1 / 63

Sesión 3: Administración de riesgos de seguridad

Sesión 3: Administración de riesgos de seguridad. Manuel García Artea IT Pro Audience Marketing Manager Microsoft México. Prerrequisitos de la sesión. Comprensión básica de los aspectos fundamentales de la seguridad de la red

xandy
Télécharger la présentation

Sesión 3: Administración de riesgos de seguridad

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sesión 3:Administración de riesgos de seguridad Manuel García Artea IT Pro Audience Marketing Manager Microsoft México

  2. Prerrequisitos de la sesión • Comprensión básica de los aspectos fundamentales de la seguridad de la red • Comprensión básica de los conceptos de la administración de riesgos de seguridad Nivel 300

  3. Audiencia objetivo Esta sesión se enfoca principalmente en: Arquitectos y planeadores de sistemas ü ü Miembros del equipo de seguridad de lainformación Auditores de seguridad e informática ü Ejecutivos senior, analistas de negocios y encargados de tomar decisiones de negocios ü ü Consultores y socios de negocios

  4. Descripción general de la sesión • Conceptos de la administración de riesgos de seguridad • Identificar los prerrequisitos de la administración de riesgos de seguridad • Evaluar los riesgos • Apoyar en la toma de decisiones • Implementar controles y medir la efectividad del programa

  5. Conceptos de la administración de riesgos de seguridad • Conceptos de la administración de riesgos de seguridad • Identificar los prerrequisitos de la administración de riesgos de seguridad • Evaluar los riesgos • Apoyar en la toma de decisiones • Implementar controles y medir la efectividad del programa

  6. ¿Por qué desarrollar un proceso para la administración de riesgos de seguridad? Administración de riesgos de seguridad:Un proceso para identificar, dar prioridad y administrar los riesgos a un nivel aceptable dentro de la organización Desarrollar un proceso formal para la administración de riesgos de seguridad puede resolver lo siguiente: • El tiempo para responder a una amenaza • El cumplimiento con los reglamentos • Los costos de administración de la infraestructura • La priorización y administración de los riesgos

  7. Identificar los factores de éxito que son fundamentales para la administración de riesgos de seguridad Los factores clave para implementar un programa exitoso para la administración de riesgos de seguridad incluyen: Patrocinio ejecutivo ü Una lista bien definida de los involucrados en la administración de riesgos ü Madurez organizacional en términos de administración de riesgos ü Una atmósfera de comunicación abierta y trabajo en equipo ü Una visión holística de la organización ü Autoridad del equipo de administración de riesgos de seguridad ü

  8. Comparar los enfoques con la administración de riesgos Muchas organizaciones se han enfocado en la administración de riesgos de seguridad al adoptar lo siguiente: Un proceso que responde a los eventos de seguridad conforme ocurren Enfoque reactivo La adopción de un proceso que reduce el riesgo de nuevas vulnerabilidades en su organización Enfoque proactivo

  9. Comparar los enfoques con la priorización de riesgos

  10. 1 4 Evaluar los riesgos Medir la efectividad del programa 3 Implementar controles 2 Ayudar en la toma de decisiones Presentar el proceso de administración de riesgos de seguridad de Microsoft

  11. Identificar los prerrequisitos de la administración de riesgos de seguridad • Conceptos de la administración de riesgos de seguridad • Identificar los prerrequisitos de la administración de riesgos de seguridad • Evaluar los riesgos • Ayudar en la toma de decisiones • Implementar controles y medir la efectividad del programa

  12. Administración de riesgos vs. Evaluación de riesgos

  13. Comunicar los riesgos Activo ¿Qué trata de proteger? Amenaza ¿Qué teme que suceda? Vulnerabilidad ¿Cómo puede ocurrir la amenaza? Mitigación ¿Qué reduce actualmente el riesgo? Impacto ¿Cuál es el impacto al negocio? Probabilidad ¿Qué tan probable es la amenaza dados los controles? Declaración de los riesgos bien fundamentada

