1.03k likes | 1.4k Vues
Administración de Riesgos ISO/IEC 27002:2005. Luis Bartolini Siqueiros. Negocios habilitados por la Seguridad. ROI. Conectado. Productivo. Reducir el riesgo de la Seguridad Evaluar el entorno Mejorar el aislamiento y la resistencia Desarrollar e implementar controles. Impacto a los
E N D
Administración de RiesgosISO/IEC 27002:2005 Luis Bartolini Siqueiros
Negocios habilitados por la Seguridad ROI Conectado Productivo • Reducir el riesgo de la Seguridad • Evaluar el entorno • Mejorar el aislamiento y la resistencia • Desarrollar e implementar controles Impacto a los Negocios Probabilidad de Ataque Nivel de Riesgo • Incrementar el Valor de Negocio • Conectarse con los clientes • Integrarse con los socios • Habilitar a los empleados
Cambiar el enfoque de la Seguridad • Ad-hoc y táctico • Irregular • Reactivo • Sin medición • Absoluto • Administrado y estratégico • Sistemático • Adaptativo • Medible • Adecuado DE A Las actividades de seguridad y las medidas del desempeño de la seguridad estarán visiblemente alineadas con los impulsores estratégicos y los factores críticos de éxito
Componentes (organización) de la Seguridad de Información Política General de Seguridad de Información Programa Integral de Seguridad de Información Continuidad de Negocio Equipo de DRP Estructura Organizacional Comité de Protección de Información Seguridad de Información Sub-Comité de SI de TI Operación y Mantenimiento de Seguridad Procesos, Políticas, Estándares, Procedimientos Plan de Respuesta a Incidentes Administración de Riesgos y Baselines Concientización y Capacitación Cumplimiento Infraestructura Equipo de Respuesta a Incidentes Seguimiento de Amenazas y Vulnerabilidades Evaluación de Riesgos Programas de Trabajo Statement of Aplicability Selección de Controles
Administración de Riesgos • Provee un marco de trabajo para que la administración trate efectivamente con la incertidumbre y el riesgo y oportunidad asociados y así mejore su capacidad para construir valor • La seguridad es un asunto estratégico para la supervivencia de una organización • El riesgo debe ser administrado en una base diaria dentro de una organización • Un programa de seguridad a nivel empresarial es una reflexión y ejecución de una estrategia de administración de riesgos
Contexto Estratégico Leyes y Regulaciones Ambiente Social Entorno Económico Ambiente Tecnológico Clientes Competencia Objetivos del Negocio Rendimiento Financiero, Crecimiento Institucional, Crecimiento competitivo, Calidad, Servicio al Cliente, Eficiencia operacional, Productividad, Etc. Líneas de negocio Estructura Organizacional Procesos Actividades Productos Impacto Económico - Reputación organizacional Imagen de productos o servicios
Administración de Riesgos • La evaluación de riesgos es una parte muy importante de la planeación de la estrategia de protección de información. • Provee una base para la implementación de los planes de protección de activos contra varias amenazas. • Una vez hecha la evaluación de riesgos, es necesario realizar la planeación proactiva y reactiva de protección de información.
Administración de Riesgos Definición Es un proceso interactivo e iterativo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de decisiones organizacionalesAplicable a cualquier situación donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades
Modelo Sencillo de Control de Riesgos Realiza una Agente Que explota una Amenaza Afecta directamente a un Y produce un Vulnerabilidad Riesgo Que puede dañar un Activo Y causar una Exposición Que puede ser manejada con un Control
Riesgos de seguridad Explotan Amenazas Vulnerabilidades Protección contra Aumenta Aumenta Exponen Riesgo Activos Reduce Controles Establece Tiene Implementan Aumenta Valor del activo Requerimientos de seguridad Impacto en la organización
Etapas del desarrollo de un Sistema Administrativo de Seguridad de Información
ISO/IEC 27002:2005 - Cláusulas de control • Política de seguridad • Organización de la seguridad de información • Administración de activos • Seguridad de los recursos humanos • Seguridad física y ambiental • Administración de las comunicaciones y operaciones • Control de acceso • Adquisición, desarrollo y mantenimiento de sistemas de información • Administración de incidentes de seguridad de información • Administración de la continuidad de negocios • Cumplimiento
Administración de Riesgos Beneficios para la Organización • Facilita el logro de los objetivos de la organización • Hace a la organización más segura y consciente de sus riesgos • Mejoramiento continuo del Sistema de Control Interno • Optimiza la asignación de recursos • Aprovechamiento de oportunidades de negocio • Fortalece la cultura de autocontrol • Mayor estabilidad ante cambios del entorno
