1. Evaluación de Riesgos
Download
Report
Transcript 1. Evaluación de Riesgos
SI-38 Seguridad y Auditoría de Sistemas
Administración del Riesgo
UPC – 2010 02
1
La Gestión del Riesgo
Objetivo
Proteger a la organización y su habilidad de cumplir la misión para la que fue
creada.
• Mejorando la seguridad de los sistemas tecnológicos que almacena, procesa o
transmiten la información de la organización.
• Permitiendo a la Alta Gerencia tomar decisiones adecuadamente informadas
sobre la gestión de riesgos y justificar los gastos respectivos en el presupuesto
de TI.
• Autorizar la implementación de nuevos sistemas, basado en la información
dejada por el proceso de gestión de riesgos.
Definición
La gestión del riesgo es el proceso de identificar riesgos, dimensionarlos y tomar
acciones para reducirlos a un nivel aceptable para la organización.
La gestión del riesgo se compone de tres procesos principales: Evaluación de
riesgos, Mitigación de riesgos y Evaluación y monitoreo
UPC – 2010 02
2
La Gestión del Riesgo
Definiciones
Riesgo
es el impacto neto negativo
resultado del ejercicio de una
vulnerabilidad, considerando tanto su probabilidad como el impacto de su
ocurrencia.
Vulnerabilidad
es una falla o debilidad en los procedimientos de seguridad,
diseño, implementación o controles internos de un sistema que pueden ser
explotados accidental o intencionalmente y resultar en una brecha de seguridad o
una violación de las políticas de seguridad de un sistema.
Una efectiva gestión de riesgos debe estar totalmente integrada en el ciclo de
vida del desarrollo de sistemas de información.
UPC – 2010 02
3
1. Evaluación de Riesgos
El riesgo es función de que una
amenaza
active
(intencional
o
accidentalmente)
una
potencial
vulnerabilidad, y el impacto adverso
resultante en la organización.
La evaluación de riesgos busca
determinar la magnitud de la potencial
amenaza y el riesgo asociado con un
sistema de información a través de su
ciclo de vida.
Lo anterior se logra a través del análisis
de las amenazas que afectan a un
sistema de información, en conjunto
con las potenciales vulnerabilidades y
los controles existentes para dicho
sistema.
UPC – 2010 02
4
1. Evaluación de Riesgos
UPC – 2010 02
5
1. Evaluación de Riesgos
1.1 Caracterización del sistema: identifica el alcance del sistema, los recursos
que utiliza y el esfuerzo que tomará la identificación de riesgos.
1.1.1 Información del sistema
•
HW, SW, datos, interfaces con otros sistemas, datos, comunicaciones
•
Usuarios, objetivos del sistema, criticidad, sensibilidad de la información
•
Requerimientos funcionales, políticas de seguridad vigentes, arquitectura
de seguridad del sistema, controles existentes,
•
Requerimientos operacionales: backups, mantenimiento, gestión de
accesos, seguridad ambiental
1.1.2 Técnicas de recolección de información
•
Cuestionarios a usuarios y personal técnico
•
Entrevistas de campo, inspección de instalaciones y de operatividad
•
Revisión de documentos: políticas, documentación técnica del sistema,
reportes de auditorías, etc.
•
Herramientas de escaneo automatizadas
UPC – 2010 02
6
1. Evaluación de Riesgos
1.2
Identificación de amenazas: una amenaza puede
(intencionalmente o no) una vulnerabilidad presente en un sistema.
explotar
1.2.1 Identificación de fuentes de amenazas
•
Lista de potenciales amenazas que apliquen para el sistema en evaluación
•
Una fuente de amenaza es cualquier circunstancia o evento que
potencialmente puede causar daño a un sistema.
•
Pueden ser humanos, naturales o ambientales
•
Amenazas naturales: inundaciones, terremotos, tornados, avalanchas,
tormentas eléctricas, etc.
•
Amenazas ambientales: fallas eléctricas prolongadas, contaminación,
inundaciones, etc.
•
Amenazas humanas: fallas involuntarias en la operación del sistema,
ataques deliberados a la red, ejecución de SW malicioso, acceso no
autorizado a información confidencial, espionaje industrial, hackers,
terrorismo, sabotaje de empleados.
UPC – 2010 02
7
1. Evaluación de Riesgos
1.3 Identificación de vulnerabilidades: desarrolla una lista de vulnerabilidades
(debilidades) del sistema que pueden potencialmente ser explotadas por alguna
amenaza. Las vulnerabilidades pueden ser técnicas o no técnicas.
1.3.1 Fuentes de identificación de vulnerabilidades
•
Reportes previos de evaluación de riesgos.
•
Reportes de auditoria o evaluaciones de seguridad previas.
•
Listas de vulnerabilidades disponibles por organismos especializados
1.3.2 Pruebas de seguridad del sistema
•
Herramientas automaticas de detección de vulnerabilidades
•
Pruebas y evaluación de seguridad
•
Test de penetración
1.3.3 Lista de Requerimientos de seguridad
•
Estándares básicos de seguridad que pueden utilizarse para identificar
vulnerabilidades en activos (HW, SW, personal, información, etc.) o en
procedimientos, procesos asociados al sistema evaluado
•
Pueden ser requerimientos de seguridad a nivel de gestión, operacionales
o técnicos.
