2006

“Risk Management”

Adrián Palma,CISSP,CISA,CISM,ISO27001
Presidente de la ALAPSI Internacional
presidencia@alapsi.org
Adrian.palma@integridata.com.mx

MANCERA, S. C.
Agenda

n Antecedentes
n La Seguridad y sus problemas
n El Risk Management y el Risk Analysis
n Conceptos
n Enfoques del Análisis de Riesgos
n Metodologías
n El Análisis de Riesgos en el Proceso de la Seguridad
n El Manejo del Riesgo
n La Estrategia de Seguridad
 2006

Antecedentes

By the Book vs. Realidad y Experiencia

MANCERA, S. C.
La seguridad, verdades y mentiras

n ¿De quién es el problema de la seguridad?

Áreas Tecnológicas ý
Gente þ
De herramientas de Seguridad ý
Infraestructura de TI ý
Negocio þ
Organizacional þ
La seguridad, verdades y mentiras

n La seguridad no se arreglará si invertimos únicamente en

tecnología, por ejemplo nuevas redes, equipos,
herramientas, etc.

n Confiar en que los empleados, clientes, competidores y

externos actuarán de forma ética y preventiva no dará
resultado.

n Pensar que si hasta ahora no ha pasado nada, seguramente

nunca ocurrirá.
La seguridad, verdades y mentiras

n La seguridad siempre será una prioridad de segundo nivel.

n Los esfuerzos aislados y sin una estrategia

nunca tendrán una visión completa
e integral

n La seguridad es Responsabilidad de Todos.

La seguridad y sus problemas

n La seguridad “corre” en sentido opuesto a la operación...

Seguridad Operación

Entonces, ¿¿¿mucha o poca seguridad???

La seguridad y sus problemas

n La gente no conoce su rol y responsabilidad.

n Los usuarios realizan acciones indebidas, cuando esto no

sucede, se equivocan.

n La mayor cantidad de incidentes de seguridad son

generados por el desconocimiento de la gente.
u Virus.
u Borrado de Información.
u Daño de equipos.
u No identificación de actividades sospechosas.
La seguridad y sus problemas

n Hablar de seguridad es hablar de:

u Temas complejos.

u Intangibles.

u Difíciles de vender “interna o externamente”.

u No existe un ROI claro.

u Confusiones entre herramientas y seguridad

La seguridad y sus problemas

n La seguridad y su implantación es vista y realizada de forma:

u Reactiva
u Correctiva
u Emergente

n Difícilmente se trata de forma

u Preventiva
u Proactiva

n Y mucho menos
u Estratégica
La seguridad y mas problemas

n Demasiados proveedores.

u Demasiados productos.

u Demasiados servicios.

u Poca información sólida.

n Problemas en el escalamiento y/o comprensión de las

necesidades de seguridad.
u Ya tenemos un firewall!!! o ¿no?
La seguridad y mas problemas

n El administrador de seguridad debe estar prevenido de todos

y cada uno de los ataques y vulnerabilidades, conocidos y
desconocidos.

n Los atacantes SÓLO necesitan explotar UNA vulnerabilidad.

n Poca gente disponible y especializada.

La seguridad y mas problemas

n El proceso de corrección de vulnerabilidades es muy

restrictivo:

u Disponibilidad de la gente y los usuarios.

u Downtime excesivo.

u ¿Qué pasa cuando NO HAY un parche?

u ¿Qué pasa cuando NO se ha identificado/publicado una

vulnerabilidad?

u ¿Qué pasa cuando NO es posible corregir una vulnerabilidad?

La seguridad y mas problemas

n Los ambientes de producción no fueron diseñados para la

aplicación continua de parches

u Sistemas operativos y aplicaciones empiezan a tomar esto en

cuenta.

u Alta disponibilidad y tolerancia a fallas empiezan a llegar al

nivel de los componentes de red.

u Muy poca consideración en la etapa de diseño de redes y

aplicaciones para la seguridad.
La seguridad y mas problemas

n Pocos proveedores enfocados a la seguridad:

u Muy pocos con verdadera provisión de Soluciones Integrales,

o son productos o servicios.

u Demasiada improvisación.

u Orientados a un área de experiencia.

n No existe seguridad a prueba de todo.

 2006

Antecedentes

Entrando mas en Materia

MANCERA, S. C.
Antecedentes

¿por dónde empezar a resolver este gran problema?

Antecedentes

n Análisis de Vulnerabilidades y Análisis de Riesgos, ¿son lo

mismo?

n Es adecuado realizar un Análisis de Riesgos a ???

u Las redes
u Los sistemas operativos
u Las Bases de Datos
u Las Aplicaciones
u Los Sites e Instalaciones
 2006

Conceptos

¿ Fundamentales ?

MANCERA, S. C.
Conceptos

Activo

n Concepto n Algunos Ejemplos

u Cualquier recurso de SW, HW, Datos, u Servidores

Administrativo, Físico, de Personal de u Bases de Datos
Comunicaciones, etc. u Redes
u Usuarios
u Aplicaciones
u Sistemas Operativos
u Dinero
u Información
u etc
Conceptos

Vulnerabilidad

n Concepto n Algunos Ejemplos

u Cuentas de usuarios sin
contraseña.
u Debilidad o falla de seguridad.
u El personal externo no registra
su entrada y salida a las
u Indica que el activo es instalaciones.
susceptible a recibir un daño a
u Falta de lineamientos para la
través del aparejamiento con
construcción de contraseñas.
una amenaza.
u No hay un software de control
de accesos.
u No contar con un plan de
recuperación de desastres.
Conceptos

Amenaza
n Concepto n Algunos Ejemplos

u Circunstancia o evento con la u Naturales:

capacidad de causar daño a un • Terremotos que destruyan el
sistema. centro de cómputo.
u Humanas
u El daño es una forma de • Fraude realizado al modificar
destrucción, revelación o los saldos de cuentas por
modificación de datos. cobrar.
u Software
u Puede incluir negación de • Cambios no autorizados al
sistema que realicen cálculos
servicios.
incorrectos.
Conceptos

Riesgo

n Concepto n Algunos Ejemplos

u Probabilidad / posibilidad de que u Alto

un evento desfavorable ocurra.
u Tiene un impacto negativo si se u Medio
materializa.
u El impacto puede ser sobre:
u Bajo
• Misión de la Empresa.
• Los objetivos de la Empresa.
u 150, 000 dlls.
• Los procesos de negocio, entre
otros.
Conceptos

Impacto

n Concepto n Algunos Ejemplos

u Es la “materialización” de un u Retraso en la ejecución y

riesgo. conclusión de actividades de
negocio.
u Una medida del grado de daño u Perdida de oportunidad y
o cambio. efectividad en la operación.
u Falta de credibilidad frente a
clientes.
u Divulgación de información
confidencial.
Conceptos
Control
n Concepto
u Es una medida o mecanismo
para mitigar un riesgo.
u Es un mecanismo establecido
para prevenir, detectar y
reaccionar ante un evento de
seguridad.
n Algunos Ejemplos
u Desarrollo de políticas y
procedimientos de uso de
contraseñas.
u Firewalls e IDS´S
u Desarrollo e implantación de
un programa de
concientización.
u Implementación de un plan de
recuperación de desastres.
En Resumen...

Activo Vulnerabilidad

Nivel de Amenaza Riesgo

Vulnerabilidad

X
Ejemplos de Amenazas

Amenaza Puede explotar esta vulnerabilidad Resultante de esta amenaza

Virus Carencia de software antivirus Infección de virus

Hacker Falta de actualización de parches Acceso no autorizado a la información

confidencial

Usuarios Parámetros mal configurados en el sistema operativo Mal funcionamiento del sistema

Incendio Carencia de extintores de fuego Daños a los activos y a las instalaciones y

posibles perdidas humanas.

Empleado Mecanismos de control de acceso laxos Información sensitiva divulgada e

información critica dañada.

Contratista Mecanismos de control de acceso laxos Secretos comerciales robados

Atacante Una aplicación mal desarrollada Conduce a un buffer overflow

Intruso Falta de guardias de seguridad Ventanas rotas y robo de computadoras y

dispositivos

Empleado Falta de auditorias Entradas y salidas de datos alteradas desde

las aplicaciones de procesamiento de datos

Atacante Falta de Baselines de configuración de firewalls Ataques de negación de servicio

Ejemplos de Amenazas

Origen Motivación Amenaza

Hacker Externo Reto n System hacking
Ego n Ingenieria Social
Diversión n Dumpster diving

Hacker Interno Deadline n Trap-door

Problemas financieros n Fraude
Desilusión n Pobre documentación

Craker Destrucción de Información n Spoofing

Ganancias Financieras n System intrusion
Alteración de datos no Autorizada n Ataques de Negación de servicio

Terrorista (ambiental) Venganza n System attack

Greenmail
Causas Estridentes
Pobre Entrenamiento a los Errores no intencionales
empleados Errores de Programación
Errores en la captura de datos
n Ingenieria Social
n Cartas Explosivas
n Virus
n Negación de Servicios
n Datos Contaminados
n Código Malicioso
n Bugs del sistema
n Acceso no Autorizado
 2006

Risk Management vs Risk

Analysis
¿ Sinonimos ?

MANCERA, S. C.
Risk Management y Risk Analysis

n Risk Management
u Es el proceso de identificar, evaluar, y reducir riesgos a un
nivel aceptable e implementar las salvaguardas correctas para
mantener ese nivel de riesgo aceptable, No hay ningún
entorno 100% seguro.

n Risk Analysis

u Es una herramienta en el cual se basa el risk

management, es un método para identificar los riesgos y
evaluar el posible daño para justificar las salvaguardas.
 2006

Cuantitativo vs
Cualitativo
¿ Cual es mejor ?

MANCERA, S. C.
Enfoques del Análisis de Riesgos

n Enfoque Cuantitativo

u Asigna números reales y significativos a todos los elementos

del riesgo

u Incluyen el valor del activo, el impacto, la frecuencia de la

amenaza, etc.

u Proporciona porcentajes de probabilidad concretos para

determinar la probabilidad de amenazas.

u El análisis de riesgo cuantitativo es obsoleto e impractico

Enfoques del Análisis de Riesgos
n Enfoque Cuantitativo ( Definiciones )

u Factor de Exposición ( EF ) Porcentaje de perdida de los

recursos causada por amenazas identificadas

u Expectativa de Perdida Individual ( SLE ) Valor del Recurso X

Factor de Exposición

u Índice de Ocurrencia Anualizado ( ARO ) Frecuencia estimada

de que una amenaza ocurra en un año.

u Expectativa de Perdida Anualizada ( ALE )

Expectativa de perdida Individual X Indice
de Ocurrencia Anualizado
Enfoques del Análisis de Riesgos

n Enfoque Cuantitativo
Recurso Amenaza Valor del Expectativa de Frecuencia Expectativa de
recurso perdida individual anualizada perdida
(SLE) anualizada
(ALE)
Instalación Incendio $560,000 $ 230,000 .25 $57,500

Secreto Robado $43,500 $40,000 .75 $ 30,000

comercial

Servidor de Falla $11,500 $11,500 .5 $5,750

archivos

Datos Virus $8,900 $6,500 .8 $5,200

Información Robado $323,500 $300,000 .65 $195,000

de tarjetas de
crédito del
cliente
Enfoques del Análisis de Riesgos

n Enfoque Cualitativo
u No asigna números ni valores monetarios a los elementos del
riesgo

u Se basan en diferentes escenarios de posibilidades de

amenazas y su clasificación correspondiente

u Las técnicas del análisis cualitativo incluyen el juicio, la

intuición y la experiencia

u Técnicas cualitativas: Delphi, Brainstorming, Focus Groups,

Encuestas, Cuestionarios,
One-on-One Meetings
Enfoques del Análisis de Riesgos

n Enfoque Cualitativo
AMENAZA =
El acceso de un Severidad Probabilidad Perdida Efectividad Efectividad Efectividad
hacker a de la de que la potencial para del firewall del sistema del honeypot
información amenaza amenaza la compañía de detección
confidencial ocurra de intrusión

Director IT 4 2 4 4 3 2

Administrador de 4 4 4 3 4 1
bases de datos

Programador de 2 3 3 4 2 1
la aplicación

Administrador 3 4 3 4 4 2
del red

Administrador 5 4 4 4 4 2
operacional

Resultados 3.6 3.4 3.6 3.8 3.0 1.4

 Los riesgos y la estrategia de seguridad

¿cómo se maneja un riesgo?

n Para administrar un riesgo, se pueden tomar varias

alternativas:
u Tolerarlo
u Transferirlo
Decisión
u Mitigarlo
Y en algunos casos
u Evitarlo

n Las alternativas serán determinadas por la relación:

u Costo – Riesgo
 2006

Metodologías de
Análisis de
Riesgos

MANCERA, S. C.
Antecedentes

¿Cuál es la mejor? BS7799-3 ISO27005

 2006

Estrategia y Arquitectura
de Seguridad
¿ En donde queda el Risk Management ?

