UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo

UPC – Objetivo Proteger a la organización y su habilidad de cumplir la misión para la que fue creada. Mejorando la seguridad de los sistemas tecnológicos que almacena, procesa o transmiten la información de la organización. Permitiendo a la Alta Gerencia tomar decisiones adecuadamente informadas sobre la gestión de riesgos y justificar los gastos respectivos en el presupuesto de TI. Autorizar la implementación de nuevos sistemas, basado en la información dejada por el proceso de gestión de riesgos. Definición La gestión del riesgo es el proceso de identificar riesgos, dimensionarlos y tomar acciones para reducirlos a un nivel aceptable para la organización. La gestión del riesgo se compone de tres procesos principales: Evaluación de riesgos, Mitigación de riesgos y Evaluación y monitoreo La Gestión del Riesgo

UPC – Definiciones Riesgo es el impacto neto negativo resultado del ejercicio de una vulnerabilidad, considerando tanto su probabilidad como el impacto de su ocurrencia. Vulnerabilidad es una falla o debilidad en los procedimientos de seguridad, diseño, implementación o controles internos de un sistema que pueden ser explotados accidental o intencionalmente y resultar en una brecha de seguridad o una violación de las políticas de seguridad de un sistema. Una efectiva gestión de riesgos debe estar totalmente integrada en el ciclo de vida del desarrollo de sistemas de información. La Gestión del Riesgo

UPC – Evaluación de Riesgos El riesgo es función de que una amenaza active (intencional o accidentalmente) una potencial vulnerabilidad, y el impacto adverso resultante en la organización. La evaluación de riesgos busca determinar la magnitud de la potencial amenaza y el riesgo asociado con un sistema de información a través de su ciclo de vida. Lo anterior se logra a través del análisis de las amenazas que afectan a un sistema de información, en conjunto con las potenciales vulnerabilidades y los controles existentes para dicho sistema.

UPC – Evaluación de Riesgos

UPC – Evaluación de Riesgos 1.1 Caracterización del sistema: identifica el alcance del sistema, los recursos que utiliza y el esfuerzo que tomará la identificación de riesgos Información del sistema HW, SW, datos, interfaces con otros sistemas, datos, comunicaciones Usuarios, objetivos del sistema, criticidad, sensibilidad de la información Requerimientos funcionales, políticas de seguridad vigentes, arquitectura de seguridad del sistema, controles existentes, Requerimientos operacionales: backups, mantenimiento, gestión de accesos, seguridad ambiental Técnicas de recolección de información Cuestionarios a usuarios y personal técnico Entrevistas de campo, inspección de instalaciones y de operatividad Revisión de documentos: políticas, documentación técnica del sistema, reportes de auditorías, etc. Herramientas de escaneo automatizadas

UPC – Evaluación de Riesgos 1.2 Identificación de amenazas: una amenaza puede explotar (intencionalmente o no) una vulnerabilidad presente en un sistema Identificación de fuentes de amenazas Lista de potenciales amenazas que apliquen para el sistema en evaluación Una fuente de amenaza es cualquier circunstancia o evento que potencialmente puede causar daño a un sistema. Pueden ser humanos, naturales o ambientales Amenazas naturales: inundaciones, terremotos, tornados, avalanchas, tormentas eléctricas, etc. Amenazas ambientales: fallas eléctricas prolongadas, contaminación, inundaciones, etc. Amenazas humanas: fallas involuntarias en la operación del sistema, ataques deliberados a la red, ejecución de SW malicioso, acceso no autorizado a información confidencial, espionaje industrial, hackers, terrorismo, sabotaje de empleados.

UPC – Evaluación de Riesgos 1.3 Identificación de vulnerabilidades: desarrolla una lista de vulnerabilidades (debilidades) del sistema que pueden potencialmente ser explotadas por alguna amenaza. Las vulnerabilidades pueden ser técnicas o no técnicas Fuentes de identificación de vulnerabilidades Reportes previos de evaluación de riesgos. Reportes de auditoria o evaluaciones de seguridad previas. Listas de vulnerabilidades disponibles por organismos especializados Pruebas de seguridad del sistema Herramientas automaticas de detección de vulnerabilidades Pruebas y evaluación de seguridad Test de penetración Lista de Requerimientos de seguridad Estándares básicos de seguridad que pueden utilizarse para identificar vulnerabilidades en activos (HW, SW, personal, información, etc.) o en procedimientos, procesos asociados al sistema evaluado Pueden ser requerimientos de seguridad a nivel de gestión, operacionales o técnicos.

UPC – Evaluación de Riesgos 1.3 Identificación de vulnerabilidades

UPC – Evaluación de Riesgos 1.3 Identificación de vulnerabilidades

UPC – Evaluación de Riesgos

UPC – Evaluación de Riesgos 1.4 Análisis de controles: evalúa los controles implementados o planeados en la organización con el objetivo de eliminar la probabilidad de que una amenaza active una vulnerabilidad de los sistemas Métodos de control Técnicos: mecanismos de control de acceso, autenticación, encriptación, detección de intrusos, etc. No técnicos: políticas de seguridad, controles operacionales, seguridad física o ambiental Categorías de control Preventivos: encriptación, autenticación, etc. Detectivos: herramientas de detección, pistas de auditoría, etc Lista de requerimientos de seguridad Estándares básicos de seguridad que pueden utilizarse para identificar la existencia o no de controles que aseguren su cumplimiento. Esta debe actualizarse periódicamente.

UPC – Evaluación de Riesgos 1.5 Determinación de probabilidades: determinar la probabilidad de que una potencial vulnerabilidad pueda ser activada por una amenaza Factores que determinan la probabilidad Motivación y capacidad de las fuentes de amenazas Naturaleza de la vulnerabilidad Existencia y efectividad de los controles existentes Probabilidades: Alta: la fuente de amenazas está motivada y es capaz, los controles son inefectivos. Media: la fuente de amenazas es capaz y motivada, pero los controles son adecuados. Baja: la fuente de amenazas no es capaz ni motivada y los controles son adecuados.

UPC – Evaluación de Riesgos 1.6 Análisis de impacto: determinar la magnitud del impacto adverso de la materialización de una vulnerabilidad por una amenaza dada Estimar cuantitativa o cualitativamente la afectación de activos de información críticos en su misión de soportar los objetivos de la organización Reporte de análisis de impacto al negocio Reportes de clasificación de activos de información críticos Impacto como nivel de afectación de los objetivos de seguridad: Pérdida de integridad Pérdida de disponibilidad Pérdida de confidencialidad Niveles de Impacto: Alto: pérdida o daño mayor en activos críticos, objetivos, imagen o reputación de la empresa. Muerte o daño grave a personas. Medio: afectación de activos críticos, objetivos o imagen de la empresa. Daño a personas. Bajo: daño a algunos activos o afectación menor a los objetivos de la organización o a su imagen.

UPC – Evaluación de Riesgos 1.7 Determinación de riesgos: determinar el nivel de riesgo que afecta a un sistema. Matriz de Niveles de Riesgo

UPC – Evaluación de Riesgos 1.8 Recomendación de controles: proveer controles para reducir o eliminar riesgos a un nivel aceptable para la organización Requiere análisis de costo beneficio para su implementación. Consideración del impacto operacional y factibilidad técnica de las recomendaciones 1.9 Documentación resultante: Se prepara reporte de los resultados de la evaluación de riesgos. Entregado a la alta Gerencia para asistirla en la toma de decisiones sobre los riesgos que afectan a la organización y acciones a tomar para manejarlos.

UPC – Mitigación de Riesgos Incluye la priorización, evaluación e implementación de los controles recomendados por el proceso de evaluación de riesgos. Dado que la eliminación total de los riesgos es impracticable, es responsabilidad de la Dirección de la Organización utilizar un enfoque de minimizar costos e implementar los controles más apropiados para reducir los riesgos a un nivel aceptable, con el mínimo impacto posible en los recursos y la misión de la organización. Las opciones de mitigación de los riesgos pueden ser: asumir, evitar, limitar, planificar, administrar o transferir.

UPC – Mitigación de riesgos

UPC – Mitigación de riesgos

UPC – Evaluación y Monitoreo La organización evoluciona continuamente: sistemas de información, infraestructura, procesos, estructura organizativa, personas, etc. Lo anterior implica que continuamente se están generando nuevas fuentes potenciales de riesgos, los cuales deben ser continuamente evaluados a fin de tomar las medidas aadecuadas. El proceso de gestión de riesgos debe ser permanente en la organización Fuente de información: Risk Management Guide for Information Technology Systems. Special Publication National Institute of Standards and Technology:

UPC – La Gestión de Riesgos y el Ciclo de Vida de Sistemas

UPC – La Gestión de Riesgos y el Ciclo de Vida de Sistemas

UPC – Gracias por su atención