La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

1 El análisis de riesgos, base de la gestión de la Seguridad de la Información.

Publicada porJohn Parra Modificado hace 6 años

Presentaciones similares

Presentación del tema: "1 El análisis de riesgos, base de la gestión de la Seguridad de la Información."— Transcripción de la presentación:

1 1 El análisis de riesgos, base de la gestión de la Seguridad de la Información

2 Conceptos básicos

3 3 “Seguridad Informática es un proceso continuo, donde la condición de los controles de la institución es un indicador de su postura de seguridad” FFIEC Information Security IT Examination Handbook, Diciembre de 2002 La inseguridad es una propiedad inherente a los recursos informáticos, la gestión es la única forma de medirla y aminorarla Seguridad de la información?

4 Seguridad de la informacion? No se podrá entender la seguridad informática como un concepto cerrado consecuencia de la aplicación mecánica de una serie de métodos Es un proceso que se puede ver comprometido en cualquier momento de la forma menos sospechada

5 Impacto Financiero de un incidente Una empresa que factura 4000M mensuales factura 1000M semanales, entonces factura diariamente 200M en promedio Cuanto le cuesta a la organización no tener sistema durante dos dias? EJ: Un gusano entra por el firewall y aprovechando una vulnerabilidad del servidor web toma control de este, de paso infecta (copia el gusano) los 600 PCs MS Windows XP que no tienen suplementos a la fecha

6 Que variables se afectan en un incidente? Confidencialidad: El aprovechamiento de una vulnerabilidad deja al atacante con permisos de administrador sobre el servidor web del ejemplo anterior Integridad: El servidor web es modificado o alterado por un usuario no autorizado Disponibilidad: Los PCs de la red, el firewall y el servidor web no son accesibles por los elementos autorizados

7 7 Propiedades de un sistema Confidencialidad: Los recursos del sistema solo pueden ser accedidos por los elementos autorizados Integridad: Los recursos del sistema solo pueden ser modificados o alterados por los elementos autorizados Disponibilidad: Los recursos del sistema deben permanecer accesibles a los elementos autorizados

8 8 Tipos de ataques Modificacion: Webdefacement Fabricacion: Insertar nuevo usuario Interceptacion: Key loggers (spyware), Sniffers Interrupcion: DoS (Denegacion de servicios) ej: Snork, smurf

9 9 Que atacan? Propiedades ______________ Confidencialidad Integridad Disponibilidad Ataques _______________ Modificacion: webdefacement Fabricacion: Insertar nuevo usuario Interceptacion: Key loggers Interrupcion: Dos

10 10 No se requieren grandes habilidades técnicas para “hackear”19801985199019952005 Habilidades Requeridas Sofisticacion del Ataque Sofisticacion del Ataque E-Mail Worms PasswordGuessing Self-ReplicatingCode PasswordCracking Exploiting Known Vulnerabilities DisablingAudits Backdoors HijackingSessions Sweepers StealthDiagnostics Sniffers Satan PacketSpoofing Central Exploit Repository StackOverflw Back Orifice NMAP MacroVirus IcmpTunneling HIGHLOW HIGHHIGH LOWLOWLOWLOW

11 No importa el sistema operativo

12 Entonces que debo proteger? El concepto de seguridad lleva asociado otro que le da sentido: !!! El VALOR !!! Solo se debe proteger aquello que creemos que tiene un valor importante para la organización

13 Porque lo que no se mide no se administra y lo que no se administra no se mejora… Por que gestionar los riesgos?

14 Modelo de Seguridad Informática Los riesgos nunca se eliminan se gestionan De los riesgos se desprende que los problemas de seguridad no son únicamente de índole tecnológica por ello nunca se eliminan

15 Modelo de Seguridad Informática En consecuencia la organización debe entender la seguridad como un proceso que nunca termina

16 Modelo de Seguridad Informática El objetivo primordial de los SGSI es salvaguardar la información Para empezar la organización debe identificar que “activos de información” deben ser protegidos y en que grado

17 Que es la metodología PDCA o PHVA? PHVA, nos indica Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo hasta disminuir los riesgos PLANIFICAR PLAN HACER DO VERIFICAR CHECK ACTUAR ACT MEJORAS CONTINUAS

18 PLANIFICAR: Establecer el contexto En este nivel se crean las Políticas de seguridad Se describe el alcance del SGSI Se hace análisis de riesgos Selección de controles Estado de aplicabilidad

19 HACER: Implementar el sistema Implementar el sistema de gestión de seguridad de la información Implementar el plan de riesgos Implementar los controles

20 VERIFICAR: Monitorea y revisa Monitorea las actividades Revisa Hace auditorias internas

21 ACTUAR: Mantenimiento y mejora Implementa mejoras Acciones preventivas Acciones correctivas

22 Análisis de riesgos

23 Análisis de riesgos según la norma ISO IEC 27002:2005 (antes 17799) Según la norma ISO/IEC 17799 la primera fuente para que una organización identifique sus necesidades de seguridad es la valoración de sus riesgos

24 Puntos críticos (1 de 2) 1. Identificación de activos y asignación de sus respectivos valores 2. Identificación de amenazas a los activos y valoración de sus probabilidades 3. Identificación de vulnerabilidades y valorarlas

25 Puntos críticos (2 de 2) 4.Identificación de los controles que se tengan implementados 5.Valoración del riesgo global resultante de los puntos anteriores

26 Que es análisis de riesgos? Es la consideración sistemática de: El daño probable que puede causar en el negocio un fallo en la seguridad, teniendo en cuenta las consecuencias potenciales de una pérdida de confidencialidad, integridad, disponibilidad de la información

27 Que es análisis de riesgos? (1 de 2) Un proceso de análisis de riesgos detallado, implica la identificación y valoración de los activos, la evaluación de las amenazas, las vulnerabilidades de los activos frente a las amenazas, la estimación del impacto y la valoración de los riesgos

28 Que es análisis de riesgos? (2 de 2) La fase siguiente al análisis de riesgos es la gestión de los riesgos detectados, que soporta la identificación, selección y adopción de controles con base a los riesgos identificados y a la reducción de esos riesgos a un nivel aceptable definido por la dirección

29 Estructura metodologica que se podría seguir Los elementos implicados en la seguridad son: Inventario de Activos Amenazas Vulnerabilidades Impactos Riesgos

30 Inventario de activos (1 de 2) En este inventario se identificará claramente su propietario y su valor para la organización, así como su localización actual (muy importante cuando se intente recuperar por pérdida o daño)

31 Inventario de activos (2 de 2) Desde el punto de vista de la gestión de la seguridad informática un inventario de activos ayudará a proteger adecuadamente los activos de la organización

32 Amenazas (1 de 4) Las amenazas son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos

33 Amenazas (2 de 4) La consecuencia de la amenaza, si se materializa, es un incidente que modifica el estado de seguridad de los activos amenazados. Es decir, hace pasar el activo de un estado inicial anterior conocido a otro posterior, que puede ser no deseable

34 Amenazas (3 de 4) Los activos están expuestos a muchas clases de amenazas, las cuales pueden explotar sus vulnerabilidades

35 Amenazas (4 de 4) Los controles de seguridad que se implementen se seleccionarán teniendo en cuenta las vulnerabilidades, no las amenazas

36 Vulnerabilidades (1 de 4) La vulnerabilidad de un activo es la posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo

37 Vulnerabilidades (2 de 4) También se le conoce a la vulnerabilidad como una debilidad, como un agujero, como una falla o error en la seguridad del sistema de información

38 Vulnerabilidades (3 de 4) En sí misma no causa daño alguno, sino que es una condición o un conjunto de condiciones que pueden permitir a una amenaza afectar a un activo

39 Vulnerabilidades (4 de 4) Se trata de una propiedad de la relación entre un activo y una amenaza, que si no se gestiona adecuadamente permitirá a la amenaza materializarse

40 Impacto (1 de 2) Es la consecuencia sobre un activo de la materialización de una amenaza

41 Impacto (2 de 2) El impacto mide la diferencia entre el estado de seguridad de un activo antes y después de la materialización sobre él de una amenaza

42 Riesgo (1 de 2) Es la posibilidad de que se produzca un impacto sobre algún activo

43 Riesgo (2 de 2) El control del riesgo como resultado del análisis de riesgos, es un proceso complejo que parte de la determinación de los activos y las amenazas y prosigue con la estimación de las vulnerabilidades y los impactos

44 Costo de equilibrio

45 Magerit (1 de 4) Una metodología exitosa muy probada es la creada por el “Consejo Superior de Informática” de España sobre el Análisis y Gestión de Riesgos de los sistemas de Información

46 Magerit (2 de 4) Es la mas compleja de las metodologías pero es la que mas llega a la junta directiva, pues muestra los activos con valores

47 Magerit (3 de 4)

48 Magerit ( 4 de 4)

49 Conclusiones (1 de 2) Se recomienda seguir la norma internacional ISO/IEC 27001 (certificables) O como mínimo seguir las recomendaciones ISO/IEC 17799 (mejores practicas)

50 Conclusiones (2 de 2) Considera la organización como un todo Tiene en cuenta todos los posibles aspectos que se pueden ver afectados ante los posibles incidentes que se pueden producir

51 Bibliografía Ziegler, Robert. Linux Firewalls. 2nd ed. 2002. New Riders Publishing. Ziegler, Robert. Linux Firewalls. 2nd ed. 2002. New Riders Publishing. Harrison, Richard. The Antivirus Defense-in-Depth Guide. 2004. Microsoft Corporation. Harrison, Richard. The Antivirus Defense-in-Depth Guide. 2004. Microsoft Corporation. Tabacman, Eduardo. Elementos de Seguridad Informática. 2005. VIRUSPROT.COM. Tabacman, Eduardo. Elementos de Seguridad Informática. 2005. VIRUSPROT.COM. http://www.jrwhipple.com/virus_iloveyou.html http://www.jrwhipple.com/virus_iloveyou.html http://www.jrwhipple.com/virus_iloveyou.html http://www.astaro.com http://www.astaro.com http://www.astaro.com http://www.uoc.edu http://www.uoc.edu IATF. Defense in Depth. Release 3.1. 2002. IATF. Defense in Depth. Release 3.1. 2002. McGuiness, Todd. Defense In Depth. Version 1.2E. 2001. SANS Institute. McGuiness, Todd. Defense In Depth. Version 1.2E. 2001. SANS Institute. Cole, Krutz, Conley James. Network Security Bible. 1st ed. 2005. Wiley Publishing. Cole, Krutz, Conley James. Network Security Bible. 1st ed. 2005. Wiley Publishing.

Descargar ppt "1 El análisis de riesgos, base de la gestión de la Seguridad de la Información."

Presentaciones similares

TIC I: Seguridad Informática. Gestión del riesgo.

TIC I: Seguridad Informática. Gestión del riesgo.
CONSEJOS DE PROTECCIÓN EN LA RED. ¿QUÉ ES LA SEGURIDAD EN LA RED ? Es un nivel de seguridad que garantiza que el funcionamiento de una red sea óptimo.

CONSEJOS DE PROTECCIÓN EN LA RED. ¿QUÉ ES LA SEGURIDAD EN LA RED ? Es un nivel de seguridad que garantiza que el funcionamiento de una red sea óptimo.
Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013

Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013
PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.

PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
NORMA ISO DIS 9001:2015 Draft International Standard.

NORMA ISO DIS 9001:2015 Draft International Standard.
 Esta NIF se refiere a las necesidades de los usuarios y el objetivo de emitir estados financieros.  En consecuencia, el propósito de los estados financieros.

 Esta NIF se refiere a las necesidades de los usuarios y el objetivo de emitir estados financieros.  En consecuencia, el propósito de los estados financieros.
 La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión.

 La serie de normas ISO/IEC son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión.
Gestión de Proyectos en Telecomunicaciones Magíster en Ingeniería de Redes de Comunicaciones EMC 150 Clase Nº 11 October 19, 2016.

Gestión de Proyectos en Telecomunicaciones Magíster en Ingeniería de Redes de Comunicaciones EMC 150 Clase Nº 11 October 19, 2016.
Día IV: Tratamiento de Información

Día IV: Tratamiento de Información
Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.

Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.
SISTEMA DE GESTION DE LA CALIDAD EN EL SECTOR AGROALIMENTARIO.

SISTEMA DE GESTION DE LA CALIDAD EN EL SECTOR AGROALIMENTARIO.
FACULTAD DE INGENIERÍA INGENIERÍA DE MANTENIMIENTO MECÁNICO INTEGRANTES: Robert Lugo Mario Piai Miguel Osorio Adrián Rojas ENFOQUE ESTRATÉGICO Y COMO SE.

FACULTAD DE INGENIERÍA INGENIERÍA DE MANTENIMIENTO MECÁNICO INTEGRANTES: Robert Lugo Mario Piai Miguel Osorio Adrián Rojas ENFOQUE ESTRATÉGICO Y COMO SE.
Auditoría de gestión Sánchez Pincay laura Karina trávez mero Gabriela Alexandra rosero pachay Evelin párraga cuenca maría victoria espinal anggie SANTANA.

Auditoría de gestión Sánchez Pincay laura Karina trávez mero Gabriela Alexandra rosero pachay Evelin párraga cuenca maría victoria espinal anggie SANTANA.
International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.

International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.
UNIVERSIDAD NACIONAL DE MOQUEGUA Escuela Profesional de Ingeniería de Sistemas é Informática CURSO : Auditoria de Sistemas DOCENTE : Msc. Alex Zuñiga Incalla.

UNIVERSIDAD NACIONAL DE MOQUEGUA Escuela Profesional de Ingeniería de Sistemas é Informática CURSO : Auditoria de Sistemas DOCENTE : Msc. Alex Zuñiga Incalla.
Los requisitos para una planificación eficaz ya que es la tarea más importante en cuanto condiciona el hacer y el actuar. Los objetivos deben ser alcanzables.

Los requisitos para una planificación eficaz ya que es la tarea más importante en cuanto condiciona el hacer y el actuar. Los objetivos deben ser alcanzables.
No conformidades y su análisis/ Acciones preventivas y/o correctivas TUTOR LEONARDO OLMOS INGENIERO INDUSTRIAL ESP. GERENCIA EN SEGURIDAD Y SALUD EN EL.

No conformidades y su análisis/ Acciones preventivas y/o correctivas TUTOR LEONARDO OLMOS INGENIERO INDUSTRIAL ESP. GERENCIA EN SEGURIDAD Y SALUD EN EL.
Plan de Continuidad de las TIC

Plan de Continuidad de las TIC
Alan Guillermo Zamora Téllez

Alan Guillermo Zamora Téllez

Presentaciones similares

Anuncios Google