La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.

Publicada porUlises Sia Modificado hace 10 años

Presentaciones similares

Presentación del tema: "UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo."— Transcripción de la presentación:

1 UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo

2 UPC – 2010 022 Objetivo Proteger a la organización y su habilidad de cumplir la misión para la que fue creada. Mejorando la seguridad de los sistemas tecnológicos que almacena, procesa o transmiten la información de la organización. Permitiendo a la Alta Gerencia tomar decisiones adecuadamente informadas sobre la gestión de riesgos y justificar los gastos respectivos en el presupuesto de TI. Autorizar la implementación de nuevos sistemas, basado en la información dejada por el proceso de gestión de riesgos. Definición La gestión del riesgo es el proceso de identificar riesgos, dimensionarlos y tomar acciones para reducirlos a un nivel aceptable para la organización. La gestión del riesgo se compone de tres procesos principales: Evaluación de riesgos, Mitigación de riesgos y Evaluación y monitoreo La Gestión del Riesgo

3 UPC – 2010 023 Definiciones Riesgo es el impacto neto negativo resultado del ejercicio de una vulnerabilidad, considerando tanto su probabilidad como el impacto de su ocurrencia. Vulnerabilidad es una falla o debilidad en los procedimientos de seguridad, diseño, implementación o controles internos de un sistema que pueden ser explotados accidental o intencionalmente y resultar en una brecha de seguridad o una violación de las políticas de seguridad de un sistema. Una efectiva gestión de riesgos debe estar totalmente integrada en el ciclo de vida del desarrollo de sistemas de información. La Gestión del Riesgo

4 UPC – 2010 024 1. Evaluación de Riesgos El riesgo es función de que una amenaza active (intencional o accidentalmente) una potencial vulnerabilidad, y el impacto adverso resultante en la organización. La evaluación de riesgos busca determinar la magnitud de la potencial amenaza y el riesgo asociado con un sistema de información a través de su ciclo de vida. Lo anterior se logra a través del análisis de las amenazas que afectan a un sistema de información, en conjunto con las potenciales vulnerabilidades y los controles existentes para dicho sistema.

5 UPC – 2010 025 1. Evaluación de Riesgos

6 UPC – 2010 026 1. Evaluación de Riesgos 1.1 Caracterización del sistema: identifica el alcance del sistema, los recursos que utiliza y el esfuerzo que tomará la identificación de riesgos. 1.1.1 Información del sistema HW, SW, datos, interfaces con otros sistemas, datos, comunicaciones Usuarios, objetivos del sistema, criticidad, sensibilidad de la información Requerimientos funcionales, políticas de seguridad vigentes, arquitectura de seguridad del sistema, controles existentes, Requerimientos operacionales: backups, mantenimiento, gestión de accesos, seguridad ambiental 1.1.2 Técnicas de recolección de información Cuestionarios a usuarios y personal técnico Entrevistas de campo, inspección de instalaciones y de operatividad Revisión de documentos: políticas, documentación técnica del sistema, reportes de auditorías, etc. Herramientas de escaneo automatizadas

7 UPC – 2010 027 1. Evaluación de Riesgos 1.2 Identificación de amenazas: una amenaza puede explotar (intencionalmente o no) una vulnerabilidad presente en un sistema. 1.2.1 Identificación de fuentes de amenazas Lista de potenciales amenazas que apliquen para el sistema en evaluación Una fuente de amenaza es cualquier circunstancia o evento que potencialmente puede causar daño a un sistema. Pueden ser humanos, naturales o ambientales Amenazas naturales: inundaciones, terremotos, tornados, avalanchas, tormentas eléctricas, etc. Amenazas ambientales: fallas eléctricas prolongadas, contaminación, inundaciones, etc. Amenazas humanas: fallas involuntarias en la operación del sistema, ataques deliberados a la red, ejecución de SW malicioso, acceso no autorizado a información confidencial, espionaje industrial, hackers, terrorismo, sabotaje de empleados.

8 UPC – 2010 028 1. Evaluación de Riesgos 1.3 Identificación de vulnerabilidades: desarrolla una lista de vulnerabilidades (debilidades) del sistema que pueden potencialmente ser explotadas por alguna amenaza. Las vulnerabilidades pueden ser técnicas o no técnicas. 1.3.1 Fuentes de identificación de vulnerabilidades Reportes previos de evaluación de riesgos. Reportes de auditoria o evaluaciones de seguridad previas. Listas de vulnerabilidades disponibles por organismos especializados 1.3.2 Pruebas de seguridad del sistema Herramientas automaticas de detección de vulnerabilidades Pruebas y evaluación de seguridad Test de penetración 1.3.3 Lista de Requerimientos de seguridad Estándares básicos de seguridad que pueden utilizarse para identificar vulnerabilidades en activos (HW, SW, personal, información, etc.) o en procedimientos, procesos asociados al sistema evaluado Pueden ser requerimientos de seguridad a nivel de gestión, operacionales o técnicos.

9 UPC – 2010 029 1. Evaluación de Riesgos 1.3 Identificación de vulnerabilidades

10 UPC – 2010 0210 1. Evaluación de Riesgos 1.3 Identificación de vulnerabilidades

11 UPC – 2010 0211 1. Evaluación de Riesgos

12 UPC – 2010 0212 1. Evaluación de Riesgos 1.4 Análisis de controles: evalúa los controles implementados o planeados en la organización con el objetivo de eliminar la probabilidad de que una amenaza active una vulnerabilidad de los sistemas. 1.4.1 Métodos de control Técnicos: mecanismos de control de acceso, autenticación, encriptación, detección de intrusos, etc. No técnicos: políticas de seguridad, controles operacionales, seguridad física o ambiental. 1.4.2 Categorías de control Preventivos: encriptación, autenticación, etc. Detectivos: herramientas de detección, pistas de auditoría, etc. 1.4.3 Lista de requerimientos de seguridad Estándares básicos de seguridad que pueden utilizarse para identificar la existencia o no de controles que aseguren su cumplimiento. Esta debe actualizarse periódicamente.

13 UPC – 2010 0213 1. Evaluación de Riesgos 1.5 Determinación de probabilidades: determinar la probabilidad de que una potencial vulnerabilidad pueda ser activada por una amenaza. 1.5.1 Factores que determinan la probabilidad Motivación y capacidad de las fuentes de amenazas Naturaleza de la vulnerabilidad Existencia y efectividad de los controles existentes. 1.5.2 Probabilidades: Alta: la fuente de amenazas está motivada y es capaz, los controles son inefectivos. Media: la fuente de amenazas es capaz y motivada, pero los controles son adecuados. Baja: la fuente de amenazas no es capaz ni motivada y los controles son adecuados.

14 UPC – 2010 0214 1. Evaluación de Riesgos 1.6 Análisis de impacto: determinar la magnitud del impacto adverso de la materialización de una vulnerabilidad por una amenaza dada. 1.6.1 Estimar cuantitativa o cualitativamente la afectación de activos de información críticos en su misión de soportar los objetivos de la organización Reporte de análisis de impacto al negocio Reportes de clasificación de activos de información críticos 1.6.2 Impacto como nivel de afectación de los objetivos de seguridad: Pérdida de integridad Pérdida de disponibilidad Pérdida de confidencialidad 1.6.3 Niveles de Impacto: Alto: pérdida o daño mayor en activos críticos, objetivos, imagen o reputación de la empresa. Muerte o daño grave a personas. Medio: afectación de activos críticos, objetivos o imagen de la empresa. Daño a personas. Bajo: daño a algunos activos o afectación menor a los objetivos de la organización o a su imagen.

15 UPC – 2010 0215 1. Evaluación de Riesgos 1.7 Determinación de riesgos: determinar el nivel de riesgo que afecta a un sistema. Matriz de Niveles de Riesgo

16 UPC – 2010 0216 1. Evaluación de Riesgos 1.8 Recomendación de controles: proveer controles para reducir o eliminar riesgos a un nivel aceptable para la organización Requiere análisis de costo beneficio para su implementación. Consideración del impacto operacional y factibilidad técnica de las recomendaciones 1.9 Documentación resultante: Se prepara reporte de los resultados de la evaluación de riesgos. Entregado a la alta Gerencia para asistirla en la toma de decisiones sobre los riesgos que afectan a la organización y acciones a tomar para manejarlos.

17 UPC – 2010 0217 2. Mitigación de Riesgos Incluye la priorización, evaluación e implementación de los controles recomendados por el proceso de evaluación de riesgos. Dado que la eliminación total de los riesgos es impracticable, es responsabilidad de la Dirección de la Organización utilizar un enfoque de minimizar costos e implementar los controles más apropiados para reducir los riesgos a un nivel aceptable, con el mínimo impacto posible en los recursos y la misión de la organización. Las opciones de mitigación de los riesgos pueden ser: asumir, evitar, limitar, planificar, administrar o transferir.

18 UPC – 2010 0218 2. Mitigación de riesgos

19 UPC – 2010 0219 2. Mitigación de riesgos

20 UPC – 2010 0220 Evaluación y Monitoreo La organización evoluciona continuamente: sistemas de información, infraestructura, procesos, estructura organizativa, personas, etc. Lo anterior implica que continuamente se están generando nuevas fuentes potenciales de riesgos, los cuales deben ser continuamente evaluados a fin de tomar las medidas aadecuadas. El proceso de gestión de riesgos debe ser permanente en la organización Fuente de información: Risk Management Guide for Information Technology Systems. Special Publication 800-30. National Institute of Standards and Technology:

21 UPC – 2010 0221 La Gestión de Riesgos y el Ciclo de Vida de Sistemas

22 UPC – 2010 0222 La Gestión de Riesgos y el Ciclo de Vida de Sistemas

23 UPC – 2010 0223 Gracias por su atención

Descargar ppt "UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo."

Presentaciones similares

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
ANALISIS DE RIESGOS.

ANALISIS DE RIESGOS.
ANALISIS DE RIESGOS.

ANALISIS DE RIESGOS.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
SI-38 Seguridad y Auditoría de Sistemas

SI-38 Seguridad y Auditoría de Sistemas
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO

METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Cap. 2: Controles de Administración, planeamiento y organización de Sistemas.

UPC – SI-38 Seguridad y Auditoría de Sistemas Cap. 2: Controles de Administración, planeamiento y organización de Sistemas.
Guía para la evaluación de seguridad en un sistema

Guía para la evaluación de seguridad en un sistema
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Introducción a la Seguridad de la información

Introducción a la Seguridad de la información
Eveline Estrella Zambrano Sara Alvear Montesdeoca

Eveline Estrella Zambrano Sara Alvear Montesdeoca

Presentaciones similares

Anuncios Google