Adminis Traci On

Administracin de Riesgos
en Seguridad Informtica
Objetivo
Proveer informacin complementaria para la
aplicacin de la Administracin de Riesgos en
Ambientes Informticos
Agenda
Qu es Administracin de Riesgos?
Proceso de Administracin de Riesgos
Herramienta gerencial
que apoya la toma de
decisiones organizacionales
facilitando con ello el
cumplimiento de los
objetivos del negocio
Proceso iterativo
basado en el
conocimiento,
valoracin,
tratamiento y
monitoreo de los
riesgos y sus impactos
en el negocio
RIESGOS
Aplicable a cualquier
situacin donde un
resultado no deseado o
inesperado podra ser
significativo en el
logro de los objetivos o
donde se identifiquen
oportunidades de
negocio
Proceso
Proyecto
Unidad
Organizacional
Sistema de
Informacin
Oportunidad
Ubicacin
Geogrfica
Proceso de Administracin de Riesgos

1. Establecer Marco General
2. Identificar Riesgos
3. Anlisis de Riesgos
4. Evaluar y Priorizar Riesgos
5. Tratamiento del Riesgo
Monitorear
Monitorear
yyRevisar
Revisar
1.1. Entender el Entorno
1.2. Entender la Oganizacin
1.3. Identificar Criterios de Calificacin

1.4.
1.4.Identificar
IdentificarObjetos
ObjetosCrticos
Crticos
Anlisis
Externo Criterios de Calificacin
1.3. Identificar
Aspectos financieros,
operacionales,
competitivos,Objetos Crticos
1.4.
Identificar
1.4. Identificar
Objetos Crticos
polticos (percepcin
/ imagen),
sociales, clientes, culturales y
legales
Stakeholders
Objetivos
Estrategias
Metodologa
Polticas
Criterios de Calificacin y Tablas de Valoracin

Universo de Objetos y Objetos Crticos Priorizados

1.3. Identificar Criterios de Calificacin
1.4.
1.4.Identificar
IdentificarObjetos
ObjetosCrticos
Crticos
Objeto 1
Objeto 2
Objeto 3
Objeto n
Criterio n
Criterio 8
Criterio 3
Criterio 4
Criterio 5
Criterio 6
Criterio 7
Criterio 1
Criterio 2
Qu y Cmo calificar - priorizar?
Qu calificar - Objetos?
Cmo dividir la organizacin?
Inters de la Direccin
Procesos Subprocesos
Proyectos
Unidades Orgnicas
Sistemas - Aplicaciones
Geogrficamente
Lista de Objetos
a los cules se les
puede realizar
Administracin
de Riesgos
Basado en Procesos (Negocio COBIT)

Planeacin estratgica de sistemas
Desarrollo de sistemas
Basado
en Sistemas
Evolucin o mantenimiento de sistemas
Integracin de paquetes de software
Capacitacin
Basado
Proyectos
Proceso deen
datos
en ambientes de trabajo en batch
Atencin a requerimientos de usuarios
Administrar servicios de terceros (incluye outsourcing)
Administracin
de proyectos
Basado
en Infraestructura
Administracin de la infraestructura informtica
Direccin y control del rea de tecnologa de informacin
Administracin de recursos materiales (equipo, tecnologa e instalaciones)
Administracin de recursos humanos
Administracin de recursos financieros
Basado en Sistemas
Para un sistema en particular

