Administración de Riesgos ISO/IEC 27002:2005

Administración de Riesgos ISO/IEC 27002:2005
Luis Bartolini Siqueiros

Negocios habilitados por la Seguridad
Reducir el riesgo de la Seguridad Evaluar el entorno Mejorar el aislamiento y la resistencia Desarrollar e implementar controles Impacto a los Negocios Probabilidad de Ataque Nivel de Riesgo ROI Conectado Productivo Incrementar el Valor de Negocio Conectarse con los clientes Integrarse con los socios Habilitar a los empleados

Cambiar el enfoque de la Seguridad
Ad-hoc y táctico Irregular Reactivo Sin medición Absoluto Administrado y estratégico Sistemático Adaptativo Medible Adecuado Las actividades de seguridad y las medidas del desempeño de la seguridad estarán visiblemente alineadas con los impulsores estratégicos y los factores críticos de éxito

Componentes (organización) de la Seguridad de Información
Política General de Seguridad de Información Programa Integral de Seguridad de Información Continuidad de Negocio Equipo de DRP Estructura Organizacional Comité de Protección de Información Seguridad de Información Sub-Comité de SI de TI Operación y Mantenimiento de Seguridad Procesos, Políticas, Estándares, Procedimientos Plan de Respuesta a Incidentes Administración de Riesgos y Baselines Concientización y Capacitación Cumplimiento Infraestructura Seguimiento de Amenazas y Vulnerabilidades Equipo de Respuesta a Incidentes Evaluación de Riesgos Programas de Trabajo Statement of Aplicability Selección de Controles

Administración de Riesgos
Provee un marco de trabajo para que la administración trate efectivamente con la incertidumbre y el riesgo y oportunidad asociados y así mejore su capacidad para construir valor La seguridad es un asunto estratégico para la supervivencia de una organización El riesgo debe ser administrado en una base diaria dentro de una organización Un programa de seguridad a nivel empresarial es una reflexión y ejecución de una estrategia de administración de riesgos

Estructura Organizacional
Contexto Estratégico Leyes y Regulaciones Ambiente Social Entorno Económico Ambiente Tecnológico Clientes Competencia Objetivos del Negocio Rendimiento Financiero, Crecimiento Institucional, Crecimiento competitivo, Calidad, Servicio al Cliente, Eficiencia operacional, Productividad, Etc. Estructura Organizacional Líneas de negocio Procesos Actividades Productos Impacto Económico - Reputación organizacional Imagen de productos o servicios

La evaluación de riesgos es una parte muy importante de la planeación de la estrategia de protección de información. Provee una base para la implementación de los planes de protección de activos contra varias amenazas. Una vez hecha la evaluación de riesgos, es necesario realizar la planeación proactiva y reactiva de protección de información.

Definición Es un proceso interactivo e iterativo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de decisiones organizacionales Aplicable a cualquier situación donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades

Proceso de Administración de Riesgos

Modelo Sencillo de Control de Riesgos
Vulnerabilidad Agente Amenaza Riesgo Control Exposición Activo Realiza una Que explota una Y produce un Que puede dañar un Y causar una Que puede ser manejada con un Afecta directamente a un

Otro Modelo Dinámico de Eventos

Propiedad de ALAPSI Noreste
Riesgos de seguridad Explotan Amenazas Vulnerabilidades Protección contra Aumenta Aumenta Exponen Riesgo Activos Controles Reduce Establece Tiene Implementan Se define como riesgo a la posibilidad y a la probabilidad de que una vulnerabilidad pueda ser explotada por un agente. Si un firewall tiene varios puertos abiertos, existe un riesgo muy alto pueda usar uno de ellos para acceder a la red sin autorización. Si los usuarios no son entrenados en los procesos y procedimientos, existen riesgos bastante altos que un empleado pueda cometer errores (intencionales o no) que pueden destruir información. Si no se implementa un sistema de detección de intrusos, existe el riesgo de que un ataque no sea detectado hasta que sea demasiado tarde. Reduciendo las vulnerabilidades o las amenazas…… se reduce el Riesgo. Se establecen controles (contramedidas) mitiga el riesgo potencial. Pueden ser configuraciones de software, hardware o procedimientos que eliminan una vulnerabilidad o reducen el riesgo de que una vulnerabilidad sea explotada. Los controles pueden ser: mejores políticas de administración de passwords, guardias de seguridad, mecanismos de control de acceso, la implementación de passwords de BIOS o un programa de concientización a usuarios. En el caso de la compañía vulnerable a los virus. Existe el riesgo de que el virus entre a los equipos y cause daños. Si el virus entra en el ambiente de la compañía, la organización está expuesta. Los controles a aplicar podrían ser la actualización de definiciones. Aumenta Valor del activo Requerimientos de seguridad Impacto en la organización Preparado por Alfredo Aranguren

Etapas del desarrollo de un Sistema Administrativo de Seguridad de Información

ISO/IEC 27002:2005 - Cláusulas de control
Política de seguridad Organización de la seguridad de información Administración de activos Seguridad de los recursos humanos Seguridad física y ambiental Administración de las comunicaciones y operaciones Control de acceso Adquisición, desarrollo y mantenimiento de sistemas de información Administración de incidentes de seguridad de información Administración de la continuidad de negocios Cumplimiento

Beneficios para la Organización Facilita el logro de los objetivos de la organización Hace a la organización más segura y consciente de sus riesgos Mejoramiento continuo del Sistema de Control Interno Optimiza la asignación de recursos Aprovechamiento de oportunidades de negocio Fortalece la cultura de autocontrol Mayor estabilidad ante cambios del entorno

Beneficios para el área de Auditoria Soporta el logro de los objetivos de la auditoria Estandarización en el método de trabajo Integración del concepto de control en las políticas organizacionales Mayor efectividad en la planeación general de Auditoria. Evaluaciones enfocadas en riesgos Mayor cobertura de la administración de riesgos Auditorias más efectivas y con mayor valor agregado

