La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Sesión 3: Administración de riesgos de seguridad Enrique G. Dutra Punto NET Soluciones

Presentaciones similares


Presentación del tema: "Sesión 3: Administración de riesgos de seguridad Enrique G. Dutra Punto NET Soluciones"— Transcripción de la presentación:

1 Sesión 3: Administración de riesgos de seguridad Enrique G. Dutra Punto NET Soluciones

2 Prerrequisitos de la sesión Comprensión básica de los aspectos fundamentales de la seguridad de la red Comprensión básica de los conceptos de la administración de riesgos de seguridad Nivel 300

3 Audiencia objetivo Esta sesión se enfoca principalmente en: Miembros del equipo de seguridad de la información Auditores de seguridad e informática Ejecutivos senior, analistas de negocios y encargados de tomar decisiones de negocios Arquitectos y planeadores de sistemas Consultores y socios de negocios

4 Descripción general de la sesión Conceptos de la administración de riesgos de seguridad Identificar los prerrequisitos de la administración de riesgos de seguridad Evaluar los riesgos Apoyar en la toma de decisiones Implementar controles y medir la efectividad del programa

5 Conceptos de la administración de riesgos de seguridad Identificar los prerrequisitos de la administración de riesgos de seguridad Evaluar los riesgos Apoyar en la toma de decisiones Implementar controles y medir la efectividad del programa

6 ¿Por qué desarrollar un proceso para la administración de riesgos de seguridad? Desarrollar un proceso formal para la administración de riesgos de seguridad puede resolver lo siguiente: El tiempo para responder a una amenaza El cumplimiento con los reglamentos Los costos de administración de la infraestructura La priorización y administración de los riesgos El tiempo para responder a una amenaza El cumplimiento con los reglamentos Los costos de administración de la infraestructura La priorización y administración de los riesgos Administración de riesgos de seguridad: Un proceso para identificar, dar prioridad y administrar los riesgos a un nivel aceptable dentro de la organización

7 Los factores clave para implementar un programa exitoso para la administración de riesgos de seguridad incluyen: Una atmósfera de comunicación abierta y trabajo en equipo Madurez organizacional en términos de administración de riesgos Patrocinio ejecutivo Una lista bien definida de los involucrados en la administración de riesgos Una visión holística de la organización Autoridad del equipo de administración de riesgos de seguridad Identificar los factores de éxito que son fundamentales para la administración de riesgos de seguridad

8 Comparar los enfoques con la administración de riesgos Muchas organizaciones se han enfocado en la administración de riesgos de seguridad al adoptar lo siguiente: La adopción de un proceso que reduce el riesgo de nuevas vulnerabilidades en su organización Enfoque proactivo Un proceso que responde a los eventos de seguridad conforme ocurren Enfoque reactivo

9 Comparar los enfoques con la priorización de riesgos EnfoqueBeneficiosInconvenientes Cuantitativo Riesgos priorizados por su impacto financiero; activos priorizados por sus valores financieros Los resultados facilitan la administración de riesgos por el retorno sobre la inversión en seguridad Los resultados se pueden expresar con una terminología administrativa Los valores del impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantes Requieren mucho tiempo Puede ser demasiado costoso Cualitativo Permite tener una visibilidad y comprensión de los niveles de riesgos Es más sencillo llegar a un consenso No es necesario cuantificar la frecuencia de las amenazas No es necesario determinar los valores financieros de los activos Granularidad insuficiente entre los riesgos importantes Dificultad para justificar la inversión en el control debido a que no existe una base para un análisis costo-beneficio Los resultados dependen de la calidad del equipo de administración de riesgos que se haya creado

10 Presentar el proceso de administración de riesgos de seguridad de Microsoft Implementar controles 3 3 Ayudar en la toma de decisiones 2 2 Medir la efectividad del programa 4 4 Evaluar los riesgos 1 1

11 Identificar los prerrequisitos de la administración de riesgos de seguridad Conceptos de la administración de riesgos de seguridad Identificar los prerrequisitos de la administración de riesgos de seguridad Evaluar los riesgos Ayudar en la toma de decisiones Implementar controles y medir la efectividad del programa

12 Administración de riesgos vs. Evaluación de riesgos Administración de riesgosEvaluación de riesgos Objetivo Administrar los riesgos de un negocio a un nivel aceptable Identificar y priorizar los riesgos Ciclo Programa general a través de las cuatro fases Fase única del programa de administración de riesgos Programa Actividad programadaActividad continua Alineación Alineado con los ciclos de la presupuestación No aplica

13 Comunicar los riesgos Declaración de los riesgos bien fundamentada Impacto ¿Cuál es el impacto al negocio? Probabilidad ¿Qué tan probable es la amenaza dados los controles? Activo ¿Qué trata de proteger? Activo ¿Qué trata de proteger? Amenaza ¿Qué teme que suceda? Amenaza ¿Qué teme que suceda? Vulnerabilidad ¿Cómo puede ocurrir la amenaza? Vulnerabilidad ¿Cómo puede ocurrir la amenaza? Mitigación ¿Qué reduce actualmente el riesgo? Mitigación ¿Qué reduce actualmente el riesgo?