  14. National Institute of Standards and Technology Security Self-Assessment Guide for Information Technology Systems(SP-800-26) IT Governance Institute Control Objectives for Information and Related Technology(CobiT) International Standards Organization ISO Code of Practice for Information Security Management (ISO 17799) Determinar el nivel de madurez de la administración de riesgos de seguridad de su organización Las publicaciones que le ayudan a determinar el nivel de madurez de la administración de riesgos de su organización incluyen:

  15. Realizar una auto-evaluación de madurez de la administración de riesgos

  16. Definir los roles y las responsabilidades Ejecutivo patrocinador “¿Qué eslo importante?” Determinar los riesgos aceptables Grupo de seguridad deinformación “Priorizar los riesgos” Evaluar los riesgos Definir los requerimientos de seguridad Medir las soluciones de seguridad Grupo de informática “La mejor solución de control” Diseñar y crear soluciones de seguridad Operar y soportar las soluciones de seguridad

  17. Evaluar los riesgos • Conceptos de la administración de riesgos de seguridad • Identificar los prerrequisitos de la administración de riesgos de seguridad • Evaluar los riesgos • Apoyar en la toma de decisiones • Implementar controles y medir la efectividad del programa

  18. Descripción general de la fase de evaluación de riesgos • Planear la recopilación de información de riesgos • Reunir información de riesgos • Priorizar los riesgos 1 4 Medir la efectividad del programa Evaluar los riesgos 2 Implementar controles Apoyar en la toma de decisiones 3

  19. Comprender la planeación de los pasos Las principales tareas en la planeación de los pasos incluyen: Alineación ü Definición del alcance ü Aceptación de los involucrados ü Establecer las expectativas ü

  20. Comprender la recabación de la información facilitada Los elementos recopilados durante la reunión de información facilitada incluyen: Las claves para una reunión de información exitosa incluyen: • Reunirse de manera colaborativa con los involucrados • Desarrollar un soporte • Comprender las diferencias entre analizar y cuestionar • Desarrollar buena voluntad • Estar preparado • Activos de la organización • Descripción de los activos • Amenazas a la seguridad • Vulnerabilidades • Entorno actual de control • Controles propuestos

  21. Identificar y clasificar los activos Un activo es cualquier cosa de valor para la organización y se puede clasificar en uno de los siguientes: Alto impacto para el negocio ü Mediano impacto para el negocio ü Bajo impacto para el negocio ü

  22. Organizar la información de los riesgos Utilice las siguientes preguntas como guía durante los análisis facilitados: • ¿Qué activo se está protegiendo? • ¿Qué tan valioso es el activo para la organización? • ¿Qué se intenta evitar que le suceda al activo? • ¿Cómo puede ocurrir la pérdida o exposición? • ¿Cuál es el potencial de exposición para el activo? • ¿Qué se hace en la actualidad para reducir la probabilidad o el nivel de daño al activo? • ¿Cuáles son algunas de las acciones que se pueden realizar para reducir la probabilidad en el futuro?

  23. Calcular la exposición de los activos Exposición:El nivel del daño potencial a un activo Utilice los siguientes lineamientos para calcular la exposición de los activos: Exposición alta Pérdida severa o completa de los activos Exposición media Pérdida limitada o moderada Pérdida menor o nula Exposición baja

  24. Calcular la probabilidad de las amenazas Utilice los siguientes lineamientos para calcular la probabilidad para cada amenaza y vulnerabilidad identificadas: Amenaza alta Muy probable—se espera tener uno o más impactos en un año Probable—se espera tener un impacto en dos o tres años Amenaza media No es probable—no se espera que ocurra impacto alguno en los próximos tres años Amenaza baja

  25. Facilitar el análisis de los riesgos La reunión para analizar los riesgos facilitados se divide en las siguientes secciones: Determinar los activos y escenarios de la organización Identificar las amenazas Identificar las vulnerabilidades Calcular la exposición de los activos Calcular la probabilidad de explosión e identificarlos controles existentes Resumen de la reunión y siguientes pasos 1 2 3 4 5 6