UPC – 2010 02
8
1. Evaluación de Riesgos
1.3 Identificación de vulnerabilidades
UPC – 2010 02
9
1. Evaluación de Riesgos
1.3 Identificación de vulnerabilidades
UPC – 2010 02
10
1. Evaluación de Riesgos
UPC – 2010 02
11
1. Evaluación de Riesgos
1.4 Análisis de controles: evalúa los controles implementados o planeados en la
organización con el objetivo de eliminar la probabilidad de que una amenaza
active una vulnerabilidad de los sistemas.
1.4.1 Métodos de control
•
Técnicos: mecanismos de control de acceso, autenticación, encriptación,
detección de intrusos, etc.
•
No técnicos: políticas de seguridad, controles operacionales, seguridad
física o ambiental.
1.4.2 Categorías de control
•
Preventivos: encriptación, autenticación, etc.
•
Detectivos: herramientas de detección, pistas de auditoría, etc.
1.4.3 Lista de requerimientos de seguridad
•
Estándares básicos de seguridad que pueden utilizarse para identificar la
existencia o no de controles que aseguren su cumplimiento. Esta debe
actualizarse periódicamente.
UPC – 2010 02
12
1. Evaluación de Riesgos
1.5 Determinación de probabilidades: determinar la probabilidad de que una
potencial vulnerabilidad pueda ser activada por una amenaza.
1.5.1 Factores que determinan la probabilidad
•
Motivación y capacidad de las fuentes de amenazas
•
Naturaleza de la vulnerabilidad
•
Existencia y efectividad de los controles existentes.
1.5.2 Probabilidades:
•
Alta: la fuente de amenazas está motivada y es capaz, los controles son
inefectivos.
•
Media: la fuente de amenazas es capaz y motivada, pero los controles son
adecuados.
•
Baja: la fuente de amenazas no es capaz ni motivada y los controles son
adecuados.
UPC – 2010 02
13
1. Evaluación de Riesgos
1.6 Análisis de impacto: determinar la magnitud del impacto adverso de la
materialización de una vulnerabilidad por una amenaza dada.
1.6.1
Estimar cuantitativa o cualitativamente la afectación de activos de
información críticos en su misión de soportar los objetivos de la organización
•
Reporte de análisis de impacto al negocio
•
Reportes de clasificación de activos de información críticos
1.6.2 Impacto como nivel de afectación de los objetivos de seguridad:
•
Pérdida de integridad
•
Pérdida de disponibilidad
•
Pérdida de confidencialidad
1.6.3 Niveles de Impacto:
•
Alto: pérdida o daño mayor en activos críticos, objetivos, imagen o
reputación de la empresa. Muerte o daño grave a personas.
•
Medio: afectación de activos críticos, objetivos o imagen de la empresa.
Daño a personas.
•
Bajo: daño a algunos activos o afectación menor a los objetivos de la
organización o a su imagen.
UPC – 2010 02
14
1. Evaluación de Riesgos
1.7 Determinación de riesgos: determinar el nivel de riesgo que afecta a un
sistema.
Matriz de Niveles de Riesgo
UPC – 2010 02
15
1. Evaluación de Riesgos
1.8 Recomendación de controles: proveer controles para reducir o eliminar
riesgos a un nivel aceptable para la organización
Requiere análisis de costo beneficio para su implementación.
Consideración del impacto operacional y factibilidad técnica de las
recomendaciones
1.9 Documentación resultante: Se prepara reporte de los resultados de la
evaluación de riesgos.
Entregado a la alta Gerencia para asistirla en la toma de decisiones sobre
los riesgos que afectan a la organización y acciones a tomar para
manejarlos.
UPC – 2010 02
16
2. Mitigación de Riesgos
Incluye la priorización, evaluación e
implementación de los controles
recomendados por el proceso de
evaluación de riesgos.
Dado que la eliminación total de los
riesgos
es
impracticable,
es
responsabilidad de la Dirección de la
Organización utilizar un enfoque de
minimizar costos e implementar los
controles más apropiados para reducir
los riesgos a un nivel aceptable, con el
mínimo impacto posible en los recursos
y la misión de la organización.
Las opciones de mitigación de los
riesgos pueden ser: asumir, evitar,
limitar,
planificar,
administrar
o
transferir.
UPC – 2010 02
17
2. Mitigación de riesgos
UPC – 2010 02
18
2. Mitigación de riesgos
UPC – 2010 02
19
Evaluación y Monitoreo
La organización evoluciona continuamente: sistemas de
infraestructura, procesos, estructura organizativa, personas, etc.
información,
Lo anterior implica que continuamente se están generando nuevas fuentes
potenciales de riesgos, los cuales deben ser continuamente evaluados a fin de
tomar las medidas aadecuadas.
El proceso de gestión de riesgos debe ser permanente en la organización
Fuente de información: Risk Management Guide for Information
Technology Systems. Special Publication 800-30. National Institute of
Standards and Technology:
UPC – 2010 02
20
La Gestión de Riesgos y el Ciclo de Vida de Sistemas
UPC – 2010 02
21
La Gestión de Riesgos y el Ciclo de Vida de Sistemas
UPC – 2010 02
22
Gracias por su atención
UPC – 2010 02
23