UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.

1UPC – 2010 02

SI-38 Seguridad y Auditoría de SistemasAdministración del Riesgo

2UPC – 2010 02

ObjetivoProteger a la organización y su habilidad de cumplir la misión para la que fue creada.

• Mejorando la seguridad de los sistemas tecnológicos que almacena, procesa o transmiten la información de la organización.

• Permitiendo a la Alta Gerencia tomar decisiones adecuadamente informadas sobre la gestión de riesgos y justificar los gastos respectivos en el presupuesto de TI.

• Autorizar la implementación de nuevos sistemas, basado en la información dejada por el proceso de gestión de riesgos.

Definición La gestión del riesgo es el proceso de identificar riesgos, dimensionarlos y tomar acciones para reducirlos a un nivel aceptable para la organización.

La gestión del riesgo se compone de tres procesos principales: Evaluación de riesgos, Mitigación de riesgos y Evaluación y monitoreo

La Gestión del Riesgo

3UPC – 2010 02

Definiciones

Riesgo es el impacto neto negativo resultado del ejercicio de una vulnerabilidad, considerando tanto su probabilidad como el impacto de su ocurrencia.

Vulnerabilidad es una falla o debilidad en los procedimientos de seguridad, diseño, implementación o controles internos de un sistema que pueden ser explotados accidental o intencionalmente y resultar en una brecha de seguridad o una violación de las políticas de seguridad de un sistema.

Una efectiva gestión de riesgos debe estar totalmente integrada en el ciclo de vida del desarrollo de sistemas de información.

La Gestión del Riesgo

4UPC – 2010 02

1. Evaluación de Riesgos

El riesgo es función de que una amenaza active (intencional o accidentalmente) una potencial vulnerabilidad, y el impacto adverso resultante en la organización.

La evaluación de riesgos busca determinar la magnitud de la potencial amenaza y el riesgo asociado con un sistema de información a través de su ciclo de vida.

Lo anterior se logra a través del análisis de las amenazas que afectan a un sistema de información, en conjunto con las potenciales vulnerabilidades y los controles existentes para dicho sistema.

5UPC – 2010 02


6UPC – 2010 02


1.1 Caracterización del sistema: identifica el alcance del sistema, los recursos que utiliza y el esfuerzo que tomará la identificación de riesgos.

1.1.1 Información del sistema• HW, SW, datos, interfaces con otros sistemas, datos,

comunicaciones• Usuarios, objetivos del sistema, criticidad, sensibilidad de la

información• Requerimientos funcionales, políticas de seguridad vigentes,

arquitectura de seguridad del sistema, controles existentes, • Requerimientos operacionales: backups, mantenimiento, gestión

de accesos, seguridad ambiental

1.1.2 Técnicas de recolección de información• Cuestionarios a usuarios y personal técnico• Entrevistas de campo, inspección de instalaciones y de

operatividad• Revisión de documentos: políticas, documentación técnica del

sistema, reportes de auditorías, etc.• Herramientas de escaneo automatizadas

7UPC – 2010 02


1.2 Identificación de amenazas: una amenaza puede explotar (intencionalmente o no) una vulnerabilidad presente en un sistema.

1.2.1 Identificación de fuentes de amenazas

• Lista de potenciales amenazas que apliquen para el sistema en evaluación

• Una fuente de amenaza es cualquier circunstancia o evento que potencialmente puede causar daño a un sistema.

• Pueden ser humanos, naturales o ambientales• Amenazas naturales: inundaciones, terremotos, tornados,

avalanchas, tormentas eléctricas, etc.• Amenazas ambientales: fallas eléctricas prolongadas,

contaminación, inundaciones, etc.• Amenazas humanas: fallas involuntarias en la operación del

sistema, ataques deliberados a la red, ejecución de SW malicioso, acceso no autorizado a información confidencial, espionaje industrial, hackers, terrorismo, sabotaje de empleados.

8UPC – 2010 02


1.3 Identificación de vulnerabilidades: desarrolla una lista de vulnerabilidades (debilidades) del sistema que pueden potencialmente ser explotadas por alguna amenaza. Las vulnerabilidades pueden ser técnicas o no técnicas.

1.3.1 Fuentes de identificación de vulnerabilidades

• Reportes previos de evaluación de riesgos.• Reportes de auditoria o evaluaciones de seguridad previas.• Listas de vulnerabilidades disponibles por organismos

especializados 1.3.2 Pruebas de seguridad del sistema

• Herramientas automaticas de detección de vulnerabilidades• Pruebas y evaluación de seguridad• Test de penetración

1.3.3 Lista de Requerimientos de seguridad• Estándares básicos de seguridad que pueden utilizarse para

identificar vulnerabilidades en activos (HW, SW, personal, información, etc.) o en procedimientos, procesos asociados al sistema evaluado

• Pueden ser requerimientos de seguridad a nivel de gestión, operacionales o técnicos.

9UPC – 2010 02


1.3 Identificación de vulnerabilidades

10UPC – 2010 02


1.3 Identificación de vulnerabilidades

11UPC – 2010 02


12UPC – 2010 02


1.4 Análisis de controles: evalúa los controles implementados o planeados en la organización con el objetivo de eliminar la probabilidad de que una amenaza active una vulnerabilidad de los sistemas.

1.4.1 Métodos de control

• Técnicos: mecanismos de control de acceso, autenticación, encriptación, detección de intrusos, etc.

• No técnicos: políticas de seguridad, controles operacionales, seguridad física o ambiental.

1.4.2 Categorías de control• Preventivos: encriptación, autenticación, etc.• Detectivos: herramientas de detección, pistas de auditoría, etc.

1.4.3 Lista de requerimientos de seguridad• Estándares básicos de seguridad que pueden utilizarse para

identificar la existencia o no de controles que aseguren su cumplimiento. Esta debe actualizarse periódicamente.

13UPC – 2010 02


1.5 Determinación de probabilidades: determinar la probabilidad de que una potencial vulnerabilidad pueda ser activada por una amenaza.

1.5.1 Factores que determinan la probabilidad• Motivación y capacidad de las fuentes de amenazas• Naturaleza de la vulnerabilidad• Existencia y efectividad de los controles existentes.

1.5.2 Probabilidades:• Alta: la fuente de amenazas está motivada y es capaz, los

controles son inefectivos.• Media: la fuente de amenazas es capaz y motivada, pero los

controles son adecuados.• Baja: la fuente de amenazas no es capaz ni motivada y los

controles son adecuados.

14UPC – 2010 02


1.6 Análisis de impacto: determinar la magnitud del impacto adverso de la materialización de una vulnerabilidad por una amenaza dada.

1.6.1 Estimar cuantitativa o cualitativamente la afectación de activos de información críticos en su misión de soportar los objetivos de la organización• Reporte de análisis de impacto al negocio• Reportes de clasificación de activos de información críticos

1.6.2 Impacto como nivel de afectación de los objetivos de seguridad:• Pérdida de integridad• Pérdida de disponibilidad• Pérdida de confidencialidad

1.6.3 Niveles de Impacto:• Alto: pérdida o daño mayor en activos críticos, objetivos, imagen

o reputación de la empresa. Muerte o daño grave a personas.• Medio: afectación de activos críticos, objetivos o imagen de la

empresa. Daño a personas.• Bajo: daño a algunos activos o afectación menor a los objetivos

de la organización o a su imagen.

15UPC – 2010 02


1.7 Determinación de riesgos: determinar el nivel de riesgo que afecta a un sistema.

Matriz de Niveles de Riesgo

16UPC – 2010 02


1.8 Recomendación de controles: proveer controles para reducir o eliminar riesgos a un nivel aceptable para la organización Requiere análisis de costo beneficio para su implementación. Consideración del impacto operacional y factibilidad técnica de

las recomendaciones

1.9 Documentación resultante: Se prepara reporte de los resultados de la evaluación de riesgos. Entregado a la alta Gerencia para asistirla en la toma de

decisiones sobre los riesgos que afectan a la organización y acciones a tomar para manejarlos.

17UPC – 2010 02

2. Mitigación de Riesgos

Incluye la priorización, evaluación e implementación de los controles recomendados por el proceso de evaluación de riesgos.

Dado que la eliminación total de los riesgos es impracticable, es responsabilidad de la Dirección de la Organización utilizar un enfoque de minimizar costos e implementar los controles más apropiados para reducir los riesgos a un nivel aceptable, con el mínimo impacto posible en los recursos y la misión de la organización.

Las opciones de mitigación de los riesgos pueden ser: asumir, evitar, limitar, planificar, administrar o transferir.

18UPC – 2010 02

2. Mitigación de riesgos

19UPC – 2010 02

2. Mitigación de riesgos

20UPC – 2010 02

Evaluación y Monitoreo

La organización evoluciona continuamente: sistemas de información, infraestructura, procesos, estructura organizativa, personas, etc.

Lo anterior implica que continuamente se están generando nuevas fuentes potenciales de riesgos, los cuales deben ser continuamente evaluados a fin de tomar las medidas aadecuadas.

El proceso de gestión de riesgos debe ser permanente en la organización

Fuente de información: Risk Management Guide for Information Technology Systems. Special Publication 800-30. National Institute of Standards and Technology:

21UPC – 2010 02

La Gestión de Riesgos y el Ciclo de Vida de Sistemas

22UPC – 2010 02

La Gestión de Riesgos y el Ciclo de Vida de Sistemas

23UPC – 2010 02

Gracias por su atención

UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.

Documents

Transcript of UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.