  26. Recorrido del escenario 1:Facilitar el análisis de los riesgos • Facilitar una reunión de análisis de los riesgos para Woodgrove Bank

  27. Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad Tarea 1:Determinar los activos de la organizacióny los escenarios Tarea 3:Identificar las vulnerabilidades: Tarea 2:Identificar las amenazas • Robo de las identificaciones del consultor financiero mediante el abuso del empleado de confianza utilizando ataques no técnicos, por ejemplo la ingeniería social o el espionaje • Robo de las identificaciones del consultor financiero fuera de los hosts de la red de área local (LAN) mediante el uso de configuraciones de seguridad obsoletas • Robo de las identificaciones del consultor financiero fuera de los hosts remotos o móviles como resultado de la configuración de seguridad obsoleta Tarea 3:Identificar las vulnerabilidades Tarea 4:Calcular la exposición de los activos Tarea 2:Identificar las amenazas: Tarea 4:Calcular la exposición de los activos: Tarea 5:Identificar los controles existentes y la probabilidad de explosión • Amenaza de una pérdida de integridad para la información financiera del consumidor • Violación a la integridad mediante el abuso de un empleado de confianza:Dañino pero no severo.Todos los consultores financieros pueden acceder únicamente a la información que administran. • Violación a la integridad mediante el robo de identificaciones en los hosts LAN:Puede generar un nivel de daño severo o alto. • Violación a la integridad mediante el robo de identificaciones en hosts móviles:Podría tener un nivel de daño severo o alto.El grupo del análisis observa que la configuración de la seguridad en los host remotos con frecuencia están a la zaga de los sistemas LAN. Tarea 6:Resumir el análisis de los riesgos Tarea 1:Determinar los activos de la organización y los escenarios: Tarea 5:Identificar los controles existentes y la probabilidad de explosión: • Sistemas de cálculo de intereses • PII de cliente • Reputación • Información financiera del cliente – Alto impacto financiero (HBI) Tarea 6:Resumir el análisis de los riesgos: • Acuerdo de que sus hosts remotos, o móviles, no reciben el mismo nivel de administración que los de la LAN. • El Facilitador de la evaluación de los riesgos resume el análisis y pone de relieve los activos, amenazas y vulnerabilidades analizados. Escenario 1:Facilitar un análisis de los riesgos en Woodgrove Bank Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad

  28. Definir las declaraciones de impacto Este documento incluye la siguiente información: Información recopilada durante el proceso de Recopilación de información Exposición Activo Calificación del impacto (A,M,B) Calificación de la exposición (A,M,B) Descripción de la vulnerabilidad Información identificada Niveles DiD aplicables Nombre/ Descripción del activo Descripción de la amenaza Clase del activo

  29. Recorrido del escenario 2:Definir las declaraciones de impacto • Definir una declaración de impacto para Woodgrove Bank

  30. Escenario 2:Definir una declaración de impacto para Woodgrove Bank

  31. Comprender la priorización de los riesgos Comenzar a priorizar los riesgos Realizar la asignación de prioridad del riesgo a nivel resumen Realizar la priorización de los riesgos a detalle Prioridad del riesgo a nivelresumen Detalle de las prioridades de riesgo Revisión con los involucrados Fin del proceso de priorización de los riesgos

  32. Realizar la asignación de prioridad del riesgo a nivel resumen 1 Referencia de la calificación de impacto Calificación del riesgo a nivel resumen Moderado Alto Alto 3 Alto Impacto (de la Tabla de impacto anterior) Moderado Clase del activo Alto Alto Alto Moderado Bajo Alto Medio Medio Bajo Moderado Alto Bajo Bajo Bajo Moderado Bajo Bajo Moderado Bajo Bajo Alto Medio Nivel de exposición Alto Bajo Medio Valor de la probabilidad 2 4 Alto.Muy probable—se espera tener uno o más impactos en un año Medio.Probable—se espera tener un impacto en dos o tres años Bajo.No es probable—no se espera que ocurra ningún impacto en los próximos tres años El proceso de priorización a nivel resumen incluye lo siguiente: Determinar el nivel del impacto Calcular la probabilidad a nivel resumen Completar la lista de riesgos a nivel resumen Revisión con los involucrados 1 2 3 4

