Análisis y Gestión de Riesgos en un Sistema Informático Resumen
Análisis y Gestión de riesgos en un sistema informático. Sistema para evaluar posibles riesgos del sistema informático y controlar cualquier posible amenaza : Detección de Amenazas - Intencionadas - No intencionadas - Naturales Análisis y detección de vulnerabilidades del sistema de información. - Impacto en los activos afectados Definición e implantación de salvaguardas - Físicas - Técnicas - Administrativas
PRINCIPALES CONCEPTOS Y DEFINICIONES EL ANÁLISIS Y GESTIÓN DE RIESGOS: PARA ESTUDIAR EL ANÁLISIS Y GESTIÓN DE RIESGOS: Recursos del sistema Amenazas Vulnerabilidades Incidentes de seguridad Impactos Riesgos Defensas, salvaguardas o medidas de seguridad Transferencia del riesgo a terceros
Los recursos son los activos a proteger del sistema informático de la organización. Recursos hardware :ordenadores, etc. Recurso software: sistemas operativos, etc. Elementos de comunicaciones: routers, etc. Información manipulada a través del sistema: activo de naturaleza intangible Locales y oficinas donde se ubican recursos físicos Personas que directa o indirectamente se benefician del sistema Imagen y reputación se la organización RECURSOS DEL SISTEMA
Evento accidental o intencionado que puede causar daño en el sistema informático. Amenazas naturales: inundación, etc. Amenazas de agentes externos: virus informático, etc. Amenazas de agentes internos: mala formación de los empleados, etc. Según la intencionalidad de la amenaza destacamos: Accidentes Errores Actualizaciones malintencionadas AMENAZAS
INCIDENTES DE SEGURIDAD Debilidad en el sistema informático que pueda permitir a las amenazas causarle daños y producir pérdidas en la organización. VULNERABILIDADES Son cualquier evento que tenga o pueda tener como resultado la interrupción de los servicios suministrados por un sistema informático, conllevando a posibles pérdidas físicas, de activos o financieras. Un incidente es la materialización de una amenaza. INCIDENTES DE SEGURIDAD
ESCALA PROPUESTA PARA MEDIR IMPACTO DEL DAÑO EN LA ORGANIZACIÓN Impacto es la medición y la valoración del daño que podría producir a la organización un incidente de seguridad. ESCALA PROPUESTA PARA MEDIR IMPACTO DEL DAÑO EN LA ORGANIZACIÓN ALTO Pérdida o inhabilitación de recursos críticos. Interrupción de procesos de negocio. Daños en la imagen y reputación de la organización. Robo o revelación de información estratégica o especialmente protegida. MODERADO Pérdida o inhabilitación de recursos críticos, pero cuentan con elementos de respaldo. Caída notable en el rendimiento de procesos de negocio o en la actividad. Robo o revelación de información confidencial, pero no considerada estratégica. BAJO Pérdida o inhabilitación de recursos secundarios. Disminución del rendimiento de los procesos de negocio. Robo o revelación de información interna no publicada. IMPACTOS
Riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático, causando un determinado impacto en la organización. Herramientas y metodologías que permiten evaluar el riesgo OCTAVE => análisis y evaluación de riesgos. RiskWatch => software de evaluación del riesgo que comtempla los contoles precistos por la norma ISO 17799. COBRA => como el anterior. RIESGOS
DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD Es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y nivel de impacto en la organización. Medida de seguridad activa => cualquier medida usada para anular o reducir riesgos de una amenaza. Se clasifican en: Medidas de prevención (aplicadas antes del incidente). Son: Autenticación de usuarios Control de accesos a los recursos Encriptación de datos sensibles La formación de usuarios, etc. Medidas de detección (aplicadas durante el incidente). Son: Sistema Detección de Intrusiones (IDS) Herramientas y procedimientos para el análisis de los “logs”(registros de la actividad de los equipos. DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD
DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD Medida de seguridad pasiva => reduce el impacto cuando se produzca un incidente de seguridad. También se conoce como medidas de corrección (aplicadas después del incidente). Son: Copias de seguridad El plan de respuesta a incidentes y de continuidad del negocio, etc. Por otro lado: Defensas físicas => control de acceso físico y condiciones ambientales. Defensas lógicas => protección mediante herramientas y técnicas informáticas: autenticación de usuarios, control de acceso a los ficheros, encriptación de los datos sensibles, etc. NIVEL DE RIESGO RESIDUAL => riesgo que la organización está dispuesta a aceptar. Manteniendo un equilibrio entre el esfuerzo técnico y económico. DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD
TRANSFERENCIA DEL RIESGO A TERCEROS Se trata de la contratación de una póliza de seguros especializada o bien a través de la subcontratación de un proveedor especializado en seguridad informática. TRANSFERENCIA DEL RIESGO A TERCEROS