Sesión 3: Administración de riesgos de seguridad

Sesión 3: Administración de riesgos de seguridad
Enrique G. Dutra Punto NET Soluciones

Prerrequisitos de la sesión
Comprensión básica de los aspectos fundamentales de la seguridad de la red Comprensión básica de los conceptos de la administración de riesgos de seguridad Nivel 300

Audiencia objetivo Esta sesión se enfoca principalmente en: ü
Arquitectos y planeadores de sistemas ü Miembros del equipo de seguridad de la información ü Auditores de seguridad e informática Ejecutivos senior, analistas de negocios y encargados de tomar decisiones de negocios ü ü Consultores y socios de negocios

Descripción general de la sesión
Conceptos de la administración de riesgos de seguridad Identificar los prerrequisitos de la administración de riesgos de seguridad Evaluar los riesgos Apoyar en la toma de decisiones Implementar controles y medir la efectividad del programa

Conceptos de la administración de riesgos de seguridad
Identificar los prerrequisitos de la administración de riesgos de seguridad Evaluar los riesgos Apoyar en la toma de decisiones Implementar controles y medir la efectividad del programa

¿Por qué desarrollar un proceso para la administración de riesgos de seguridad?
Administración de riesgos de seguridad: Un proceso para identificar, dar prioridad y administrar los riesgos a un nivel aceptable dentro de la organización Desarrollar un proceso formal para la administración de riesgos de seguridad puede resolver lo siguiente: El tiempo para responder a una amenaza El cumplimiento con los reglamentos Los costos de administración de la infraestructura La priorización y administración de los riesgos

Identificar los factores de éxito que son fundamentales para la administración de riesgos de seguridad Los factores clave para implementar un programa exitoso para la administración de riesgos de seguridad incluyen: ü Patrocinio ejecutivo ü Una lista bien definida de los involucrados en la administración de riesgos ü Madurez organizacional en términos de administración de riesgos ü Una atmósfera de comunicación abierta y trabajo en equipo ü Una visión holística de la organización ü Autoridad del equipo de administración de riesgos de seguridad

Comparar los enfoques con la administración de riesgos
Muchas organizaciones se han enfocado en la administración de riesgos de seguridad al adoptar lo siguiente: Enfoque reactivo Un proceso que responde a los eventos de seguridad conforme ocurren La adopción de un proceso que reduce el riesgo de nuevas vulnerabilidades en su organización Enfoque proactivo

Comparar los enfoques con la priorización de riesgos
Beneficios Inconvenientes Cuantitativo Riesgos priorizados por su impacto financiero; activos priorizados por sus valores financieros Los resultados facilitan la administración de riesgos por el retorno sobre la inversión en seguridad Los resultados se pueden expresar con una terminología administrativa Los valores del impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantes Requieren mucho tiempo Puede ser demasiado costoso Cualitativo Permite tener una visibilidad y comprensión de los niveles de riesgos Es más sencillo llegar a un consenso No es necesario cuantificar la frecuencia de las amenazas No es necesario determinar los valores financieros de los activos Granularidad insuficiente entre los riesgos importantes Dificultad para justificar la inversión en el control debido a que no existe una base para un análisis costo-beneficio Los resultados dependen de la calidad del equipo de administración de riesgos que se haya creado

Presentar el proceso de administración de riesgos de seguridad de Microsoft
Evaluar los riesgos 1 Medir la efectividad del programa 4 Implementar controles 3 Ayudar en la toma de decisiones 2

Identificar los prerrequisitos de la administración de riesgos de seguridad
Conceptos de la administración de riesgos de seguridad Identificar los prerrequisitos de la administración de riesgos de seguridad Evaluar los riesgos Ayudar en la toma de decisiones Implementar controles y medir la efectividad del programa

Administración de riesgos vs. Evaluación de riesgos
Objetivo Administrar los riesgos de un negocio a un nivel aceptable Identificar y priorizar los riesgos Ciclo Programa general a través de las cuatro fases Fase única del programa de administración de riesgos Programa Actividad programada Actividad continua Alineación Alineado con los ciclos de la presupuestación No aplica

Declaración de los riesgos bien fundamentada
Comunicar los riesgos Activo ¿Qué trata de proteger? Amenaza ¿Qué teme que suceda? Vulnerabilidad ¿Cómo puede ocurrir la amenaza? Mitigación ¿Qué reduce actualmente el riesgo? Impacto ¿Cuál es el impacto al negocio? Probabilidad ¿Qué tan probable es la amenaza dados los controles? Declaración de los riesgos bien fundamentada

Determinar el nivel de madurez de la administración de riesgos de seguridad de su organización
Las publicaciones que le ayudan a determinar el nivel de madurez de la administración de riesgos de su organización incluyen: ISO Code of Practice for Information Security Management (ISO 17799) International Standards Organization Control Objectives for Information and Related Technology (CobiT) IT Governance Institute Security Self-Assessment Guide for Information Technology Systems (SP ) National Institute of Standards and Technology

Realizar una auto-evaluación de madurez de la administración de riesgos
Nivel Estado No existe 1 Ad hoc 2 Repetible 3 Proceso definido 4 Administrado 5 Optimizado

Definir los roles y las responsabilidades
Ejecutivo patrocinador “¿Qué es lo importante?” Determinar los riesgos aceptables Grupo de seguridad de información “Priorizar los riesgos” Evaluar los riesgos Definir los requerimientos de seguridad Medir las soluciones de seguridad Grupo de informática “La mejor solución de control” Diseñar y crear soluciones de seguridad Operar y soportar las soluciones de seguridad

Evaluar los riesgos Conceptos de la administración de riesgos de seguridad Identificar los prerrequisitos de la administración de riesgos de seguridad Evaluar los riesgos Apoyar en la toma de decisiones Implementar controles y medir la efectividad del programa

Descripción general de la fase de evaluación de riesgos
Planear la recopilación de información de riesgos Reunir información de riesgos Priorizar los riesgos 4 1 Medir la efectividad del programa Evaluar los riesgos 2 3 Implementar controles Apoyar en la toma de decisiones

Comprender la planeación de los pasos
Las principales tareas en la planeación de los pasos incluyen: Alineación ü Definición del alcance ü Aceptación de los involucrados ü Establecer las expectativas ü

Comprender la recabación de la información facilitada
Los elementos recopilados durante la reunión de información facilitada incluyen: Las claves para una reunión de información exitosa incluyen: Reunirse de manera colaborativa con los involucrados Desarrollar un soporte Comprender las diferencias entre analizar y cuestionar Desarrollar buena voluntad Estar preparado Activos de la organización Descripción de los activos Amenazas a la seguridad Vulnerabilidades Entorno actual de control Controles propuestos

Identificar y clasificar los activos
Un activo es cualquier cosa de valor para la organización y se puede clasificar en uno de los siguientes: Alto impacto para el negocio ü Mediano impacto para el negocio ü Bajo impacto para el negocio ü

Organizar la información de los riesgos
Utilice las siguientes preguntas como guía durante los análisis facilitados: ¿Qué activo se está protegiendo? ¿Qué tan valioso es el activo para la organización? ¿Qué se intenta evitar que le suceda al activo? ¿Cómo puede ocurrir la pérdida o exposición? ¿Cuál es el potencial de exposición para el activo? ¿Qué se hace en la actualidad para reducir la probabilidad o el nivel de daño al activo? ¿Cuáles son algunas de las acciones que se pueden realizar para reducir la probabilidad en el futuro?

Calcular la exposición de los activos
Exposición: El nivel del daño potencial a un activo Utilice los siguientes lineamientos para calcular la exposición de los activos: Exposición alta Pérdida severa o completa de los activos Exposición media Pérdida limitada o moderada Pérdida menor o nula Exposición baja

Calcular la probabilidad de las amenazas
Utilice los siguientes lineamientos para calcular la probabilidad para cada amenaza y vulnerabilidad identificadas: Amenaza alta Muy probable—se espera tener uno o más impactos en un año Amenaza media Probable—se espera tener un impacto en dos o tres años Amenaza baja No es probable—no se espera que ocurra impacto alguno en los próximos tres años

Facilitar el análisis de los riesgos
La reunión para analizar los riesgos facilitados se divide en las siguientes secciones: Determinar los activos y escenarios de la organización Identificar las amenazas Identificar las vulnerabilidades Calcular la exposición de los activos Calcular la probabilidad de explosión e identificar los controles existentes Resumen de la reunión y siguientes pasos 1 2 3 4 5 6

Recorrido del escenario 1: Facilitar el análisis de los riesgos
Facilitar una reunión de análisis de los riesgos para Woodgrove Bank

