Beruflich Dokumente
Kultur Dokumente
Comprender y aplicar los mtodos y elementos que permitan planificar el desarrollo de una arquitectura de seguridad, con base en la identificacin y anlisis de amenazas, ataques y vulnerabilidades en los sistemas y redes de cmputo, enmarcados en una base tica.
Temario
1. Fundamentos tericos 2. Modelos de seguridad 3. Administracin de riesgos
1. Anlisis de riesgos, amenazas, vulnerabilidades 2. Exposicin, adversarios, evento de seguridad
Definiciones
La principal funcin de la administracin de riesgos es la de mitigar los riesgos, que es reducir los mismos hasta que alcancen un nivel aceptable para la Organizacin
La Administracin de Riesgos es una parte fundamental de los procesos de negocios de una Organizacin
8
Definiciones
Amenaza: Es una actividad deliberada o involuntaria con el potencial de daar un sistema de cmputo.
Pueden ser
Definiciones
Vulnerabilidad: Error o debilidad que permite daar la actividad de un sistema. La debilidad se puede hallar en los procedimientos de seguridad, en la administracin informtica, en los controles y tcnicas operativas, etc. Es un control o una medida de seguridad faltante, mal implantada o mal administrada Las vulnerabilidades pueden ser:
Inherentes al sistema Por falta de un control
10
Definiciones
Riesgo: Es una combinacin de la posibilidad de que ocurra que una amenaza se encuentre con una vulnerabilidad (la explote) y que la severidad del impacto sea adverso para la organizacin causando dao o perjuicio.
11
13
Definiciones: Amenazas
Amenazas: Su Naturaleza
Robo Vouyerismo Fraudes Vandalismo Extorsin Ataques a la sociedad y su privaca
Su motivacin psicolgica es la misma en ambos ambientes: Vida real y ciberespacio Nada en el ciberespacio es nuevo! Pornografa, Cultos Bizarros, robo, etc.
Automatizacin de los ataques (Scripts) Accin a distancia, no hay distancias fsicas para los ataques (Citibank) Velocidad de propagacin (virus)
14
Definiciones: Amenazas
Amenazas Criminales
Fraude (Cheques, tarjetas crdito, ATMs) Scams (tranzas) (Pirmides, remates, cadenas) Ataques destructivos (Revanchas, venganzas) Robo de propiedad intelectual (Piratera) Robo de identidad Robo de marcas registradas (marca = reputacin)
Internas a la empresa con intenciones maliciosas No los detectan los firewalls, IDS, etc.
15
Definiciones
Exposicin: es una instancia especfica, de una condicin en que se est indebidamente expuestos a alguna prdida o dao, como resultado de que ocurran uno o ms eventos de amenazas
16
Definiciones
Evento de seguridad: Es cuando una amenaza encuentra una vulnerabilidad y la explota para causar daos. Los eventos son de diferente impacto. Qu puede pasar? (Amenaza) Si pasa, qu tan malo puede ser? (Impacto) Qu tan frecuente podra ocurrir? (Frecuencia anualizada de la amenaza) Con qu certeza estoy respondiendo estas preguntas? (Incertidumbre) La incertidumbre es el foco principal del manejo de los riesgos
17
Definiciones
Exploit (Explotar): Sacar provecho. Utilizar en provecho propio, por lo general de un modo abusivo, las cualidades o sentimientos de una persona, de un suceso o de una circunstancia cualquiera. Utilizar algo para sacar o tomar ventaja de sobre algo o sobre alguien. En seguridad Informtica.- Sacar provecho de una debilidad de un sistema para ocasionar un comportamiento que no haya sido anticipado y/o no sea intencionado desde su origen, para poder ganar control del sistema, permitiendo al atacante:
1. 2. 3. 4. Una escalada de sus privilegios Una negacin de servicios, Una prdida, modificacin o divulgacin de datos, o Una prdida financiera
18
19
Ni las amenazas ni las vulnerabilidades individuales o combinadas causan que ocurra por ellas un exploit Se requiere que una amenaza (amenaza + agente amenaza) combinada con una vulnerabilidad para introducir la posibilidad de un exploit Incluso ante la situacin de que una amenaza combinada con una vulnerabilidad existan en la misma tecnologa, la probabilidad de que la amenaza se materialice va de baja a alta Si una amenaza combinada con una vulnerabilidad existe en la misma tecnologa, la probabilidad de que la amenaza se materialice sea alta, todava falta que se presente la posibilidad que se realice un exploit. No obstante del hacho que una amenaza se aproveche de una vulnerabilidad (exploit) no necesariamente significa que se presente un dao para la organizacin 20
Ejemplos de Eventos
1. Interrupcin de los servicios de Cmputo
Amenazas externas como fallo de servicios de energa y comms.