Administración de Riesgos Beneficios para el área de Auditoria • Soporta el logro de los objetivos de la auditoria • Estandarización en el método de trabajo • Integración del concepto de control en las políticas organizacionales • Mayor efectividad en la planeación general de Auditoria. • Evaluaciones enfocadas en riesgos • Mayor cobertura de la administración de riesgos • Auditorias más efectivas y con mayor valor agregado
Planificación del Análisis y Gestión de Riesgos Específicamente en la administración de TI. y de procesos operativos apoyados con TI. Tecnológicos y de Información Integridad, Confidencialidad y Disponibilidad + Efectividad, Eficiencia, Cumplimiento de Normas + De negocio Procesos de TI (Ejemplo COBIT) Subprocesos Ej: Manejo y Administración de Proyectos Adquisición y mantenimiento de sistemas de aplicación Administración de la configuración Prestación de servicio continuo Proyecto de TI Etapas o actividades Sistema de Información Módulos, Interfase, E/P/S
Análisis de Riesgos Ineficiencia en el uso de los recursos Pérdida de confidencialidad Pérdida de Integridad de información Interrupción en la continuidad del servicio Acceso no autorizado Pérdida económica Algunos Riesgos Heterogeneidad en la ejecución de procesos Ausencia de metodologías de procesos Inadecuada clasificación de la información Error u omisión en el procesamiento Cambios no autorizados Hurto de activos (recursos informáticos) Incertidumbre para atender incidentes Ausencia de planes de continuidad de Negocio Suplantación de usuarios Algunas Causas
Análisis de Riesgos Riesgos de TI (un ejemplo con 2 procesos y 2 recursos) Desarrollo y Adquisición de Software Operación de Instalaciones Técnicos y Tecnológicos Relacionados con la Información Sub o sobre dimensionamiento Negación del servicio Selección inadecuada de estrategias Pérdida de Información Diseño Inadecuado Obsolescencia Tecnológica Pérdida de Confidencialidad Cambios no autorizados Aceptación de sw no acorde con las necesidades Pérdida de integridad o Confiabilidad Ineficiente uso de los recursos Pérdida de información Falta de oportu- nidad en entrada en producción Acceso no autorizado Incumplimiento de normas
Mapa de Riesgos 10 I “Riesgos de atención inmediata” II “Riesgos de atención periódica” 5 PROBABILIDAD DE OCURRENCIA IV “Riesgos controlados” III “Riesgos de seguimiento” 0 5 10 IMPACTO DEL RIESGO
Análisis de Riesgo Haga uso de la información histórica que tenga disponible. Aplique un método cuantitativo Valorar Riesgo (Causa) = Probabilidad x Impacto Cuando lo requiera elabore sus propias escalas de medición Aplique métodos semi-cuantitativos Relacionados con la Probabilidad Relacionada con el Impacto 1 Rara vez ocurre 2 Poco probable 3 Algunas Veces 4 probable 5 muy probable Pérdida Financiera 0 No hay pérdida 1 de 1 a 10.000 2 de 10.000 a 50.000 3 de 50.000 a 100.000 4 de 100.000 a 500.000 5 más de 500.000 Pérdida de Imagen 0 No se afecta la imagen 1 ante los empleados 2 ante un cliente 3 ante una ciudad 4 ante el país 5 ante el mundo Pérdida de Disponibilidad 0 No se afecta 1 por algunos segundos 2 por algunos minutos 3 por algunas horas 4 por un día/semana 5 por una semana/mes
Seguridad en el Desarrollo y Mantenimiento de Sistemas de Información
Evaluación y tratamiento de riesgos • Evaluación de riesgos de seguridad • Las evaluaciones de riesgos deberán identificar, cuantificar y priorizar los riesgos contra los criterios para la aceptación de riesgos y los objetivos relevantes para la organización • Los resultados deberán guiar y determinar la acción administrativa apropiada y las prioridades para administrar los riesgos e implementar los controles seleccionados para proteger contra estos riesgos • Este es un proceso interactivo e iterativo para cubrir las distintas áreas o sistemas de la organización y el progresivo logro de una seguridad más completa
Evaluación y tratamiento de riesgos • Evaluación de riesgos de seguridad • Se debe incluir la estimación sistemática de la magnitud del riesgo (análisis de riesgo) y la comparación de los riesgos estimados contra los criterios de riesgo establecidos para determinar la importancia de los riesgos (evaluación de riesgos) • Se deben realizar metódica y periódicamente para atender cambios en los requerimientos de seguridad y en las situaciones de riesgo y producir resultados comparables y reproducibles • Se debe hacer siempre con un alcance muy bien definido; puede ser toda la organización o partes de ella, un sistema de información, componentes de un sistema, etc., donde sea practicable, realista y útil
Priorización de Riesgos Heterogeneidad en la ejecución de procesos 785 Inadecuada clasificación de la información 750 Desarrollo informal (sin metodología) de sw 675 Ausencia de planes de continuidad de Negocio 585 Incertidumbre para atender incidentes 400 Cambios no autorizados 310 Error u omisión en el procesamiento 250 Hurto de activos (recursos informáticos) 230 Suplantación de usuarios 175
Evaluación y tratamiento de riesgos • Tratamiento de riesgos de seguridad • Antes la organización debe decidir los criterios para determinar si los riesgos pueden o no ser aceptados • Para cada uno de los riesgos identificados en la evaluación se decidirá un tratamiento. Opciones posibles son: • Aplicar controles apropiados para reducir/mitigar los riesgos • Consciente y objetivamente aceptar los riesgos, probando que claramente satisfacen la política de la organización y los criterios de aceptación de riesgos • Evitar los riesgos no permitiendo las acciones que los provoquen • Transferir los riesgos a terceros, por ejemplo, proveedores o aseguradores
Evaluación y tratamiento de riesgos • Tratamiento de riesgos de seguridad • En el caso de la reducción/mitigación de riesgos los controles seleccionados deberán asegurar un nivel aceptable de riesgos en función de: • Los requerimientos y restricciones de la legislación y regulaciones nacional e internacional • Los objetivos organizacionales • Los requerimientos y restricciones de operación • El costo de implementación y operación en relación a los riesgos implicados. Mantenerlo proporcional a los requerimientos y restricciones de la organización • El balance entre la inversión requerida por los controles y los daños probables consecuencia de las fallas de seguridad
Evaluación y tratamiento de riesgos • Tratamiento de riesgos de seguridad • Los controles pueden ser seleccionados de este u otro estándar • No todos los controles son aplicables a todos los sistemas u organizaciones • Los controles deberán ser considerados en las etapas de especificación de requerimientos y diseño de proyectos y sistemas • No hay seguridad completa, se deben implementar medidas administrativas adicionales para monitorear, evaluar y mejorar la eficiencia y efectividad de los controles de seguridad para soportar los propósitos de la organización
Gestión de Riesgos Elabore la lista de los mecanismos de control que aplican a cada uno de los componentes de su objeto analizado Procedimientos formales de planeación. uso de estándares de programación, identificación, codificación. uso de mecanismos de autenticación. procedimientos documentados, divulgados y aplicados. uso de metodologías de desarrollo de sw. uso metodologías de definición de requerimientos. procedimientos para el control de cambios. acuerdos explícitos de niveles de servicio. mecanismos de encripción redundancia en dispositivos y recursos críticos. clasificación de la información procedimientos de respaldo sensores y alarmas de factores ambientales (humo, humedad, temperatura) toma física de inventarios de recursos computacionales verificadores de licencias Esta será más sencilla de realizar si se divide adecuadamente el objeto de análisis en sus partes
Gestión de Riesgos Nivel de Exposición = Riesgo – Controles aplicados Definir el nivel de exposición le permitirá conocer la efectividad de los controles. Sin embargo, tenga presente en relación con la efectividad de los controles los siguientes aspectos: Internos frente a los Externos Manuales frente a los Automáticos Previos frente a los Posteriores Preventivos frente a los Correctivos y Detectivos Generales frente a los Específicos Continuos frente a los Discretos (aplicación) Periódicos frente a los Esporádicos
Administración de la Seguridad de Información - etapas • El ANÁLISIS Y GESTIÓN DE RIESGOS, Fase nuclear de ‘medición’ y cálculo en el ciclo de gestión de la seguridad, es punto de arranque del ciclo de Gestión de Seguridad y además requiere técnicas de proceso especiales (propias del ámbito de la seguridad). Por estas causas, la Fase es objeto de un método especial, MAGERIT, mientras que las demás Fases del ciclo se apoyan en técnicas más genéricas y conocidas. • La Fase de Determinación de OBJETIVOS, ESTRATEGIA y POLÍTICA de Seguridad de los Sistemas de Información se nutre de y nutre a su vez la Fase de Análisis y Gestión de Riesgos. En el ciclo inicial de la Gestión de Seguridad, un Análisis y Gestión de Riesgos de carácter global ayuda a determinar los objetivos, estrategia y política, que influirán durante los ciclos sucesivos en el Análisis y Gestión de Riesgos más detallado (que a su vez puede modificarlos para ciclos sucesivos).
Administración de la Seguridad de Información - etapas • La Fase de Establecimiento de la PLANIFICACIONde la Seguridad de los Sistemas de Información deriva de la Fase de Análisis y Gestión de Riesgos como su consecuencia funcional más inmediata. Utiliza técnicas generales de planificación (resultados, secuenciación, hitos de decisión), pero adaptadas al ámbito de la seguridad. • La Fase de Determinación de la ORGANIZACION de la Seguridad de los Sistemas de Información deriva de la Fase de Análisis y Gestión de Riesgos como su consecuencia orgánica más inmediata. Utiliza técnicas generales de organización (compromiso gerencial, roles, responsabilidades, documentación normativa), aunque adaptadas al ámbito de la seguridad. • La Fase de IMPLANTACION de SALVAGUARDAS y otras medidas de Seguridad para los Sistemas de Información deriva de las Fases de Planificación y Organización, utilizando técnicas generales de Gestión de Proyectos y Gestión de Configuración, aunque adaptadas al ámbito de la seguridad.
Administración de la Seguridad de Información - etapas • La Fase de CONCIENCIACIÓN de TODOS en la SEGURIDAD de los Sistemas de Información deriva de las Fases de Planificación y Organización. Tiene en cuenta el papel fundamental del recurso humano interno en todo proyecto de seguridad y utiliza técnicas generales de Gestión de Proyectos y Gestión de Formación, Comunicación y Recursos Humanos, aunque adaptadas al ámbito de la seguridad. • La Fase de REACCIÓN a cada evento, de MANEJO y REGISTRO de las incidencias y de RECUPERACIÓN de Estados aceptables de Seguridad tiene un carácter básicamente operacional y utiliza por tanto técnicas generales de Gestión cotidiana y de Atención a Emergencias adaptadas al ámbito de la seguridad. • La Fase de MONITORIZACIÓN, GESTIÓN de CONFIGURACIÓN y de CAMBIOS en la Seguridad de los Sistemas de Información tiene un carácter básicamente de mantenimiento, con técnicas generales de monitorización, gestión de configuración y gestión de cambios adaptadas al ámbito de la seguridad.
MAGERIT - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
Etapas del Análisis y Gestión de Riesgos Etapa 1. Planificación del Análisis y Gestión de Riesgos • Establece las consideraciones necesarias para arrancar el proyecto de análisis y gestión de riesgos; • permite investigar la oportunidad de realizarlo; definir los objetivos que ha de cumplir y el dominio (ámbito) que abarcará; • planificar los medios materiales y humanos para su realización; e • iniciar el lanzamiento del proyecto
Etapas del Análisis y Gestión de Riesgos ETAPA 1. PLANIFICACIÓN DEL ANÁLISIS Y GESTIÓN DE RIESGOS Actividad 1.1: Oportunidad de realización - 1.1.1:(única) Clarificar la oportunidad de realización Actividad 1.2: Definición de dominio y objetivos - 1.2.1: Especificar los objetivos del proyecto - 1.2.2: Definir el dominio y los límites del proyecto - 1.2.3: Identificar el entorno y restricciones generales - 1.2.4: Estimar dimensión, coste y retornos del proyecto Actividad 1.3: Planificación del proyecto - 1.3.1: Evaluar cargas y planificar entrevistas - 1.3.2: Organizar a los participantes - 1.3.3: Planificar el trabajo Actividad 1.4: Lanzamiento del proyecto - 1.4.1: Adaptar los cuestionarios - 1.4.2: Seleccionar criterios de evaluación y técnicas para el proyecto - 1.4.3: Asignar los recursos necesarios - 1.4.4: Sensibilizar (campaña informativa)
Etapas del Análisis y Gestión de Riesgos Etapa 2. Análisis de riesgos • Permite identificar y valorar los elementos que intervienen en el riesgo; • obtener una evaluación de éste en las distintas áreas del dominio; y • estimar los umbrales de riesgo deseables.
Etapas del Análisis y Gestión de Riesgos ETAPA 2. ANÁLISIS DE RIESGOS Actividad 2.1: Acopio de información - 2.1.1: Preparar la información - 2.1.2: Realización de las entrevistas - 2.1.3: Analizar la información recogida Actividad 2.2: Identificación y agrupación de ACTIVOS - 2.2.1: Identificar activos y grupos de activos - 2.2.2: Identificar mecanismos de salvaguarda existentes - 2.2.3: Valorar activos Actividad 2.3: Identificación y evaluación de AMENAZAS - 2.3.1: Identificar y agrupar amenazas - 2.3.2: Establecer los árboles de fallos generados por amenazas Actividad 2.4: Identificación y estimación de VULNERABILIDADES - 2.4.1: Identificar vulnerabilidades - 2.4.2: Estimar vulnerabilidades
Etapas del Análisis y Gestión de Riesgos ETAPA 2. ANÁLISIS DE RIESGOS (cont.) Actividad 2.5: Identificación y valoración de IMPACTOS - 2.5.1: Identificar impactos - 2.5.2: Tipificar impactos - 2.5.3: Valorar impactos Actividad 2.6: Evaluación del RIESGO - 2.6.1: Evaluar el riesgo intrínseco - 2.6.2: Analizar las funciones de salvaguarda existentes - 2.6.3: Evaluar el riesgo efectivo
Etapas del Análisis y Gestión de Riesgos Etapa 3. Gestión de riesgos • Permite identificar las posibles funciones o servicios de salvaguarda reductores del riesgo detectado; • seleccionar las salvaguardas aceptables en función de las ya existentes y de las restricciones; • simular diversas combinaciones; y • especificar las finalmente elegidas.
Etapas del Análisis y Gestión de Riesgos ETAPA 3. GESTIÓN DE RIESGOS Actividad 3.1: Interpretación del Riesgo - 3.1.1:(única) Interpretar los riesgos Actividad 3.2: Identificación y estimación de Funciones de salvaguarda - 3.2.1: Identificar funciones de salvaguarda - 3.2.2: Estimar la efectividad de las funciones de salvaguarda Actividad 3.3: Selección de Funciones de Salvaguarda - 3.3.1: Aplicar los parámetros de selección - 3.3.2: Evaluar el riesgo Actividad 3.4: Cumplimiento de objetivos - 3.4.1 (única): Determinar el cumplimiento de los objetivos
Etapas del Análisis y Gestión de Riesgos Etapa 4. Selección de salvaguardas • Permite seleccionar los mecanismos de salvaguarda a implantar; • elaborar una orientación del plan de implantación de los mecanismos de salvaguarda elegidos; • establecer los mecanismos de seguimiento para la implantación; • recopilar los documentos de trabajo del proceso de Análisis y Gestión de Riesgos; • obtener los documentos finales del proyecto; y • realizar las presentaciones de los resultados a los diversos niveles.
Etapas del Análisis y Gestión de Riesgos ETAPA 4. SELECCIÓN DE SALVAGUARDAS Actividad 4.1: Identificación de mecanismos de salvaguarda - 4.1.1: Identificar mecanismos posibles - 4.1.2: Estudiar mecanismos implantados - 4.1.3: Incorporar restricciones Actividad 4.2: Selección de mecanismos de salvaguarda - 4.2.1: Identificar mecanismos a implantar - 4.2.2: Evaluar el riesgo (mecanismos elegidos) - 4.2.3: Seleccionar mecanismos a implantar Actividad 4.3 Especificación de los mecanismos a implantar - 4.3.1 (única): Especificar los mecanismos a implantar Actividad 4.4: Planificación de la implantación - 4.4.1 Priorizar mecanismos - 4.4.2: Evaluar los recursos necesarios - 4.4.3: Elaborar cronogramas tentativos Actividad 4.5: Integración de resultados - 4.5.1 (única): Integrar los resultados
Selección de Salvaguardas • La identificación de opciones de tratamiento del riesgo puede conducirle a: • Implementación de nuevos mecanismos de control. • Cambiar, modificar o eliminar controles existentes. • Combinar mecanismos de control. • Dependiendo del grado de complejidad de la opción elegida su implementación puede llegar al punto de convertirse en un proyecto. • Obligatoriedad del cambio de claves • Definición de pistas de auditoria • Documentación de Procesos • Plan de Continuidad Tecnológico • Función de aseguramiento de la calidad
Selección de Salvaguardas • En los planes de Implementación es conveniente considerar: • Respaldo de la gerencia • Responsables • Presupuestos • Compromiso con la fecha de finalización