Escenario 1: Facilitar un análisis de los riesgos en Woodgrove Bank
Tarea 1: Determinar los activos de la organización y los escenarios Tarea 2: Identificar las amenazas Tarea 3: Identificar las vulnerabilidades Tarea 4: Calcular la exposición de los activos Tarea 5: Identificar los controles existentes y la probabilidad de explosión Tarea 6: Resumir el análisis de los riesgos Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad Tarea 4: Calcular la exposición de los activos: Violación a la integridad mediante el abuso de un empleado de confianza: Dañino pero no severo. Todos los consultores financieros pueden acceder únicamente a la información que administran. Violación a la integridad mediante el robo de identificaciones en los hosts LAN: Puede generar un nivel de daño severo o alto. Violación a la integridad mediante el robo de identificaciones en hosts móviles: Podría tener un nivel de daño severo o alto. El grupo del análisis observa que la configuración de la seguridad en los host remotos con frecuencia están a la zaga de los sistemas LAN. Tarea 1: Determinar los activos de la organización y los escenarios: Sistemas de cálculo de intereses PII de cliente Reputación Información financiera del cliente – Alto impacto financiero (HBI) Tarea 3: Identificar las vulnerabilidades: Robo de las identificaciones del consultor financiero mediante el abuso del empleado de confianza utilizando ataques no técnicos, por ejemplo la ingeniería social o el espionaje Robo de las identificaciones del consultor financiero fuera de los hosts de la red de área local (LAN) mediante el uso de configuraciones de seguridad obsoletas Robo de las identificaciones del consultor financiero fuera de los hosts remotos o móviles como resultado de la configuración de seguridad obsoleta Tarea 5: Identificar los controles existentes y la probabilidad de explosión: Acuerdo de que sus hosts remotos, o móviles, no reciben el mismo nivel de administración que los de la LAN. Tarea 2: Identificar las amenazas: Amenaza de una pérdida de integridad para la información financiera del consumidor Tarea 6: Resumir el análisis de los riesgos: El Facilitador de la evaluación de los riesgos resume el análisis y pone de relieve los activos, amenazas y vulnerabilidades analizados.

Definir las declaraciones de impacto
Este documento incluye la siguiente información: Información recopilada durante el proceso de Recopilación de información Activo Exposición Calificación de la exposición (A,M,B) Calificación del impacto (A,M,B) Información identificada Nombre/ Descripción del activo Clase del activo Niveles DiD aplicables Descripción de la amenaza Descripción de la vulnerabilidad

Recorrido del escenario 2: Definir las declaraciones de impacto
Definir una declaración de impacto para Woodgrove Bank

Escenario 2: Definir una declaración de impacto para Woodgrove Bank
Nombre del activo Clase del activo Nivel DID Descripción de la amenaza Descripción de la vulnerabilidad ER (A,M,B) IR (A,M,B) Información de inversión financiera del consumidor HBI Host Acceso no autorizado a la información del consumidor mediante el robo de las identificaciones del Consultor Financiero Robo de identificaciones del cliente LAN administrado a través de configuraciones de seguridad obsoletas A Robo de identificaciones fuera del cliente remoto administrado a través de configuraciones de seguridad obsoletas Datos Robo de identificaciones mediante el abuso de empleados de confianza, a través de ataques no técnicos. B M

Comprender la priorización de los riesgos
Comenzar a priorizar los riesgos Realizar la asignación de prioridad del riesgo a nivel resumen Realizar la priorización de los riesgos a detalle Prioridad del riesgo a nivel resumen Detalle de las prioridades de riesgo Revisión con los involucrados Fin del proceso de priorización de los riesgos

Realizar la asignación de prioridad del riesgo a nivel resumen
1 Referencia de la calificación de impacto Calificación del riesgo a nivel resumen Alto Moderado Alto Alto Impacto (de la Tabla de impacto anterior) 3 Clase del activo Alto Moderado Alto Alto Medio Bajo Moderado Alto Medio Bajo Moderado Alto Bajo Bajo Bajo Moderado Bajo Medio Alto Bajo Bajo Bajo Moderado Nivel de exposición Bajo Medio Alto Valor de la probabilidad 2 Alto. Muy probable—se espera tener uno o más impactos en un año Medio. Probable—se espera tener un impacto en dos o tres años Bajo. No es probable—no se espera que ocurra ningún impacto en los próximos tres años 4 El proceso de priorización a nivel resumen incluye lo siguiente: 1 Determinar el nivel del impacto Calcular la probabilidad a nivel resumen Completar la lista de riesgos a nivel resumen Revisión con los involucrados 2 3 4

Recorrido del escenario 3: Realizar la asignación de prioridad del riesgo a nivel resumen
Realizar la priorización de riesgos a nivel resumen para Woodgrove Bank

Escenario 3: Priorización de riesgos a nivel resumen en Woodgrove Bank
Tarea 1: Determinar el nivel del impacto Tarea 2: Calcular la probabilidad a nivel resumen Tarea 3: Completar la lista de riesgos a nivel resumen Tarea 4: Revisión con los involucrados Tarea 1: Determinar el nivel del impacto: Imacto del robo del empleado de confianza: Clase de activo de HBI * Exposición baja = Impacto moderado Impacto del compromiso del host LAN: Clase de activo de HBI * Exposición alta = Impacto alto Impacto del compromiso del host remoto: Clase de activo de HBI * Exposición alta = Impacto alto Tarea 4: Revisión con los involucrados El riesgo de abuso del Empleado de confianza se califica como Bajo en la lista de riesgos a nivel resumen y no es necesario calificarlo en el paso de priorización de riesgos a nivel detallado Los riesgos por compromiso del host LAN y remoto se califican como altos y por lo tanto se les da prioridad a nivel detallado Tarea 3: Completar la lista de riesgos a nivel resumen: Riesgo por robo del empleado de confianza: Impacto moderado * Probabilidad baja = Baja Riesgo por compromiso del host LAN: Impacto alto * Probabilidad media = Alta Riesgo por compromiso del host remoto: Impacto alto * Probabilidad alta = Alta Registrar los resultados en la hoja de cálculo de la Declaración del impacto Tarea 2: Calcular la probabilidad a nivel resumen: Probabilidad de robo del empleado de confianza: Baja Probabilidad de compromiso del host LAN: Media Probabilidad de compromiso del host remoto: Alta Impacto (de la anterior Tabla del impacto) Alto Medio Bajo Moderado Valor de la probabilidad Calificación del riesgo a nivel resumen Clase del activo Alto Medio Bajo Moderado Nivel de exposición Referencia de la calificación de impacto

Realizar la asignación de prioridad del riesgo a nivel resumen
Las cuatro tareas siguientes delinean el proceso para desarrollar una lista de riesgos a nivel detallado: Determinar el impacto y la exposición 1 Identificar los controles actuales 2 Determinar la probabilidad de impacto 3 Determinar el nivel detallado del riesgo 4 Utilice la plantilla de Priorización de riesgos a nivel detallado (SRJA3-Detailed Level Risk Prioritization.xls)

Recorrido del escenario 4: Realizar la asignación de prioridad del riesgo a nivel detallado
Realizar la priorización de riesgos a nivel detallado para Woodgrove Bank

Escenario 4: Priorización de los riesgos a nivel detallado en Woodgrove Bank
Tarea 1: Determinar el impacto y la exposición Tarea 2: Identificar los controles actuales Tarea 3: Determinar la probabilidad del impacto Tarea 4: Determinar el nivel del riesgo a detalle Tarea 1: Determinar el impacto y la exposición: Calificación de la exposición por compromiso del host LAN: 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8 Calificación de la exposición por compromiso del host remoto: 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8 Rango del impacto = Entre 7 y 10 el cual se compara con Alto Tarea 4: Determinar el nivel del riesgo a detalle: Calificación del impacto * Calificación de la probabilidad LAN: 8 * 6 = 48 Hosts remotos: 8 * 10 = 80 Ambos se califian como un riesgo general Alto Tarea 3: Determinar la probabilidad del impacto: Host LAN y remotos: Es probable que todos los atributos de la vulnerabilidad en la categoría Alta se verán dentro y fuera del entorno LAN de Woodgrove en un futuro cercano. Valor de la vulnerabilidad = 5 para ambos riesgos Efectividad del control: LAN: Resultado de las preguntas de efectividad del control=1 Remoto: Resultado de las preguntas de efectividad del control=5 Calificación total de la probabilidad: (Suma de la vulnerabilidad y efectividad del control) LAN: 6 Remoto: 10 Tarea 2: Identificar los controles actuales: Los Consultores Financieros sólo pueden acceder a sus cuentas; por lo tanto, la exposición es inferior al 100%. Las notificaciones por correo electrónico para los hosts de revisión o actualización se envían proactivamente a todos los usuarios. Las actualizaciones del antivirus y de revisión se miden y se cumplen en la LAN cada ciertas horas. Este control reduce la ventana de tiempo cuando los hosts LAN son vulnerables a ataques.

Cuantificar los riesgos
Las siguientes tareas delinean el proceso para determinar el valor cuantitativo: Registrar el valor del activo para cada riesgo Producir la expectativa única de pérdida (SLE) Determinar la tasa anual de ocurrencia (ARO) Determinar la expectativa de pérdida anual (ALE) Asignar un valor monetario a cada clase de activo 1 2 3 4 5

Recorrido del escenario 5: Cuantificar los riesgos
Cuantificar los riesgos para Woodgrove Bank

Escenario 5: Cuantificar los riesgos para Woodgrove Bank
Tarea 1: Asignar valores monetarios a las clases de activos Tarea 2: Identificar el valor del activo Tarea 3: Producir la expectativa única de pérdida (SLE) Tarea 5: Determinar la expectativa de pérdida anual (ALE)(SLE * ARO) Tarea 4: Determinar la tasa anual de ocurrencia (ARO) Tarea 3: Producir la expectativa única de pérdida (SLE): 80% Valor de la exposición $8 SLE 4 Clasificación de la exposición $10 Valor de la clase del activo Riesgo del host LAN (US$ en millones) Riesgo del host remoto (US$ en millones) Descripción de los riesgos Por lo menos una vez después de 3 años .33 No es probable Baja Por lo menos una vez entre 1 y 3 años .99 a .33 Probable Media Impacto una vez o más al año >=1 Alta Ejemplos de descripción Rango de la ARO Descripción Calificación cualitativa Tarea 5: Determinar la expectativa de pérdida anual (ALE)(SLE * ARO) $8 1 80% 4 $10 Riesgo del host remoto (US$ en millones) $4 0.5 Riesgo del host LAN (US$ en millones) ALE ARO SLE Valor de la exposición Clasificación de la exposición Valor de la clase del activo Descripción de los riesgos Tarea 4: Determinar la tasa anual de ocurrencia (ARO): Valor de la clase de activo * % del factor de exposición = SLE Valor aproximado del riesgo = 20 1 US$ millones / 4 Valor LBI 40 2 US$ millones / 2 Valor MBI 60 3 US$ millones Valor HBI 80 4 Clase del activo 100 5 % del factor de exposición Clasificación de la exposición Valor alto de impacto de negocios = $M ARO del host LAN: Al optimizar la evaluación cualitativa de la probabilidad Media, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá por lo menos una vez en dos años; por lo tanto el ARO aproximado es de .5 ARO del host remoto: Al optimizar la evaluación cualitativa de la probabilidad Alta, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá una vez al año; por lo tanto el ARO aproximado es de 1. Tarea 1: Asignar valores monetarios a las clases de activos: Utilizar 5% de los Lineamientos de la materialidad para evaluar los activos Ingresos netos: US$200 millones al año Clase del activo HBI: US$10 millones (200 * 5%) Clase del activo MBI: US$5 millones (con base en los gastos anteriores) Clase del activo LBI: US$1 millón (con base en los gastos anteriores) Tarea 2: Identificar el valor del activo: Información financiera del consumidor = Clase del activo HBI HBI = US$10 millones Valor del activo = US$10 millones

Evaluar los riesgos: Mejores prácticas
Analice los riesgos durante el proceso de recopilación de información ü Realice una investigación para generar una credibilidad para calcular la probabilidad ü Comunique el riesgo en términos comerciales ü Concilie los nuevos riesgos con los riesgos anteriores ü

Realizar soporte a las decisiones
Conceptos de la administración de riesgos de seguridad Identificar los prerrequisitos de la administración de riesgos de seguridad Evaluar los riesgos Apoyar la toma de decisiones Implementar controles y medir la efectividad del programa

Descripción de la fase de apoya a la toma de decisiones
4 Medir la efectividad del programa 1 Evaluar los riesgos 2 3 Apoyar la toma de decisiones Implementar controles Definir los requisitos funcionales Identificar las soluciones del control Revisar la solución contra los requisitos Nivel aproximado de la reducción de riesgos Costo aproximado de cada solución Seleccionar la estrategia de mitigación de riesgos

Identificar el rendimiento de la fase de apoyo a la toma de decisiones
Los elementos clave para recopilar información incluyen: Decisión sobre cómo manejar cada riesgo Requisitos funcionales Soluciones para un control potencial Reducción de riesgos de cada solución de control Costo aproximado de cada solución de control Lista de soluciones de control que serán implementadas

Considerar las opciones de apoyo a la toma de decisiones
Opciones para manejar los riesgos: ü Aceptar el riesgo actual Implementar controles para reducir los riesgos ü

