Guía para la evaluación de seguridad en un sistema II Congreso de Seguridad Informática Guía para la evaluación de seguridad en un sistema Luz Marina Santos Jaimes Universidad de Pamplona

CONTENIDO Introducción Aplicación de los Métodos Análisis de Riesgos Checklist Auditoria Conclusiones Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

INTRODUCCION Las empresas tienen la cultura de seguridad informática? Todas las metodologías de evaluación de seguridad llegan a un punto donde se preguntan. Cómo valorar el impacto que causaría a un sistema la consecución de una amenaza? En áreas donde las pérdidas esperadas y la frecuencia de las amenazas pueden definirse en términos cualitativos o cuantitativos, el análisis de riesgos puede ser empleado. Requerimientos de seguridad adicionales pueden ser determinados con otros métodos, por ejemplo la auditoria. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

APLICACIÓN DE LOS METODOS Cuándo aplicar un método? Análisis Riesgos Checklist Auditoria Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

PROS/CONTRAS Cultura del riesgo Expresa en mejores términos las pérdidas al ocurrir un evento desfavorable.   Metodología cuantitativa Valoraciones son objetivas. Valor de la información en términos monetarios. Presupuesto destinado a la seguridad del sistema esta basado en análisis confiables y bien sustentados.  resistencia a su aplicación proceso que requiere tiempo y de información disponible. Proceso costoso. Requiere ayuda de herramientas Requieren una cantidad sustancial de información. No existe un estándar sobre amenazas y sus frecuencias. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

PROS/CONTRAS Metodología cualitativa No es necesario contar con datos estadísticos Checklist Existen en forma abundante y libre. Fácil de aplicar, resumir y comparar. Flexibles Su análisis es rápido. Se pueden aplicar medidas correctivas de inmediato Valoración es esencialmente subjetiva. La percepción de valores puede no reflejar realmente el actual valor del riesgo. Arbitrario y subjetivo Necesitan actualizarse constantemente. Pueden no tratar necesidades de un sistema particular. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

PROS/CONTRAS Auditoría Propicia el mejoramiento de procedimientos en el sistema. Reduce errores organizacionales Promueve la aplicación de las políticas y estándares de seguridad. Descubre nuevas amenazas al sistema. (Retroalimenta el análisis de riesgos) Aptitud negativa de los encargados de las partes auditadas. Requiere tiempo y esfuerzo. Requiere tener pistas de auditoria Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

ANALISIS DE RIESGOS Qué podría ocurrir? Sí ocurre, cuánto daño podría causar? Qué tan a menudo podría ocurrir? Qué puede ser hecho? Cuál es el costo de la medida? Es la medida efectiva? Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

ANALISIS DE RIESGOS (Cont.) Etapas del análisis de riesgos: Planeación del análisis de riesgos Identificación de amenazas y vulnerabilidades Valoración del impacto y frecuencia de ocurrencia de las amenazas Cálculo del riesgo Tratamiento del riesgo Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

ANALISIS DE RIESGOS (Cont.)   ANALISIS DE RIESGOS (Cont.) Recurso Amenaza Vulnerabilidades Recurso 1 Amenaza 1 Vulnerabilidad 1 Vulnerabilidad 2 ... Amenaza 2 Recurso 2   Integridad Datos Confiden-cialidad Disponibilidad Modificac. Destrucción 2hrs 24hrs 72hr Recurso Amen. 1 i f i f Amen. 2 ........ Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

ANALISIS DE RIESGOS (Cont.) Posibilidad de ocurrencia Impacto Alta Media Baja A M B El proceso final es la mitigación del riesgo, en caso de que la acción sea eliminar o reducir el riesgo. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

CHECKLIST Consiste en revisar si existen controles: Administrativos Operativos Técnicos Se verifica que se cumplan los principios de seguridad generalmente aceptados GSSPs. Se pueden aplicar listas de chequeo técnicas a partes del sistema en particular por ej: sistemas operativos. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

CHECKLIST (Cont.) A B C D E F R1 I N P A, B ... corresponde a cada uno de los controles técnicos I, P,V, N,X estado en el que se encuentran cada uno de los controles para cada recurso del sistema. A B C D E F R1 I N P Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

AUDIT La auditoria examina si el sistema esta cumpliendo con los controles y políticas de seguridad que previamente se definieron. Se toma documentación existente en cuanto a: políticas, análisis de riesgos, descripción de procesos, lista de controles.La ausencia de algún documento amerita la recomendación de la realización del mismo. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

AUDIT (Cont.) Establecimiento de Logs Intento de logearse, Identidad, Fecha, Tiempo de cada intento de entrada, Fecha y tiempo de salida, Dispositivos usados, Las funciones ejecutadas Aplicación del control de Logs Definición e implantación Revisión Control de acceso Reconstrucción de eventos Detección de intrusos Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

CONCLUSIONES Los encargados de seguridad sólo miran un mecanismo de evaluación sin aplicar los demás. Realización de matrices para determinar los elementos del riesgo en forma cualitativa de alto, medio, o bajo. En Colombia no se cuenta con registros a cerca de incidentes de seguridad, es importante empezar a establecer esta base de información. Es importante verificar la aplicación de estándares y políticas de seguridad mediante checklist y auditoria. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

CONCLUSIONES El análisis de riesgos no debe limitarse a realizarse una sola vez, está inmerso en un ciclo de vida que requiere retroalimentación. Es recomendable aplicar controles de seguridad, no por intuición, sino aplicar aquellos que se recomienden resultado de una exhaustiva evaluación de seguridad. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes