Beruflich Dokumente
Kultur Dokumente
“Risk Management”
Adrián Palma,CISSP,CISA,CISM,ISO27001
Presidente de la ALAPSI Internacional
presidencia@alapsi.org
Adrian.palma@integridata.com.mx
MANCERA, S. C.
Agenda
n Antecedentes
n La Seguridad y sus problemas
n El Risk Management y el Risk Analysis
n Conceptos
n Enfoques del Análisis de Riesgos
n Metodologías
n El Análisis de Riesgos en el Proceso de la Seguridad
n El Manejo del Riesgo
n La Estrategia de Seguridad
2006
Antecedentes
MANCERA, S. C.
La seguridad, verdades y mentiras
Áreas Tecnológicas ý
Gente þ
De herramientas de Seguridad ý
Infraestructura de TI ý
Negocio þ
Organizacional þ
La seguridad, verdades y mentiras
Seguridad Operación
u Temas complejos.
u Intangibles.
u Reactiva
u Correctiva
u Emergente
u Preventiva
u Proactiva
n Y mucho menos
u Estratégica
La seguridad y mas problemas
n Demasiados proveedores.
u Demasiados productos.
u Demasiados servicios.
u Downtime excesivo.
u Demasiada improvisación.
Antecedentes
MANCERA, S. C.
Antecedentes
u Las redes
u Los sistemas operativos
u Las Bases de Datos
u Las Aplicaciones
u Los Sites e Instalaciones
2006
Conceptos
¿ Fundamentales ?
MANCERA, S. C.
Conceptos
Activo
Vulnerabilidad
Amenaza
n Concepto n Algunos Ejemplos
Riesgo
Impacto
Control
Activo Vulnerabilidad
X
Ejemplos de Amenazas
Usuarios Parámetros mal configurados en el sistema operativo Mal funcionamiento del sistema
MANCERA, S. C.
Risk Management y Risk Analysis
n Risk Management
u Es el proceso de identificar, evaluar, y reducir riesgos a un
nivel aceptable e implementar las salvaguardas correctas para
mantener ese nivel de riesgo aceptable, No hay ningún
entorno 100% seguro.
n Risk Analysis
Cuantitativo vs
Cualitativo
¿ Cual es mejor ?
MANCERA, S. C.
Enfoques del Análisis de Riesgos
n Enfoque Cuantitativo
n Enfoque Cuantitativo
Recurso Amenaza Valor del Expectativa de Frecuencia Expectativa de
recurso perdida individual anualizada perdida
(SLE) anualizada
(ALE)
Instalación Incendio $560,000 $ 230,000 .25 $57,500
n Enfoque Cualitativo
u No asigna números ni valores monetarios a los elementos del
riesgo
n Enfoque Cualitativo
AMENAZA =
El acceso de un Severidad Probabilidad Perdida Efectividad Efectividad Efectividad
hacker a de la de que la potencial para del firewall del sistema del honeypot
información amenaza amenaza la compañía de detección
confidencial ocurra de intrusión
Director IT 4 2 4 4 3 2
Administrador de 4 4 4 3 4 1
bases de datos
Programador de 2 3 3 4 2 1
la aplicación
Administrador 3 4 3 4 4 2
del red
Administrador 5 4 4 4 4 2
operacional
alternativas:
u Tolerarlo
u Transferirlo
Decisión
u Mitigarlo
Y en algunos casos
u Evitarlo
Metodologías de
Análisis de
Riesgos
MANCERA, S. C.
Antecedentes
Estrategia y Arquitectura
de Seguridad
¿ En donde queda el Risk Management ?
MANCERA, S. C.
Road Map de una Arquitectura de Seguridad
I. Análisis de III. Desarrollo de VII. Funciónde Seguridad
Vulnerabilidades Normatividad Informática
ACTIVOS • Aplicaciones
CRITICOS críticas. • Políticas • Establecimiento
• Estándares • Objetivos
• Infraestructura • Guías • Roles y Responsabilidades
tecnológica • Procedimientos y procesos • Funciones
crítica.
• Análisis de
vulnerabilidades
herramientas de IV. Análisis de Riesgos de VI. Estrategia de Seguridad
seguridad Seguridad • Definición de prioridades y
• Determinación de la proyectos de seguridad
• Evaluación de importancia de los riesgos • Recuperación de
controles • Participación de la desastres
Dirección General y • Seguridad en
• Gente Direcciones de Área aplicaciones
• Seguridad de Personal
V. Adquisición e instalación
II. Corrección de de herramientas VIII. Programa de
Vulnerabilidades • Herramientas Especializadas: Concientización en
• Manejo de virus,malware Seguridad
• vulnerabilidades • Todas las regiones
• Firewalls e IDS
• Áreas de Negocio y
• Monitoreo de
• Implantación de Sistemas
infraestructura
controles preventivos
• SW de control de acceso
Resultado del Analisis de Riesgos
1. Seguridad de Aplicaciones
3. Seguridad Organizacional
4. Seguridad de Personal
7. Cumplimiento
9. Control de Acceso
Seguridad de Personal
Seguridad Organizacional
Estrategia de Seguridad
Seguridad de Operaciones de Cómputo
• Definición de prioridades y
proyectos de seguridad
Seguridad Física y Ambiental
• Seguridad en
aplicaciones Políticas de Seguridad
• Recuperación de
desastres
• Seguridad de Personal Cumplimiento
Control de Acceso
Corto plazo
Programa de Capacitación en Seguridad
Mediano Plazo
Largo Plazo
Centro de Respuesta a Incidentes de Seguridad
Mandatorio
Estrategia de seguridad
ALTO
Respaldos
Control de
Acceso
C B Planeación de la B
Ambiente de continuidad del
seguridad red negocio
MEDIO
Contorles codigo
malicioso
Control de
cambios
Fuentes de poder
Seguridad en las
Instalaciones
D C C
BAJO
n Matriz de Contribución
OUTCOMES
Respaldos
Control de
I Cambios
N
P Administración
U de la
T configuración
S Herramienta de
Single Sign-on
Scaner de
vulnerabilidades
Planeación de la
continuidad
Estrategia de seguridad
Grado de Contribución Específica de los controles
n Matriz de Contribución
OUTCOMES
n Matriz de Contribución
OUTCOMES
Control de
Cambios
1.3 2.4 3.2 3 61.4 11.49 $12,000
Next
Year
ü
I Administración
ü
N de la 2.3 5.1 2.1 6.8 100.7 18.84 $6,800 $6,800
P configuración
U Herramienta de $230,00 Next
T 4.5 1.1 3.9 3.3 83.6 15.64
Single Sign-on 0 Year
S
Scaner de Next
2.8 5.4 0.3 3.5 79.5 14.87 $43,000
vulnerabilidades Year
Planeación de la
6.1 0.1 9.9 0.2 109.9 20.56 $65,000 $65,000
ü
continuidad
TOTAL $391,00
ü
190.4 107.1 153 84 534.5 100.00 $106,800
0
2006
¿ Preguntas ?
Muchas Gracias
Adrián Palma, CISSP,CISA,CISM,ISO27001
presidencia@alapsi.org
adrian.palma@integridata.com.mx
MANCERA, S. C.