Descripción general del proceso para identificar y comparar los controles
Dueño de la mitigación Identifica las soluciones potenciales del control Determina los tipos de los costos Comité directivo de seguridad Lista final de las soluciones de control Equipo de administración de riesgos de seguridad Calcula el nivel de la reducción de riesgos

Paso 1: Definir los requisitos funcionales
Equipo de administración de riesgos 1 3 4 Definir los requisitos funcionales Revisar las soluciones contra los requisitos Nivel aproximado de reducción de riesgos Dueño de la mitigación 2 5 Identificar las soluciones de control Costo aproximado de cada solución Comité directivo de seguridad 6 Seleccionar la estrategia para mitigar los riesgos

Paso 2: Identificar las soluciones del control
Equipo de la administración de riesgos 1 3 4 Definir los requisitos funcionales Revisar las soluciones contra los requisitos Costo aproximado de reducción de riesgos Dueño de la mitigación 2 5 Identificar las soluciones del control Costo aproximado de cada solución Comité directivo de seguridad 6 Seleccionar la estrategia para mitigar los riesgos

Paso 3: Revisar las soluciones contra los requisitos

Paso 4: Nivel aproximado de la reducción de riesgos

Paso 5: Costo aproximado de cada solución

Paso 6: Seleccionar la estrategia para mitigar los riesgos

Realizar soporte a las decisiones: Mejores prácticas
Considere asignar un técnico en seguridad a cada riesgo identificado ü ü Establezca expectativas razonables ü Cree un consenso del equipo Enfóquese en la cantidad de riesgos después de la solución de mitigación ü

Implementar controles y medir la efectividad del programa
Conceptos de la administración de riesgos de seguridad Identificar los prerrequisitos de la administración de riesgos de seguridad Evaluar los riesgos Apoyar en la toma de decisiones Implementar controles y medir la efectividad del programa

Implementar controles
3 4 Medir la efectividad del programa 1 Evaluar los riesgos 2 Apoyar en la toma de decisiones Buscar un enfoque holístico Organizar mediante una defensa profunda

Organizar las soluciones de control
Los factores determinantes críticos para organizar las soluciones de control incluyen: ü Comunicación ü Programar al equipo ü Requisitos de recursos

Organizar por defensa profunda
Físico Red Host Aplicación Datos

Medir la efectividad del programa
Desarrollar tarjetas de resultados Medir la efectividad del control 4 Medir la efectividad del programa 1 Evaluar los riesgos 3 2 Implementar controles Apoyar en la toma de decisiones

Niveles de riesgo (A, M, B)
Desarrollar una tarjeta de resultados de los riesgos de seguridad de su organización Una tarjeta de resultados sencilla de los riesgos de seguridad, organizada por niveles de defensa profunda, se debe parecer a la siguiente: AF05 T1 AF05 T2 AF05 T3 AF05 T4 Físico A M Red Host Aplicación Datos B Niveles de riesgo (A, M, B)

Medir la efectividad del control
Los métodos para medir la efectividad de los controles implementados incluyen: ü Dirigir las pruebas ü Enviar informes periódicos sobre el cumplimiento ü Evaluar los incidentes de seguridad generalizados

Resumen de la sesión Una amenaza comun entre la mayoría de las metodologías de administración de riesgos es que por lo general cada una se basa en la administración cuantitativa de riesgos, en la administración cualitativa de riesgos o en una combinación de ambas ü Determinar el nivel de madurez de su organización ayudará a enfocarse en la implementación y plazo de tiempo adecuados para su estrategia de administración de riesgos ü La evaluación de riesgos consiste en realizar una priorización de los riesgos a nivel resumen, y después realizar una priorización detallada de los riesgos sobre los riesgos de impacto alto ü La Guía de administración de riesgos de seguridad de Microsoft proporciona un número de herramientas y plantillas para ayudar con el proceso completo de administración de riesgos ü El enfoque de defensa profunda de Microsoft organiza los controles en diversos niveles amplios que constituyen el modelo de defensa profunda ü

Siguientes pasos Encuentre eventos adicionales de capacitación sobre seguridad: Inscríbase para recibir comunicados de seguridad: default.mspx Solicite el kit de orientación de seguridad: default.mspx Obtenga las herramientas y contenido adicional de seguridad:

Preguntas y respuestas

Sesión 3: Administración de riesgos de seguridad

Presentaciones similares

Presentación del tema: "Sesión 3: Administración de riesgos de seguridad"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Sesión 3: Administración de riesgos de seguridad

Presentaciones similares

Presentación del tema: "Sesión 3: Administración de riesgos de seguridad"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback