ANÁLISIS Y GESTIÓN DEL RIESGO: RIESGO Riesgo: Es el potencial que una amenaza determinada explote las vulnerabilidades de un activo y que ocasione pérdida de los activos o daños a los mismos. El riesgo se mide mediante la combinación del impacto y de la probabilidad de que ocurra.
ANÁLISIS Y GESTIÓN DEL RIESGO: RIESGO Riesgo Global: Es la combinación de los elementos de riesgos para formar una visión global del riesgo en la organización. Riesgo Residual: Es el nivel de riesgo resultante una vez se han aplicado los controles.
Análisis y Gestión del riesgo: Impacto Es el resultado de una amenaza. Generalmente están relacionadas a pérdidas financieras Pérdida directa de dinero Violación de Leyes Pérdida de Reputación Reducción de la eficiencia
Análisis y Gestión del riesgo: Control Acciones que son establecidas en políticas y procedimientos en la organización para reducir el riesgo.
Análisis y Gestión del riesgo: Clases de Controles Estos controles están diseñados para corregir los errores, las omisiones y los usos e intrusiones no autorizados una vez que éstos sean detectados. Controles de Recuperación Estos controles existen para detectar y para reportar cuando ocurran errores, omisiones y el uso o el ingreso no autorizado. Controles Detectivos Estos controles están diseñados para impedir o para restringir un error, omisión o una intrusión no autorizada. Controles Preventivos Son acciones o medidas adoptadas para asegurar la detección temprana o responder en forma anticipada a posibles vulnerabilidades. Controles Proactivos
ANÁLISIS Y GESTIÓN DEL RIESGO GESTIÓN REACTIVA VS. GESTION PROACTIVA. Identificar riesgos potenciales. Evaluar su probabilidad y su impacto. Establecer prioridades. RIESGO 2 Características: Incertidumbre: El acontecimiento que caracteriza al riesgo puede ocurrir o no. Pérdida: Magnitud de las consecuencias si el riesgo se presenta. 1
Proceso de Implementación Identificar Riesgos Análisis: clasificar y evaluar riesgos Análisis: Prioridades Plan: asignar y Aprobar Declaración y contexto del riesgo Clase, prob., impacto y ocurrencia del riesgo Prioridad listado de riesgo Asignaciones Y planes aprobados Plan: define acciones Monitoreo de Riesgos Control de riesgo Decisiones Plan para contra restar el riesgo Reporte de situación
ANÁLISIS Y GESTIÓN DEL RIESGO A. RIESGOS DEL PROYECTO: Amenazan el plan de Proyecto Retrasos y aumento de costos. Problemas con: Presupuesto, Planificación temporal, Personal, Recursos, Cliente y Requisitos y el IMPACTO de cada uno de ellos. CATEGORIAS DE RIESGO B. RIESGOS TECNICOS: Amenazan la planificación temporal y la calidad del SW a producir. Problemas con: Diseño, Implementación, Interfaz, Verificación, Mantenimiento. Factores: Ambigüedades en la especificación, Incertidumbre técnica, Técnicas (o bien anticuadas o bien “de punta”). C. RIESGOS DE NEGOCIOS Amenazan la viabilidad. De Mercado: Tener algo muy bueno que nadie necesita. Un producto que no se sepa cómo venderlo. Estratégico: el producto no encaja en las estrategias comerciales. De dirección: Perder apoyo de gestión experta. Monetario: Perder presupuesto o personal. 2
ANÁLISIS Y GESTIÓN DEL RIESGO RIESGOS CONOCIDOS: Aquellos que pueden descubrirse por factores asociados directamente al proyecto actual. RIESGOS PREDECIBLES: de la experiencia de proyectos anteriores. RIESGOS IMPREDECIBLES: PLUG AND PRAY! IDENTIFICACION DEL RIESGO. Un método: Crear una lista de comprobación de elementos de riesgo. Tamaño del producto R. A. con el tamaño general del sw a construir. Impacto en el negocio R. A. con limitaciones impuestas por gestión o el mercado. Características del cliente R. A. con sofisticación del cliente y habilidad para comunicarse con él. Definición del proceso R. A. con el grado de definición del proceso de SW y su seguimiento durante el desarrollo. Entorno de desarrollo R. A. con disponibilidad y calidad de las herramientas a emplear. Tecnología a construir R. A. con la complejidad del sistema a construir. Tamaño y experiencia del grupo R. A. con experiencia técnica y de proyectos. R.A. (Riesgos Asociados) 3