MANCERA, S. C.
Road Map de una Arquitectura de Seguridad
I. Análisis de III. Desarrollo de VII. Funciónde Seguridad
Vulnerabilidades Normatividad Informática
ACTIVOS • Aplicaciones
CRITICOS críticas. • Políticas • Establecimiento
• Estándares • Objetivos
• Infraestructura • Guías • Roles y Responsabilidades
tecnológica • Procedimientos y procesos • Funciones
crítica.
• Análisis de
vulnerabilidades
herramientas de IV. Análisis de Riesgos de VI. Estrategia de Seguridad
seguridad Seguridad • Definición de prioridades y
• Determinación de la proyectos de seguridad
• Evaluación de importancia de los riesgos • Recuperación de
controles • Participación de la desastres
Dirección General y • Seguridad en
• Gente Direcciones de Área aplicaciones
• Seguridad de Personal

V. Adquisición e instalación
II. Corrección de de herramientas VIII. Programa de
Vulnerabilidades • Herramientas Especializadas: Concientización en
• Manejo de virus,malware Seguridad
• vulnerabilidades • Todas las regiones
• Firewalls e IDS
• Áreas de Negocio y
• Monitoreo de
• Implantación de Sistemas
infraestructura
controles preventivos
• SW de control de acceso
Resultado del Analisis de Riesgos

1. Seguridad de Aplicaciones

2. Planeación de Recuperación de Desastres

3. Seguridad Organizacional

4. Seguridad de Personal

5. Seguridad de Soporte y Operaciones de

Cómputo

6. Administración y Control de Activos

7. Cumplimiento

8. Seguridad Física y Ambiental

9. Control de Acceso

10. Políticas de Seguridad

 La estrategia de seguridad
Planeación de Recuperación de Desastres
Estrategia de
Seguridad Seguridad en Aplicaciones

Seguridad de Personal

Primeras acciones de corto plazo

Administración y Control de Activos

Seguridad Organizacional
Estrategia de Seguridad
Seguridad de Operaciones de Cómputo
• Definición de prioridades y
proyectos de seguridad
Seguridad Física y Ambiental
• Seguridad en
aplicaciones Políticas de Seguridad
• Recuperación de
desastres
• Seguridad de Personal Cumplimiento

Control de Acceso
Corto plazo
Programa de Capacitación en Seguridad
Mediano Plazo

Largo Plazo
Centro de Respuesta a Incidentes de Seguridad

Mandatorio
Estrategia de seguridad

n La estrategia de seguridad deberá:

u Estar alineada a las necesidades de negocio.

u Estar basada en el análisis y administración de riesgos.

u Proveer una relación costo - riesgo aceptable.

u Permitir operar de manera segura y confiable.

u Manejar el Riesgo Residual.

Estrategia de seguridad
¿La problemática de la estrategia?

n Conocer los riesgos y su importancia no significa tener una

estrategia.

n Iniciar por cada riesgo particular como un evento aislado no

proporcionará una estrategia, sino controles aislados.

n Un control invariablemente mitiga mas de un riesgo.

n Un control que mitiga un riesgo de prioridad 1

tiene mas valor que un control que mitiga un
riesgo de prioridad 3.
Estrategia de seguridad

¿La problemática de la estrategia?

n El Grado de Contribución que cada control aporta para mitigar

uno o más riesgos varia de un control a otro.

n El problema se complica cuando deseamos incorporar costos.

Las relaciones costo – riesgo no siempre son claras.

n La estrategia debe permitir operar bajo un nivel de riesgo de

seguridad aceptable para toda la organización y a un costo
razonable.
Estrategia de seguridad

n El origen para la estrategia: Los riesgos priorizados

C B A

ALTO

Respaldos

Control de
Acceso

C B Planeación de la B
Ambiente de continuidad del
seguridad red negocio
MEDIO

Contorles codigo
malicioso
Control de
cambios
Fuentes de poder
Seguridad en las
Instalaciones
D C C
BAJO

BAJO MEDIO ALTO

Estrategia de seguridad
Construcción de la Matriz de Contribución
n En las Columnas se incluyen los “outcomes”, o bien, “lo que
quiero obtener”.

n La información que aquí se incluye son los riesgos que quiero

mitigar, ordenados en función de su importancia.

n En las Líneas se incluyen los “inputs”, o bien, “como lo voy a

hacer”.