Planificación del Análisis y Gestión de Riesgos
Específicamente en la administración de TI. y de procesos operativos apoyados con TI. Tecnológicos y de Información Integridad, Confidencialidad y Disponibilidad + Efectividad, Eficiencia, Cumplimiento de Normas + De negocio Procesos de TI (Ejemplo COBIT)  Subprocesos Ej: Manejo y Administración de Proyectos Adquisición y mantenimiento de sistemas de aplicación Administración de la configuración Prestación de servicio continuo Proyecto de TI  Etapas o actividades Sistema de Información  Módulos, Interfase, E/P/S

Análisis de Riesgos Algunos Riesgos Algunas Causas
Ineficiencia en el uso de los recursos Pérdida de confidencialidad Pérdida de Integridad de información Interrupción en la continuidad del servicio Acceso no autorizado Pérdida económica Algunos Riesgos Heterogeneidad en la ejecución de procesos Ausencia de metodologías de procesos Inadecuada clasificación de la información Error u omisión en el procesamiento Cambios no autorizados Hurto de activos (recursos informáticos) Incertidumbre para atender incidentes Ausencia de planes de continuidad de Negocio Suplantación de usuarios Algunas Causas

(un ejemplo con 2 procesos y 2 recursos)
Análisis de Riesgos Riesgos de TI (un ejemplo con 2 procesos y 2 recursos) Desarrollo y Adquisición de Software Operación de Instalaciones Técnicos y Tecnológicos Relacionados con la Información Sub o sobre dimensionamiento Negación del servicio Selección inadecuada de estrategias Pérdida de Información Diseño Inadecuado Cambios no autorizados Obsolescencia Tecnológica Pérdida de Confidencialidad Aceptación de sw no acorde con las necesidades Ineficiente uso de los recursos Pérdida de información Pérdida de integridad o Confiabilidad Falta de oportunidad en entrada en producción Acceso no autorizado Incumplimiento de normas

Mapa de Riesgos 10 5 5 10 I II “Riesgos de atención inmediata”
“Riesgos de atención periódica” I “Riesgos de atención inmediata” 5 PROBABILIDAD DE OCURRENCIA IV “Riesgos controlados” III “Riesgos de seguimiento” 5 10 IMPACTO DEL RIESGO

Análisis de Riesgo Valorar Riesgo (Causa) = Probabilidad x Impacto
Haga uso de la información histórica que tenga disponible. Aplique un método cuantitativo Valorar Riesgo (Causa) = Probabilidad x Impacto Cuando lo requiera elabore sus propias escalas de medición Aplique métodos semi-cuantitativos Relacionados con la Probabilidad Relacionada con el Impacto 1 Rara vez ocurre 2 Poco probable 3 Algunas Veces 4 probable 5 muy probable Pérdida Financiera 0 No hay pérdida 1 de a 2 de a 3 de a 4 de a 5 más de Pérdida de Imagen 0 No se afecta la imagen 1 ante los empleados 2 ante un cliente 3 ante una ciudad 4 ante el país 5 ante el mundo Pérdida de Disponibilidad 0 No se afecta 1 por algunos segundos 2 por algunos minutos 3 por algunas horas 4 por un día/semana 5 por una semana/mes

Seguridad en el Desarrollo y Mantenimiento de Sistemas de Información

Evaluación y tratamiento de riesgos
Evaluación de riesgos de seguridad Las evaluaciones de riesgos deberán identificar, cuantificar y priorizar los riesgos contra los criterios para la aceptación de riesgos y los objetivos relevantes para la organización Los resultados deberán guiar y determinar la acción administrativa apropiada y las prioridades para administrar los riesgos e implementar los controles seleccionados para proteger contra estos riesgos Este es un proceso interactivo e iterativo para cubrir las distintas áreas o sistemas de la organización y el progresivo logro de una seguridad más completa

Evaluación de riesgos de seguridad Se debe incluir la estimación sistemática de la magnitud del riesgo (análisis de riesgo) y la comparación de los riesgos estimados contra los criterios de riesgo establecidos para determinar la importancia de los riesgos (evaluación de riesgos) Se deben realizar metódica y periódicamente para atender cambios en los requerimientos de seguridad y en las situaciones de riesgo y producir resultados comparables y reproducibles Se debe hacer siempre con un alcance muy bien definido; puede ser toda la organización o partes de ella, un sistema de información, componentes de un sistema, etc., donde sea practicable, realista y útil

Priorización de Riesgos
Heterogeneidad en la ejecución de procesos 785 Inadecuada clasificación de la información 750 Desarrollo informal (sin metodología) de sw 675 Ausencia de planes de continuidad de Negocio 585 Incertidumbre para atender incidentes 400 Cambios no autorizados Error u omisión en el procesamiento 250 Hurto de activos (recursos informáticos) 230 Suplantación de usuarios

Tratamiento de riesgos de seguridad Antes la organización debe decidir los criterios para determinar si los riesgos pueden o no ser aceptados Para cada uno de los riesgos identificados en la evaluación se decidirá un tratamiento. Opciones posibles son: Aplicar controles apropiados para reducir/mitigar los riesgos Consciente y objetivamente aceptar los riesgos, probando que claramente satisfacen la política de la organización y los criterios de aceptación de riesgos Evitar los riesgos no permitiendo las acciones que los provoquen Transferir los riesgos a terceros, por ejemplo, proveedores o aseguradores

Tratamiento de riesgos de seguridad En el caso de la reducción/mitigación de riesgos los controles seleccionados deberán asegurar un nivel aceptable de riesgos en función de: Los requerimientos y restricciones de la legislación y regulaciones nacional e internacional Los objetivos organizacionales Los requerimientos y restricciones de operación El costo de implementación y operación en relación a los riesgos implicados. Mantenerlo proporcional a los requerimientos y restricciones de la organización El balance entre la inversión requerida por los controles y los daños probables consecuencia de las fallas de seguridad

Tratamiento de riesgos de seguridad Los controles pueden ser seleccionados de este u otro estándar No todos los controles son aplicables a todos los sistemas u organizaciones Los controles deberán ser considerados en las etapas de especificación de requerimientos y diseño de proyectos y sistemas No hay seguridad completa, se deben implementar medidas administrativas adicionales para monitorear, evaluar y mejorar la eficiencia y efectividad de los controles de seguridad para soportar los propósitos de la organización