  33. Recorrido del escenario 3:Realizar la asignación de prioridad del riesgo a nivel resumen • Realizar la priorización de riesgos a nivel resumen para Woodgrove Bank

  34. Tarea 4:Revisión con los involucrados Tarea 3:Completar la lista de riesgos a nivel resumen: Tarea 2:Calcular la probabilidad a nivel resumen: Tarea 1:Determinar el nivel del impacto • Probabilidad de robo del empleado de confianza:Baja • Probabilidad de compromiso del host LAN:Media • Probabilidad de compromiso del host remoto:Alta • Riesgo por robo del empleado de confianza:Impacto moderado * Probabilidad baja = Baja • Riesgo por compromiso del host LAN:Impacto alto * Probabilidad media = Alta • Riesgo por compromiso del host remoto:Impacto alto * Probabilidad alta = Alta • Registrar los resultados en la hoja de cálculo de la Declaración del impacto • El riesgo de abuso del Empleado de confianza se califica como Bajo en la lista de riesgos a nivel resumen y no es necesario calificarlo en el paso de priorización de riesgos a nivel detallado • Los riesgos por compromiso del host LAN y remoto se califican como altos y por lo tanto se les da prioridad a nivel detallado Tarea 2:Calcular la probabilidad a nivel resumen Tarea 3:Completar la lista de riesgos a nivel resumen Tarea 4:Revisión con los involucrados Calificación del riesgo a nivel resumen Impacto (de la anterior Tabla del impacto) Referencia de la calificación de impacto Moderado Alto Alto Alto Moderado Alto Alto Alto Medio Clase del activo Bajo Moderado Alto Moderado Bajo Alto Medio Tarea 1:Determinar el nivel del impacto: Bajo Bajo Moderado Bajo Bajo Bajo Bajo Moderado Alto Bajo Medio Bajo Alto Medio Valor de la probabilidad Nivel de exposición • Imacto del robo del empleado de confianza:Clase de activo de HBI * Exposición baja = Impacto moderado • Impacto del compromiso del host LAN:Clase de activo de HBI * Exposición alta = Impacto alto • Impacto del compromiso del host remoto:Clase de activo de HBI * Exposición alta = Impacto alto Escenario 3:Priorización de riesgos a nivel resumen en Woodgrove Bank

  35. Realizar la asignación de prioridad del riesgo a nivel resumen Las cuatro tareas siguientes delinean el proceso para desarrollar una lista de riesgos a nivel detallado: Determinar el impacto y la exposición 1 Identificar los controles actuales 2 Determinar la probabilidad de impacto 3 Determinar el nivel detallado del riesgo 4 Utilice la plantilla de Priorización de riesgos a nivel detallado (SRJA3-Detailed Level Risk Prioritization.xls)

  36. Recorrido del escenario 4:Realizar la asignación de prioridad del riesgo a nivel detallado • Realizar la priorización de riesgos a nivel detallado para Woodgrove Bank

  37. Tarea 2:Identificar los controles actuales: Tarea 3:Determinar la probabilidad del impacto: Tarea 4:Determinar el nivel del riesgo a detalle: Tarea 1:Determinar el impacto y la exposición: Tarea 1:Determinar el impacto y la exposición • Calificación del impacto * Calificación de la probabilidad • LAN: 8 * 6 = 48 • Hosts remotos: 8 * 10 = 80 • Ambos se califian como un riesgo general Alto • Host LAN y remotos:Es probable que todos los atributos de la vulnerabilidad en la categoría Alta se verán dentro y fuera del entorno LAN de Woodgrove en un futuro cercano.Valor de la vulnerabilidad = 5 para ambos riesgos • Efectividad del control:LAN:Resultado de las preguntas de efectividad del control=1Remoto:Resultado de las preguntas de efectividad del control=5 • Calificación total de la probabilidad:(Suma de la vulnerabilidad y efectividad del control)LAN:6Remoto:10 • Los Consultores Financieros sólo pueden acceder a sus cuentas; por lo tanto, la exposición es inferior al 100%. • Las notificaciones por correo electrónico para los hosts de revisión o actualización se envían proactivamente a todos los usuarios. • Las actualizaciones del antivirus y de revisión se miden y se cumplen en la LAN cada ciertas horas.Este control reduce la ventana de tiempo cuando los hosts LAN son vulnerables a ataques. • Calificación de la exposición por compromiso del host LAN:4 (80%) HBI = 10 Calificación del impacto:10 * 80% = 8 • Calificación de la exposición por compromiso del host remoto:4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8 • Rango del impacto = Entre 7 y 10 el cual se compara con Alto Tarea 2:Identificar los controles actuales Tarea 3:Determinar la probabilidad del impacto Tarea 4:Determinar el nivel del riesgo a detalle Escenario 4:Priorización de los riesgos a nivel detallado en Woodgrove Bank

  38. Asignar un valor monetario a cada clase de activo 1 Registrar el valor del activo para cada riesgo 2 Producir la expectativa única de pérdida (SLE) 3 Determinar la tasa anual de ocurrencia (ARO) 4 Determinar la expectativa de pérdida anual (ALE) 5 Cuantificar los riesgos Las siguientes tareas delinean el proceso para determinar el valor cuantitativo:

  39. Recorrido del escenario 5:Cuantificar los riesgos • Cuantificar los riesgos para Woodgrove Bank

  40. Tarea 5:Determinar la expectativa de pérdida anual (ALE)(SLE * ARO) Tarea 3:Producir la expectativa única de pérdida (SLE): Tarea 2:Identificar el valor del activo: Tarea 1:Asignar valores monetarios a las clases de activos • Información financiera del consumidor = Clase del activo HBI • HBI = US$10 millones • Valor del activo = US$10 millones Descripción de los riesgos Valor de la clase del activo Clasificación de la exposición Valor de la exposición SLE ARO ALE Descripción de los riesgos Valor de la clase del activo Clasificación de la exposición Valor de la exposición SLE Tarea 2:Identificar el valor del activo Riesgo del host LAN(US$ en millones) $10 4 80% $8 Riesgo del host LAN(US$ en millones) $10 4 80% $8 0.5 $4 Tarea 3:Producir la expectativa única de pérdida (SLE) Riesgo del host remoto(US$ en millones) $10 4 80% $8 Riesgo del host remoto(US$ en millones) $10 4 80% $8 1 $8 Tarea 4:Determinar la tasa anual de ocurrencia (ARO) Calificación cualitativa Descripción Rango de la ARO Ejemplos de descripción Alta Probable >=1 Impacto una vez o más al año Tarea 5:Determinar la expectativa de pérdida anual (ALE)(SLE * ARO) Media Probable .99 a .33 Por lo menos una vez entre 1 y 3 años Baja No es probable .33 Por lo menos una vez después de 3 años Tarea 1:Asignar valores monetarios a las clases de activos: Tarea 4:Determinar la tasa anual de ocurrencia (ARO): • Utilizar 5% de los Lineamientos de la materialidad para evaluar los activos • Ingresos netos:US$200 millones al año • Clase del activo HBI:US$10 millones (200 * 5%) • Clase del activo MBI:US$5 millones (con base en los gastos anteriores) • Clase del activo LBI:US$1 millón (con base en los gastos anteriores) • ARO del host LAN:Al optimizar la evaluación cualitativa de la probabilidad Media, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá por lo menos una vez en dos años; por lo tanto el ARO aproximado es de .5 • ARO del host remoto:Al optimizar la evaluación cualitativa de la probabilidad Alta, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá una vez al año; por lo tanto el ARO aproximado es de 1. Valor alto de impacto de negocios = $M Clasificación de la exposición % del factor de exposición 5 100 Clase del activo 4 80 Valor HBI US$ millones 3 60 Valor MBI US$ millones / 2 2 40 Valor LBI US$ millones / 4 1 20 Valor aproximado del riesgo = Valor de la clase de activo * % del factor de exposición = SLE Escenario 5:Cuantificar los riesgos para Woodgrove Bank

  41. Evaluar los riesgos:Mejores prácticas Analice los riesgos durante el proceso de recopilación de información ü Realice una investigación para generar una credibilidad para calcular la probabilidad ü Comunique el riesgo en términos comerciales ü Concilie los nuevos riesgos con los riesgos anteriores ü

  42. Realizar soporte a las decisiones • Conceptos de la administración de riesgos de seguridad • Identificar los prerrequisitos de la administración de riesgos de seguridad • Evaluar los riesgos • Apoyar la toma de decisiones • Implementar controles y medir la efectividad del programa

  43. Descripción de la fase de apoya a la toma de decisiones Medir la efectividad del programa 4 1 Evaluar los riesgos 2 3 Apoyar la toma de decisiones Implementar controles • Definir los requisitos funcionales • Identificar las soluciones del control • Revisar la solución contra los requisitos • Nivel aproximado de la reducción de riesgos • Costo aproximado de cada solución • Seleccionar la estrategia de mitigación de riesgos

  44. Identificar el rendimiento de la fase de apoyo a la toma de decisiones Los elementos clave para recopilar información incluyen: • Decisión sobre cómo manejar cada riesgo • Requisitos funcionales • Soluciones para un control potencial • Reducción de riesgos de cada solución de control • Costo aproximado de cada solución de control • Lista de soluciones de control que serán implementadas

  45. Considerar las opciones de apoyo a la toma de decisiones Opciones para manejar los riesgos: Aceptar el riesgo actual ü Implementar controles para reducir los riesgos ü

  46. Descripción general del proceso para identificar y comparar los controles Dueño de la mitigación Identifica las soluciones potenciales del control Determina los tipos de los costos Comité directivo de seguridad Lista final de las soluciones de control Equipo de administración de riesgos de seguridad Calcula el nivel de la reducción de riesgos

  47. Paso 1:Definir los requisitos funcionales Equipo de administración de riesgos 1 3 4 Definir los requisitos funcionales Nivel aproximado de reducción de riesgos Revisar las soluciones contra los requisitos Dueño de la mitigación 2 5 Identificar las soluciones de control Costo aproximado de cada solución Comité directivo de seguridad 6 Seleccionar la estrategia para mitigar los riesgos

  48. Paso 2:Identificar las soluciones del control Equipo de la administración de riesgos 1 3 4 Definir los requisitos funcionales Costo aproximado de reducción de riesgos Revisar las soluciones contra los requisitos Dueño de la mitigación 2 5 Identificar las soluciones del control Costo aproximado de cada solución Comité directivo de seguridad 6 Seleccionar la estrategia paramitigar los riesgos

  49. Paso 3:Revisar las soluciones contra los requisitos Equipo de la administración de riesgos 1 3 4 Definir los requisitos funcionales Costo aproximado de reducción de riesgos Revisar las soluciones contra los requisitos Dueño de la mitigación 2 5 Identificar las soluciones del control Costo aproximado de cada solución Comité directivo de seguridad 6 Seleccionar la estrategia para mitigar los riesgos

  50. Paso 4:Nivel aproximado de la reducción de riesgos Equipo de la administración de riesgos 1 3 4 Definir los requisitos funcionales Costo aproximado de reducción de riesgos Revisar las soluciones contra los requisitos Dueño de la mitigación 2 5 Identificar las soluciones del control Costo aproximado de cada solución Comité directivo de seguridad 6 Seleccionar la estrategia para mitigar los riesgos

More Related