n La información que aquí se incluye son los controles que me

permitirán mitigar los
riesgos de las columnas.
Estrategia de seguridad

n Matriz de Contribución

OUTCOMES

Disp. de Ctr. BCP Seguridad

Información Acceso de Red

Respaldos

Control de
I Cambios
N
P Administración
U de la
T configuración
S Herramienta de
Single Sign-on
Scaner de
vulnerabilidades
Planeación de la
continuidad
Estrategia de seguridad
Grado de Contribución Específica de los controles

n Por cada riesgo existente en la organización, se debe identificar el

nivel de contribución que le proporcionan los controles
tecnológicos para que sea mitigado.

n Esta labor es desarrollada por expertos tecnológicos y

funcionales de la organización.

n Debe cuidarse la dispersión entre las opiniones.

n RESULTADO: Grado de contribución de cada

control a cada riesgo identificado.
Estrategia de seguridad

n Matriz de Contribución
OUTCOMES

Disp. de Ctr. Acceso BCP Seguridad

Información de Red

Respaldos 6.8 1.2 6.1 0

I Control de Cambios 1.3 2.4 3.2 3

N
P Administración de la
2.3 5.1 2.1 6.8
U configuración
T Herramienta de
S 4.5 1.1 3.9 3.3
Single Sign-on
Scanner de
2.8 5.4 0.3 3.5
vulnerabilidades
Planeación de la
6.1 0.1 9.9 0.2
continuidad
TOTAL 190.4 107.1 153 84
Estrategia de seguridad

Grado de Contribución General de los controles

n Por cada control se obtiene el nivel de riesgo mitigado en

función de la Contribución Específica y de la importancia del
riesgo.

n Los resultados son ponderados y se obtiene la importancia

del control en la mitigación del riesgo.

n RESULTADO: Grado de contribución de cada control para

mitigar el riesgo global de seguridad.
Estrategia de seguridad

n Matriz de Contribución
OUTCOMES

Disp. de Ctr. BCP Seguridad TOTAL Importancia

Información Acces de Red del Control
o
8 7 6 5
Respaldos 6.8 1.2 6.1 0 99.4 18.60
I
N Control de
1.3 2.4 3.2 3 61.4 11.49
P Cambios
U Administración de
T 2.3 5.1 2.1 6.8 100.7 18.84
la configuración
S
Herramienta de
4.5 1.1 3.9 3.3 83.6 15.64
Single Sign-on
Scaner de
2.8 5.4 0.3 3.5 79.5 14.87
vulnerabilidades
Planeación de la
6.1 0.1 9.9 0.2 109.9 20.56
continuidad
TOTAL 190.4 107.1 153 84 534.5 100.00
Estrategia de seguridad

Análisis costo - riesgo / Estrategia de Seguridad

n Por cada control se obtiene el costo de su diseño, desarrollo,

adquisición, implantación, etc.

n Con base en la importancia del riesgo, el grado de

contribución global del control y el costo del mismo se
decide la Estrategia de Seguridad.

n RESULTADO: Estrategia de seguridad basada en una

relación costo - riesgo.
Estrategia de seguridad
n Matriz de Contribución
OUTCOMES

Disp. de Ctr. BCP Segurida TOTA Importanci Costo Costo -

Informació Acceso d de Red L a del del Riesgo
n Control Control
USD
8 7 6 5
Respaldos
6.8 1.2 6.1 0 99.4 18.60 $35,000 $35,000

Control de
Cambios
1.3 2.4 3.2 3 61.4 11.49 $12,000
Next
Year
ü
I Administración

ü
N de la 2.3 5.1 2.1 6.8 100.7 18.84 $6,800 $6,800
P configuración
U Herramienta de $230,00 Next
T 4.5 1.1 3.9 3.3 83.6 15.64
Single Sign-on 0 Year
S
Scaner de Next
2.8 5.4 0.3 3.5 79.5 14.87 $43,000
vulnerabilidades Year
Planeación de la
6.1 0.1 9.9 0.2 109.9 20.56 $65,000 $65,000

ü
continuidad
TOTAL $391,00

ü
190.4 107.1 153 84 534.5 100.00 $106,800
0
 2006

¿ Preguntas ?

Muchas Gracias
Adrián Palma, CISSP,CISA,CISM,ISO27001
presidencia@alapsi.org
adrian.palma@integridata.com.mx

MANCERA, S. C.