Identificación de Salvaguardas

Visión de los Controles de Seguridad de Información

Gestión de Riesgos Elabore la lista de los mecanismos de control que aplican a cada uno de los componentes de su objeto analizado Procedimientos formales de planeación. uso de estándares de programación, identificación, codificación. uso de mecanismos de autenticación. procedimientos documentados, divulgados y aplicados. uso de metodologías de desarrollo de sw. uso metodologías de definición de requerimientos. procedimientos para el control de cambios. acuerdos explícitos de niveles de servicio. mecanismos de encripción redundancia en dispositivos y recursos críticos. clasificación de la información procedimientos de respaldo sensores y alarmas de factores ambientales (humo, humedad, temperatura) toma física de inventarios de recursos computacionales verificadores de licencias Esta será más sencilla de realizar si se divide adecuadamente el objeto de análisis en sus partes

Nivel de Exposición = Riesgo – Controles aplicados
Gestión de Riesgos Nivel de Exposición = Riesgo – Controles aplicados Definir el nivel de exposición le permitirá conocer la efectividad de los controles. Sin embargo, tenga presente en relación con la efectividad de los controles los siguientes aspectos: Internos frente a los Externos Manuales frente a los Automáticos Previos frente a los Posteriores Preventivos frente a los Correctivos y Detectivos Generales frente a los Específicos Continuos frente a los Discretos (aplicación) Periódicos frente a los Esporádicos

magerit

MAGERIT

Administración de la Seguridad de Información - etapas
El ANÁLISIS Y GESTIÓN DE RIESGOS, Fase nuclear de ‘medición’ y cálculo en el ciclo de gestión de la seguridad, es punto de arranque del ciclo de Gestión de Seguridad y además requiere técnicas de proceso especiales (propias del ámbito de la seguridad). Por estas causas, la Fase es objeto de un método especial, MAGERIT, mientras que las demás Fases del ciclo se apoyan en técnicas más genéricas y conocidas. La Fase de Determinación de OBJETIVOS, ESTRATEGIA y POLÍTICA de Seguridad de los Sistemas de Información se nutre de y nutre a su vez la Fase de Análisis y Gestión de Riesgos. En el ciclo inicial de la Gestión de Seguridad, un Análisis y Gestión de Riesgos de carácter global ayuda a determinar los objetivos, estrategia y política, que influirán durante los ciclos sucesivos en el Análisis y Gestión de Riesgos más detallado (que a su vez puede modificarlos para ciclos sucesivos).

La Fase de Establecimiento de la PLANIFICACION de la Seguridad de los Sistemas de Información deriva de la Fase de Análisis y Gestión de Riesgos como su consecuencia funcional más inmediata. Utiliza técnicas generales de planificación (resultados, secuenciación, hitos de decisión), pero adaptadas al ámbito de la seguridad. La Fase de Determinación de la ORGANIZACION de la Seguridad de los Sistemas de Información deriva de la Fase de Análisis y Gestión de Riesgos como su consecuencia orgánica más inmediata. Utiliza técnicas generales de organización (compromiso gerencial, roles, responsabilidades, documentación normativa), aunque adaptadas al ámbito de la seguridad. La Fase de IMPLANTACION de SALVAGUARDAS y otras medidas de Seguridad para los Sistemas de Información deriva de las Fases de Planificación y Organización, utilizando técnicas generales de Gestión de Proyectos y Gestión de Configuración, aunque adaptadas al ámbito de la seguridad.

La Fase de CONCIENCIACIÓN de TODOS en la SEGURIDAD de los Sistemas de Información deriva de las Fases de Planificación y Organización. Tiene en cuenta el papel fundamental del recurso humano interno en todo proyecto de seguridad y utiliza técnicas generales de Gestión de Proyectos y Gestión de Formación, Comunicación y Recursos Humanos, aunque adaptadas al ámbito de la seguridad. La Fase de REACCIÓN a cada evento, de MANEJO y REGISTRO de las incidencias y de RECUPERACIÓN de Estados aceptables de Seguridad tiene un carácter básicamente operacional y utiliza por tanto técnicas generales de Gestión cotidiana y de Atención a Emergencias adaptadas al ámbito de la seguridad. La Fase de MONITORIZACIÓN, GESTIÓN de CONFIGURACIÓN y de CAMBIOS en la Seguridad de los Sistemas de Información tiene un carácter básicamente de mantenimiento, con técnicas generales de monitorización, gestión de configuración y gestión de cambios adaptadas al ámbito de la seguridad.

MAGERIT - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

Etapas del Análisis y Gestión de Riesgos
Etapa 1. Planificación del Análisis y Gestión de Riesgos Establece las consideraciones necesarias para arrancar el proyecto de análisis y gestión de riesgos; permite investigar la oportunidad de realizarlo; definir los objetivos que ha de cumplir y el dominio (ámbito) que abarcará; planificar los medios materiales y humanos para su realización; e iniciar el lanzamiento del proyecto

ETAPA 1. PLANIFICACIÓN DEL ANÁLISIS Y GESTIÓN DE RIESGOS Actividad 1.1: Oportunidad de realización :(única) Clarificar la oportunidad de realización Actividad 1.2: Definición de dominio y objetivos : Especificar los objetivos del proyecto : Definir el dominio y los límites del proyecto : Identificar el entorno y restricciones generales : Estimar dimensión, coste y retornos del proyecto Actividad 1.3: Planificación del proyecto : Evaluar cargas y planificar entrevistas : Organizar a los participantes : Planificar el trabajo Actividad 1.4: Lanzamiento del proyecto : Adaptar los cuestionarios : Seleccionar criterios de evaluación y técnicas para el proyecto : Asignar los recursos necesarios : Sensibilizar (campaña informativa)

Etapa 2. Análisis de riesgos Permite identificar y valorar los elementos que intervienen en el riesgo; obtener una evaluación de éste en las distintas áreas del dominio; y estimar los umbrales de riesgo deseables.