Basado
enProyectos
Programas
Archivos - Procedimientos
Eventos - Entrada Comunicacin Proceso Salida - Distribucin
Basado en Infraestructura
Basado en Sistemas
Basado en Proyectos
A Productos
Basado
en Infraestructura
Anlisis al Proceso
Basado en Sistemas
Datos
Sistemas de Informacin (Aplicaciones)
Tecnologa
SW de base y SMBD SW de Productividad
Basado
en(Equipos
Proyectos
Metodologas)
Instalaciones
Recursos Humanos
Elementos de Administracin
Basado
en Infraestructura
Recursos Financieros
Proveedores
Cmo calificar Criterios?
De Negocio
Prdida financiera
Prdida de imagen
Discontinuidad del negocio
Incumplimiento de la misin
Calidad del Control Interno
Competencia de la Direccin (entrenamiento, experiencia,
compromiso y juicio)
Integridad de la Direccin (cdigos de tica)
Cambios recientes en procesos (polticas, sistemas, o
Exposicin financiera
direccin)
Prdida y riesgo potencial
Tamao de la Unidad (Utilidades, Ingresos, Activos)
Requerimientos de la direccin
Liquidez de activos
Cambios importantes en operaciones,
Cambio en personal clave
programas, sistemas y controles
Complejidad de operaciones
Oportunidades de alcanzar beneficios
Crecimiento rpido
operativos
Regulacin gubernamental
Capacidades del persona
Condicin econmica deteriorada de una unidad
Presin de la Direccin en cumplir objetivos
Nivel de moral de los empleados
Exposicin poltica / Publicidad adversa
Distancia de la oficina principal
IIA
Cmo calificar Criterios Seguridad Informtica
Confidencialidad
Los activos de un sistema computacional son accedidos solo por personas autorizadas
El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o an solo conociendo la
existencia de un objeto
SECRETO, RESERVA, PRIVACIDAD
SOLO PERSONAS
AUTORIZADAS PUEDEN
VER DATOS PROTEGIDOS
Integridad
Disponibilidad
Previene la divulgacin no autorizada de datos
Cmo calificar Criterios
Seguridad Informtica
Los activos pueden ser modificados solo por partes
autorizadas o solo en formas autorizadas
La modificacin incluye escribir, cambiar, cambiar
estados, borrar y crear
PRECISIN, EXACTITUD, NO MODIFICADO,
MODIFICADO SOLO EN FORMAS ACEPTABLES,
MODIFICADO SOLO POR PERSONAS
AUTORIZADAS, MODIFICADO SOLO POR
Confidencialidad
PROCESOS AUTORIZADOS, CONSISTENCIA,
CONSISTENCIA INTERNA, SIGNIFICADO Y
RESULTADOS CORRECTOS
Integridad
ACCIONES AUTORIZADAS, SEPARACIN Y

PROTECCIN DE RECURSOS, Y DETECCIN Y
Disponibilidad
CORRECCIN DE ERRORES
CONTROL RIGUROSO DE QUIEN PUEDE
ACCEDER CUALES RECURSOS EN QUE
FORMAS
Previene la modificacin no autorizada de datos
Cmo calificar Criterios Seguridad Informtica
Los activos son accesibles a partes autorizadas
Aplica a datos y servicios
PRESENCIA DE OBJETOS O SERVICIOS
EN FORMA UTIL, CAPACIDAD PARA
CUMPLIR LAS NECESIDADES DE
SERVICIO, TIEMPO DE ESPERA
LIMITADO, TIEMPO DE SERVICIO
Confidencialidad
ADECUADO
RESPUESTA OPORTUNA, TOLEREANCIA
A FALLAS, UTILIDAD, CONCURRENCIA
CONTROLADA (Soporte para acceso
simultneo, administracin de concurrencia y
Integridad
acceso exclusivo)
Disponibilidad
NEGACIN O REPUDIACIN DEL

SERVICIO
Previene la negacin de acceso autorizado a
datosINDEPENDENCIA -
TRASLAPO
2. Identificar Riesgos
2.1. Establecer el Contexto de Administracin de Riesgos
2.2. Desarrollar Criterios de Valoracin de Riesgos
2.3. Definir la Estructura
2.4. Identificar riesgos
2.5. Identificar causas
Seguridad Informtica - Activos
Hardware
Software
Datos
Medios de almacenamiento
Redes
Acceso
Gente clave
Seguridad en Redes Activos (Componentes)
Hardware
Servidores, estaciones cliente, dispositivos de comunicacin (router, bridge,
hub, gateway, modem), dispositivos perifrico, cables, fibras
Software (o Servicios)
Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones,
herramientas (administrativas, mantenimiento, backup), software bajo desarrollo
Datos
De la organizacin: bases de datos, hojas electrnicas, procesamiento de palabra, email
De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria,
configuracin y parmetros de la red
De los usuarios: datos procesados personal, archivos de propiedad del usuario
Seguridad en Redes - Riesgos
R1 = Acceso no autorizado a la red o sus recursos
R2 = Divulgacin no autorizada de informacin
R3 = Modificacin no autorizada a datos y/o software
R4 = Interrupcin de las funciones de la red (no
disponibilidad de datos o servicios)
R4a = incluyendo perdida o degradacin de las
comunicaciones
R4b = incluyendo destruccin de equipos y/o datos
R4c = incluyendo negacin del servicio
R5 = Acciones engaosas en la red (no saber quien)
Information Security Risks
Physical Damage: Fire, water, power loss, vandalism

Human Error: Accidental or intentional action
Equipment malfunction: Failure of system
Inside and outside attacks: Hacking , cracking
Misuse of data:Sharing trade secrets
Loss od data: Intentional or unintentional loss
Application error: Computation errors, input errors
2. Cmo escribir Riesgos?
Riesgo
Riesgo
Concepto
Conceptousado
usadopara
paraexpresar
expresarincertidumbre
incertidumbresobre
sobre
"consecuencias
"consecuenciasy/o
y/oeventos
eventosque
quepodran
podranllegar
llegaraaimpactar
impactarelel
logro
logrode
delos
losobjetivos"
objetivos"
Consecuencia
Consecuencia
Resultado
Resultadode
deun
unevento
eventooo
situacin
situacinexpresado
expresado
cualitativa
cualitativaoo
cuantitativamente
cuantitativamente
Evento
Evento
Situacin
Situacinque
quepodra
podrallegar
llegaraa
ocurrir
ocurriren
enun
unlugar
lugar
determinado
determinadoen
enun
unmomento
momento
dado
dado
Causa
Causa
Evento
Eventoprimario
primariofundamento
fundamento
uuorgen
orgende
deuna
unaconsecuencia
consecuencia
2. Cmo escribir Riesgos?
Riesgo
Riesgo
Concepto
Conceptousado
usadopara
paraexpresar
expresarincertidumbre
incertidumbresobre
sobre
"consecuencias
"consecuenciasy/o
y/oeventos
eventosque
quepodran
podranllegar
llegaraaimpactar
impactarelel
logro
logrode
delos
losobjetivos"
objetivos"
Consecuencia,
Consecuencia,
Impacto,
Impacto,
Exposicin
Exposicin
ooResultado
Resultado
Evento,
Evento,
Amenaza
Amenaza
Causa,
Causa,
Evento
Evento primario
primario
ooSituacin
Situacin
Seguridad en redes Impactos Significativos
Violacin de la privacidad
Demandas legales
Perdida de tecnologa propietaria
Multas
Perdida de vidas humanas
Desconcierto en la organizacin
Perdida de confianza
Seguridad Informtica - Amenazas
Naturales
Accidentales
Deliberadas
Seguridad Informtica Amenazas Naturales
Origen
Amenaza directa
Terremotos,
tormentas
elctricas
Interrupcin de potencia,
temperatura extrema debido
a daos en construcciones,
Fenmenos
astrofsicos
Perturbaciones
electromagnticas
R4, R4a
Fenmenos
biolgicos
Muerte de personal crtico
R4, R4c
Impacto inmediato
R4, R4a, R4b
Seguridad Informtica Amenazas Accidentales
Origen
Amenaza directa
Impacto inmediato
Error del Usuario
Borrado de archivos, Formateo de

drive, mal empleo de equipos, errores
de entrada
R3, R4
Error del
Administrador
Configuracin inapropiada de
parmetros, borrado de informacin
R1: R2, R3, R4, R5
Fallas de equipos
Problemas tcnicos con servidores de

archivos, servidores de impresin,
dispositivos de comunicacin,
estaciones cliente, equipo de soporte
(cintas de back-up, control de acceso,
derrame de caf)
R3, R4, R4b
Seguridad Informtica Involucrados
Amateurs
Hackers
Empleados maliciosos
Rateros
Crackers
Vndalos
Criminales
Espas (gobiernos
forneos)
Terroristas
Seguridad Informtica Vulnerabilidades
Caractersticas o debilidades en el sistema de seguridad que
pueden ser explotadas para causar daos o perdidas (facilitan la
ocurrencia de una amenaza)
Interrupcin: un activo se pierde, no est disponible, o no se
puede utilizar
Intercepcin: alguna parte (persona, programa o sistema de
computo) no autorizada accede un activo
Modificacin: una parte no autorizada accede y manipula
indebidamente un activo
Fabricacin: Fabricar e insertar objetos falsos en un sistema
computacional
Interrupcin (Negacin del Servicio)
Intercepcin (Robo)
Hardware
Actos Involuntarios/Accidentales Intencionales/Voluntarios que
limitan la disponibilidad
Software
Datos
Destruccin
Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas,
Ataques fsicos, Bombas
Robo
Borrado accidental o destruccin de
programas
Robo - Copia ilcita de programas
Hardware
Causar fallas o errores
Salvar una copia mala de un
Software
programa Datos
destruyendo una buena,
Programas modificados (cambio de
bits, de instrucciones bombas
Interrupcin (Borrado)
lgicas, efectos colaterales)
Intercepcin
Caballos de Troya, Virus, Puerta
Modificacin
falsa, Fuga de Informacin
Robo
Seguridad
Informtica Vulnerabilidades
Confidencialidad lneas
derivadas, recipientes de basura,
soborno a empleados claves,
inferencia, preguntando, compra
Hardware
Programas maliciosos Tcnica de
salami, utilidades
del sistema de
Software
archivos, facilidades de
comunicacin defectuosas
Reprocesamiento de datos
utilizados, adicionar registros en
una base de datos
Datos
Interrupcin (Perdida)
Intercepcin
Modificacin
Fabricacin
3. Analizar Riesgos
3.1. Valorar Riesgo Inherente
3.2. Determinar Controles Existentes
3.3. Identificar Nivel de Exposicin
Valorar el posible dao que puede ser causado
Cmo valorar riesgo?
Probabilidad x Impacto
Frecuencia x Impacto
Inherente
Nivel de exposicin
Residual
Controles en Seguridad
Controles
Administrativos
Politcas, Estndares,
Procedimientos,
Guas,
Entrenamiento
Controles Tcnicos
Acceso lgico,
controles,
encripcin,
dispositivos de seguridad,
Identificacin y autenticacin
Controles fsicos
Proteccin de instalaciones,
Guardias, candados,
Monitoreo,
Controles ambientales
Controles en Seguridad
Medidas protectoras acciones, dispositivos, procedimientos o
tcnicas que reducen una vulnerabilidad
Conf. Integ. Disp.
Encripcin
Administracin de la
Configuracin (Control de
Cambios a Programas)
Polticas
Controles de Hardware
Controles Fsicos (candados y
guardas)
Interr. Interc. Mod. Fab.
Valorar prioridades de riesgo
VALORAR Y
PRIORIZAR
RIESGOS
Riesgo aceptable?
Riesgo residual no aceptable
IDENTIFICAR
OPCIONES DE
TRATAMIENTO
Reducir
probabilidad
SI
Aceptar
NO
Reducir
consecuencia
Transferir
total o
parcialmente
Evitar
Considerar factibilidad, costos y beneficios, y niveles de riesgo

EVALUAR
OPCIONES DE
TRATAMIENTO
Recomendar estrategias de tratamiento
Monitorea
Monitorea
rryyRevisar
Revisar
Seleccionar estrategia de tratamiento

PREPARAR
PLANES DE
TRATAMIENTO
IMPLEMENTAR
PLANES DE
TRATAMIENTO
Preparar planes de tratamiento para reducir, transferir o

evitar el riesgo, financiando cuando sea apropiado
Reducir
probabilidad
Reducir
consecuencia
Transferir
total o
parcialmente
Porcin
transferida
Porcin
retenida
NO
Riesgo residual aceptable?
Evitar
SI
Retener
Asegurar la efectividad costo/beneficio de los controles
Dnde invertir?
Principio de la Adecuada Proteccin: Los tems deben ser protegidos
solo hasta que ellos pierden su valor y deben ser protegidos de
manera consistente con su valor
Hardware
Software
Datos
Variables:
Cantidad de involucrados
Esfuerzo de Aseguramiento
Valor del activo
Duracin del Activo
Esfuerzo de deteccin de incidentes
Impacto en los objetivos del
negocio
Efectividad de la medida
Nivel de sofisticacin
Facilidad de uso
Bibliografa
Security in Computing Charles P. Pfleeger

Prentice Hall
Network Security - Analysis and Implementation January 1996 - MG-1 - http://www.cse.dnd.ca Government of Canad, Communications Security
Establishment (CSE)

Adminis Traci On

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Adminis Traci On

Hochgeladen von

Copyright:

Verfügbare Formate

Administracin de Riesgos

Proceso de Administracin de Riesgos

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

1.2. Entender la Oganizacin

1.3. Identificar Criterios de Calificacin

1.2. Entender la Oganizacin

Criterios de Calificacin y Tablas de Valoracin

Universo de Objetos y Objetos Crticos Priorizados

Basado en Procesos (Negocio COBIT)

Basado en Procesos (Negocio COBIT)

Para un sistema en particular

Basado en Procesos (Negocio COBIT)

Basado en Procesos (Negocio COBIT)

ACCIONES AUTORIZADAS, SEPARACIN Y

NEGACIN O REPUDIACIN DEL

2.2. Desarrollar Criterios de Valoracin de Riesgos

2.3. Definir la Estructura

2.4. Identificar riesgos

2.5. Identificar causas

Information Security Risks

Physical Damage: Fire, water, power loss, vandalism

Muerte de personal crtico

Error del Usuario

Borrado de archivos, Formateo de

R1: R2, R3, R4, R5

Problemas tcnicos con servidores de

R3, R4, R4b

3.2. Determinar Controles Existentes

3.3. Identificar Nivel de Exposicin

Valorar el posible dao que puede ser causado

Interr. Interc. Mod. Fab.

Valorar prioridades de riesgo

Considerar factibilidad, costos y beneficios, y niveles de riesgo

Recomendar estrategias de tratamiento

Seleccionar estrategia de tratamiento

Preparar planes de tratamiento para reducir, transferir o

Riesgo residual aceptable?

Asegurar la efectividad costo/beneficio de los controles

Security in Computing Charles P. Pfleeger

Das könnte Ihnen auch gefallen