2.
Daos fsicos
HW daado o destruido que necesite ser reemplazado por causas de fallo o violencia Ataques a medios de almacenamiento, quedando inservible o parcialmente lebles.
3.
4.
5.
Robos fsicos
21
1.
Requerimientos regulatorios Salidas de emergencia, equipos y alarmas contra incendios, equipos salvavidas Costo insignificante de mucho beneficio Uso de llaves para salvaguardar documentos y candados para asegurar equipos mviles Costo razonable y necesarios Respaldos peridicos en cintas; manejo off-site de respaldos; borrado y destruccin de medios de almacenamiento masivo Otros controles independientes de su costo asociado Sistemas de deteccin de intrusos fsicos; Sistemas de deteccin de movimiento en el centro de cmputo; uso de CCTV
2.
3.
4.
22
Esquema
23
24
25
26
27
La Direccin General de una Organizacin es el dueo funcional de los activos informticos de la misma
28
Concepto
Administracin de Riesgos
Definicin
Es el costo total de identificar, controlar y minimizar el impacto de eventos inciertos. La meta de la administracin de riesgos es reducir el riesgo a un nivel aceptable y tolerable.
29
Concepto
Anlisis de Riegos
Definicin
Es una tcnica para identificar y evaluar los factores que pueden poner en riesgo el xito de un proyecto o alcanzar una meta. Esta tcnica tambin ayuda a definir medidas de prevencin que reduzcan la probabilidad de ocurrencia de estos factores, e identificar contramedidas de proteccin para enfrentar con xito los mismos. Un anlisis de riesgos se debe efectuar siempre que se vaya a erogar un gasto o un recurso en un proyecto
30
Concepto
Evaluacin de Riesgos
Definicin
Es el clculo del riesgo. El riego es una amenaza que ataca (explota) alguna vulnerabilidad que pueda ocasionar daos a un activo de la Organizacin. El resultado del clculo del riesgo est en funcin de los activos, amenazas y vulnerabilidades.
Riesgo = (ValordelAc tivo * Amenaza * Vul _ nerabilida d )
1 n
Con un proceso de evaluacin de riesgos adecuado, solamente aquellos controles y contramedidas realmente necesarias sern implementados.
Concepto
Mitigacin de riegos
Definicin
Es el proceso con el cual una Organizacin implementa controles y contramedidas de proteccin para prevenir que ocurran los riesgos identificados.
32
Concepto
Definicin
Es la revisin y evaluacin sistemtica de la Evaluacin de infraestructura crtica, los sistemas interconectados en vulnerabilidades y controles el cual residen. Es la evaluacin objetiva de la efectividad de las contramedidas y controles implementados Su entregable o producto final es para determinar que tan adecuados son los controles de seguridad instrumentados, identificar sus deficiencias, considerar y evaluar alternativas y verificar la eficacia de estas medidas despus de haberlas instrumentado
33
Anlisis An de Riesgos
34
Anlisis de Riesgos An
Cuantitativos
Anlisis de Riesgos
FRAAP Cualitativos Informal 30 Minutos
35
Anlisis de Riesgos An
36
Anlisis de Riesgos An
Procesos Cuantitativos
1. Identificacin de Activos y sus valores 2. Identificacin detallada de las amenazas 3. Clculo del factor de exposicin 4. Clculo y determinacin del costo por la prdida esperada ante un evento de seguridad por una sola amenaza 5. Estimacin del nmero de ocurrencias del evento en un ao de esa amenaza 6. Estimacin de la prdida anual por la ocurrencia del evento por esa amenaza
37
Definiciones
Asset: Es un recurso, un proceso, producto, infraestructura tecnolgica, datos, informacin, etc. que la Organizacin determina que debe ser protegido. La prdida o interferencia del activo puede afectar y poner en riesgo la disponibilidad, confidencialidad, integridad o el valor financiero del mismo o de la propia Organizacin. Asset Value (AV): Est integrado por todos los elementos relacionados con el activo. Ej. Su creacin, desarrollo, soporte, reemplazo, credibilidad pblica, costos de propiedad y los propios costos del activo. Factor de exposicin (EF): Representa el porcentaje (%) de prdida cuando un evento de seguridad se presenta en un activo especfico. Este valor es necesario para calcular el SLE.
38
Definiciones
Annualized Rate of Occurrence (ARO): Es un nmero que representa la frecuencia estimada con la cual se espera que una amenaza pueda ocurrir en un ao. La manera de encontrar este nmero puede llegar a ser muy complicada (Ej. Compaas de seguros y Actuarios). Usualmente est basado en la posibilidad de ocurrencia de un evento y la cantidad de empleados en la Organizacin que pudieran hacer ocurrir ese error o evento. El costo de que ocurra ese evento no concierne a este punto, solamente que tan frecuente puede ocurrir el mismo.
39
Definiciones
Annualized Loss Expectancy (ALE): Es un cantidad monetaria ($), derivada de la frmula Es la prdida financiera anualizada para una Organizacin en caso del evento de seguridad por una amenaza. Ejemplo: SLE = $100,000 USD ARO= 0.001 ocurrencia anual (1 ocurrencia cada 1,000 aos) ALE= 100,000*0.001=$100 USD
Definiciones
Single Loss Expectancy (SLE): Es una cantidad monetaria ($) asignada a un evento de seguridad informtico. Representa la prdida financiera de una sola amenaza. Tambin es utilizado para determinar un evento catastrfico para el clculo de evaluacin de impacto al negocio (BIA Business Impact Assessment)
41
Anlisis de Riesgos An
El anlisis de riesgos cualitativos busca asignarle valores menos tangibles y mtricos (Alto, Medio, Bajo) a los componentes del anlisis de riesgos.
42
Anlisis de Riesgos An Herramientas de apoyo para los Procesos Cualitativos Tcnica Delphi Brainstorming Storyboarding Questionaries Checklists
43
El anlisis de riesgos cualitativos busca asignarle valores menos tangibles y mtricos (Alto, Medio, Bajo) a los componentes del anlisis de riesgos.
Tcnica Delphi Brainstorming Storyboarding Questionaries Checklists Con la informacin de anlisis de impacto y probabilidad, se genera un lista priorizada de riesgos, de acuerdo al efecto potencial sobre los objetivos del proyecto. El impacto y probabilidad se pueden calcificarn de acuerdo a la siguiente escala: Impacto: Probabilidad: Alto, Moderado y Bajo Alta, Moderada y Baja
44
45
Definiciones
Riesgo residual
Ningn sistema o ambiente es 100% seguro, lo que significa que siempre existe un nivel de riesgo con el que se tiene que lidiar al final del da, este nivel de riesgo remanente es el Riesgo Residual
46
El costeo de los activos crticos para la Organizacin Una lista detallada de las amenazas significativas La probabilidad de que ocurra cada una de esas amenazas y su posible tasa de ocurrencia La prdida potencial por amenaza, el impacto financiero de que una amenaza se presente sobre un activo Relacin de medidas propuestas para remediar las amenazas con sus respectivas contramedidas de proteccin y costos
49
50
Es un procedimiento usado para estimar las expectativas de las prdidas potenciales que puedan resultar de un evento de seguridad informtica, as como identificar el dao que puede ocurrir si se presenta el evento
51
53
Definiciones
Contramedidas o Controles
Son los mecanismos de proteccin que se aplican para mitigar las amenazas o las vulnerabilidades de un sistema. Antes que nada, estas deben ser de buen sentido comn, esto significa que deben ser factibles, efectivas y sus costos menores al impacto que pudiera ocasionar un evento de seguridad con una amenaza. Contramedidas (Safeguards) Aplicacin Configuracin de software Hardware Procedimientos
Costo de la contramedida para la Organizacin = ALE (antes de la contramedida) ALE (despes de implementarla) Costo anual de la contramedida
54
56
57