ETAPA 2. ANÁLISIS DE RIESGOS Actividad 2.1: Acopio de información : Preparar la información : Realización de las entrevistas : Analizar la información recogida Actividad 2.2: Identificación y agrupación de ACTIVOS : Identificar activos y grupos de activos : Identificar mecanismos de salvaguarda existentes : Valorar activos Actividad 2.3: Identificación y evaluación de AMENAZAS : Identificar y agrupar amenazas : Establecer los árboles de fallos generados por amenazas Actividad 2.4: Identificación y estimación de VULNERABILIDADES : Identificar vulnerabilidades : Estimar vulnerabilidades

ETAPA 2. ANÁLISIS DE RIESGOS (cont.) Actividad 2.5: Identificación y valoración de IMPACTOS : Identificar impactos : Tipificar impactos : Valorar impactos Actividad 2.6: Evaluación del RIESGO : Evaluar el riesgo intrínseco : Analizar las funciones de salvaguarda existentes : Evaluar el riesgo efectivo

Etapa 3. Gestión de riesgos Permite identificar las posibles funciones o servicios de salvaguarda reductores del riesgo detectado; seleccionar las salvaguardas aceptables en función de las ya existentes y de las restricciones; simular diversas combinaciones; y especificar las finalmente elegidas.

ETAPA 3. GESTIÓN DE RIESGOS Actividad 3.1: Interpretación del Riesgo :(única) Interpretar los riesgos Actividad 3.2: Identificación y estimación de Funciones de salvaguarda : Identificar funciones de salvaguarda : Estimar la efectividad de las funciones de salvaguarda Actividad 3.3: Selección de Funciones de Salvaguarda : Aplicar los parámetros de selección : Evaluar el riesgo Actividad 3.4: Cumplimiento de objetivos (única): Determinar el cumplimiento de los objetivos

Etapa 4. Selección de salvaguardas Permite seleccionar los mecanismos de salvaguarda a implantar; elaborar una orientación del plan de implantación de los mecanismos de salvaguarda elegidos; establecer los mecanismos de seguimiento para la implantación; recopilar los documentos de trabajo del proceso de Análisis y Gestión de Riesgos; obtener los documentos finales del proyecto; y realizar las presentaciones de los resultados a los diversos niveles.

ETAPA 4. SELECCIÓN DE SALVAGUARDAS Actividad 4.1: Identificación de mecanismos de salvaguarda : Identificar mecanismos posibles : Estudiar mecanismos implantados : Incorporar restricciones Actividad 4.2: Selección de mecanismos de salvaguarda : Identificar mecanismos a implantar : Evaluar el riesgo (mecanismos elegidos) : Seleccionar mecanismos a implantar Actividad 4.3 Especificación de los mecanismos a implantar (única): Especificar los mecanismos a implantar Actividad 4.4: Planificación de la implantación Priorizar mecanismos : Evaluar los recursos necesarios : Elaborar cronogramas tentativos Actividad 4.5: Integración de resultados (única): Integrar los resultados

Selección de Salvaguardas
La identificación de opciones de tratamiento del riesgo puede conducirle a: Implementación de nuevos mecanismos de control. Cambiar, modificar o eliminar controles existentes. Combinar mecanismos de control. Dependiendo del grado de complejidad de la opción elegida su implementación puede llegar al punto de convertirse en un proyecto. Obligatoriedad del cambio de claves Definición de pistas de auditoria Documentación de Procesos Plan de Continuidad Tecnológico Función de aseguramiento de la calidad

En los planes de Implementación es conveniente considerar: Respaldo de la gerencia Responsables Presupuestos Compromiso con la fecha de finalización

Reflexión sobre el proceso de Administración de Riesgos Seguimiento a los compromisos en el plan de implementación de opciones de tratamiento. Revisión y ajuste de métodos y técnicas aplicadas. Análisis de los beneficios alcanzados (en el negocio, en la administración de TI, en la auditoria, en los usuarios). ¿Es posible y conveniente continuar con otros activos? (procesos, proyectos, áreas). Nivel de aprendizaje de la organización en relación con la administración de sus riesgos.

documentación

Documentación de Etapas del Análisis y Gestión de Riesgos
En cada etapa del proceso se requiere incluir: Objetivos Audiencia Recursos de información Supuestos Decisiones La política de administración de riesgo puede incluir. Objetivos de la política y justificación para la administración de riesgos Conexiones entre la política de administración de riesgos y los planes estratégicos y de negocios de la organización Extensión y rango de los puntos a los que aplica la política Guía sobre lo que puede ser considerado como riesgo aceptable Quién es responsable de administrar los riesgos Soporte experto disponible para asistir a aquellos responsables de administrar los riesgos Nivel de documentación requerida Plan de revisión del grado de cumplimiento de la política de administración de riesgo

Documentación de Etapas del Análisis y Gestión de Riesgos
La documentación típica debería incluir: Un registro de riesgos – para cada riesgo identificado registrar: Fuente del riesgo Naturaleza del riesgo Controles existentes Consecuencias y probabilidad Medición inicial de riesgo Vulnerabilidad a factores externos/internos Un plan de mitigación de riesgo y acción que provea: Quien tiene la responsabilidad de implementar el plan Los recursos que serán utilizados La asignación de presupuesto Programa de implementación Detalles de las medidas de los mecanismos de control Frecuencia de cumplimiento Documentos de monitoreo y auditoria que incluyan: Resultados de las auditorias/revisiones y otros procedimientos de monitoreo Seguimiento de las revisiones de las recomendaciones y estatus de implementación

medición

ROSI (Return On Security Investment) – retorno sobre la inversión en seguridad
La cantidad total de dinero que una organización espera ahorrar en un año por implementar un control de seguridad ROSI = (ALE antes del control) – (ALE después del control) – (costo anual del control) ALE (Annual Lose Expectancy) – Expectativa de pérdida anual La cantidad total de dinero que una organización perderá en un año si no se hace nada para mitigar un riesgo ALE = SLE X ARO SLE (Single Loss Expectancy) – Expectativa de una sola pérdida La cantidad total de ingresos que se pierden de una sola ocurrencia de un riesgo ARO (Annual Rate of Ocurrence) – Tasa anual de ocurrencia El número de veces que se espera que un riesgo ocurra durante un año

Enfoque Cuantitativo VS cualitativo

Enfoques de la administración de riesgos
Cuantitativo Cualitativo Beneficios Los riesgos son priorizados por su valor financiero Los resultados facilitan la administración en base al ROSI Los resultados pueden ser expresados en términos específicos de negocios La precisión tiende a incrementarse con el tiempo a medida que se gana experiencia y se acumula información histórica Habilita la visibilidad y entendimiento de la categorización de riesgos Es más fácil de alcanzar el consenso No necesitan cuantificarse la frecuencia de las amenazas No necesitan determinarse los valores financieros de los activos Es más fácil de involucrar a gente no experta en seguridad o computadoras

Enfoques de la administración de riesgos
Cuantitativo Cualitativo Desventajas Los valores de impacto asignados a los riesgos se basan en opiniones subjetivas Los procesos para alcanzar el consenso y resultados creíbles consumen mucho tiempo Los cálculos pueden ser complejos y consumidores de tiempo Los resultados sólo se presentan en términos monetarios El proceso requiere experiencia, los participantes no pueden ser educados con facilidad a través del proceso No hay suficiente diferenciación entre los riesgos importantes Es difícil de justificar la inversión en la implementación de los controles debido a que no hay bases para un análisis costo-beneficio Los resultados son dependientes de la calidad del equipo de administración de riesgos creado

Programa de Administración de Riesgos

Criterios de Madurez de la Administración de Riesgos

Criterios de Madurez de la Administración de Riesgos en las Organizaciones
0 No existe La directiva (o el proceso) no está documentada y la organización, anteriormente, no ha tomado conciencia del riesgo de negocios asociado a esta administración de riesgos. Por lo tanto, no ha habido comunicados al respecto. 1 Ad hoc Es evidente que algunos miembros de la organización han llegado a la conclusión de que la administración de riesgos tiene valor. No obstante, los esfuerzos de administración de riesgos se han llevado a cabo de un modo ad hoc. No hay directivas o procesos documentados y el proceso no se puede repetir por completo. En general, los proyectos de administración de riesgos parecen caóticos y sin coordinación; los resultados no se han medido ni auditado.

2 Repetible Hay una toma de conciencia de la administración de riesgos en la organización. El proceso de administración de riesgos es repetible aunque inmaduro. El proceso no está totalmente documentado; no obstante, las actividades se realizan periódicamente y la organización está trabajando en establecer un proceso de administración de riesgos exhaustivo con la participación de los directivos. No hay cursos formales ni comunicados acerca de la administración de riesgos; la responsabilidad de la implementación está en manos de empleados individuales.

3 Proceso definido La organización ha tomado una decisión formal de adoptar la administración de riesgos incondicionalmente con el fin de llevar a cabo su programa de seguridad de información. Se ha desarrollado un proceso de línea de base en el que se han definido los objetivos de forma clara con procesos documentados para lograr y medir el éxito. Además, todo el personal dispone de algunos cursos de administración de riesgos rudimentaria. Finalmente, la organización está implementando de forma activa sus procesos de administración de riesgos documentados.

4 Administrado Hay un conocimiento extendido de la administración de riesgos en todos los niveles de la organización. Los procedimientos de administración de riesgos existen, el proceso está bien definido, la comunicación de la toma de conciencia es muy amplia, hay disponibles cursos rigurosos y se han implementado algunas formas iniciales de medición para determinar la efectividad. Se han dedicado recursos suficientes al programa de administración de riesgos, muchas partes de la organización disfrutan de sus ventajas y el equipo de administración de riesgos de seguridad puede mejorar continuamente sus procesos y herramientas. Se utilizan herramientas de tecnología como ayuda para la administración de riesgos, pero la mayoría de los procedimientos, si no todos, de evaluación de riesgos, identificación de controles y análisis de costo-beneficios son manuales.

5 Optimizado La organización ha dedicado recursos importantes a la administración de riesgos de seguridad y los miembros del personal miran al futuro intentando determinar los problemas y soluciones que habrá en los meses y años venideros. El proceso de administración de riesgos se ha comprendido bien y se ha automatizado considerablemente mediante el uso de herramientas (desarrolladas internamente o adquiridas a proveedores de software independientes). La causa principal de todos los problemas de seguridad se ha identificado y se han adoptado medidas adecuadas para minimizar el riesgo de repetición. El personal dispone de cursos en distintos niveles de experiencia.

Evaluación del Nivel de Madurez de la Administración de Riesgos de la Organización

Evaluación del Nivel de Madurez de la Administración de Riesgo de la Organización
1. Las directivas y procedimientos de seguridad son claros, concisos, completos y están bien documentados. 2. Todos los cargos con responsabilidades que impliquen seguridad de información están articulados de forma clara y sus funciones y responsabilidades se conocen bien. 3. Las directivas y procedimientos para proteger el acceso de terceros a los datos de negocios están bien documentados. Por ejemplo, los proveedores remotos que llevan a cabo el desarrollo de aplicaciones para una herramienta de negocios interna disponen de suficiente acceso a los recursos de red para colaborar y realizar su trabajo de una forma eficaz, pero sólo tiene el acceso mínimo que necesitan. 4. Existe un inventario preciso y actualizado de los activos de tecnología de información (TI), como hardware, software y repositorios de datos.

5. Se han implementado controles adecuados para proteger los datos de negocios frente al acceso no autorizado por parte de intrusos o de personas de la organización. 6. Se han implementado programas de toma de conciencia de usuario eficaces, como cursos y boletines relativos a directivas y prácticas de seguridad de información. 7. El acceso físico a la red de equipos y otros activos de tecnología de información está restringido mediante el uso de controles eficaces. 8. Se han incorporado nuevos sistemas informáticos según los estándares de seguridad organizativa de un modo estandarizado mediante herramientas automatizadas como imágenes de disco o secuencias de comandos de creación.

