Principios fundamentales de la seguridad de la información: un enfoque tecnológico A/C Rosina Ordoqui.

Presentación del tema: "Principios fundamentales de la seguridad de la información: un enfoque tecnológico A/C Rosina Ordoqui."— Transcripción de la presentación:

1 Principios fundamentales de la seguridad de la información: un enfoque tecnológico A/C Rosina Ordoqui

2 Riesgos - Definiciones
Objetivos Comprender el concepto de riesgo y sus variables asociadas Distintas apreciaciones del riesgo Utilidad del riesgo. Medición y Control. Como se interpretan y generan matrices de riesgo En esta sección se presentarán los conceptos asociados con Riesgos. Desde que significa el riesgo y por qué es necesario, hasta las distintas percepciones del mismo. Luego para pasar a poder enmarcarlo y controlarlo, veremos como es útil para las empresas y por qué asociándolo [asociarlo] a los procesos de negocio y sus réditos. Veremos como para poder trabajar ya siendo conscientes del mismo, podemos clasificarlos y diseñar y tomar diferentes medidas [podemos clasificarlos, diseñar y tomar diferentes medidas] con el fin de mitigarlo al máximo posible y aceptar el remanente que quede sin cubrir por un tema de por ejemplo costos elevados de su mitigación. Las matrices de riesgo nos darán una visibilidad gráfica interesante a la hora de tratar con los riesgos. Mediante la observación de esta que proviene de un análisis completo de cada riesgo existente, podremos tener un panorama amplio y concreto para poder concentrarnos en el trabajo de control de los mismos y posicionarlos en la matriz en el lugar donde nos hemos planteado como objetivo organizacional que los mismos se encuentren.

3 Riesgos - Definiciones
Qué es el Riesgo? «Lo que depara la providencia» Hace referencia a la proximidad o contingencia de un posible daño Se define combinando dos factores clave: Probabilidad (de ocurrencia concreta del riesgo) Daño (potencial que podría el mismo causar) Riesgo proviene del italiano RISICO o RISCHIO, que también en árabe (RIZQ) significa «lo que depara la providencia» Suele utilizarse como sinónimo de peligro. Sin embargo para ser mas concretos y diferenciarlos llamaremos riesgo a la posibilidad (o probabilidad) de que un peligro llegara a materializarse. Es decir riesgo se vincula a la vulnerabilidad, mientras que peligro se asocia a la factibilidad del perjuicio o daño (impacto). En otras palabras, el peligro es una causa del riesgo. Existen distintos tipos de riesgo, los cuales surgen en diferentes ámbitos. Algunos ejemplos de riesgo pueden ser: El riesgo biológico, refiere a la posibilidad de contagio por enfermedades infecciosas o parasitarias. El riesgo laboral, refiere a la falta de estabilidad o seguridad en un trabajo. El riesgo financiero, se relaciona a la solvencia monetaria para pagar una deuda contraída, ya sea de una persona, compañía o país. Un país con grandes deudas que a su vez posee altos niveles de desocupación, producción baja y creciente inflación, presenta un riesgo financiero muy elevado para invertir en él. Por eso, será muy difícil para dicho país acceder a nuevos créditos, ya que presenta una realidad en donde pareciera poco probable que pudiera pagarlo. Por su parte el riesgo operacional es el que se refiere a fallos de distintas fuentes como técnicas o humanas.

