Beruflich Dokumente
Kultur Dokumente
Security Xperts
NIVEL 4
Gestin global de Riesgos de los Sistemas Gestin del Proceso de seguridad Cumplimiento de la legislacin sobre seguridad
NIVEL 3
Planes Directores de Seguridad Polticas, procesos y procedimientos de seguridad Procesos de respuesta a incidentes
NIVEL 2
Adaptacin a ley de proteccin de datos (LOPD) Adaptacin a ley de servicios de la sociedad de la informacin y el comercio electrnico (LSSI-CE) Nivel medio actual en Espaa
NIVEL 1
2
Sentido comn
Controles bsicos: antivirus, cortafuegos, copias de seguridad (backups), usuarios y contraseas, etc.
Security Xperts
10%
15% 20%
Definicin de una poltica de seguridad
Security Xperts
Security Xperts
Seguridad perfecta
Riesgo
Nivel de implantacin y mantenimiento de mecanismos de seguridad (a mayor nivel mayor coste econmico)
Security Xperts
Security Xperts
Una amenaza es un evento o incidente provocado por una entidad hostil a la organizacin (humana, natural o artificial) que aprovecha una o varias vulnerabilidades de un activo con el fin de agredir la confidencialidad, integridad o disponibilidad de ese mismo activo o de otros activos de la organizacin (se dice que la amenaza explota la vulnerabilidad del activo) Las amenazas pueden ser externas o internas a la organizacin y pueden ser deliberadas o accidentales (por ejemplo en el caso de desastres naturales o negligencia sin intencin de dao por parte de personal de la organizacin)
8
Security Xperts
Ejemplos de Amenazas: Qu podra ocurrir? Errores Dao intencional / ataque Fraude Robo Falla de equipo / software Desastres naturales
Ejemplos de Vulnerabilidades: factores de riesgo que causan las amenazas Falta de conocimientos del usuario Falta de funcionalidad de la seguridad Configuracin inadecuada del cortafuegos Eleccin deficiente de contraseas Tecnologa no probada Transmisin por comunicaciones no protegidas Inexistencia de sistemas contra incendios
9
Security Xperts
Security Xperts
Security Xperts
Ejemplos de salvaguardas: Preventivos: Poltica de seguridad Formacin del usuario Controles de acceso Proveedores de seguridad gestionada (MSSP) Segregacin de funciones
Detectivos: Registro de logs, sistemas integrados de auditora Sistemas de deteccin de intrusos (IDS)
Correctivos: Copias de respaldo (back-ups) Plan de contingencias y continuidad de negocio
13
Security Xperts
Activos
Vulnerabilidades
generan
Amenazas Riesgos
14
Security Xperts
Impacto
implica
decisiones Riesgos
15
Security Xperts
implica
16
Security Xperts
Muy Alto
50
Alto
40
Medio
30
Bajo
20
Muy Bajo
10
17
>Determinacin de la frecuencia
> Evaluacin cualitativa > Para cada amenaza se evala la frecuencia de aparicin de la amenaza.
Frecuencia Muy Alta Alta Media Baja Valor 1 0,9 0,7 0,5 Definicin
Cuando la amenaza puede presentarse en periodos inferiores a 1 semana Cuando la amenaza puede presentarse en periodos inferiores a 2 meses Cuando la amenaza puede presentarse en periodos inferiores a 1 a o Cuando la amenaza puede presentarse en periodos inferiores a 5 aos Cuando la amenaza puede presentarse en periodos superiores a 5 aos
Muy Baja
0,3
18
Security Xperts
>Evaluacin de riesgos
IMPACTO
Alto (40) Alto 40 * 1,0 = 40 Alto 40 * 0,9 = 36 Medio 40 * 0,7 = 28 Bajo 40 * 0,5 = 20 Bajo 40 * 0,3 = 12
NIVEL DE RIESGO
Muy Alto Alto Medio Bajo Muy Bajo
Medio (30) Medio 30 * 1,0 = 30 Medio 30 * 0,9 = 27 Medio 30 * 0,7 = 21 Bajo 30 * 0,5 = 15 Muy Bajo 30 * 0,3 = 10
Bajo (20) Bajo 20 * 1,0 = 20 Bajo 20 * 0,9 = 18 Bajo 20 * 0,7 = 14 Muy Bajo 20 * 0,5 = 10 Muy Bajo 20 * 0,3 = 6
Muy Bajo (10) Muy Bajo 10 * 1,0 =10 Muy Bajo 10 * 0,9 = 9 Muy Bajo 10 * 0,7 = 7 Muy Bajo 10 * 0,4 = 4 Muy Bajo 10 * 0,2 = 2
Muy Alta (1,0) Alta (0,9) Media (0,7) Baja (0,5) Muy Baja (0,3)
Muy Alto 50 * 1,0 = 50 Muy Alto 50 * 0,9 = 45 Alto 50 * 0,7 = 35 Medio 50 * 0,5 = 25 Bajo 50 * 0,3 = 15
IMPACTO * FRECUENCIA
40 < Impacto * Frecuencia <= 50 30 < Impacto * Frecuencia <= 40 20 < Impacto * Frecuencia <= 30 10 < Impacto * Frecuencia <= 20 0 < Impacto * Frecuencia <= 10
19
>Evaluacin de riesgos
> Explotacin del anlisis de riesgos > Relacin de riesgos priorizados Apoyo a la decisin para: Planificacin de la implantacin de controles Asignacin de recursos
Descripcin y acciones necesarias Es imperativo aplicar de forma extremadamente urgente un proceso de identificaci n e implantacin de salvaguardas preventivas y reactivas. Este proceso, hasta su conclusin, debe ser considerado como el proceso de mxima prioridad para la Organizacin, an cuando pueda interferir temporalmente con procesos crticos del negocio o pueda interrumpir temporalmente su operatividad. Este riesgo NUNCA se puede asumir
Nivel de riesgos
Muy Alto
Alto
Es necesario aplicar tan pronto como sea posible un proceso de identificacin e implantacin de salvaguardas preventivas y reactivas. Este proceso, hasta su conclusin, debe ser considerado como un proceso de alta prioridad para la Organizaci n. El retraso o interrupcin temporal de este proceso slo debe estar justificado por motivos de continuidad de la operatividad del negocio o de alguno de sus procesos crticos. Este riesgo NUNCA se debe asumir
Es necesario aplicar en un perodo razonable de tiempo un proceso de identificacin e implantacin de salvaguardas preventivas y reactivas. Este proceso debe ser considerado como un proceso de prioridad est ndar y su ejecucin puede ser interrumpida temporalmente cuando interfiera con los procesos crticos del negocio. No es recomendable asumir este riesgo y slo se debera hacer en circunstancias excepcionales. Es factible demorar la implantaci n de salvaguardas, pero sin dejar pasar ms de 1 ao desde la finalizacin del presente anlisis El responsable de los activos deber ponderar si es necesario implantar salvaguardas o si por el contrario se asume el riesgo. En caso de que tome la decisin de aplicar salvaguardas pero demorando su implantaci n, no debera dejar pasar ms de 1 ao desde la finalizacin del presente anlisis. El proceso de implantacin de salvaguardas debe ser considerado como un proceso de prioridad est ndar y su ejecucin puede ser interrumpida temporalmente cuando interfiera con procesos del negocio (no necesariamente cr ticos)
Medio
20
Security Xperts
Estrategia gestionar el riesgo Asumir el riesgo no hacer nada Controlar implantar uno o varios controles Transfiere seguros o proveedor de servicios Seleccionar controles (catlogo de buenas prcticas ISO17799 u otros) Implantar controles Verificar controles
Security Xperts
>
22
Security Xperts
23
Security Xperts
Security Xperts
25
Security Xperts
>
Polticas y procedimientos:: > Documento de seguridad > Poltica de uso de Internet por los empleados > Polticas de copias de seguridad y planes de continuidad de negocio > Conformidad ISO 17799 / Certificacin UNE 71502 .A pesar de gestionar la seguridad, siempre existe un riesgo residual, al depender de su cumplimiento por las personas y, por tanto, no son 100% efectivas
26
Security Xperts
Seguridad perfecta
Riesgo
Nivel de implantacin y mantenimiento de mecanismos de seguridad (a mayor nivel mayor coste econmico) 27
Security Xperts
Seguridad perfecta
Riesgo
Plan de gestin de riesgos con cobertura de riesgo electrnico
Nivel de implantacin y mantenimiento de mecanismos de seguridad (a mayor nivel mayor coste econmico) 28
Security Xperts
29
Security Xperts
30
Security Xperts
Prdidas en el negocio por la imposibilidad de realizar comercio electrnico debido al ataque de hackers o virus
31
Security Xperts
32
Security Xperts
33
Security Xperts
> Los gastos de una consultora de relaciones pblicas para mitigar los daos producidos a su reputacin por cualquier siniestro cubierto bajo la pliza.
> Multas y Sanciones impuestas por la Agencia Espaola de Proteccin de Datos > Esta cobertura est condicionada a una Evaluacin satisfactoria por parte de firma profesional independiente sobre el cumplimiento de la LOPD con carcter previo
34
Security Xperts
Preguntas?
Muchas Gracias
fernando.aparicio@securityxperts.es
35
Security Xperts
No Derivative Works. You may not alter, transform, or build upon this work.
For any reuse or distribution, you must make clear to others the license terms of this work.
Any of these conditions can be waived if you get permission from the author. Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
36
Security Xperts