Transcript 1. Evaluación de Riesgos

SI-38 Seguridad y Auditoría de Sistemas
Administración del Riesgo
UPC – 2010 02
1
La Gestión del Riesgo
Objetivo
Proteger a la organización y su habilidad de cumplir la misión para la que fue
creada.
• Mejorando la seguridad de los sistemas tecnológicos que almacena, procesa o
transmiten la información de la organización.
• Permitiendo a la Alta Gerencia tomar decisiones adecuadamente informadas
sobre la gestión de riesgos y justificar los gastos respectivos en el presupuesto
de TI.
• Autorizar la implementación de nuevos sistemas, basado en la información
dejada por el proceso de gestión de riesgos.
Definición
 La gestión del riesgo es el proceso de identificar riesgos, dimensionarlos y tomar
acciones para reducirlos a un nivel aceptable para la organización.
 La gestión del riesgo se compone de tres procesos principales: Evaluación de
riesgos, Mitigación de riesgos y Evaluación y monitoreo
UPC – 2010 02
2
La Gestión del Riesgo
Definiciones
Riesgo
es el impacto neto negativo
resultado del ejercicio de una
vulnerabilidad, considerando tanto su probabilidad como el impacto de su
ocurrencia.
Vulnerabilidad
es una falla o debilidad en los procedimientos de seguridad,
diseño, implementación o controles internos de un sistema que pueden ser
explotados accidental o intencionalmente y resultar en una brecha de seguridad o
una violación de las políticas de seguridad de un sistema.
 Una efectiva gestión de riesgos debe estar totalmente integrada en el ciclo de
vida del desarrollo de sistemas de información.
UPC – 2010 02
3
1. Evaluación de Riesgos
 El riesgo es función de que una
amenaza
active
(intencional
o
accidentalmente)
una
potencial
vulnerabilidad, y el impacto adverso
resultante en la organización.
 La evaluación de riesgos busca
determinar la magnitud de la potencial
amenaza y el riesgo asociado con un
sistema de información a través de su
ciclo de vida.
 Lo anterior se logra a través del análisis
de las amenazas que afectan a un
sistema de información, en conjunto
con las potenciales vulnerabilidades y
los controles existentes para dicho
sistema.
UPC – 2010 02
4
1. Evaluación de Riesgos
UPC – 2010 02
5
1. Evaluación de Riesgos
1.1 Caracterización del sistema: identifica el alcance del sistema, los recursos
que utiliza y el esfuerzo que tomará la identificación de riesgos.
1.1.1 Información del sistema
•
HW, SW, datos, interfaces con otros sistemas, datos, comunicaciones
•
Usuarios, objetivos del sistema, criticidad, sensibilidad de la información
•
Requerimientos funcionales, políticas de seguridad vigentes, arquitectura
de seguridad del sistema, controles existentes,
•
Requerimientos operacionales: backups, mantenimiento, gestión de
accesos, seguridad ambiental
1.1.2 Técnicas de recolección de información
•
Cuestionarios a usuarios y personal técnico
•
Entrevistas de campo, inspección de instalaciones y de operatividad
•
Revisión de documentos: políticas, documentación técnica del sistema,
reportes de auditorías, etc.
•
Herramientas de escaneo automatizadas
UPC – 2010 02
6
1. Evaluación de Riesgos
1.2
Identificación de amenazas: una amenaza puede
(intencionalmente o no) una vulnerabilidad presente en un sistema.
explotar
1.2.1 Identificación de fuentes de amenazas
•
Lista de potenciales amenazas que apliquen para el sistema en evaluación
•
Una fuente de amenaza es cualquier circunstancia o evento que
potencialmente puede causar daño a un sistema.
•
Pueden ser humanos, naturales o ambientales
•
Amenazas naturales: inundaciones, terremotos, tornados, avalanchas,
tormentas eléctricas, etc.
•
Amenazas ambientales: fallas eléctricas prolongadas, contaminación,
inundaciones, etc.
•
Amenazas humanas: fallas involuntarias en la operación del sistema,
ataques deliberados a la red, ejecución de SW malicioso, acceso no
autorizado a información confidencial, espionaje industrial, hackers,
terrorismo, sabotaje de empleados.
UPC – 2010 02
7
1. Evaluación de Riesgos
1.3 Identificación de vulnerabilidades: desarrolla una lista de vulnerabilidades
(debilidades) del sistema que pueden potencialmente ser explotadas por alguna
amenaza. Las vulnerabilidades pueden ser técnicas o no técnicas.
1.3.1 Fuentes de identificación de vulnerabilidades
•
Reportes previos de evaluación de riesgos.
•
Reportes de auditoria o evaluaciones de seguridad previas.
•
Listas de vulnerabilidades disponibles por organismos especializados
1.3.2 Pruebas de seguridad del sistema
•
Herramientas automaticas de detección de vulnerabilidades
•
Pruebas y evaluación de seguridad
•
Test de penetración
1.3.3 Lista de Requerimientos de seguridad
•
Estándares básicos de seguridad que pueden utilizarse para identificar
vulnerabilidades en activos (HW, SW, personal, información, etc.) o en
procedimientos, procesos asociados al sistema evaluado
•
Pueden ser requerimientos de seguridad a nivel de gestión, operacionales
o técnicos.
UPC – 2010 02
8
1. Evaluación de Riesgos
1.3 Identificación de vulnerabilidades
UPC – 2010 02
9
1. Evaluación de Riesgos
1.3 Identificación de vulnerabilidades
UPC – 2010 02
10
1. Evaluación de Riesgos
UPC – 2010 02
11
1. Evaluación de Riesgos
1.4 Análisis de controles: evalúa los controles implementados o planeados en la
organización con el objetivo de eliminar la probabilidad de que una amenaza
active una vulnerabilidad de los sistemas.
1.4.1 Métodos de control
•
Técnicos: mecanismos de control de acceso, autenticación, encriptación,
detección de intrusos, etc.
•
No técnicos: políticas de seguridad, controles operacionales, seguridad
física o ambiental.
1.4.2 Categorías de control
•
Preventivos: encriptación, autenticación, etc.
•
Detectivos: herramientas de detección, pistas de auditoría, etc.
1.4.3 Lista de requerimientos de seguridad
•
Estándares básicos de seguridad que pueden utilizarse para identificar la
existencia o no de controles que aseguren su cumplimiento. Esta debe
actualizarse periódicamente.
UPC – 2010 02
12
1. Evaluación de Riesgos
1.5 Determinación de probabilidades: determinar la probabilidad de que una
potencial vulnerabilidad pueda ser activada por una amenaza.
1.5.1 Factores que determinan la probabilidad
•
Motivación y capacidad de las fuentes de amenazas
•
Naturaleza de la vulnerabilidad
•
Existencia y efectividad de los controles existentes.
1.5.2 Probabilidades:
•
Alta: la fuente de amenazas está motivada y es capaz, los controles son
inefectivos.
•
Media: la fuente de amenazas es capaz y motivada, pero los controles son
adecuados.
•
Baja: la fuente de amenazas no es capaz ni motivada y los controles son
adecuados.
UPC – 2010 02
13
1. Evaluación de Riesgos
1.6 Análisis de impacto: determinar la magnitud del impacto adverso de la
materialización de una vulnerabilidad por una amenaza dada.
1.6.1
Estimar cuantitativa o cualitativamente la afectación de activos de
información críticos en su misión de soportar los objetivos de la organización
•
Reporte de análisis de impacto al negocio
•
Reportes de clasificación de activos de información críticos
1.6.2 Impacto como nivel de afectación de los objetivos de seguridad:
•
Pérdida de integridad
•
Pérdida de disponibilidad
•
Pérdida de confidencialidad
1.6.3 Niveles de Impacto:
•
Alto: pérdida o daño mayor en activos críticos, objetivos, imagen o
reputación de la empresa. Muerte o daño grave a personas.
•
Medio: afectación de activos críticos, objetivos o imagen de la empresa.
Daño a personas.
•
Bajo: daño a algunos activos o afectación menor a los objetivos de la
organización o a su imagen.
UPC – 2010 02
14
1. Evaluación de Riesgos
1.7 Determinación de riesgos: determinar el nivel de riesgo que afecta a un
sistema.
Matriz de Niveles de Riesgo
UPC – 2010 02
15
1. Evaluación de Riesgos
1.8 Recomendación de controles: proveer controles para reducir o eliminar
riesgos a un nivel aceptable para la organización
 Requiere análisis de costo beneficio para su implementación.
 Consideración del impacto operacional y factibilidad técnica de las
recomendaciones
1.9 Documentación resultante: Se prepara reporte de los resultados de la
evaluación de riesgos.
 Entregado a la alta Gerencia para asistirla en la toma de decisiones sobre
los riesgos que afectan a la organización y acciones a tomar para
manejarlos.
UPC – 2010 02
16
2. Mitigación de Riesgos
 Incluye la priorización, evaluación e
implementación de los controles
recomendados por el proceso de
evaluación de riesgos.
 Dado que la eliminación total de los
riesgos
es
impracticable,
es
responsabilidad de la Dirección de la
Organización utilizar un enfoque de
minimizar costos e implementar los
controles más apropiados para reducir
los riesgos a un nivel aceptable, con el
mínimo impacto posible en los recursos
y la misión de la organización.
 Las opciones de mitigación de los
riesgos pueden ser: asumir, evitar,
limitar,
planificar,
administrar
o
transferir.
UPC – 2010 02
17
2. Mitigación de riesgos
UPC – 2010 02
18
2. Mitigación de riesgos
UPC – 2010 02
19
Evaluación y Monitoreo
 La organización evoluciona continuamente: sistemas de
infraestructura, procesos, estructura organizativa, personas, etc.
información,
 Lo anterior implica que continuamente se están generando nuevas fuentes
potenciales de riesgos, los cuales deben ser continuamente evaluados a fin de
tomar las medidas aadecuadas.
 El proceso de gestión de riesgos debe ser permanente en la organización
Fuente de información: Risk Management Guide for Information
Technology Systems. Special Publication 800-30. National Institute of
Standards and Technology:
UPC – 2010 02
20
La Gestión de Riesgos y el Ciclo de Vida de Sistemas
UPC – 2010 02
21
La Gestión de Riesgos y el Ciclo de Vida de Sistemas
UPC – 2010 02
22
Gracias por su atención
UPC – 2010 02
23