9. Un sistema de administración de revisiones eficaz puede ofrecer automáticamente actualizaciones de software de gran parte de los proveedores a la inmensa mayoría de sistemas informáticos de la organización. 10.Se ha creado un equipo de respuesta a incidencias y se han desarrollado y documentado procesos eficaces para afrontar las incidencias de seguridad y realizar el seguimiento de las mismas. Todas las incidencias se investigan hasta que se identifica la causa principal y se resuelven los problemas. 11.La organización dispone de un exhaustivo programa antivirus que incluye varios niveles de defensa, cursos de toma de conciencia para los usuarios y procesos eficaces para responder a los ataques de los virus.

12. Los procesos de creación de usuarios están bien documentados y, como mínimo, parcialmente automatizados para que a los nuevos empleados, proveedores y socios se les pueda proporcionar un nivel de acceso adecuado a los sistemas de información de la organización de un modo oportuno. Estos procesos también deben admitir la deshabilitación y eliminación puntuales de las cuentas de usuario que ya no se necesiten. 13. El acceso a los equipos y la red se controla mediante autenticación y autorización de usuarios, listas de control de acceso restrictivo a los datos y supervisión proactiva de las infracciones a las directivas. 14. Los desarrolladores de aplicaciones disponen de cursos y una toma de conciencia clara de los estándares de seguridad para la creación de software y las pruebas de control de calidad del código. 15. La continuidad de negocios y los programas de continuidad de negocios están definidos de forma clara, bien documentados y se han probado periódicamente mediante simulaciones y pruebas.

16. Se han iniciado programas y están en vigor para garantizar que todo el personal desempeña sus tareas conforme a los requisitos legales. 17. Se utilizan periódicamente revisiones y auditorias de terceros para garantizar el cumplimiento con las prácticas estándar de seguridad para los activos de negocios. Se suman los puntos otorgados en cada uno de los criterios, la máxima calificación es 85, tomando en base los niveles de madurez

definiciones

Definiciones Activo Administración de riesgos
Cualquier cosa que tenga valor para la organización. Recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección Administración de riesgos Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo Típicamente incluye el análisis, la evaluación, el tratamiento, la aceptación y la comunicación de riesgos ALE (Annual Lose Expectancy) – Expectativa de pérdida anual La cantidad total de dinero que una organización perderá en un año si no se hace nada para mitigar un riesgo Amenaza Una causa potencial de un incidente indeseado, que puede resultar en daño a un sistema u organización

Definiciones Análisis costo/beneficio Análisis de riesgos
Un estimado y comparación del valor y costo relativos asociados con cada control propuesto de modo que el más efectivo sea implementado Análisis de riesgos El uso sistemático de información para identificar fuentes y estimar el riesgo ARO (Annual Rate of Ocurrence) – Tasa anual de ocurrencia El número de veces que se espera que un riesgo ocurra durante un año BIA (Business Impact Analysis) – Análisis del impacto al negocio Un ejercicio que determina el impacto de perder el soporte de cualquier recurso en la organización, establece la escalación de esa pérdida en el tiempo, identifica los recursos mínimos necesarios para la recuperación, y prioriza la recuperación de los procesos y el sistema de soporte

Definiciones Clasificación de datos
La asignación de un nivel de sensibilidad a los datos que resulta de la especificación de controles para cada nivelo de clasificación. Se asignan niveles de sensibilidad de datos de acuerdo a categorías predefinidas a medida que los datos son creados, agregados, mejorados, almacenados o transmitidos. El nivel de clasificación es una indicación del valor o importancia de los datos para la organización Concienciación, información y formación Tipo de salvaguarda ‘estructural’ (ligada a la estructura global de la Organización). Su importancia está justificada por el papel esencial que juega en la seguridad el factor humano (personal propio y del relacionado establemente con la Organización) Confidencialidad La propiedad de que la información no sea hecha disponible o revelada a individuos, entidades o procesos no autorizados

Definiciones Contramedidas Control Corrección Defensa en profundidad
El proceso utilizado para protegerse contra ataques Control Medios de administrar el riesgo, incluye políticas, procedimientos, guías, prácticas o estructuras organizacionales, que pueden ser administrativas, técnicas, gerenciales o legales. Es también utilizado como sinónimo de salvaguarda o contramedida Corrección Tipo de salvaguarda que impide la propagación del Impacto debido a la amenaza materializada y limita así los efectos de ésta Defensa en profundidad El enfoque de utilizar múltiples capas de seguridad para proteger contra la falla de un componente individual de seguridad

Definiciones Detección curativa o, ‘monitorización’
Tipo de salvaguarda previa a toda eficacia en la actuación de las salvaguardas curativas (muchas agresiones son detectadas tarde o nunca) Detección preventiva Tipo de salvaguarda preventiva que puede hasta llegar a ser disuasoria, si su instalación es conocida por el potencial agresor, consciente de que podría ser descubierto Disuasión Tipo de salvaguarda que empuja a que el potencial agresor humano intencional reconsidere el inicio de la agresión, a partir de las consecuencias que puedan sobrevenirle contra su propio interés Estándares Definición de las métricas utilizadas para determinar lo correcto de una cosa o proceso; un conjunto de reglas o especificaciones que cuando son tomadas juntas, definen un programa o equipo. Un estándar es también una base reconocida para comparar o medir algo

Definiciones Evaluación de riesgos Evento de Seguridad de Información
Es el proceso de comparar el riesgo estimado contra el criterio de riesgo dado para determinar la importancia del riesgo Evento de Seguridad de Información Es la ocurrencia identificada de un estado de un sistema, servicio o red que indica una posible infracción de una política de seguridad de información o la falla de salvaguardas establecidas, o una situación previamente desconocida que puede ser relevante para la seguridad Exploit El uso de una vulnerabilidad para ocasionar un compromiso de las actividades de negocio o de la seguridad de información Exposición Una acción de amenaza por la cual se libera o expone información sensible directamente a entidades no autorizadas Guía Una descripción que clarifica qué debe ser hecho y cómo, para obtener los objetivos fijados en las políticas

Definiciones Impacto Incidente de Seguridad de Información Integridad
Consecuencia que sobre un Activo tiene la materialización de una Amenaza Incidente de Seguridad de Información Está indicado por un único evento o una serie de eventos no deseados o inesperados de seguridad de información que tienen una significativa probabilidad de comprometer las operaciones del negocio y amenazar la seguridad de información Integridad La propiedad de que los datos no hayan sido alterados o destruidos de manera no autorizada Mitigación Reducir un riesgo tomando acciones diseñadas (contramedidas y controles) para contrarrestar la amenaza subyacente Objetivo de control Una definición del resultado o propósito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular

Definiciones Política Prevención Procedimiento
Intención y dirección general expresada formalmente por la Alta Gerencia Prevención Tipo de salvaguarda de protección que no impide el inicio de la materialización de la amenaza, sino su realización completa y por lo tanto la consecución plena del impacto Procedimiento Una descripción detallada de los pasos necesarios para realizar operaciones específicas en conformidad con los estándares aplicables, una porción de una política de seguridad que establece el proceso general que será realizado para cumplir un objetivo de seguridad Programa de seguridad de información La combinación total de medidas técnicas, operativas y de procedimiento y las estructuras administrativas implementadas para proveer la confidencialidad, integridad y disponibilidad de información en base a los requerimientos de negocio y el análisis de riesgos

Definiciones Remediación Reputación
Tipo de salvaguarda restauradora que repara los daños o reconstruye los elementos dañados para acercarse al estado de seguridad del Activo agredido previo a la agresión Reputación La opinión que la gente tiene acerca de una organización; las reputaciones de la mayoría de las empresas tienen un valor real aunque este es intangible y difícil de calcular ROSI (Return On Security Investment) – retorno sobre la inversión en seguridad La cantidad total de dinero que una organización espera ahorrar en un año por implementar un control de seguridad Riesgo Combinación de la probabilidad de un evento y sus consecuencias (impactos) Riesgo intrínseco Riesgo definido o calculado antes de aplicar salvaguardas

Definiciones Riesgo residual Risk Assessment Seguridad de Información
Riesgo que se da tras la aplicación de salvaguardas dispuestas en un escenario de simulación o en el mundo real Risk Assessment Proceso completo de análisis, evaluación y priorización de riesgos Seguridad de Información Preservación de la confidencialidad, integridad y disponibilidad de la información; además, se pueden involucrar otras propiedades, tales como: Autentificación, responsabilidad, no repudiación y fiabilidad SLE (Single Loss Expectancy) – Expectativa de una sola pérdida La cantidad total de ingresos que se pierden de una sola ocurrencia de un riesgo

Definiciones Sistema de Información Tratamiento de riesgos
Conjunto de elementos físicos, lógicos, elementos de comunicación, datos y personal que permiten el almacenamiento, transmisión y proceso de la información Tratamiento de riesgos Proceso de selección e implementación de medidas para modificar los riesgos Umbral de riesgo Valor establecido como base para decidir por comparación si el Riesgo calculado es asumible o aceptable Vulnerabilidad Una debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas. Posibilidad de materialización de una amenaza Vulnerabilidad efectiva Vulnerabilidad del Activo respecto al tipo de Amenaza, teniendo en cuenta las Salvaguardas aplicadas en cada momento a dicho Activo

Definiciones Vulnerabilidad intrínseca Vulnerabilidad residual
Vulnerabilidad del Activo respecto al tipo de Amenaza, sin considerar las salvaguardas implantadas o existentes Vulnerabilidad residual Vulnerabilidad del Activo resultante de aplicar las salvaguardas complementarias, aconsejadas como resultado del Análisis y Gestión de Riesgos

Tipos de Activos 1. Activos relacionados con el nivel del Entorno
Equipamientos y suministros (energía, climatización, comunicaciones) Personal (de dirección, de operación, de desarrollo, otro) Otros tangibles (edificaciones, mobiliario, instalación física) 2. Activos relacionados con el nivel de los Sistemas de Información Hardware (de proceso, de almacenamiento, de interfaz, servidores, firmware, otros) Software (de base, paquetes, producción de aplicaciones, modificación de firmware) Comunicaciones (redes propias, servicios, componentes de conexión, etc.) 3. Activos relacionados con el nivel de la Información Datos (informatizados, concurrentes al o resultantes del Sistema de Información) Meta-información (estructuración, formatos, códigos, claves de cifrado) Soportes (tratables informáticamente, no tratables)

Tipos de Activos 4. Activos relacionados con el nivel de las Funcionalidades de la organización Objetivos y misión de la organización Bienes y servicios producidos Personal usuario y/o destinatario de los bienes o servicios producidos 5. Otros Activos no relacionados con los niveles anteriores Credibilidad (ética, jurídica, etc.) o buena imagen de una persona jurídica o física, Conocimiento acumulado, Independencia de criterio o de actuación, Intimidad de una persona física, Integridad material de las personas, etc.

Valuación de Activos El valor total del activo para la organización
El cálculo o estimación del valor del activo en términos financieros elevado al año El impacto financiero inmediato de la pérdida del activo Los ingresos generados por el activo multiplicados por la exposición calculada en por ciento por año El impacto indirecto al negocio por la pérdida del activo Gasto en publicidad para contrarrestar la publicidad negativa provocada por un incidente

Tipos de Amenazas Grupo A de Accidentes
A1: Accidente físico de origen industrial: incendio, explosión, inundación por roturas, contaminación por industrias cercanas o emisiones radioeléctricas A2: Avería: de origen físico o lógico, debida a un defecto de origen o sobrevenida durante el funcionamiento del sistema A3: Accidente físico de origen natural: riada, fenómeno sísmico o volcánico, meteoro, rayo, corrimiento de tierras, avalancha, derrumbe, ... A4: Interrupción de servicios o de suministros esenciales: energía, agua, telecomunicación, fluidos y suministros diversos A5: Accidentes mecánicos o electromagnéticos: choque, caída, cuerpo extraño, radiación, electrostática...