4 Riesgos - Definiciones
Evento Impacto Probabilidad Evento: es lo que podría ocurrir. Los eventos pueden ser de origen natural por ejemplo terremotos, huracanes, inundaciones, etc. Riesgos de operación son los resultantes de cada operación como por ejemplo error en ingreso o borrado de datos, entre otros. Luego pueden existir riesgos de origen tecnológicos por ejemplo interrupciones de las comunicaciones, caída de servidores o servicios, etc. Impacto: refiere a que puede afectar y que tanto daño puede causar la materialización del riesgo. Esta es una medida a tener en cuenta para clasificar los riesgos. Por ejemplo es diferente la perdida asociada a una interrupción de un servicio por algunas horas debido a una caída en las telecomunicaciones que las pérdidas asociadas a un terremoto. Probabilidad: es la estimación de que tan factible y frecuente puede llegar a ocurrir. Si bien el impacto de algún evento puede ser muy elevado, si la probabilidad de que el mismo ocurra en la realidad de acuerdo al entorno (por ejemplo la probabilidad de un terremoto en Chile será distinta a la probabilidad de ocurrencia de un evento similar en Uruguay), puede ser casi despreciable.

5 Riesgos – Definiciones
En TI encontramos algunos riesgos: Ingeniería social Virus, troyanos, etc Phishing, Pharming Acceso no autorizado Algunos ejemplos de riesgos encontrados usualmente en el área de TI son los que se listan (si bien serán tratados con mayor profundidad mas adelante a continuación se describen brevemente) Ingeniería social: ataques que comprometen al desarrollo de técnicas de engaño a la gente de la empresa con el fin de obtener de forma sutil información para accesos, contraseñas, u otra información. Virus, troyanos: son programas específicos desarrollados para obtener información o destruirla. Phishing, Pharming: técnicas que emulan ser páginas originales por ejemplo de bancos pero que redireccionan al usuario para obtener información confidencial y robar la identidad del mismo. Acceso no autorizado: son riesgos que se desprenden de algunas de las técnicas anteriores y muchas otras para lograr acceso lógico o físico a los sistemas o instalaciones.

6 Riesgos y Negocio Rentabilidad Apetito al Riesgo – Aversión al Riesgo
LAS EMPRESAS NECESITAN ARRIESGAR! Esto es necesario para el Ingreso a Nuevos Mercados y el Lanzamiento de Nuevos Productos por ejemplo. Las operaciones mas riesgosas se traducen en mayores rentabilidades por lo general, por lo cual será mas atractivo una operación que involucre mas rentabilidad para un inversor pero deberá controlarse el riesgo para que se transforme en una operación controlada. APETITO AL RIESGO y AVERSION AL RIESGO: son los conceptos asociados a el gusto por la toma de riesgos o no.

7 Riesgos - Características
Características del Riesgo Riesgo Bruto: Es el riesgo en «bruto» como lo dice la palabra, es la sensación que se tiene respecto al mismo. Riesgo Neto o Real: Es el riesgo luego de evaluadas las condiciones reales o actuales. Riesgo Objetivo: Es el riesgo que deseamos o estamos dispuestos a asumir Riesgo Residual Es el riesgo que queda luego de la aplicación de medidas para contrarrestar el original y llevarlo al nivel del riesgo objetivo. Para definir los distintos riesgos a los cuales estaremos habituados a mencionar y/o escuchar presentaremos ejemplos que fijen estos conceptos. Riesgo bruto sería la sensación que tenemos sobre un determinado riesgo sin contemplar nada mas (por ejemplo «tirarse de un paracaídas» puede en principio darnos la sensación de estar asumiendo un gran riesgo) Riesgo Neto o Real es el riesgo luego de evaluadas las condiciones reales, por ejemplo el clima, el viento y otros factores que existan en la realidad que hagan que el anterior disminuya o aumente la sensación inicial, pero que de un panorama menos subjetivo del mismo. Riesgo Objetivo será el riesgo que pretenderemos alcanzar tomando las medidas necesarias para mitigar el real. En el ejemplo que seguimos será el de tomar las precauciones necesarias de acuerdo al riesgo tomado. Por ejemplo chequearemos que el equipo este en condiciones, y que el instructor sea idóneo !! Riesgo Residual es el riesgo que aun queda. Este riesgo que no puede ser eliminado, porque como ya lo mencionamos al principio en el curso de seguridad, no existe el 100% cuando hablamos de seguridad, y menos aun cuando asumimos RIESGOS.

8 Riesgos - Impactos en los Negocios
Como puede impactar en los negocios? RIESGO y RENTABILIDAD Invertir en Bonos de los EEUU a 6 meses Invertir en la Bolsa de Tokio Invertir en Bonos de Uruguay a 10 años Como se cuantifican las pérdidas? Si bien no todas las empresas toman riesgos de la misma forma. Dado que existen operaciones que son mas estables que otras y que presentan menos desviaciones, la toma de riesgos es un concepto inherente al negocio debido a que generalmente se ata al concepto de rentabilidad. En el ejemplo que presentamos tenemos diferentes opciones para invertir y un ejemplo claro de la toma de riesgos es el de la bolsa y mercado de «papeles». En estos deberemos estudiar factores como «riesgo país», la situación actual que cada país esté viviendo, los antecedentes, y el tiempo para la recuperación (o no) de la inversión. Hay casos en que cuantificar una pérdida es cuestión de números. Siempre y cuando estos hayan sido debidamente registrados. En otros casos como en pérdida de imagen esta cuantificación es muy difícil de lograr estimar. Es entonces en esta toma de decisiones basadas en riesgos en que debemos prestar especial atención cuando hablamos de seguridad. Aquí dejo una pregunta para pensar: «Cuanto cuesta que una página de pagos online esté fuera de servicio un par de días?»

9 Riesgos - Clasificación
Clasificación de los Riesgos: Hechos fortuitos Ataques externos Ataques internos Hay varios criterios posibles para clasificar riesgos. Una clasificación simple es según la fuente del problema: * Hechos fortuitos * Ataques externos (a través de la red) * Ataques internos (usando acceso directo a los sistemas, o privilegios de usuario normal) Los hechos fortuitos son los menos interesantes (Tal vez por ser menos "computacionales", pero no por eso menos destructivos: Por ejemplo una combinación de lluvias intensas, sala de máquinas subterránea, y respaldos guardados en el mismo subterráneo puede destruir completamente una empresa). Los ataques externos son los más temidos (el cine ha glorificado la figura del adolescente con un PC, un modem, y demasiado tiempo libre). Sin embargo, no son éstos los más frecuentes, ni por asomo los más dañinos. Los ataques internos son lejos los más frecuentes (las estadísticas indican que son el porcentaje mas elevado de los casos de ataques que se registran con efectos nocivos).

10 Riesgos – Matriz Matriz de Riesgos Para qué? Cálculo de impacto
Mediciones cuantitativas y cualitativas ¿Para qué? Para controlar y gestionar, normalmente utilizada para identificar las actividades (procesos y productos) más importantes de una empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una organización, al observar su evolución. Permite también llevar a niveles mas tangibles y unificar criterios para evaluar los diferentes riesgos provenientes de diversas fuentes. Mediante la ponderación del impacto y las estimaciones de probabilidades de cada evento se puede lograr transformar mediciones cualitativas (por ejemplo el efecto sobre la pérdida de imagen de una organización) en medidas cuantitativas (un numero en una escala predefinida).

11 Riesgos - Matriz Ejemplo de Matriz Un ejemplo de matriz de riesgos:
La zona roja es donde se encuentran los eventos en situaciones de mayor riesgo. Esta zona debería liberarse y trasladar los eventos que allí se encuentren a zonas mas bajas en principio hasta llegar a la zona verde en donde definimos que es un nivel de riesgo aceptable para la organización. El eje horizontal es la de impacto y el eje vertical es la de probabilidad. Ambos van desde un nivel bajo hasta elevado y cada evento será colocado en el cuadrante correspondiente de acuerdo a sus valores en la dupla (impacto, probabilidad). Fuente de la imagen:

12 Riesgos - Matriz El Riesgo no puede ser ELIMINADO
… pero puede ser TRATADO ADMINISTRACION DE RIESGOS : Se enfoca en el TRATAMIENTO DE RIESGOS Para llevarlos a niveles ACEPTABLES Como se menciono anteriormente el riesgo no puede ser llevado a un nivel cero, pero si se puede tratar mediante la toma de medidas y aplicación de controles para poder llevarlos a un nivel adecuado o aceptable. Para este fin existe el proceso de administración de riesgos. Este proceso tiene una serie de etapas que distintas metodologías lo encaran de formas diferentes .

13 TRATAMIENTO DEL RIESGO:
Riesgos - Matriz TRATAMIENTO DEL RIESGO: MEDIDAS PREVENTIVAS Actúan sobre la Probabilidad de Ocurrencia - Prohibición de Fumar Capacitación / Educación Materiales Ignífugos Mantenimiento El tratamiento del riesgo es la forma en que se intentará mitigar el mismo. Para esto se pueden tomar varios tipos de medidas. Entre las cuales vamos a diferenciar, las que son aquellas preventivas (o proactivas) y aquellas de índole reactivo. Una medida preventiva actúa sobre la probabilidad de ocurrencia. Es decir que incide en minimizar la probabilidad de que ocurra el evento en cuestión favoreciendo a aumentar la «no ocurrencia» del mismo. Una medida reactiva actúa sobre el impacto luego de ocurrido el evento. Esto quiere decir que se activa una vez que el evento ya sucedió, intentando minimizar los daños ocasionados. MEDIDAS REACTIVAS Actúan sobre el Impacto una vez ocurrido el Evento : Planes de Contingencia Matafuegos Entrenamiento Seguros

14 Riesgos – Matriz ¿Cómo presentarlo a la gerencia? Riesgo Bruto
Riesgo Neto Probabilidad Para poder mostrarlo de forma gráfica y además incluir a todos los riesgos de forma matricial, una buena representación es la que sigue. 1- Se sitúan los eventos en el cuadrante que corresponda luego de la evaluación de la dupla (probabilidad, impacto) de cada evento posible que afecte a procesos críticos de la empresa. Cada cuadrante indica un nivel de riesgo determinado por las variables representadas en los ejes. 2- Cada evento representado estará ubicado en un cuadrante que le corresponderá y de esta forma simple y visual, la gerencia podrá decidir cual de ellos deberá ser tratado de inmediato o asignarle distintas prioridades. 3- Llegamos a ubicar el evento en la posición de riesgo neto luego de la aplicación de controles ya existentes. Por tanto es el que representa la realidad de dicho evento al momento. 4- Se propondrá un plan de acción para llevar el evento de su ubicación de riesgo actual hacia el objetivo que hayamos planteado. La diferencia entre el riesgo objetivo y el origen (punto 0,0) de la gráfica será el riesgo remanente o residual que se considerará aceptable. La zona de confort se le llama a la zona pintada en un circulo naranja, objetivo a la cual deberemos llevar el riesgo para sentirnos «a salvo» [objetivo al cual debemos llevar al riesgo para sentirnos “a salvo”]. Las flechas roja y lila indican la aplicación de medidas. Si aplicamos medidas preventivas el riesgo se moverá en la dirección de la flecha lila ( es decir, se actúa sobre la probabilidad de la ocurrencia del evento). Si aplicamos medidas reactivas el riesgo se moverá en la dirección de la flecha roja (es decir, se actúa sobre el impacto de la ocurrencia del evento). Controles Existentes Riesgo Objetivo Plan de Acción Impacto

15 Riesgos – Normas Análisis de Riesgos
Revisar los principales estándares de la industria BS31100 MagerIT Otras: BASILEA (para banca) NIST (aplicado en el gobierno de los EEUU) CobIT (para controles) ISO (marco mas general) Utilizar un estándar nos permite aplicar una metodología común y ya probada para el análisis y administración de los riesgos. Vamos a mencionar algunos como los que se presentan en la siguiente dispositiva pero trabajaremos uno de ellos a modo de ejemplo. LA BS31100 es la primera norma del Reino Unido dedicada a la gestión de riesgos, publicada en octubre de 2008 (durante una de las crisis económicas mas grandes) La BS es un código de buenas prácticas que proporciona un marco donde se establece las probabilidades de que se presenten amenazas, las oportunidades y los riesgos adjuntos a estas. BS trata al riesgo como una oportunidad. proporcionar lineamientos para todo empelado de una organización Organizaciones de todo tipo y tamaños se ven envueltas con riesgos que afectan el logro de sus objetivos. Usualmente el “riesgo” tiene una connotación negativa. La gestión del riesgo tiene que ver con la explotación de oportunidades potenciales así como la de prevenir problemas. La efectiva gestión del riesgo, puede permitir alcanzar los objetivos organizacionales, de la siguiente manera: Reduciendo la probabilidad de aparición de eventos que pudiesen tener un negativo impacto en el negocio. Incrementando la probabilidad de la aparición de eventos que pudiesen tener un positivo impacto en el negocio. Identificando oportunidades donde el tomar riesgos pudiese beneficiar a la empresa. Mejorando el proceso de toma de decisiones, transparencia y visibilidad. MAGERIT : Emitido por el Ministerio de Administraciones Públicas / Consejo Superior de Administración Electrónica de España en 1997, y actualizado a su Versión 2 en Junio de 2006. Se compone de 3 Productos : Libro I – Método donde se describe la Metodología, Libro II – Catálogo de Elementos donde se detallan los aspectos a tener en cuenta, Libro III – Guía de Técnicas, donde se incluyen Técnicas y Formularios prácticos. OTROS: Basilea: Comité de Supervisión Bancaria Internacional: define recomendaciones sobre legislación y regulación. NIST: su misión es promover la innovacion y competencia industrial en EEUU, mediante avances en metrología , normas, y tecnología con el fin de mejorar la economía y calidad de Vida. Trabaja para Biotecnología, Nanotecnología, TI, y fabricación avanzada. CobIT: es un marco que permite direccionar criterios para la aplicación de controles en TI. Por lo cual resulta una herramienta interesante para detectar puntos de control que deberían aplicarse de acuerdo a los riesgos definidos para cada proceso. ISO 27000: es la norma ISO de seguridad de la información que veremos mas adelante y que en sus diversos dominios permite ordenar los procesos de la empresa donde se pueden detectar riesgos y deben ser debidamente asegurados.

16 Riesgos – Matriz Para formular una matriz de riesgos entonces:
Enumerar los eventos fuente de riesgos Definir métricas para probabilidad e impacto Clasificarlos según su nivel de riesgo (probabilidad + impacto) Viendo su posición en la matriz establecer el riesgo objetivo para cada uno. Establecer medidas y controles para lograr el objetivo y poder medirlo. Ejemplo: 1- eventos: * terremoto * caída del sitio * acceso no autorizado al dpto de sistemas 2- métricas: * probabilidad : 1 al 3 donde 1 es bajo y 3 alto * impacto: 1 al 3 donde 1 es bajo y 3 alto 3- clasificación: * terremoto (probabilidad: 1, impacto 3) * caída del sitio (probabilidad 2, impacto 3 debido a que no se cuenta con un sitio alternativo) * acceso no autorizado: (probabilidad 1, impacto 1) debido a que se cuenta con acceso biométrico y en caso de ser violado existen otros controles que no permitirían daños mayores. 4 . Riesgos objetivos y MEDIDAS Terremoto: es poco probable en nuestro País por lo tanto aceptaremos el riesgo y no vamos a tomar medidas al respecto. Caída del sitio: crearemos un sitio alternativo de contingencia lo cual nos sitúa en un nivel de impacto 1 Acceso no autorizado: se sitúa en el mínimo de probabilidad e impacto por lo tanto ya se encuentra en la zona de confort.