ANÁLISIS Y GESTIÓN DEL RIESGO Evaluación Global del riesgo del proyecto. 1. ¿Se han asignado los gestores del software y clientes formalmente para dar soporte al proyecto? 2. ¿Están completamente entusiasmados los usuarios finales con el proyecto y con el sistema/producto a construir? 3. ¿El equipo de ingenieros de software y los clientes han todos los requisitos? 4. ¿Han estado los clientes involucrados por completo en la definición de requisitos? 5. ¿Tienen los usuarios finales expectativas realistas? 6. ¿Es estable el ámbito del proyecto? 7. ¿Tiene el Ingeniero de SW el conjunto de habilidades? 8. ¿Son estables los requisitos del proyecto? 9. ¿Tiene experiencia el equipo del proyecto con la tecnología a implementar? 10. ¿Es adecuado el número de personas del equipo del proyecto para realizar el trabajo? 11. ¿Están de acuerdo todos los clientes/usuarios en la importancia del proyecto y en los requisitos del sistema/producto a construir? 4
ANÁLISIS Y GESTIÓN DEL RIESGO COMPONENTES Y CONTROLADORES DEL RIESGO. Identificar los controladores que afectan a los componentes de riesgo software: C. R. Rendimiento G.I. con el que el producto encontrará sus requisitos y se adecue para el uso que se pretende darle. C. R. Coste G. I. que mantendrá el presupuesto del proyecto. C. R. Soporte G. I. de la facilidad del SW para corregirse, adaptarse y mejorarse. C. R. Planificación temporal G. I. con que se podrá mantener la planificación temporal y de que el producto se entregue a tiempo. G.I. (Grado de Incertidumbre) 5
ANÁLISIS Y GESTIÓN DEL RIESGO PROYECCION DEL RIESGO. Combinación entre probabilidad de ocurrir y su impacto. Establecer escala q’ refleje probabilidad. Definir consecuencias. Estimar impacto en proyecto y en producto. Apuntar exactitud general de la estimación. Se tienen en cuenta en primer lugar: Riesgos de gran impacto y probabilidad moderada en adelante. Riesgos de bajo impacto pero de gran probabilidad. 6
ANÁLISIS Y GESTIÓN DEL RIESGO 7
ANÁLISIS Y GESTIÓN DEL RIESGO Matriz de Priorización de Riesgos. 8
ANÁLISIS Y GESTIÓN DEL RIESGO EVALUACION DEL IMPACTO DEL RIESGO. Factores que afectan a las consecuencias probables de un riesgo si ocurre: NATURALEZA Problemas probables. ALCANCE Severidad + Distribución general. TEMPORIZACION Cuándo aparecerá y por cuánto tiempo se hará sentir. EXPOSICION AL RIESGO (ER) (¿Cuánto me cuesta?). Identificación del riesgo. Probabilidad del riesgo. Impacto del riesgo Cantidad promedio de LDC por componente = 100 LDC. Valor de LDC x Componente = 14.00 ₤ / LDC. Costo global (Impacto) = 18 comp * 100 LDC/comp * 14 ₤/LDC = 25200 ₤ ER = P * C = 0.8 * 25.200 ₤ = 20.200 ₤. ¡ESTO SE HACE PARA CADA RIESGO! 9
ANÁLISIS Y GESTIÓN DEL RIESGO Reducción, Supervisión y Gestión de Riesgos Reducción Estrategias xa evitar que ocurra. (Al comienzo del proyecto). Supervisión Revisión de factores durante el proyecto. Gestión Planes de contingencia si el riesgo aparece. ¡TODO ESTO INEVITABLEMENTE AUMENTA COSTOS! Ayudarse de la Ley de Pareto (80/20): 80 por ciento de las consecuencias posibles radican en el 20 de los factores identificados. 80 por ciento del fracaso radica en el 20 de los riesgos. 10
ANÁLISIS Y GESTIÓN DEL RIESGO El plan RSGR Todos los documentos del plan RSGR se llevan a cabo como parte del análisis de riesgo y son empleados por el jefe del proyecto como parte del Plan del Proyecto general. A continuación se expone un esquema del Plan RSGR. I. Introducción 1. Alcance y propósito del documento 2. Visión general de los riesgos principales 3. Responsabilidades a. Gestión b. Personal técnico II. Tabla de riesgo del proyecto. 1. Descripción de todos los riesgos por encima de la línea de corte 2. Factores que influyen en la probabilidad e impacto 11
ANÁLISIS Y GESTIÓN DEL RIESGO El plan RSGR III. Reducción, supervisión y gestión del riesgo n. Riesgo # n a. Reducción i.Estrategia general. ii. Pasos específicos. b. Supervisión i. Factores a supervisar. ii. Enfoque de supervisión. c. Gestión i. Plan de contingencia. ii. Consideraciones especiales. IV. Planificación temporal de revisión del Plan RSGR V. Resumen 11
ANÁLISIS Y GESTIÓN DEL RIESGO El plan RSGR Una vez que se ha desarrollado el plan RSGR y el proyecto ha comenzado, empiezan los procedimientos de reducción y supervisión del riesgo. La reducción del riesgo es una actividad para evitar problemas. La supervisión del riesgo es una actividad de seguimiento del proyecto con tres objetivos principales: (1) Valorar cuando un riesgo previsto ocurre de hecho; (2) Asegurarse de que los procedimientos para evitar el riesgo definidos para el riesgo en cuestión se están aplicando apropiadamente; (3) Recoger información que pueda emplearse en el futuro para analizar riesgos. En muchos casos, los problemas que ocurren durante un proyecto pueden afectar a más de un riesgo. Otro trabajo de la supervisión de riesgos es intentar determinar el "origen" (qué riesgos ocasionaron tal problema) a lo largo de todo el proyecto. 12
Caso Práctico
Servicios Bancarios, S.A. Diagrama de Red Estaciones Internet Servidores Web Servidores
Antecedentes El 89.4% de los incidentes registrados en Internet son de accesos no autorizados El 27.7% de esto lo constituye acceso a sistemas de claves. El 24.1% lo constituye accesos a cuentas El 37.6% lo constituyen intentos de acceso El 10.6% restante lo conforma el uso no autorizado El 2.4% lo constituye ataques de negación de servicios El 3.1% lo constituye incidentes de corrupción de información. El 5.1% incidentes de revelación de información.
Antecedentes (Continuación…) El 18.1% de los incidentes registrados en Internet utilizaron algún tipo de herramientas El 15.4% utilizó los caballo de Troya El 45.3% restante explotó alguna vulnerabilidad El 21.8% lo constituye las palabras claves fáciles de adivinar, descifrado de palabras claves, entre otros . El resto explotó fallas en las configuraciones, servidores, correo electrónico, etc.
Declaración y Contexto de Riesgo Identificador Declaración Contexto Origen Clase Fecha Bomba de Correo Electrónico La falta de filtros puede conllevar a un ataque de este tipo. Serie de mensajes enviados a una casilla de correo con un tamaño promedio de 2MB Juan Pérez, Especialista de Seguridad Experiencia en otra instalación 15/10/01 Negación de Servicios La falta de actualización e implementación de medidas correctivas conllevan este tipo de ataque Pueden atacar los equipos y sistemas inhabilitando los servicios para los cuales han sido establecidos. Luis Pinzón, Administrador de SO Scanner Son programas que detectan en forma automática las debilidades de la red La información resultante en conjunto con un análisis integral puede facilitar el ataque a las áreas vulnerables de toda la instalación Experiencia en nuestra instalación
Riesgo Impacto Significativo Probabilidad de Ocurrir Marco de Tiempo Forma de Evaluación Riesgo Impacto Significativo Probabilidad de Ocurrir Marco de Tiempo Evaluación Binaria Bomba de Correo Electrónico 3 Scanner 4 Virus 7 Captura de Paquetes Windows NT Vulnerabilidades Conocidas Negación de Servicios
Gráfica de Barra de Riesgo
Clasificación de Riesgos Categoría Identificador Riesgo Herramientas 1A Bomba de Correo Electrónico 1B Scanner 1C Virus 1D Captura de Paquetes Plataformas 2A Windows NT 2B Vulnerabilidades Conocidas 2C Negación de Servicios
Comparación de Rango de Riesgo 1B 1C 1D Resultado 1 .5 1.5 3
Lista de Acción por Riesgo Identificador Riesgos Existentes Estrategia Correctiva Descripción de la Acción Asignado a: Fecha 1A – Bomba de Correo Electrónico Upyour.zip, kaboom3.zip, bomb.exe, mailbomb.c Erradicar archivos de bomba de correo. Filtros: www.stalker.com , www.antispam.org www.spamkiller.com Obtener archivo correctivo vía internet o proveedor local correspondiente a la plataforma seleccionada Juan Pérez, Especialista de Seguridad 15/10/01 1B – Scanner Revelan las debilidades de una red en forma detallada y ordenada. Pueden ser utilizado tanto por los administradores como por los hackers Scanners o IDS disponibles: Webtrend, Enterprise Security Manager, Netprowler, ISS,, patchwork. Identificar los scanners disponibles y sus filosofías de acción para escoger los más adecuados para nuestra instalación. Luis Pinzón, Administrador de SO 2B - Vulnerabilidades Conocidas Ataques conocidos: bonk.c, hanson.c, land.c Arreglos disponibles: microsoft, www.real.com , etc Obtener archivo correctivo vía internet o proveedor.
Hoja de Monitoreo del Riesgo Identificador del Riesgo Prioridad Declaración Del Riesgo Situación del Riesgo Probalidad Impacto Asignado a: 1A – Bomba de Correo Electrónico 2 No se utiliza filtros de correo electrónico Riesgo de seguridad presente. Posible negación de servicio. Media Bajo Juan Pérez, especialista de Seguridad 1B – Scanner 3 No se utiliza el scanner en forma frecuente Puntos vulnerables de la red de fácil corrección se encuentran presentes Baja Medio Luis Pinzón, Administrador de base de datos 2C - Negación de servicios 1 Ataque dirigido frecuentemente a ruteadores y web serves con mucha efectividad Cada ataque conocido tiene su medida correctiva Alto Luis Pinzón, Administrador de Base de Datos
Hoja de Información del Riesgo Identificador: 1A Hoja de Información del Riesgo Identificado: Fecha de identificación del riesgo Prioridad: 2 Declaración: La falta de filtros de correo electrónico puede conllevar a un ataque de negación de servicio en el que un ruteador o un servidor de correo electrónico están bajo un continuo ataque; lo que constituye un riesgo de seguridad Probabilidad:Media Impacto: Bajo Origen:Juan Pérez, Especialista de Seguridad Clase: Experiencia de otra instalación Asignado a: Juan Pérez, Especialista de Seguridad Contexto: Una bomba de correo electrónico es simplemente una serie de mensajes (probablemente miles) enviados a una casilla de correo. Su tamaño promedio es de 2MB. Su intención es llenar la casilla de correo con basura. De no implementarse filtros de correo podría conllevar a la negación de servicios y constituir un riesgo de seguridad. Estrategia Correctiva: 1. Identificación de los paquetes de bombas. 2. Identificación de las aplicaciones de filtros. 3. Entrenamiento al personal. Plan de Contingencia y Activación: Plan: Contratar servicios profesionales que proporciones entrenamiento en la instalación y utilización de filtros de correo. Activación: De no satisfacer la solución interna Situación: Casos reportados, tipo de bomba identificada, filtros instalados y Personal Capacitado. Fecha de Situación: 23/10/03 Aprobado: Ramón Pérez, Director de Seguridad de SI Fecha de Clausura: 23/10/03. Comentario de Clausura: Las acciones fueron emprendidas inmediatamente.
¿Es esto suficiente para ….? Asegurarme de la dependencia creciente en TI. Protegerme de las nuevas vulnerabilidades en la TI. Asegurar que las inversiones actuales y futuras en TI realmente sirvan a los objetivos de la organización. Utilizar al máximo el potencial de la TI para cambiar la organización y nuestras practicas; crear nuevas oportunidades y reducir costos Director
Conclusiones La administración de riesgo nos permite reducir los riesgo antes que estos se presenten en el desarrollo de proyectos de software. Identifica los problemas potenciales y actúa sobre ellos en una forma mas económica para evitar impactos negativos en el desarrollo de software. Cada organización debe modelar su propia metodología de análisis y manejo del riesgo de acuerdo a sus necesidades El trabajo en equipo es una de las claves de éxito en el correcto manejo de los riesgos. Las evaluaciones deben hacer énfasis en escenarios existentes y no hipotéticos.