciones Etc.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

47

Conceptos de Gestin del Riesgo


Activo (Recurso / Asset) Recurso, producto, proceso, dato, todo aquello que tenga un valor para la organizacin. Amenaza Evento que pueda impactar en forma negativa en la organizacin. Vulnerabilidad Ausencia o debilidad de un control.
Nota: La combinacin de Activo, Amenaza y Vulnerabilidad conforman lo que se conoce como Triple en seguridad informtica.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

48

16

CISSP Security Training Information Security and Risk Management

Conceptos de Gestin del Riesgo (Cont.)


Control (implantado) Su funcin es reducir el riesgo asociado con una amenaza o grupo de amenazas.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

49

Poltica de Gestin del Riesgo


Parte de la Poltica de Gestin de Riesgos de la organizacin Alineada con la Poltica de Seguridad de la Informacin Alineada con la Estrategia de la organizacin Definicin del equipo de Gestin del Riesgo Contempla:
Objetivos Definicin de niveles aceptables de riesgo Procesos de anlisis y tratamiento de riesgos Metodologas Definicin de roles y responsabilidades Indicadores claves para el monitoreo de los controles implementados para la mitigacin del riesgo
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

50

Equipo de Gestin del Riesgo


Objetivo
Garantizar que la organizacin se encuentra protegida ante los riesgos teniendo en cuenta la relacin costo-beneficio de la implementacin de controles.

Conformacin
Personal de las reas sustantivas de la organizacin, incluyendo TI y seguridad de la informacin.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

51

17

CISSP Security Training Information Security and Risk Management

Equipo de Gestin del Riesgo (Cont.)


Funciones
Proposicin de la poltica Redaccin de los procedimientos Anlisis de riesgos Tratamiento de riesgos Definicin de mtricas Concienciacin del personal Capacitacin del personal Documentacin Integracin de la Gestin de Riesgos al proceso de Control de Cambios
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

52

De qu se trata la Gestin del Riesgo?


Qu puede pasar (amenaza)? Si pasa, qu tan malo puede ser (impacto de la amenaza)? Qu tan seguido puede pasar (frecuencia de la amenaza)? Qu tan seguro estoy de las respuestas anteriores (reconocimiento de inseguridad)? Qu puedo hacer (mitigar el riesgo)? Cuanto me costara (anualizado)? Dicho costo es efectivo (Relacin Costo/Beneficio)?

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

53

Anlisis de Riesgos
El Anlisis de Riesgos, es la principal herramienta a utilizar como parte del proceso de Gestin de Riesgos. El Anlisis de Riesgos no es ms que un mtodo por medio del cual, es posible identificar los riesgos relacionados con un recurso y evaluar el dao potencial que este puede sufrir, a fin de justificar los costos asociados con las contramedidas o salvaguardas necesarias para minimizarlo.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

54

18

CISSP Security Training Information Security and Risk Management

Anlisis de Riesgos (Cont.)


El Anlisis de Riesgos, busca alcanzar cinco objetivos principales: Identificar activos y sus amenazas y vulnerabilidades asociadas Cuantificar el impacto en caso de concretarse la amenaza Estimar la probabilidad de ocurrencia de la materializacin de la amenaza Calcular el riesgo Analizar la relacin costo/beneficio en los controles a implementar
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

55

Anlisis de Riesgos (Cont.)


Identificacin de Activos Tangibles Datos Software Computadoras, equipos de comunicaciones, cableado Documentos, Registros de Auditora, Libros, etc.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

56

Anlisis de Riesgos (Cont.)


Identificacin de Activos Intangibles Privacidad Seguridad y Salud de los empleados Imagen y Reputacin Continuidad de las actividades Moral del empleado

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

57

19

CISSP Security Training Information Security and Risk Management

Anlisis de Riesgos (Cont.)


Valoracin de activos Por qu? Es necesario para realizar el anlisis de costo/ beneficio. Para saber verdaderamente qu es lo que est en riesgo. Puede ser necesario para determinar plizas de seguro. Es requerido para cumplir con el Due Care (Cuidado Debido)

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

58

Anlisis de Riesgos (Cont.)


Valoracin de activos Cmo?
Costo inicial (licenciamiento, compra, flete, instalacin, puesta a punto, etc.) Costo de mantenimiento (mantenimiento preventivo, mejoras, etc.) Valor del activo para los dueos, usuarios, competencia, etc. Valor estimado de la propiedad intelectual. Costo de reemplazo. Operaciones y actividades que se veran afectadas si el recurso no se encuentra disponible. Responsabilidades en caso de que el recurso sea comprometido.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

59

Anlisis de Riesgos (Cont.)


Identificacin de Amenazas y vulnerabilidades
Fuente de amenaza Hacker Puede explotar esta vulnerabilidad Servidor configurado de forma insegura Deficiente asignacin de permisos de acceso en la aplicacin Falta de un sistema de deteccin de incendios Resultando en la siguiente amenaza Acceso no autorizado a la informacin Ejecucin de transacciones de privilegio de forma no autorizada Daos severos al equipamiento de procesamiento crtico

Empleado

Fuego

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

60

20

CISSP Security Training Information Security and Risk Management

Anlisis de Riesgos (Cont.)


Anlisis de controles Identificar los controles ya implementados y analizar su vigencia y efectividad.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

61

Anlisis de Riesgos (Cont.)


Determinacin del riesgo El riesgo es una combinacin entre la probabilidad de ocurrencia y el impacto.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

62

Anlisis de Riesgos (Cont.)


Anlisis Cuantitativo de Riesgos Asigna valores monetarios hard (objetivos) a cada componente de la evaluacin de riesgos y a cada potencial prdida. Anlisis Cualitativo de Riesgos
Utiliza elementos soft de la organizacin (opinin, mejores prcticas, intuicin, experiencia, etc.) para ponderar el riesgo y sus componentes.

Aplicable a todas las situaciones

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

63

21

CISSP Security Training Information Security and Risk Management

Anlisis Cuantitativo de Riesgos


Pasos del Anlisis de Riesgo: 1. Asignar valor a los activos. 2. Estimar la prdida potencial por cada amenaza. 3. Analizar las amenazas. 4. Estimar la prdida anual.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

64

Anlisis Cuantitativo de Riesgos (Cont.)


2. Estimar la prdida potencial por cada amenaza Factor de Exposicin (EF) Porcentaje de prdida sobre el valor del un activo generado por la concrecin de una amenaza.

0% EF 100%

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

65

Anlisis Cuantitativo de Riesgos (Cont.)


2. Estimar la prdida potencial por cada amenaza Expectativa de Prdida Individual (SLE) Valor monetario asociado a un evento determinado. Representa la prdida producida por una amenaza determinada en forma individual.

SLE = Valor Activo ($) * EF (Factor de Exposicin)

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

66

22

CISSP Security Training Information Security and Risk Management

Anlisis Cuantitativo de Riesgos (Cont.)


3. Analizar las amenazas Tasa de Ocurrencia Anual (ARO) Representa la frecuencia estimada de ocurrencia de un evento (amenaza), dentro del perodo de un ao. 0 ARO < (Krutz - Cuantitativo) 0 ARO 1 (Harris - Probabilstico)

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

67

Anlisis Cuantitativo de Riesgos (Cont.)


Tasa de Ocurrencia Anual (ARO)
Valores ARO
.01 .02 .2 .5 1 10 20

Frecuencia de Ocurrencia
Una vez cada 100 aos (1/100) Una vez cada 50 aos (1/50) Una vez cada 5 aos (1/5) Una vez cada 2 aos (1/2) Una vez al ao 10 veces al ao 20 veces al ao

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

68

Anlisis Cuantitativo de Riesgos (Cont.)


4. Estimar la prdida anual Expectativa de Prdida Anualizada (ALE) Representa la prdida anual producida por una amenaza determinada individual. ALE = SLE (Expectativa de Perdida Individual) * ARO
(Taza de Ocurrencia Anual)

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

69

23

CISSP Security Training Information Security and Risk Management

Anlisis Cuantitativo de Riesgos (Cont.)


Activo: Data Warehouse Valor: u$s 100.000 Amenaza: Virus EF: 25% ARO: 2 (2 veces al ao)

SLE = Valor x EF = u$s 100.000 x 25% = u$s 25.000 ALE = SLE x ARO = u$s 25.000 x 2 = u$s 50.000
ARO (Tasa de Ocurrencia Anual Annualized Rate of Ocurrence) ALE (Expectativa de Perdida Anual Annualized Loss Expectancy) EF (Factor de Exposicin Exposure Factor) SLE (Expectativa de Perdida Individual Single Loss Expectancy)

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

70

Anlisis Cuantitativo de Riesgos (Cont.)


Activo: Edificio Valor: u$s 1.000.000 Amenaza: Fuego EF: 50% ARO: 1/10 (1 vez cada 10 aos)

SLE = Valor x EF = u$s 1.000.000 x 50% = u$s 500.000 ALE = SLE x ARO = u$s 500.000 x 0.1 = u$s 50.000
ARO (Tasa de Ocurrencia Anual Annualized Rate of Ocurrence) ALE (Expectativa de Perdida Anual Annualized Loss Expectancy) EF (Factor de Exposicin Exposure Factor) SLE (Expectativa de Perdida Individual Single Loss Expectancy)

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

71

Anlisis Cuantitativo de Riesgos (Cont.)


Activo: Web server Valor: u$s 5.000 Amenaza: DoS EF: 50% ARO: 1/2 (1 vez cada 2 aos)

SLE = Valor x EF = u$s 5.000 x 50% = u$s 2.500 ALE = SLE x ARO = u$s 2.500 x 0.5 = u$s 1.250
ARO (Tasa de Ocurrencia Anual Annualized Rate of Ocurrence) ALE (Expectativa de Perdida Anual Annualized Loss Expectancy) EF (Factor de Exposicin Exposure Factor) SLE (Expectativa de Perdida Individual Single Loss Expectancy)

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

72

24

CISSP Security Training Information Security and Risk Management

Anlisis Cuantitativo de Riesgos (Cont.)


Qu obtenemos luego de realizar un Anlisis Cuantitativo de Riesgos
Valor de los activos (en dinero) Posibles amenazas a los activos Probabilidad de ocurrencia de cada amenaza Posible prdida anual por cada amenaza

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

73

Anlisis Cualitativo de Riesgos


El Anlisis de Riesgo Cualitativo, a diferencia del Cuantitativo, es un modelo basado mas bien en escenarios que en clculos. En vez de asignar el costo exacto respecto de las posibles prdidas, en este escenario se ponderan en escala, los riesgos, costos y efectos de una amenaza en relacin del activo. Este tipo de procesos, conjuga: juicio, experiencia e intuicin.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

74

Anlisis Cualitativo de Riesgos (Cont.)


Tcnicas y Mtodos del Anlisis de Riesgos Cualitativo:
Brainstorming Tcnicas Delphi Cuestionarios Checklist Entrevistas Etc.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

75

25

CISSP Security Training Information Security and Risk Management

Anlisis Cualitativo de Riesgos (Cont.)


Mtodos Delphi
Feedback Annimo A cada participante se le requiere comentarios annimos respecto de cada uno de los puntos a tratar. Los resultados son compilados y presentados al grupo para su evaluacin. El proceso es repetido hasta lograr el consenso.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

76

Anlisis Cualitativo de Riesgos (Cont.)


Pasos del Anlisis Cualitativo de Riesgos:
1. Definicin de:
Niveles de probabilidad de ocurrencia de las amenazas Niveles de impacto de las amenazas Niveles de riesgo (en funcin a las anteriores)

2. Clasificacin de las amenazas en cuanto a su probabilidad de ocurrencia e impacto 3. Estimacin del riesgo

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

77

Anlisis Cualitativo de Riesgos (Cont.)


Ejemplo de criterio de ponderacin
Probabilidad de ocurrencia: ALTO MEDIO BAJO Impacto: ALTO MEDIO - BAJO Riesgo:
Probabilidad de ocurrencia ALTO MEDIO BAJO Impacto ALTO ALTO ALTO MEDIO MEDIO ALTO MEDIO BAJO BAJO MEDIO BAJO BAJO
78

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

26

CISSP Security Training Information Security and Risk Management

Anlisis Cualitativo de Riesgos (Cont.)


Ejemplo de criterio de ponderacin
Probabilidad de ocurrencia: Impacto: 0 - 5 Riesgo:
Probabilidad de ocurrencia [0 ; 1) [1 ; 2) [2 ; 3) [3 ; 4) [4 ; 5]

0-5

Impacto [0 ; 1) BAJO BAJO BAJO MEDIO MEDIO [1 ; 2) BAJO BAJO MEDIO MEDIO MEDIO [2 ; 3) BAJO MEDIO MEDIO MEDIO ALTO [3 ; 4) MEDIO MEDIO MEDIO ALTO ALTO [4 ; 5] MEDIO MEDIO ALTO ALTO ALTO
79

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

Anlisis Cualitativo de Riesgos (Cont.)


Ejemplo de Anlisis Cualitativo
Amenaza: Acceso fsico no autorizado al equipamiento crtico
Personal consultado Gerente de TI Jefe del Centro de Cmputos Jefe de Seguridad Responsable de Seg. Info. Promedio Probabilidad de ocurrencia 3 2 2 4 2.75 Impacto Efectividad de la contramedida Guardia 4 5 4 5 4.5 2 1 1 1 1.25 Control biomtrico 4 5 4 4 4.25 CCTV 3 2 3 2 2.5

RIESGO ALTO
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

80

Incertidumbre en el Anlisis de Riesgos


Incertidumbre
En anlisis de riesgos, la incertidumbre se refiere al nivel de falta de certidumbre en una estimacin. Se expresa con un porcentaje de 0% a 100%. Tener 20% de confianza en una estimacin implica tener el 80% de incertidumbre. Es vital tener en cuenta el nivel de incertidumbre existente en el proceso de anlisis de riesgos ya que esto indicar la confianza que la gerencia podr depositar luego en los resultados de dicho anlisis.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

81

27

CISSP Security Training Information Security and Risk Management

Cuantitativo vs Cualitativo
Cada mtodo posee sus ventajas y desventajas. La aplicacin de anlisis puramente cuantitativo sencillamente NO es posible. Principalmente debido a que parte de los tems que se debern evaluar como parte del anlisis, son cualitativos y por tanto no son certeros en cuanto a valores cuantitativos. La aplicacin de anlisis puramente cualitativo es posible.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

82

Cuantitativo vs Cualitativo (Cont.)

Caracterstica
Clculos Aplicable Anlisis de costo/beneficio Objetividad Comprensible por la direccin Herramientas automatizadas Utiliza mtricas claras

Cualitativo
Simples Siempre Subjetivo Baja Menos No aplicable No

Cuantitativo
Complejos No siempre Concreto Alta Ms Aplicable S

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

83

Herramientas Automatizadas
Permiten documentar la informacin recolectada. Establece criterios homogneos de valoracin. Generan grficos e informes en forma automtica. Centraliza la informacin relativa al anlisis de riesgos. Facilita el control de las tareas de anlisis de riesgos. Reducen el esfuerzo manual en cada una de las tareas agilizando los resultados. Permite simular distintos escenarios con facilidad, de modo tal de analizar supuestos. Facilita la mejora continua del proceso de anlisis de riesgos.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

84

28

CISSP Security Training Information Security and Risk Management

Tratamiento de Riesgos
Anlisis de las contramedidas o controles Anlisis Costo / Beneficio
Costo Control < Valor del Activo Valor del control = (ALE antes del control) (ALE despus del control) (costo anual del control)

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

85

Tratamiento de Riesgos (Cont.)


Anlisis de las contramedidas o controles
Ejemplo: Web server
Valor del activo: u$s 25.000 EF (antes de la contramedida): 0.25 ARO: 0.50 ALE: u$s 3.125 SLE: u$s 6.250

Costo anual de la UPS: u$s 1.000 EF (luego de la contramedida) = 0.05

En caso de que el corte de energa sea ms prolongado que la autonoma de la UPS.

ARO (luego de la contramedida) = 0.20 ALE (luego de la contramedida) = 25.000 x 0.05 x 0.20 = u$s 250 Valor de la contramedida = u$s 3.125 u$s 250 u$s 1.000 = u$s1.875 Beneficio de la organizacin: u$s 1.875 u$s 1.000 = u$s 875 por ao de la contramedida
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

86

Tratamiento de Riesgos (Cont.)


Anlisis de las contramedidas o controles
Aspectos a tener en cuenta en la estimacin del costo anual de un control:
Costo de adquisicin Costo de diseo y planeamiento Costo de implementacin Impacto en el entorno (compatibilidad) Mantenimiento Pruebas Reparacin, reemplazo, actualizacin Nivel de operacin manual requerida Efectos sobre la productividad Habilidad de Recupero
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

87

29

CISSP Security Training Information Security and Risk Management

Tratamiento de Riesgos (Cont.)


Conceptos generales Riesgo Total: Es el riesgo que una organizacin asume, en caso de no implementar contramedidas.
Amenaza * Vulnerabilidades * Valor del recurso = Riesgo Total

Riesgo Residual: Es el riesgo remanente una vez implementadas las contramedidas.


Riesgo Total Control Gap = Riesgo Residual

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

88

Tratamiento de Riesgos (Cont.)


Conceptos generales Control Gap: Es la cantidad de riesgo que se ha logrado reducir por medio de la implementacin de una contramedida. Es la reduccin del riesgo. No se utiliza para el clculo del riesgo.

Control Gap = Riesgo Total Riesgo Residual

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

89

Tratamiento de Riesgos (Cont.)

Mitigar

Transferir

Aceptar

RIESGO ACEPTABLE !!!

Rechazar o Ignorar

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

90

30

CISSP Security Training Information Security and Risk Management

Information Security and Risk Management


Polticas, Procedimientos, Estndares, Baselines y Guidelines

Estructura normativa

Polticas

NIVEL ESTRATGICO

Estndares

Baselines

Normas (Guidelines)

NIVEL TCTICO

Procedimientos

NIVEL OPERATIVO

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

92

Objetivos de las normativas


Definir y clasificar las metas y objetivos Definir roles, responsabilidades y escala de autoridad Establecer criterios aceptables y uniformes de conducta Informar al personal sobre sus obligaciones y medidas a tomar por incumplimiento Informar a terceros sobre las definiciones establecidas por la organizacin Garantizar el cumplimiento de normativas externas

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

93

31

CISSP Security Training Information Security and Risk Management

Polticas
Presentan directivas de la Alta Gerencia. Define la filosofa organizacional de seguridad de la informacin. Define cmo se desarrollar el Programa de Seguridad. Independiente de la tecnologa y las soluciones. Define responsabilidades y autoridades para la implantacin de la seguridad informtica. De carcter abreviado y de alto nivel. Se alinean con la Poltica General de la organizacin. Determinan las normativas que deben cumplirse
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

94

Polticas (Cont.)
Consideraciones:
Debe ser dictada por un Comit de Seguridad. Debe ser aprobada por las mximas autoridades. Debe ser comunicada a todo el personal y terceros. El personal y los terceros debe aceptar formalmente la Poltica. Debe integrarse con la Poltica de Gestin de Riesgos. Debe ser escrita en lenguaje claro sin ambigedades. Debe ser consistente con las normativas legales y corporativas existentes.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

95

Otros documentos
Estndares
Especifican la forma de poner en prctica un objetivo de la Poltica. Define actividades, acciones, reglas o regulaciones obligatorias. Definen el uso de una determinada tecnologa o la aplicacin de una determinada solucin de manera uniforme.
Ej.: Poltica: Se proteger la red de la organizacin de accesos no autorizados desde redes externas. Estndar: Se implementarn equipos firewall para el control de accesos a cada DMZ y a la LAN de la organizacin
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

96

32

CISSP Security Training Information Security and Risk Management

Otros documentos (Cont.)


Baselines Determinan cmo deben ser configurados los aspectos de seguridad de las diferentes tecnologas.
Ej.: Poltica: Se proteger la red de la organizacin de accesos no autorizados desde redes externas. Estndar: Se implementarn equipos firewall para el control de accesos a cada DMZ y a la LAN de la organizacin Baseline: Permitir en el puerto XX el trfico YY, etc.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

97

Otros documentos (Cont.)


Procedimientos Descripcin detallada de tareas a realizar para cumplimentar los Estndares y Baselines. Constituyen el nivel ms bajo en la escala de normativas.
Ej.: Poltica: Se proteger la red de la organizacin de accesos no autorizados desde redes externas. Estndar: Se implementarn equipos firewall para el control de accesos a cada DMZ y a la LAN de la organizacin Baseline: Permitir en el puerto XX el trfico YY, etc. Procedimiento: Loguearse al equipo firewall con el usuario NN, ingresar en la consola de administracin, seleccionar la opcin para crear ACLs, etc.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

98

Otros documentos (Cont.)


Normas (Guidelines) Definiciones generales establecidas para colaborar con el cumplimiento de los objetivos de las Polticas, proporcionando un marco en el cual implementar controles adicionales. Tienen carcter de recomendacin (no son obligatorias).
Ej.: Poltica: Se proteger la red de la organizacin de accesos no autorizados desde redes externas. Estndar: Se implementarn equipos firewall para el control de accesos a cada DMZ y a la LAN de la organizacin. Norma: Los administradores de red sern capacitados sobre la implementacin y configuracin de firewalls.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

99

33

CISSP Security Training Information Security and Risk Management

Consideraciones
Para todo el marco normativo se debe tener en cuenta:
Vigencia actualizaciones Acceso Propietarios Responsabilidades: revisin, actualizacin, cumplimiento Control de versiones

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

100

Responsabilidad
Due Diligence (Diligencia Debida)
Este te termino se refiere al acto de investigar y entender los riesgos a los que se expone la organizacin. Actuar de buena fe y cumplir con el concepto de Hombre Prudente (En lo que refiere a la proteccin de la informacion)

Due Care (Cuidado Debido)


Se entiende que una organizacin se encuentra alineada con la premisa de Cuidado Debido, cuando en ella se desarrollan polticas de seguridad, procedimientos y estndares. El Cuidado Debido demuestra que una organizacin asume su responsabilidad por las actividades que en ella se llevan a cabo, y ha tomado las medidas adecuadas para proteger la organizacin, sus recursos y empleados de las posibles amenazas. Si alguien practica due care entonces acta en forma responsable y tendr menos posibilidades de ser acusado de negligencia o ser hallado responsable si algo malo ocurre.

Ej.: si el Propietario de la info no protege su informacin esta violando el principio de Due Care
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

101

Information Security and Risk Management


Clasificacin de la Informacin

34

CISSP Security Training Information Security and Risk Management

Clasificacin de la Informacin
Justificacin:
No todos los datos / informacin tienen el mismo valor. No todo el mundo debe acceder a todos los datos / informacin. El valor de la informacin influye directamente en la definicin de los controles para protegerla. Se deben cumplir aspectos legales / regulatorios.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

103

Clasificacin de la Informacin (Cont.)


Beneficios:
Demuestra el compromiso de una organizacin hacia la seguridad de la informacin. Permite identificar que informacin / datos son los ms crticos para la organizacin. Optimiza la inversin en controles. Podra ser requerido por aspectos legales, regulatorios u otros.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

104

Poltica de Clasificacin de Informacin


Contempla lo siguiente:
Define la informacin como un activo de la organizacin. Define los propietarios de la informacin. Define a los custodios de la informacin. Define el proceso de clasificacin de la informacin. Establece las responsabilidades en el proceso de clasificacin de la informacin. Determina el criterio de clasificacin de la informacin. Establece los controles mnimos sobre la informacin para cada nivel establecido, en cumplimiento con normativas existentes.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

105

35

CISSP Security Training Information Security and Risk Management

Poltica de Clasificacin de Informacin (Cont.)


Como norma general, toda informacin que no sea de naturaleza publica, debe clasificarse.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

106

Proceso de Clasificacin de Informacin


1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Definicin de los niveles de clasificacin Definicin del criterio de clasificacin Clasificacin de la informacin por parte de los propietarios Identificacin de custodios de la informacin Definir los controles de seguridad de la informacin para cada nivel Documentar excepciones a la clasificacin Definir mtodos de reasignacin de la custodia de la informacin. Desarrollar un procedimiento de revisin peridica de la clasificacin de la informacin y la definicin de propietarios. Desarrollar un procedimiento para la desclasificacin de la informacin. Introducir el proceso de clasificacin de informacin en la concientizacin del personal.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

107

Tips para la clasificacin


Qu tener en cuenta a la hora de clasificar informacin?
Valor la informacin Validez Vida til Impacto por divulgacin Impacto por alteracin Impacto por no disponibilidad Implicancias legales

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

108

36

CISSP Security Training Information Security and Risk Management

Criterios de clasificacin - Confidencialidad


Comercial - Privado Confidencial Privado Sensitivo Publico Modelo Habitual Confidencial Interno Publico Militar - Gubernamental Top Secret Secret Confidencial Sensitivo pero sin Clasificar Sin Clasificar *DoD

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

109

Criterios de clasificacin Confidencialidad (Cont.)


Modelo Habitual
De uso pblico Informacin cuyo conocimiento fuera de la organizacin no causara dao a la misma. Ejemplo: web site. Solo para uso interno Informacin cuya sensibilidad permite ser divulgada dentro de la organizacin, pero su conocimiento fuera de la misma podra ocasionar daos. Ejemplo: lista de clientes, costos de productos/ servicios, etc. Confidencial El acceso a esta informacin se logra solo si existe la necesidad de conocer (need-to-know). Ejemplo: planes de marketing, Desarrollo e Investigacin, informacin de adquisiciones y ventas a nivel corporativo, etc.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

110

Criterios de clasificacin Confidencialidad (Cont.)


Modelo Comercial - Privado
Publico Puede ser publica, su conocimiento no causa impacto negativo o adverso a la organizacin o el personal. Sensitivo Requiere precauciones especiales. Ej.: informacin sobre proyectos. Privado Informacin para uso interno de la compaa. Su conocimiento podra afectar negativamente al personal o la compaa. Ej.: informacin de RRHH. Confidencial Sumamente Sensible, su conocimiento podra impactar fuertemente en la compaa. Ej.: estrategia comercial.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

111

37

CISSP Security Training Information Security and Risk Management

Criterios de clasificacin Confidencialidad (Cont.)


Modelo militar - Gubernamental
Sin Clasificar No Clasificada, Informacin que puede ser Publica. Sensitivo pero sin Clasificar De Baja Sensibilidad. Si se hace publica, puede causar serios daos. Ej.: respuesta a tests. Confidencial De conocerse, podra causar serios daos. Slo para uso interno. Ej.: informacin de salud, cdigo de programacin. Secret De conocerse, podra causar serios daos a la Seguridad Nacional. Ej.: desplazamiento de tropas. Top Secret El grado ms alto. De conocerse podra causar dao extremo en relacin a la Seguridad Nacional. Ej.: planos de nuevo armamento, informacin de espionaje.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

112

Roles
Propietario de la informacin Quin debe ser? Nivel gerencial. Conocimiento del valor de la informacin. Qu debe hacer? Definir el nivel de clasificacin que le corresponde a la informacin que le pertenece. Definir los controles que requiere la informacin. Revisar la existencia de los controles. Revisar los niveles de clasificacin peridicamente y realiza los cambios que sean necesarios a la informacin.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

113

Roles (Cont.)
Propietario de la informacin Qu debe hacer? Definir los perfiles de acceso a la informacin. Aprobar su asignacin. Revisarlos peridicamente. Asignar tareas proteccin de datos al custodio. Aprobar la recuperacin de informacin.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

114

38

CISSP Security Training Information Security and Risk Management

Roles (Cont.)
Custodio Quin debe ser? Generalmente esta funcin se asigna a personal de TI. Qu debe hacer? Ejecutar backups en forma regular de la informacin que custodia. Proteger la informacin almacenada. Restaurar la informacin cuando se necesita. Mantener el rtulo de la informacin. Cumplimentar las disposiciones de seguridad definidas para cada nivel de clasificacin.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

115

Roles (Cont.)
Usuario Seguir los procedimientos definidos para el manejo de informacin. Proteger la informacin clasificada. Utilizar los recursos asignados solo para fines de negocio.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

116

Information Security and Risk Management


Roles y Responsabilidades

39

CISSP Security Training Information Security and Risk Management

Roles y Responsabilidades
Gerencia General Responsable final por la seguridad de la informacin de la organizacin. Responsable de Seguridad de la Informacin Responsable de la gestin de la seguridad de la informacin de la organizacin. Analista de Seguridad de la Informacin Encargado de evaluar las amenazas y vulnerabilidades y definir los estndares, normas y baselines necesarios. Disear esquemas seguros. Administrador de Seguridad Encargado de implementar las definiciones de seguridad en los entornos informticos.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

118

Roles y Responsabilidades (Cont.)


Dueo de aplicacin Define los requisitos de seguridad funcional necesarios. Define y aprueba los perfiles de acceso a la aplicacin. DBA Define y administra la seguridad de las bases de datos. Change Control Analyst Evala el impacto en la seguridad de los cambios informticos. Aprueba y controla los cambios. Auditor Evala los controles de seguridad informtica y presenta recomendaciones a la alta gerencia.
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

119

Information Security and Risk Management


Polticas y Prcticas de Empleo

40

CISSP Security Training Information Security and Risk Management

Background Checks
Tareas:
Revisin de informacin pblica. Verificacin de informacin del CV.

Beneficios:
Verificar que la informacin provista por el candidato es verdadera y actualizada. Obtener una primera idea del nivel de integridad del candidato. Prevenir empleados no calificados. Evitar incorporar personas con tica y moral alterados. Prevenir posibles conflictos con el personal existente.
121

Background Checks (Cont.)


Beneficios:
Prevenir posibles prdidas por acciones fraudulentas. Prevenir acciones legales

de parte de empleados despedidos. de 3ra partes o clientes por negligencia a la hora de contratacin de personal. De parte de otros empleados: por violencia, malos tratos, etc.

122

Background Checks (Cont.)


Quin debe ser evaluado? Implementar una serie de controles bsicos a TODO el personal a incorporar. Evaluar la conveniencia de implementar controles exhaustivos al personal que vaya a desempear tareas crticas o a manejar informacin sensible.

123

41

CISSP Security Training Information Security and Risk Management

Security Clearances
Security Clearances
Permiso de acceso a informacin clasificada Slo requerido para puestos especiales de Gobierno y Militar (a veces usado en mbitos privados) Requerido por DoD (Departamento de Defensa) Requiere un PSI o Personal Security Investigation: investigacin personal (carcter, lealtad, confiabilidad, etc.) con el objeto de determinar si dicha persona puede recibir un permiso de acceso a informacin clasificada

124

Acuerdos
Acuerdos sobre:
Confidencialidad (Non-Disclosure) Uso de Recursos Conocimiento, comprensin y aceptacin de las Polticas Auditabilidad Non-Compete

Quines deben firmarlos?


Personal Terceros
125

Contratacin y Despido
Polticas y Procedimientos definidos por RR.HH.
Deben contemplar:
Cmo manejar la salida del empleado, Deshabilitacin / borrado de cuentas de usuarios Reenvo del e-mail y del voice-mail Cambios en las cerraduras y cdigos de acceso Modificacin de contraseas de sistemas relacionadas

126

42

CISSP Security Training Information Security and Risk Management

Control de actividades
Segregacin de funciones
Nadie debe ser responsable de realizar una tarea que involucra informacin sensitiva de principio a fin. Un individuo no puede ser responsable de aprobar su propio trabajo. Quien controla no ejecuta. Previene el FRAUDE

127

Control de actividades (Cont.)


Segregacin de funciones:
Ejemplo: Desarrollo de Produccin Seguridad de Auditora Cuentas a Cobrar de Cuentas a Pagar Administracin de Claves de Encripcin de Cambio de Claves Conocimiento distribuido
Dos o ms personas se requieren para efectuar una tarea de forma que cada una posee un conocimiento que el resto no tiene. Ej.: Generacin de una clave por ms de una persona.

Control dual
Dos o ms personas se requieren para efectuar una tarea de forma que ninguna es prescindible. Ej.: para la apertura de una compuerta se requiere que dos personas en diferentes sitios presionen un botn.
128

Control de actividades (Cont.)


Rotacin de funciones
Evita que el personal permanezca demasiado tiempo en una funcin, logrando un nivel elevado de control sobre las actividades. Favorece el backup de empleados.

Vacaciones obligatorias
Permite la deteccin de fraude. Previene el mal desempeo.

129

43

CISSP Security Training Information Security and Risk Management

Information Security and Risk Management


InfoSec Awareness (Concientizacin en Seguridad Informtica)

InfoSec Awareness
Normalmente una de las reas de menor consideracin. El eslabn mas dbil

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

131

InfoSec Awareness (Cont.)


Objetivos:
Comprender el concepto de INFORMACIN Comprender los principios de seguridad de la informacin Conocer las amenazas a la seguridad Asimilar las vulnerabilidades del personal Conocer la estrategia de la organizacin con respecto a la seguridad de la informacin

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

132

44

CISSP Security Training Information Security and Risk Management

InfoSec Awareness (Cont.)


Beneficios:
Importante reduccin de la cantidad de acciones no autorizadas generadas por el personal de la organizacin. Incremento significativo de la efectividad de los controles implantados. Prevencin de amenazas que explotan vulnerabilidades del personal. Ayuda a evitar el fraude, desperdicio y abuso de recursos informticos.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

133

InfoSec Awareness (Cont.)


Formas de lograr la concientizacin:
Presentaciones en vivo o grabadas: conferencias/ presentaciones, video, entrenamiento basado en computadoras (CBT), etc. Publicacin / Distribucin: newsletters, trpticos, boletines e intranet. Incentivos: premios y reconocimiento por alcanzar objetivos relacionados con la seguridad de la informacin. Recordatorios: banners de login, mails, accesorios de marketing (tazas, lapiceras, mouse pads, stickers, etc.).

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

134

InfoSec Awareness (Cont.)


Seleccin de audiencia:
Management Staff Empleados tcnicos

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

135

45

CISSP Security Training Information Security and Risk Management

InfoSec Awareness (Cont.)


Concientizacin al Management:
Breve Lenguaje acorde Focalizar en los activos crticos de la organizacin Considerar el impacto financiero de la falta de seguridad Explicar implicancias legales Definir conceptos: polticas, estndares, procedimientos, etc. Responsabilidades

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

136

InfoSec Awareness (Cont.)


Concientizacin al Staff:
Clara y dinmica Derechos y obligaciones Actividades aceptables Ejemplos Interaccin

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

137

InfoSec Awareness (Cont.)


Concientizacin al Personal Tcnico:
Lenguaje tcnico Implicancias de la seguridad en las tareas habituales Comportamiento esperado Estndares, procedimientos, guidelines, etc. Manejo de incidentes Funciones Responsabilidades

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

138

46

CISSP Security Training Information Security and Risk Management

InfoSec Awareness (Cont.)


Revisin de resultados:
Encuestas de opinin. Encuestas de calificacin de la concientizacin. Medicin de incidentes antes y despus de la concientizacin. Observacin del comportamiento del personal. Monitoreo de uso de recursos. Cracking de passwords.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

139

InfoSec Awareness (Cont.)


Algunos Consejos:
Trabajar en conjunto con el departamento de RRHH. Duracin de los encuentros: No mas de 30. Resumen de Polticas del Usuario final: No mas de 5 pginas. Material actualizado peridicamente. Material atractivo. Consejos / Pautas: Crebles y Realizables.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

140

Ingeniera Social
Ingeniera social describe el tipo de intrusin no tcnico basado en la interaccin humana. Usualmente involucra el engaar a las personas con el propsito de quebrar procedimientos de seguridad existentes.

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

141

47

CISSP Security Training Information Security and Risk Management

Ingeniera Social (Cont.)


Proceso:
Recoleccin de informacin Seleccin del objetivo Ataque Tipos de ataque:
Ataque al Ego Ataques de condolencia (Sympathy) Ataques de intimidacin

CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

142

Information Security and Risk Management


Referencias y Lecturas Complementarias

Referencias y Lecturas Complementarias


CISSP All-in-One Exam Guide, Third Edition (All-in-One)
By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121

Official (ISC)2 Guide to the CISSP Exam


By Susan Hansche (AUERBACH) ISBN: 084931707X

The CISSP Prep Guide: Gold Edition


By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X

CISSP Certification Training Guide


By Roberta Bragg (Que) ISBN: 078972801X

CCCure.Org WebSite: http://www.cccure.org


By Clement Dupuis

Advanced CISSP Prep Guide: Exam Q&A


By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632

Information Security Management Handbook, Fifth Edition By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978 CISSP: Certified Information Systems Security Profesional Study Guide, Third Edition
By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438
CISSP Security Training Information Security and Risk Management Copyright 2004-2008 SICinformtica S.R.L.

144

48

CISSP Security Training Information Security and Risk Management

Information Security and Risk Management


Preguntas?

49

Das könnte Ihnen auch gefallen