14 Determinar el nivel de madurez de la administración de riesgos de seguridad de su organización Las publicaciones que le ayudan a determinar el nivel de madurez de la administración de riesgos de su organización incluyen: ISO Code of Practice for Information Security Management (ISO 17799) International Standards Organization Control Objectives for Information and Related Technology (CobiT) IT Governance Institute Security Self-Assessment Guide for Information Technology Systems (SP ) National Institute of Standards and Technology

15 Realizar una auto-evaluación de madurez de la administración de riesgos NivelEstado 0 No existe 1 Ad hoc 2 Repetible 3 Proceso definido 4 Administrado 5 Optimizado

16 Ejecutivo patrocinador ¿Qué es lo importante? Ejecutivo patrocinador ¿Qué es lo importante? Grupo de informática La mejor solución de control Grupo de informática La mejor solución de control Grupo de seguridad de información Priorizar los riesgos Grupo de seguridad de información Priorizar los riesgos Definir los roles y las responsabilidades Operar y soportar las soluciones de seguridad Diseñar y crear soluciones de seguridad Definir los requerimientos de seguridad Evaluar los riesgos Determinar los riesgos aceptables Medir las soluciones de seguridad

17 Evaluar los riesgos Conceptos de la administración de riesgos de seguridad Identificar los prerrequisitos de la administración de riesgos de seguridad Evaluar los riesgos Apoyar en la toma de decisiones Implementar controles y medir la efectividad del programa

18 Descripción general de la fase de evaluación de riesgos Implementar controles 3 3 Apoyar en la toma de decisiones 2 2 Medir la efectividad del programa 4 4 Evaluar los riesgos 1 1 Planear la recopilación de información de riesgos Reunir información de riesgos Priorizar los riesgos Planear la recopilación de información de riesgos Reunir información de riesgos Priorizar los riesgos

19 Comprender la planeación de los pasos Las principales tareas en la planeación de los pasos incluyen: Alineación Definición del alcance Aceptación de los involucrados Establecer las expectativas

20 Comprender la recabación de la información facilitada Los elementos recopilados durante la reunión de información facilitada incluyen: Activos de la organización Descripción de los activos Amenazas a la seguridad Vulnerabilidades Entorno actual de control Controles propuestos Activos de la organización Descripción de los activos Amenazas a la seguridad Vulnerabilidades Entorno actual de control Controles propuestos Las claves para una reunión de información exitosa incluyen: Reunirse de manera colaborativa con los involucrados Desarrollar un soporte Comprender las diferencias entre analizar y cuestionar Desarrollar buena voluntad Estar preparado Reunirse de manera colaborativa con los involucrados Desarrollar un soporte Comprender las diferencias entre analizar y cuestionar Desarrollar buena voluntad Estar preparado

21 Identificar y clasificar los activos Un activo es cualquier cosa de valor para la organización y se puede clasificar en uno de los siguientes: Alto impacto para el negocio Mediano impacto para el negocio Bajo impacto para el negocio

22 Organizar la información de los riesgos Utilice las siguientes preguntas como guía durante los análisis facilitados: ¿Qué activo se está protegiendo? ¿Qué tan valioso es el activo para la organización? ¿Qué se intenta evitar que le suceda al activo? ¿Cómo puede ocurrir la pérdida o exposición? ¿Cuál es el potencial de exposición para el activo? ¿Qué se hace en la actualidad para reducir la probabilidad o el nivel de daño al activo? ¿Cuáles son algunas de las acciones que se pueden realizar para reducir la probabilidad en el futuro? ¿Qué activo se está protegiendo? ¿Qué tan valioso es el activo para la organización? ¿Qué se intenta evitar que le suceda al activo? ¿Cómo puede ocurrir la pérdida o exposición? ¿Cuál es el potencial de exposición para el activo? ¿Qué se hace en la actualidad para reducir la probabilidad o el nivel de daño al activo? ¿Cuáles son algunas de las acciones que se pueden realizar para reducir la probabilidad en el futuro?

23 Calcular la exposición de los activos Utilice los siguientes lineamientos para calcular la exposición de los activos: Pérdida menor o nula Exposición baja Pérdida limitada o moderada Exposición media Pérdida severa o completa de los activos Exposición alta Exposición: El nivel del daño potencial a un activo

24 Calcular la probabilidad de las amenazas Utilice los siguientes lineamientos para calcular la probabilidad para cada amenaza y vulnerabilidad identificadas: No es probableno se espera que ocurra impacto alguno en los próximos tres años Amenaza baja Probablese espera tener un impacto en dos o tres años Amenaza media Muy probablese espera tener uno o más impactos en un año Amenaza alta

25 Facilitar el análisis de los riesgos La reunión para analizar los riesgos facilitados se divide en las siguientes secciones: Determinar los activos y escenarios de la organización Identificar las amenazas Identificar las vulnerabilidades Calcular la exposición de los activos Calcular la probabilidad de explosión e identificar los controles existentes Resumen de la reunión y siguientes pasos Determinar los activos y escenarios de la organización Identificar las amenazas Identificar las vulnerabilidades Calcular la exposición de los activos Calcular la probabilidad de explosión e identificar los controles existentes Resumen de la reunión y siguientes pasos

26 Recorrido del escenario 1: Facilitar el análisis de los riesgos Facilitar una reunión de análisis de los riesgos para Woodgrove Bank

27 Escenario 1: Facilitar un análisis de los riesgos en Woodgrove Bank Tarea 2: Identificar las amenazas: Amenaza de una pérdida de integridad para la información financiera del consumidor Tarea 3: Identificar las vulnerabilidades: Robo de las identificaciones del consultor financiero mediante el abuso del empleado de confianza utilizando ataques no técnicos, por ejemplo la ingeniería social o el espionaje Robo de las identificaciones del consultor financiero fuera de los hosts de la red de área local (LAN) mediante el uso de configuraciones de seguridad obsoletas Robo de las identificaciones del consultor financiero fuera de los hosts remotos o móviles como resultado de la configuración de seguridad obsoleta Robo de las identificaciones del consultor financiero mediante el abuso del empleado de confianza utilizando ataques no técnicos, por ejemplo la ingeniería social o el espionaje Robo de las identificaciones del consultor financiero fuera de los hosts de la red de área local (LAN) mediante el uso de configuraciones de seguridad obsoletas Robo de las identificaciones del consultor financiero fuera de los hosts remotos o móviles como resultado de la configuración de seguridad obsoleta Tarea 5: Identificar los controles existentes y la probabilidad de explosión: Acuerdo de que sus hosts remotos, o móviles, no reciben el mismo nivel de administración que los de la LAN. Tarea 6: Resumir el análisis de los riesgos: El Facilitador de la evaluación de los riesgos resume el análisis y pone de relieve los activos, amenazas y vulnerabilidades analizados. Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad Tarea 1: Determinar los activos de la organización y los escenarios: Tarea 1: Determinar los activos de la organización y los escenarios: Sistemas de cálculo de intereses PII de cliente Reputación Información financiera del cliente – Alto impacto financiero (HBI) Sistemas de cálculo de intereses PII de cliente Reputación Información financiera del cliente – Alto impacto financiero (HBI) Tarea 4: Calcular la exposición de los activos: Violación a la integridad mediante el abuso de un empleado de confianza : Dañino pero no severo. Todos los consultores financieros pueden acceder únicamente a la información que administran. Violación a la integridad mediante el robo de identificaciones en los hosts LAN : Puede generar un nivel de daño severo o alto. Violación a la integridad mediante el robo de identificaciones en hosts móviles : Podría tener un nivel de daño severo o alto. El grupo del análisis observa que la configuración de la seguridad en los host remotos con frecuencia están a la zaga de los sistemas LAN. Violación a la integridad mediante el abuso de un empleado de confianza : Dañino pero no severo. Todos los consultores financieros pueden acceder únicamente a la información que administran. Violación a la integridad mediante el robo de identificaciones en los hosts LAN : Puede generar un nivel de daño severo o alto. Violación a la integridad mediante el robo de identificaciones en hosts móviles : Podría tener un nivel de daño severo o alto. El grupo del análisis observa que la configuración de la seguridad en los host remotos con frecuencia están a la zaga de los sistemas LAN. Tarea 1: Determinar los activos de la organización y los escenarios Tarea 2: Identificar las amenazas Tarea 3: Identificar las vulnerabilidades Tarea 4: Calcular la exposición de los activos Tarea 5: Identificar los controles existentes y la probabilidad de explosión Tarea 6: Resumir el análisis de los riesgos Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad

28 Definir las declaraciones de impacto Este documento incluye la siguiente información: Información recopilada durante el proceso de Recopilación de información Información identificada Nombre/ Descripción del activo Clase del activo Niveles DiD aplicables Descripción de la amenaza Descripción de la vulnerabilidad Calificación de la exposición (A,M,B) Calificación del impacto (A,M,B) Activo Exposición

29 Recorrido del escenario 2: Definir las declaraciones de impacto Definir una declaración de impacto para Woodgrove Bank

30 Escenario 2: Definir una declaración de impacto para Woodgrove Bank Nombre del activo Clase del activo Nivel DID Descripción de la amenaza Descripción de la vulnerabilidad ER (A,M,B) IR (A,M,B) Información de inversión financiera del consumidor HBIHost Acceso no autorizado a la información del consumidor mediante el robo de las identificaciones del Consultor Financiero Robo de identificaciones del cliente LAN administrado a través de configuraciones de seguridad obsoletas AA Información de inversión financiera del consumidor HBIHost Acceso no autorizado a la información del consumidor mediante el robo de las identificaciones del Consultor Financiero Robo de identificaciones fuera del cliente remoto administrado a través de configuraciones de seguridad obsoletas AA Información de inversión financiera del consumidor HBI Dato s Acceso no autorizado a la información del consumidor mediante el robo de las identificaciones del Consultor Financiero Robo de identificaciones mediante el abuso de empleados de confianza, a través de ataques no técnicos. BM

31 Comprender la priorización de los riesgos Fin del proceso de priorización de los riesgos Detalle de las prioridades de riesgo Realizar la priorización de los riesgos a detalle Revisión con los involucrados Prioridad del riesgo a nivel resumen Realizar la asignación de prioridad del riesgo a nivel resumen Comenzar a priorizar los riesgos

32 Realizar la asignación de prioridad del riesgo a nivel resumen Alto. Muy probablese espera tener uno o más impactos en un año Medio. Probablese espera tener un impacto en dos o tres años Bajo. No es probableno se espera que ocurra ningún impacto en los próximos tres años Alto. Muy probablese espera tener uno o más impactos en un año Medio. Probablese espera tener un impacto en dos o tres años Bajo. No es probableno se espera que ocurra ningún impacto en los próximos tres años El proceso de priorización a nivel resumen incluye lo siguiente: Determinar el nivel del impacto Calcular la probabilidad a nivel resumen Completar la lista de riesgos a nivel resumen Revisión con los involucrados Determinar el nivel del impacto Calcular la probabilidad a nivel resumen Completar la lista de riesgos a nivel resumen Revisión con los involucrados Clase del activo Alto Medio Bajo Moderado Alto Bajo Alto Nivel de exposición Referencia de la calificación de impacto Medio Impacto (de la Tabla de impacto anterior) Alto Medio Bajo Moderado Alto Bajo Medio Alto Valor de la probabilidad Calificación del riesgo a nivel resumen

33 Recorrido del escenario 3: Realizar la asignación de prioridad del riesgo a nivel resumen Realizar la priorización de riesgos a nivel resumen para Woodgrove Bank

34 Impacto (de la anterior Tabla del impacto) Alto Medio Bajo Moderado Alto Bajo Medio Alto Valor de la probabilidad Calificación del riesgo a nivel resumen Escenario 3: Priorización de riesgos a nivel resumen en Woodgrove Bank Tarea 2: Calcular la probabilidad a nivel resumen: Probabilidad de robo del empleado de confianza: Baja Probabilidad de compromiso del host LAN: Media Probabilidad de compromiso del host remoto: Alta Probabilidad de robo del empleado de confianza: Baja Probabilidad de compromiso del host LAN: Media Probabilidad de compromiso del host remoto: Alta Tarea 3: Completar la lista de riesgos a nivel resumen: Riesgo por robo del empleado de confianza : Impacto moderado * Probabilidad baja = Baja Riesgo por compromiso del host LAN : Impacto alto * Probabilidad media = Alta Riesgo por compromiso del host remoto: Impacto alto * Probabilidad alta = Alta Registrar los resultados en la hoja de cálculo de la Declaración del impacto Riesgo por robo del empleado de confianza : Impacto moderado * Probabilidad baja = Baja Riesgo por compromiso del host LAN : Impacto alto * Probabilidad media = Alta Riesgo por compromiso del host remoto: Impacto alto * Probabilidad alta = Alta Registrar los resultados en la hoja de cálculo de la Declaración del impacto Tarea 4: Revisión con los involucrados El riesgo de abuso del Empleado de confianza se califica como Bajo en la lista de riesgos a nivel resumen y no es necesario calificarlo en el paso de priorización de riesgos a nivel detallado Los riesgos por compromiso del host LAN y remoto se califican como altos y por lo tanto se les da prioridad a nivel detallado El riesgo de abuso del Empleado de confianza se califica como Bajo en la lista de riesgos a nivel resumen y no es necesario calificarlo en el paso de priorización de riesgos a nivel detallado Los riesgos por compromiso del host LAN y remoto se califican como altos y por lo tanto se les da prioridad a nivel detallado Tarea 1: Determinar el nivel del impacto: Imacto del robo del empleado de confianza : Clase de activo de HBI * Exposición baja = Impacto moderado Impacto del compromiso del host LAN : Clase de activo de HBI * Exposición alta = Impacto alto Impacto del compromiso del host remoto: Clase de activo de HBI * Exposición alta = Impacto alto Imacto del robo del empleado de confianza : Clase de activo de HBI * Exposición baja = Impacto moderado Impacto del compromiso del host LAN : Clase de activo de HBI * Exposición alta = Impacto alto Impacto del compromiso del host remoto: Clase de activo de HBI * Exposición alta = Impacto alto Clase del activo Alto Medio Bajo Moderado Alto Bajo Alto Nivel de exposición Referencia de la calificación de impacto Medio Tarea 1: Determinar el nivel del impacto Tarea 2: Calcular la probabilidad a nivel resumen Tarea 3: Completar la lista de riesgos a nivel resumen Tarea 4: Revisión con los involucrados