Tipos de Amenazas Grupo E de Errores
E1: Errores de utilización ocurridos durante la recogida y transmisión de datos o en su explotación por el sistema E2: Errores de diseño existentes desde los procesos de desarrollo del software (incluidos los de dimensionamiento, por la posible saturación de los flujos en los sistemas). E3: Errores de ruta, secuencia o entrega de la información en tránsito E4: Inadecuación de monitorización, trazabilidad, registro del tráfico de información

Tipos de Amenazas Grupo P de Amenazas Intencionales Presenciales
P1: Acceso físico no autorizado con inutilización por destrucción o sustracción (de equipos, accesorios o infraestructura) P2: Acceso lógico no autorizado con intercepción pasiva simple de la información (requiere sólo su lectura) P3: Acceso lógico no autorizado con alteración o sustracción de la información en tránsito o de configuración (requiere lectura y escritura); es decir, reducción de la confidencialidad del sistema para obtener bienes o servicios aprovechables (programas, datos ...) P4: Acceso lógico no autorizado con corrupción o destrucción de información en tránsito o de configuración P5: Indisponibilidad de recursos, sean humanos (huelga, abandono, rotación) o técnicos (desvío del uso del sistema, bloqueo).

Tipos de Amenazas Grupo T de Amenazas Intencionales de Origen Remoto
T1: Acceso lógico no autorizado con intercepción pasiva (para análisis de tráfico...) T2: Acceso lógico no autorizado con corrupción o destrucción de información en tránsito o de configuración (requiere lectura y escritura) y usando o no un reemisor o ‘man in the middle’: es decir, reducción de la integridad y/o disponibilidad del sistema sin provecho directo (sabotaje inmaterial, infección vírica..) T3: Acceso lógico no autorizado con modificación (Inserción, Repetición) de información en tránsito T4: Suplantación de Origen (del emisor o reemisor, ‘man in the middle’) o de Identidad T5: Repudio del Origen o de la Recepción de información en tránsito

SOFISTICACIÓN DE LOS ATAQUES VS CONOCIMIENTO DEL INTRUSO

Tiempos de Respuesta

Tipos de Vulnerabilidad
Vulnerabilidades organizativas Exactitud y coherencia de la información manejada Acceso al sistema por personas externas Trascendencia de información del sistema al exterior Disponibilidad de acceso al sistema (caídas, lentitud,...) Obtención de productos del sistema acceso de personas externas al recinto de terminales Vulnerabilidades técnicas Averías en terminales/impresoras: frecuencia/solución Cortes de fluido eléctrico Ubicación de terminales e impresoras Aprobación del diseño y pruebas por el usuario Control del soporte papel. Almacenamiento de éste

Tipos de Vulnerabilidad
Vulnerabilidades ‘humanas’ Posibilidad física de robo/inutilización de recursos Errores en la introducción de datos Inasistencias de personal significativas Dependencia de ciertas personas/rotación del personal Obtención de información por personas ajenas Conocimiento de las aplicaciones Uso indebido de claves de usuario. Borre de antiguas Cambio periódico de claves Uso de medios de seguridad en terminales (llaves,...) Intervención de informáticos en cambiar datos reales

Tipos de Impacto Impactos con consecuencias cualitativas funcionales
El deterioro del estado de Autenticación (SA) no suele ser evolutivo (multiplicación en cadena) pero produce directamente anulación de documentos y procedimientos e indirectamente inseguridad jurídica (muy importante en la Administración pública) El deterioro del estado de Confidencialidad (SC) no suele ser evolutivo y tiene consecuencias de distintos órdenes, unas directas (divulgación de información no revelable o revelada anticipadamente, sustracción puntual o masiva) y otras indirectas (desconfianza, incomodidades, chantaje ...). El deterioro del estado de Integridad (SI) puede ser evolutivo y tiene consecuencias directas como la alteración de información sensible o vital en mayor o menor escala, e indirectas como la posible contaminación de programas (pérdida, tratamiento erróneo, etc). El deterioro del estado de Disponibilidad (SD) puede ser evolutivo y causar de inmediato desde la degradación de la productividad del activo como recurso o la interrupción de su funcionamiento de forma más o menos duradera y profunda (de unos datos, de una aplicación, de un servicio o de todo un sistema). Indirectamente esto se traduce en caída de margen por falta de resultados; así como en gastos suplementarios para recuperar o mantener la funcionalidad precedente a la amenaza.

Tipos de Impacto Una parte de los deterioros anteriores tienen Impactos con consecuencias cuantitativas de diversos tipos N1: Pérdidas de valor económico, ligadas a activos inmobiliarios o inventariables, que comprenden todos los costes de reposición de la funcionalidad, incluyendo los gastos de tasar, sustituir, reparar o limpiar lo dañado: edificios y obras, instalaciones, computadores, redes, accesorios, etc.. N2: Pérdidas indirectas, valorables económicamente y ligadas a intangibles en general no inventariados: gastos de tasación y restauración o reposición de elementos no materiales del sistema: datos, programas, documentación, procedimientos, etc. N3: Pérdidas indirectas, valorables económicamente y unidas a disfuncionalidades tangibles: se aprecian por el coste del retraso o interrupción de funciones operacionales de la organización; la perturbación o ruptura de los flujos y ciclos productivos (de productos, servicios o expedientes, por ejemplo), incluido el deterioro de la calidad de éstos; y la incapacidad de cumplimentar las obligaciones contractuales o estatutarias. N4: Pérdidas económicas relativas a responsabilidad legal (civil, penal o administrativa) del ‘propietario’ del sistema de información por los perjuicios causados a terceros ((incluidas, por ejemplo, sanciones de la Agencia de Protección de Datos).

Tipos de Impacto Otros deterioros de los estados de seguridad tienen Impactos con consecuencias cualitativas orgánicas de varios tipos L1: Pérdida de fondos patrimoniales intangibles: conocimientos (documentos, datos o programas) no recuperables, información confidencial, 'know-how' ... L2: Responsabilidad penal por Incumplimiento de obligaciones legales L3: Perturbación o situación embarazosa político-administrativa (deontología, credibilidad, prestigio, competencia política ...) L4: Daño a las personas

FIN ¡Muchas gracias!

Administración de Riesgos ISO/IEC 27002:2005

Presentaciones similares

Presentación del tema: "Administración de Riesgos ISO/IEC 27002:2005"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Administración de Riesgos ISO/IEC 27002:2005

Presentaciones similares

Presentación del tema: "Administración de Riesgos ISO/IEC 27002:2005"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback