Beruflich Dokumente
Kultur Dokumente
en Seguridad Informtica
Objetivo
Proveer informacin complementaria para la
aplicacin de la Administracin de Riesgos en
Ambientes Informticos
Agenda
Qu es Administracin de Riesgos?
Proceso de Administracin de Riesgos
Qu es Administracin de Riesgos?
Herramienta gerencial
que apoya la toma de
decisiones organizacionales
facilitando con ello el
cumplimiento de los
objetivos del negocio
Qu es Administracin de Riesgos?
Proceso iterativo
basado en el
conocimiento,
valoracin,
tratamiento y
monitoreo de los
riesgos y sus impactos
en el negocio
RIESGOS
Qu es Administracin de Riesgos?
Aplicable a cualquier
situacin donde un
resultado no deseado o
inesperado podra ser
significativo en el
logro de los objetivos o
donde se identifiquen
oportunidades de
negocio
Proceso
Proyecto
Unidad
Organizacional
Sistema de
Informacin
Oportunidad
Ubicacin
Geogrfica
2. Identificar Riesgos
3. Anlisis de Riesgos
Monitorear
Monitorear
yyRevisar
Revisar
Administracin de Riesgos
1. Establecer Marco General
1.1. Entender el Entorno
Administracin de Riesgos
1. Establecer Marco General
1.1. Entender el Entorno
Anlisis
Externo Criterios de Calificacin
1.3. Identificar
Aspectos financieros,
operacionales,
competitivos,Objetos Crticos
1.4.
Identificar
1.4. Identificar
Objetos Crticos
polticos (percepcin
/ imagen),
sociales, clientes, culturales y
legales
Stakeholders
Objetivos
Estrategias
Administracin de Riesgos
1. Establecer Marco General
Metodologa
1.1. Entender el Entorno
Polticas
Objeto 1
Objeto 2
Objeto 3
Objeto n
Criterio n
Criterio 8
Criterio 3
Criterio 4
Criterio 5
Criterio 6
Criterio 7
Criterio 1
Criterio 2
Administracin de Riesgos
Qu y Cmo calificar - priorizar?
Administracin de Riesgos
Qu calificar - Objetos?
Cmo dividir la organizacin?
Inters de la Direccin
Procesos Subprocesos
Proyectos
Unidades Orgnicas
Sistemas - Aplicaciones
Geogrficamente
Lista de Objetos
a los cules se les
puede realizar
Administracin
de Riesgos
Administracin de Riesgos
Qu calificar - Objetos?
Administracin de Riesgos
Qu calificar - Objetos?
Basado en Sistemas
Basado en Infraestructura
Administracin de Riesgos
Qu calificar - Objetos?
Basado en Sistemas
Basado en Proyectos
A Productos
Basado
en Infraestructura
Anlisis al Proceso
Administracin de Riesgos
Qu calificar - Objetos?
Basado en Sistemas
Datos
Sistemas de Informacin (Aplicaciones)
Tecnologa
SW de base y SMBD SW de Productividad
Basado
en(Equipos
Proyectos
Metodologas)
Instalaciones
Recursos Humanos
Elementos de Administracin
Basado
en Infraestructura
Recursos Financieros
Proveedores
Administracin de Riesgos
Cmo calificar Criterios?
De Negocio
Prdida financiera
Prdida de imagen
Discontinuidad del negocio
Incumplimiento de la misin
Calidad del Control Interno
Competencia de la Direccin (entrenamiento, experiencia,
compromiso y juicio)
Integridad de la Direccin (cdigos de tica)
Cambios recientes en procesos (polticas, sistemas, o
Exposicin financiera
direccin)
Prdida y riesgo potencial
Tamao de la Unidad (Utilidades, Ingresos, Activos)
Requerimientos de la direccin
Liquidez de activos
Cambios importantes en operaciones,
Cambio en personal clave
programas, sistemas y controles
Complejidad de operaciones
Oportunidades de alcanzar beneficios
Crecimiento rpido
operativos
Regulacin gubernamental
Capacidades del persona
Condicin econmica deteriorada de una unidad
Presin de la Direccin en cumplir objetivos
Nivel de moral de los empleados
Exposicin poltica / Publicidad adversa
Distancia de la oficina principal
IIA
Administracin de Riesgos
Cmo calificar Criterios Seguridad Informtica
Confidencialidad
Los activos de un sistema computacional son accedidos solo por personas autorizadas
El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o an solo conociendo la
existencia de un objeto
SECRETO, RESERVA, PRIVACIDAD
SOLO PERSONAS
AUTORIZADAS PUEDEN
VER DATOS PROTEGIDOS
Integridad
Disponibilidad
Previene la divulgacin no autorizada de datos
Administracin de Riesgos
Cmo calificar Criterios
Seguridad Informtica
Los activos pueden ser modificados solo por partes
autorizadas o solo en formas autorizadas
La modificacin incluye escribir, cambiar, cambiar
estados, borrar y crear
PRECISIN, EXACTITUD, NO MODIFICADO,
MODIFICADO SOLO EN FORMAS ACEPTABLES,
MODIFICADO SOLO POR PERSONAS
AUTORIZADAS, MODIFICADO SOLO POR
Confidencialidad
PROCESOS AUTORIZADOS, CONSISTENCIA,
CONSISTENCIA INTERNA, SIGNIFICADO Y
RESULTADOS CORRECTOS
Integridad
Administracin de Riesgos
Cmo calificar Criterios Seguridad Informtica
Los activos son accesibles a partes autorizadas
Aplica a datos y servicios
PRESENCIA DE OBJETOS O SERVICIOS
EN FORMA UTIL, CAPACIDAD PARA
CUMPLIR LAS NECESIDADES DE
SERVICIO, TIEMPO DE ESPERA
LIMITADO, TIEMPO DE SERVICIO
Confidencialidad
ADECUADO
RESPUESTA OPORTUNA, TOLEREANCIA
A FALLAS, UTILIDAD, CONCURRENCIA
CONTROLADA (Soporte para acceso
simultneo, administracin de concurrencia y
Integridad
acceso exclusivo)
Disponibilidad
TRASLAPO
Administracin de Riesgos
2. Identificar Riesgos
2.1. Establecer el Contexto de Administracin de Riesgos
Administracin de Riesgos
Seguridad Informtica - Activos
Hardware
Software
Datos
Medios de almacenamiento
Redes
Acceso
Gente clave
Administracin de Riesgos
Seguridad en Redes Activos (Componentes)
Hardware
Servidores, estaciones cliente, dispositivos de comunicacin (router, bridge,
hub, gateway, modem), dispositivos perifrico, cables, fibras
Software (o Servicios)
Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones,
herramientas (administrativas, mantenimiento, backup), software bajo desarrollo
Datos
De la organizacin: bases de datos, hojas electrnicas, procesamiento de palabra, email
De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria,
configuracin y parmetros de la red
De los usuarios: datos procesados personal, archivos de propiedad del usuario
Administracin de Riesgos
Seguridad en Redes - Riesgos
R1 = Acceso no autorizado a la red o sus recursos
R2 = Divulgacin no autorizada de informacin
R3 = Modificacin no autorizada a datos y/o software
R4 = Interrupcin de las funciones de la red (no
disponibilidad de datos o servicios)
R4a = incluyendo perdida o degradacin de las
comunicaciones
R4b = incluyendo destruccin de equipos y/o datos
R4c = incluyendo negacin del servicio
R5 = Acciones engaosas en la red (no saber quien)
Administracin de Riesgos
2. Cmo escribir Riesgos?
Riesgo
Riesgo
Concepto
Conceptousado
usadopara
paraexpresar
expresarincertidumbre
incertidumbresobre
sobre
"consecuencias
"consecuenciasy/o
y/oeventos
eventosque
quepodran
podranllegar
llegaraaimpactar
impactarelel
logro
logrode
delos
losobjetivos"
objetivos"
Consecuencia
Consecuencia
Resultado
Resultadode
deun
unevento
eventooo
situacin
situacinexpresado
expresado
cualitativa
cualitativaoo
cuantitativamente
cuantitativamente
Evento
Evento
Situacin
Situacinque
quepodra
podrallegar
llegaraa
ocurrir
ocurriren
enun
unlugar
lugar
determinado
determinadoen
enun
unmomento
momento
dado
dado
Causa
Causa
Evento
Eventoprimario
primariofundamento
fundamento
uuorgen
orgende
deuna
unaconsecuencia
consecuencia
Administracin de Riesgos
2. Cmo escribir Riesgos?
Riesgo
Riesgo
Concepto
Conceptousado
usadopara
paraexpresar
expresarincertidumbre
incertidumbresobre
sobre
"consecuencias
"consecuenciasy/o
y/oeventos
eventosque
quepodran
podranllegar
llegaraaimpactar
impactarelel
logro
logrode
delos
losobjetivos"
objetivos"
Consecuencia,
Consecuencia,
Impacto,
Impacto,
Exposicin
Exposicin
ooResultado
Resultado
Evento,
Evento,
Amenaza
Amenaza
Causa,
Causa,
Evento
Evento primario
primario
ooSituacin
Situacin
Administracin de Riesgos
Seguridad en redes Impactos Significativos
Violacin de la privacidad
Demandas legales
Perdida de tecnologa propietaria
Multas
Perdida de vidas humanas
Desconcierto en la organizacin
Perdida de confianza
Administracin de Riesgos
Seguridad Informtica - Amenazas
Naturales
Accidentales
Deliberadas
Administracin de Riesgos
Seguridad Informtica Amenazas Naturales
Origen
Amenaza directa
Terremotos,
tormentas
elctricas
Interrupcin de potencia,
temperatura extrema debido
a daos en construcciones,
Fenmenos
astrofsicos
Perturbaciones
electromagnticas
R4, R4a
Fenmenos
biolgicos
R4, R4c
Impacto inmediato
R4, R4a, R4b
Administracin de Riesgos
Seguridad Informtica Amenazas Accidentales
Origen
Amenaza directa
Impacto inmediato
R3, R4
Error del
Administrador
Configuracin inapropiada de
parmetros, borrado de informacin
Fallas de equipos
Administracin de Riesgos
Seguridad Informtica Involucrados
Amateurs
Hackers
Empleados maliciosos
Rateros
Crackers
Vndalos
Criminales
Espas (gobiernos
forneos)
Terroristas
Administracin de Riesgos
Seguridad Informtica Vulnerabilidades
Caractersticas o debilidades en el sistema de seguridad que
pueden ser explotadas para causar daos o perdidas (facilitan la
ocurrencia de una amenaza)
Interrupcin: un activo se pierde, no est disponible, o no se
puede utilizar
Intercepcin: alguna parte (persona, programa o sistema de
computo) no autorizada accede un activo
Modificacin: una parte no autorizada accede y manipula
indebidamente un activo
Fabricacin: Fabricar e insertar objetos falsos en un sistema
computacional
Administracin de Riesgos
Seguridad Informtica Vulnerabilidades
Interrupcin (Negacin del Servicio)
Intercepcin (Robo)
Hardware
Actos Involuntarios/Accidentales Intencionales/Voluntarios que
limitan la disponibilidad
Software
Datos
Destruccin
Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas,
Ataques fsicos, Bombas
Robo
Administracin de Riesgos
Seguridad Informtica Vulnerabilidades
Borrado accidental o destruccin de
programas
Robo - Copia ilcita de programas
Hardware
Causar fallas o errores
Salvar una copia mala de un
Software
programa Datos
destruyendo una buena,
Programas modificados (cambio de
bits, de instrucciones bombas
Interrupcin (Borrado)
lgicas, efectos colaterales)
Intercepcin
Caballos de Troya, Virus, Puerta
Modificacin
falsa, Fuga de Informacin
Administracin de Riesgos
Robo
Seguridad
Informtica Vulnerabilidades
Confidencialidad lneas
derivadas, recipientes de basura,
soborno a empleados claves,
inferencia, preguntando, compra
Hardware
Programas maliciosos Tcnica de
salami, utilidades
del sistema de
Software
archivos, facilidades de
comunicacin defectuosas
Reprocesamiento de datos
utilizados, adicionar registros en
una base de datos
Datos
Interrupcin (Perdida)
Intercepcin
Modificacin
Fabricacin
Administracin de Riesgos
3. Analizar Riesgos
3.1. Valorar Riesgo Inherente
Administracin de Riesgos
Cmo valorar riesgo?
Probabilidad x Impacto
Frecuencia x Impacto
Inherente
Nivel de exposicin
Residual
Administracin de Riesgos
Controles en Seguridad
Controles
Administrativos
Politcas, Estndares,
Procedimientos,
Guas,
Entrenamiento
Controles Tcnicos
Acceso lgico,
controles,
encripcin,
dispositivos de seguridad,
Identificacin y autenticacin
Controles fsicos
Proteccin de instalaciones,
Guardias, candados,
Monitoreo,
Controles ambientales
Administracin de Riesgos
Controles en Seguridad
Medidas protectoras acciones, dispositivos, procedimientos o
tcnicas que reducen una vulnerabilidad
Conf. Integ. Disp.
Encripcin
Administracin de la
Configuracin (Control de
Cambios a Programas)
Polticas
Controles de Hardware
Controles Fsicos (candados y
guardas)
VALORAR Y
PRIORIZAR
RIESGOS
Riesgo aceptable?
Riesgo residual no aceptable
IDENTIFICAR
OPCIONES DE
TRATAMIENTO
Reducir
probabilidad
SI
Aceptar
NO
Reducir
consecuencia
Transferir
total o
parcialmente
Evitar
Monitorea
Monitorea
rryyRevisar
Revisar
IMPLEMENTAR
PLANES DE
TRATAMIENTO
Reducir
consecuencia
Transferir
total o
parcialmente
Porcin
transferida
Porcin
retenida
NO
Evitar
SI
Retener
Administracin de Riesgos
Dnde invertir?
Principio de la Adecuada Proteccin: Los tems deben ser protegidos
solo hasta que ellos pierden su valor y deben ser protegidos de
manera consistente con su valor
Hardware
Software
Datos
Variables:
Cantidad de involucrados
Esfuerzo de Aseguramiento
Valor del activo
Duracin del Activo
Esfuerzo de deteccin de incidentes
Impacto en los objetivos del
negocio
Efectividad de la medida
Nivel de sofisticacin
Facilidad de uso
Bibliografa
Network Security - Analysis and Implementation January 1996 - MG-1 - http://www.cse.dnd.ca Government of Canad, Communications Security
Establishment (CSE)