35 Realizar la asignación de prioridad del riesgo a nivel resumen Las cuatro tareas siguientes delinean el proceso para desarrollar una lista de riesgos a nivel detallado: Determinar el impacto y la exposición 1 1 Identificar los controles actuales 2 2 Determinar la probabilidad de impacto 3 3 Determinar el nivel detallado del riesgo 4 4 Utilice la plantilla de Priorización de riesgos a nivel detallado (SRJA3-Detailed Level Risk Prioritization.xls)

36 Recorrido del escenario 4: Realizar la asignación de prioridad del riesgo a nivel detallado Realizar la priorización de riesgos a nivel detallado para Woodgrove Bank

37 Escenario 4: Priorización de los riesgos a nivel detallado en Woodgrove Bank Tarea 2: Identificar los controles actuales: Los Consultores Financieros sólo pueden acceder a sus cuentas; por lo tanto, la exposición es inferior al 100%. Las notificaciones por correo electrónico para los hosts de revisión o actualización se envían proactivamente a todos los usuarios. Las actualizaciones del antivirus y de revisión se miden y se cumplen en la LAN cada ciertas horas. Este control reduce la ventana de tiempo cuando los hosts LAN son vulnerables a ataques. Los Consultores Financieros sólo pueden acceder a sus cuentas; por lo tanto, la exposición es inferior al 100%. Las notificaciones por correo electrónico para los hosts de revisión o actualización se envían proactivamente a todos los usuarios. Las actualizaciones del antivirus y de revisión se miden y se cumplen en la LAN cada ciertas horas. Este control reduce la ventana de tiempo cuando los hosts LAN son vulnerables a ataques. Tarea 3: Determinar la probabilidad del impacto: Host LAN y remotos: Es probable que todos los atributos de la vulnerabilidad en la categoría Alta se verán dentro y fuera del entorno LAN de Woodgrove en un futuro cercano. Valor de la vulnerabilidad = 5 para ambos riesgos Efectividad del control: LAN: Resultado de las preguntas de efectividad del control= 1 Remoto: Resultado de las preguntas de efectividad del control= 5 Calificación total de la probabilidad: (Suma de la vulnerabilidad y efectividad del control) LAN: 6 Remoto: 10 Host LAN y remotos: Es probable que todos los atributos de la vulnerabilidad en la categoría Alta se verán dentro y fuera del entorno LAN de Woodgrove en un futuro cercano. Valor de la vulnerabilidad = 5 para ambos riesgos Efectividad del control: LAN: Resultado de las preguntas de efectividad del control= 1 Remoto: Resultado de las preguntas de efectividad del control= 5 Calificación total de la probabilidad: (Suma de la vulnerabilidad y efectividad del control) LAN: 6 Remoto: 10 Tarea 4: Determinar el nivel del riesgo a detalle: Calificación del impacto * Calificación de la probabilidad LAN: 8 * 6 = 48 Hosts remotos: 8 * 10 = 80 Ambos se califian como un riesgo general Alto Calificación del impacto * Calificación de la probabilidad LAN: 8 * 6 = 48 Hosts remotos: 8 * 10 = 80 Ambos se califian como un riesgo general Alto Tarea 1: Determinar el impacto y la exposición: Calificación de la exposición por compromiso del host LAN : 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8 Calificación de la exposición por compromiso del host remoto: 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8 Rango del impacto = Entre 7 y 10 el cual se compara con Alto Calificación de la exposición por compromiso del host LAN : 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8 Calificación de la exposición por compromiso del host remoto: 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8 Rango del impacto = Entre 7 y 10 el cual se compara con Alto Tarea 1: Determinar el impacto y la exposición Tarea 2: Identificar los controles actuales Tarea 3: Determinar la probabilidad del impacto Tarea 4: Determinar el nivel del riesgo a detalle

38 Cuantificar los riesgos Las siguientes tareas delinean el proceso para determinar el valor cuantitativo: Registrar el valor del activo para cada riesgo Producir la expectativa única de pérdida (SLE) Determinar la tasa anual de ocurrencia (ARO) Determinar la expectativa de pérdida anual (ALE) Asignar un valor monetario a cada clase de activo

39 Recorrido del escenario 5: Cuantificar los riesgos Cuantificar los riesgos para Woodgrove Bank

40 Escenario 5: Cuantificar los riesgos para Woodgrove Bank Tarea 2: Identificar el valor del activo: Información financiera del consumidor = Clase del activo HBI HBI = US$10 millones Valor del activo = US$10 millones Información financiera del consumidor = Clase del activo HBI HBI = US$10 millones Valor del activo = US$10 millones Tarea 5: Determinar la expectativa de pérdida anual (ALE)(SLE * ARO) $81 80%4$10 Riesgo del host remoto (US$ en millones) $40.5$880%4$10 Riesgo del host LAN (US$ en millones) ALEAROSLE Valor de la exposición Clasificació n de la exposición Valor de la clase del activo Descripción de los riesgos Tarea 4: Determinar la tasa anual de ocurrencia (ARO): Valor de la clase de activo * % del factor de exposición = SLEValor aproximado del riesgo = 201US$ millones / 4Valor LBI 402US$ millones / 2Valor MBI 603US$ millonesValor HBI 804 Clase del activo 1005 % del factor de exposición Clasificación de la exposición Valor alto de impacto de negocios = $M ARO del host LAN : Al optimizar la evaluación cualitativa de la probabilidad Media, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá por lo menos una vez en dos años; por lo tanto el ARO aproximado es de.5 ARO del host remoto : Al optimizar la evaluación cualitativa de la probabilidad Alta, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá una vez al año; por lo tanto el ARO aproximado es de 1. ARO del host LAN : Al optimizar la evaluación cualitativa de la probabilidad Media, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá por lo menos una vez en dos años; por lo tanto el ARO aproximado es de.5 ARO del host remoto : Al optimizar la evaluación cualitativa de la probabilidad Alta, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá una vez al año; por lo tanto el ARO aproximado es de 1. Tarea 3: Producir la expectativa única de pérdida (SLE): 80% Valor de la exposición $8 SLE 4 4 Clasificación de la exposición $10 Valor de la clase del activo Riesgo del host LAN (US$ en millones) Riesgo del host remoto (US$ en millones) Descripción de los riesgos Por lo menos una vez después de 3 años.33No es probableBaja Por lo menos una vez entre 1 y 3 años.99 a.33ProbableMedia Impacto una vez o más al año>=1ProbableAlta Ejemplos de descripción Rango de la ARO Descripción Calificación cualitativa Tarea 1: Asignar valores monetarios a las clases de activos: Utilizar 5% de los Lineamientos de la materialidad para evaluar los activos Ingresos netos: US$200 millones al año Clase del activo HBI: US$10 millones (200 * 5%) Clase del activo MBI : US$5 millones (con base en los gastos anteriores) Clase del activo LBI : US$1 millón (con base en los gastos anteriores) Utilizar 5% de los Lineamientos de la materialidad para evaluar los activos Ingresos netos: US$200 millones al año Clase del activo HBI: US$10 millones (200 * 5%) Clase del activo MBI : US$5 millones (con base en los gastos anteriores) Clase del activo LBI : US$1 millón (con base en los gastos anteriores) Tarea 1: Asignar valores monetarios a las clases de activos Tarea 2: Identificar el valor del activo Tarea 3: Producir la expectativa única de pérdida (SLE) Tarea 5: Determinar la expectativa de pérdida anual (ALE)(SLE * ARO) Tarea 4: Determinar la tasa anual de ocurrencia (ARO)

41 Evaluar los riesgos: Mejores prácticas Analice los riesgos durante el proceso de recopilación de información Realice una investigación para generar una credibilidad para calcular la probabilidad Comunique el riesgo en términos comerciales Concilie los nuevos riesgos con los riesgos anteriores

42 Realizar soporte a las decisiones Conceptos de la administración de riesgos de seguridad Identificar los prerrequisitos de la administración de riesgos de seguridad Evaluar los riesgos Apoyar la toma de decisiones Implementar controles y medir la efectividad del programa

43 Descripción de la fase de apoya a la toma de decisiones Apoyar la toma de decisiones 2 2 Medir la efectividad del programa 4 4 Evaluar los riesgos Definir los requisitos funcionales 2.Identificar las soluciones del control 3.Revisar la solución contra los requisitos 4.Nivel aproximado de la reducción de riesgos 5.Costo aproximado de cada solución 6.Seleccionar la estrategia de mitigación de riesgos 1.Definir los requisitos funcionales 2.Identificar las soluciones del control 3.Revisar la solución contra los requisitos 4.Nivel aproximado de la reducción de riesgos 5.Costo aproximado de cada solución 6.Seleccionar la estrategia de mitigación de riesgos Implementar controles 3 3

44 Identificar el rendimiento de la fase de apoyo a la toma de decisiones Los elementos clave para recopilar información incluyen: Decisión sobre cómo manejar cada riesgo Requisitos funcionales Soluciones para un control potencial Reducción de riesgos de cada solución de control Costo aproximado de cada solución de control Lista de soluciones de control que serán implementadas Decisión sobre cómo manejar cada riesgo Requisitos funcionales Soluciones para un control potencial Reducción de riesgos de cada solución de control Costo aproximado de cada solución de control Lista de soluciones de control que serán implementadas

45 Considerar las opciones de apoyo a la toma de decisiones Opciones para manejar los riesgos: Aceptar el riesgo actual Implementar controles para reducir los riesgos

46 Descripción general del proceso para identificar y comparar los controles Comité directivo de seguridad Dueño de la mitigación Equipo de administración de riesgos de seguridad Identifica las soluciones potenciales del control Determina los tipos de los costos Calcula el nivel de la reducción de riesgos Lista final de las soluciones de control

47 Equipo de administración de riesgos Equipo de administración de riesgos Comité directivo de seguridad Comité directivo de seguridad Paso 1: Definir los requisitos funcionales Seleccionar la estrategia para mitigar los riesgos 6 6 Dueño de la mitigación Dueño de la mitigación Identificar las soluciones de control 2 2 Definir los requisitos funcionales Definir los requisitos funcionales 1 1 Costo aproximado de cada solución Costo aproximado de cada solución 5 5 Nivel aproximado de reducción de riesgos Nivel aproximado de reducción de riesgos 4 4 Revisar las soluciones contra los requisitos Revisar las soluciones contra los requisitos 3 3

48 Paso 2: Identificar las soluciones del control Equipo de la administración de riesgos Equipo de la administración de riesgos Comité directivo de seguridad Comité directivo de seguridad Seleccionar la estrategia para mitigar los riesgos 6 6 Dueño de la mitigación Dueño de la mitigación Identificar las soluciones del control 2 2 Definir los requisitos funcionales Definir los requisitos funcionales 1 1 Costo aproximado de cada solución Costo aproximado de cada solución 5 5 Costo aproximado de reducción de riesgos Costo aproximado de reducción de riesgos 4 4 Revisar las soluciones contra los requisitos Revisar las soluciones contra los requisitos 3 3

49 Paso 3: Revisar las soluciones contra los requisitos Equipo de la administración de riesgos Equipo de la administración de riesgos Comité directivo de seguridad Comité directivo de seguridad Seleccionar la estrategia para mitigar los riesgos 6 6 Dueño de la mitigación Dueño de la mitigación Identificar las soluciones del control 2 2 Definir los requisitos funcionales Definir los requisitos funcionales 1 1 Costo aproximado de cada solución Costo aproximado de cada solución 5 5 Costo aproximado de reducción de riesgos Costo aproximado de reducción de riesgos 4 4 Revisar las soluciones contra los requisitos Revisar las soluciones contra los requisitos 3 3

50 Paso 4: Nivel aproximado de la reducción de riesgos Equipo de la administración de riesgos Equipo de la administración de riesgos Comité directivo de seguridad Comité directivo de seguridad Seleccionar la estrategia para mitigar los riesgos 6 6 Dueño de la mitigación Dueño de la mitigación Identificar las soluciones del control 2 2 Definir los requisitos funcionales Definir los requisitos funcionales 1 1 Costo aproximado de cada solución Costo aproximado de cada solución 5 5 Costo aproximado de reducción de riesgos Costo aproximado de reducción de riesgos 4 4 Revisar las soluciones contra los requisitos Revisar las soluciones contra los requisitos 3 3

51 Paso 5: Costo aproximado de cada solución Equipo de la administración de riesgos Equipo de la administración de riesgos Comité directivo de seguridad Comité directivo de seguridad Seleccionar la estrategia para mitigar los riesgos Dueño de la mitigación Dueño de la mitigación Identificar las soluciones del control Definir los requisitos funcionales Definir los requisitos funcionales 1 1 Costo aproximado de cada solución Costo aproximado de cada solución 5 5 Costo aproximado de reducción de riesgos Costo aproximado de reducción de riesgos 4 4 Revisar las soluciones contra los requisitos Revisar las soluciones contra los requisitos 3 3

52 Paso 6: Seleccionar la estrategia para mitigar los riesgos Equipo de la administración de riesgos Equipo de la administración de riesgos Comité directivo de seguridad Comité directivo de seguridad Seleccionar la estrategia para mitigar los riesgos Dueño de la mitigación Dueño de la mitigación Identificar las soluciones del control Definir los requisitos funcionales Definir los requisitos funcionales 1 1 Costo aproximado de cada solución Costo aproximado de cada solución 5 5 Costo aproximado de reducción de riesgos Costo aproximado de reducción de riesgos 4 4 Revisar las soluciones contra los requisitos Revisar las soluciones contra los requisitos 3 3

53 Realizar soporte a las decisiones: Mejores prácticas Considere asignar un técnico en seguridad a cada riesgo identificado Establezca expectativas razonables Cree un consenso del equipo Enfóquese en la cantidad de riesgos después de la solución de mitigación

54 Implementar controles y medir la efectividad del programa Conceptos de la administración de riesgos de seguridad Identificar los prerrequisitos de la administración de riesgos de seguridad Evaluar los riesgos Apoyar en la toma de decisiones Implementar controles y medir la efectividad del programa

55 Implementar controles 3 3 Apoyar en la toma de decisiones 2 2 Medir la efectividad del programa 4 4 Evaluar los riesgos 1 1 Buscar un enfoque holístico Organizar mediante una defensa profunda Buscar un enfoque holístico Organizar mediante una defensa profunda

56 Organizar las soluciones de control Los factores determinantes críticos para organizar las soluciones de control incluyen: Comunicación Programar al equipo Requisitos de recursos

57 Organizar por defensa profunda Red Host Aplicación Datos Físico

58 Medir la efectividad del programa Implementar controles 3 3 Apoyar en la toma de decisiones 2 2 Medir la efectividad del programa 4 4 Evaluar los riesgos 1 1 Desarrollar tarjetas de resultados Medir la efectividad del control Desarrollar tarjetas de resultados Medir la efectividad del control

59 Desarrollar una tarjeta de resultados de los riesgos de seguridad de su organización Una tarjeta de resultados sencilla de los riesgos de seguridad, organizada por niveles de defensa profunda, se debe parecer a la siguiente: AF05 T1AF05 T2AF05 T3AF05 T4 Físico AM Red MM Host MM Aplicación MA Datos BB Niveles de riesgo (A, M, B)

60 Medir la efectividad del control Los métodos para medir la efectividad de los controles implementados incluyen: Enviar informes periódicos sobre el cumplimiento Dirigir las pruebas Evaluar los incidentes de seguridad generalizados

61 Resumen de la sesión Una amenaza comun entre la mayoría de las metodologías de administración de riesgos es que por lo general cada una se basa en la administración cuantitativa de riesgos, en la administración cualitativa de riesgos o en una combinación de ambas La evaluación de riesgos consiste en realizar una priorización de los riesgos a nivel resumen, y después realizar una priorización detallada de los riesgos sobre los riesgos de impacto alto La Guía de administración de riesgos de seguridad de Microsoft proporciona un número de herramientas y plantillas para ayudar con el proceso completo de administración de riesgos El enfoque de defensa profunda de Microsoft organiza los controles en diversos niveles amplios que constituyen el modelo de defensa profunda Determinar el nivel de madurez de su organización ayudará a enfocarse en la implementación y plazo de tiempo adecuados para su estrategia de administración de riesgos

62 Siguientes pasos Encuentre eventos adicionales de capacitación sobre seguridad: Inscríbase para recibir comunicados de seguridad: default.mspx Solicite el kit de orientación de seguridad: default.mspx Obtenga las herramientas y contenido adicional de seguridad:

63 Preguntas y respuestas


Descargar ppt "Sesión 3: Administración de riesgos de seguridad Enrique G. Dutra Punto NET Soluciones"

Presentaciones similares


Anuncios Google