Administración de Riesgos ISO/IEC 27002:2005 Luis Bartolini Siqueiros 1.

Administración de Riesgos

ISO/IEC 27002:2005

Luis Bartolini Siqueiros

1

Negocios habilitados por la Seguridad

• Reducir el riesgo de la SeguridadReducir el riesgo de la Seguridad– Evaluar el entornoEvaluar el entorno– Mejorar el aislamiento y la resistenciaMejorar el aislamiento y la resistencia– Desarrollar e implementar controlesDesarrollar e implementar controles

Incrementar el Valor de NegocioIncrementar el Valor de NegocioConectarse con los clientesConectarse con los clientesIntegrarse con los sociosIntegrarse con los sociosHabilitar a los empleados Habilitar a los empleados

Nivel de Nivel de RiesgoRiesgo

Impacto a losImpacto a losNegociosNegocios

ProbabilidadProbabilidadde Ataquede Ataque

ROIROI

ConectadoConectado

ProductivoProductivo

2

Cambiar el enfoque de la Seguridad

Ad-hoc y táctico Irregular Reactivo Sin medición Absoluto

Administrado y estratégico Sistemático Adaptativo Medible Adecuado

Las actividades de seguridad y las medidas del desempeño de la seguridad estarán visiblemente alineadas con los impulsores estratégicos y los factores críticos de éxito

DE A

3

Componentes (organización) de la Seguridad de Información

Seguridad de InformaciónSeguridad de Información

Operación y Operación y Mantenimiento Mantenimiento de Seguridadde Seguridad

Procesos, Procesos, Políticas, Políticas,

Estándares, Estándares, ProcedimientosProcedimientos

Concientización Concientización y Capacitacióny Capacitación

CumplimientoCumplimientoAdministración de Administración de Riesgos y BaselinesRiesgos y Baselines

Statement of Statement of AplicabilityAplicability

Programas Programas de Trabajode Trabajo

Evaluación Evaluación de Riesgosde Riesgos

Selección de Selección de ControlesControles

Sub-Comité de SI de TISub-Comité de SI de TI

Seguimiento de Seguimiento de Amenazas y Amenazas y

VulnerabilidadesVulnerabilidades

Plan de Plan de Respuesta a Respuesta a IncidentesIncidentes

Equipo de Equipo de Respuesta a Respuesta a IncidentesIncidentes

Política General de Política General de Seguridad de InformaciónSeguridad de Información

Programa Integral de Programa Integral de Seguridad de InformaciónSeguridad de Información

Continuidad de Continuidad de NegocioNegocio

Infra

estru

ctur

aIn

fraes

truct

ura

Comité de Protección Comité de Protección de Informaciónde Información

Equipo de DRPEquipo de DRP

Estructura OrganizacionalEstructura Organizacional

4


Provee un marco de trabajo para que la administración trate efectivamente con la incertidumbre y el riesgo y oportunidad asociados y así mejore su capacidad para construir valor

La seguridad es un asunto estratégico para la supervivencia de una organización

El riesgo debe ser administrado en una base diaria dentro de una organización

Un programa de seguridad a nivel empresarial es una reflexión y ejecución de una estrategia de administración de riesgos

5

Contexto Estratégico

Objetivos del Negocio

Leyes y Regulaciones

Entorno Económico

Ambiente Social

CompetenciaClientes

Ambiente Tecnológico

Rendimiento Financiero, Crecimiento Institucional, Crecimiento competitivo, Calidad, Servicio al Cliente, Eficiencia

operacional, Productividad, Etc.Estructura Organizacional

Procesos Actividades

Líneas de negocio

Productos

Impacto Económico - Reputación organizacionalImagen de productos o servicios

6


La evaluación de riesgos es una parte muy importante de la planeación de la estrategia de protección de información.

Provee una base para la implementación de los planes de protección de activos contra varias amenazas.

Una vez hecha la evaluación de riesgos, es necesario realizar la planeación proactiva y reactiva de protección de información.

7


Definición

Es un proceso interactivo e iterativo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de decisiones organizacionalesAplicable a cualquier situación donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades

8

Proceso de Administración de Riesgos

9

Modelo Sencillo de Control de Riesgos

VulnerabilidadVulnerabilidad

AgenteAgente

AmenazaAmenaza

RiesgoRiesgo

ControlControl

ExposiciónExposición

ActivoActivo

Realiza una

Que explota una

Y produce un

Que puede dañar un

Y causar una

Que puede ser manejada con un

Afecta directamente

a un

10

Otro Modelo Dinámico de Eventos

11

Riesgos de seguridad

Riesgo

VulnerabilidadesAmenazas

Controles

Requerimientos de seguridad

Valor del activo

Activos

Proteccióncontra

Explotan

Reduce

Aumenta

Establece

AumentaExponen

Tiene

Aumenta

Implementan

Impacto en la organización

12

Etapas del desarrollo de un Sistema Administrativo de Seguridad de Información

13

ISO/IEC 27002:2005 - Cláusulas de control

5. Política de seguridad6. Organización de la seguridad de información7. Administración de activos8. Seguridad de los recursos humanos9. Seguridad física y ambiental10. Administración de las comunicaciones y operaciones11. Control de acceso12. Adquisición, desarrollo y mantenimiento de sistemas de

información13. Administración de incidentes de seguridad de

información14. Administración de la continuidad de negocios15. Cumplimiento

14


Beneficios para la Organización Facilita el logro de los objetivos de la organización Hace a la organización más segura y consciente de

sus riesgos Mejoramiento continuo del Sistema de Control Interno Optimiza la asignación de recursos Aprovechamiento de oportunidades de negocio Fortalece la cultura de autocontrol Mayor estabilidad ante cambios del entorno

15


Beneficios para el área de Auditoria Soporta el logro de los objetivos de la auditoria Estandarización en el método de trabajo Integración del concepto de control en las políticas

organizacionales Mayor efectividad en la planeación general de Auditoria. Evaluaciones enfocadas en riesgos Mayor cobertura de la administración de riesgos Auditorias más efectivas y con mayor valor agregado

16

Planificación del Análisis y Gestión de Riesgos

Específicamente en la administración de TI.y de procesos operativos apoyados con TI.Específicamente en la administración de TI.y de procesos operativos apoyados con TI.

Tecnológicos y de InformaciónIntegridad, Confidencialidad y Disponibilidad+ Efectividad, Eficiencia, Cumplimiento de

Normas+ De negocio

Tecnológicos y de InformaciónIntegridad, Confidencialidad y Disponibilidad+ Efectividad, Eficiencia, Cumplimiento de

Normas+ De negocioProcesos de TI (Ejemplo COBIT) Subprocesos Ej: Manejo y Administración de Proyectos Adquisición y mantenimiento de sistemas de aplicación Administración de la configuración Prestación de servicio continuo

Proyecto de TI Etapas o actividadesSistema de Información Módulos, Interfase, E/P/S

Procesos de TI (Ejemplo COBIT) Subprocesos Ej: Manejo y Administración de Proyectos Adquisición y mantenimiento de sistemas de aplicación Administración de la configuración Prestación de servicio continuo

Proyecto de TI Etapas o actividadesSistema de Información Módulos, Interfase, E/P/S

17

Análisis de Riesgos

Ineficiencia en el uso de los recursosPérdida de confidencialidadPérdida de Integridad de información Interrupción en la continuidad del servicioAcceso no autorizadoPérdida económica

Ineficiencia en el uso de los recursosPérdida de confidencialidadPérdida de Integridad de información Interrupción en la continuidad del servicioAcceso no autorizadoPérdida económica

Heterogeneidad en la ejecución de procesosAusencia de metodologías de procesosInadecuada clasificación de la informaciónError u omisión en el procesamientoCambios no autorizadosHurto de activos (recursos informáticos) Incertidumbre para atender incidentesAusencia de planes de continuidad de NegocioSuplantación de usuarios

Heterogeneidad en la ejecución de procesosAusencia de metodologías de procesosInadecuada clasificación de la informaciónError u omisión en el procesamientoCambios no autorizadosHurto de activos (recursos informáticos) Incertidumbre para atender incidentesAusencia de planes de continuidad de NegocioSuplantación de usuarios

Algunos

Riesgos

Algunas

Causas

18

Análisis de Riesgos

Desarrollo y Adquisiciónde Software

Desarrollo y Adquisiciónde Software

Sub o sobredimensionamiento

Sub o sobredimensionamiento

Diseño Inadecuado

Diseño Inadecuado

Aceptación de sw no acorde con las necesidades

Aceptación de sw no acorde con las necesidades

Falta de oportunidad en entrada

en producción

Falta de oportunidad en entrada

en producción

Negación del servicio

Negación del servicio

Cambios no autorizadosCambios no autorizados

Ineficiente usode los recursosIneficiente usode los recursos

Acceso no autorizadoAcceso no autorizado

Operación deInstalacionesOperación deInstalaciones

Técnicos yTecnológicos

Técnicos yTecnológicos

Relacionados con la Información

Relacionados con la Información

Pérdida de informaciónPérdida de información

Selección inadecuada

de estrategias

Selección inadecuada

de estrategias

Obsolescencia Tecnológica

Obsolescencia Tecnológica

Pérdida de InformaciónPérdida de Información

Pérdida deConfidencialidad

Pérdida deConfidencialidad

Pérdida de integridad o

Confiabilidad

Pérdida de integridad o

Confiabilidad

Incumplimientode normas

Incumplimientode normas

Riesgos de TIRiesgos de TI(un ejemplo con 2 procesos y 2 recursos)(un ejemplo con 2 procesos y 2 recursos)

Riesgos de TIRiesgos de TI(un ejemplo con 2 procesos y 2 recursos)(un ejemplo con 2 procesos y 2 recursos)

19

Mapa de RiesgosPR

OB

AB

ILID

AD

DE

OC

UR

REN

CIA

10

0

5

IMPACTO DEL RIESGO

5 10

II

“Riesgos de atención

periódica”

I

“Riesgos de atención

inmediata”

IV

“Riesgos controlados”

III

“Riesgos de seguimiento”

20

Análisis de Riesgo

Relacionados con la Probabilidad

1 Rara vez ocurre1 Rara vez ocurre2 Poco probable2 Poco probable3 Algunas Veces3 Algunas Veces4 probable4 probable5 muy probable5 muy probable

Pérdida FinancieraPérdida Financiera

0 No hay pérdida 0 No hay pérdida 1 de 1 a 10.0001 de 1 a 10.0002 de 10.000 a 50.0002 de 10.000 a 50.0003 de 50.000 a 100.0003 de 50.000 a 100.0004 de 100.000 a 500.0004 de 100.000 a 500.0005 más de 500.000 5 más de 500.000

Relacionada con el Impacto

Haga uso de la información histórica que tenga Haga uso de la información histórica que tenga disponible.disponible.Aplique un método cuantitativoAplique un método cuantitativo

Pérdida de ImagenPérdida de Imagen

0 No se afecta la imagen0 No se afecta la imagen1 ante los empleados1 ante los empleados2 ante un cliente2 ante un cliente3 ante una ciudad3 ante una ciudad4 ante el país4 ante el país5 ante el mundo5 ante el mundo

Cuando lo requiera elabore sus propias escalas de Cuando lo requiera elabore sus propias escalas de mediciónmediciónAplique métodos semi-cuantitativosAplique métodos semi-cuantitativos

Valorar Riesgo (Causa) = Probabilidad x Impacto Valorar Riesgo (Causa) = Probabilidad x Impacto

Pérdida de DisponibilidadPérdida de Disponibilidad

0 No se afecta0 No se afecta1 por algunos segundos1 por algunos segundos2 por algunos minutos2 por algunos minutos3 por algunas horas3 por algunas horas4 por un día/semana4 por un día/semana5 por una semana/mes5 por una semana/mes

21

Seguridad en el Desarrollo y Mantenimiento de Sistemas de Información

22

Evaluación y tratamiento de riesgos

Evaluación de riesgos de seguridad Las evaluaciones de riesgos deberán identificar,

cuantificar y priorizar los riesgos contra los criterios para la aceptación de riesgos y los objetivos relevantes para la organización

Los resultados deberán guiar y determinar la acción administrativa apropiada y las prioridades para administrar los riesgos e implementar los controles seleccionados para proteger contra estos riesgos

Este es un proceso interactivo e iterativo para cubrir las distintas áreas o sistemas de la organización y el progresivo logro de una seguridad más completa

23


Evaluación de riesgos de seguridad Se debe incluir la estimación sistemática de la

magnitud del riesgo (análisis de riesgo) y la comparación de los riesgos estimados contra los criterios de riesgo establecidos para determinar la importancia de los riesgos (evaluación de riesgos)

Se deben realizar metódica y periódicamente para atender cambios en los requerimientos de seguridad y en las situaciones de riesgo y producir resultados comparables y reproducibles

Se debe hacer siempre con un alcance muy bien definido; puede ser toda la organización o partes de ella, un sistema de información, componentes de un sistema, etc., donde sea practicable, realista y útil

24

Priorización de Riesgos

Heterogeneidad en la ejecución de procesosHeterogeneidad en la ejecución de procesos 785785Inadecuada clasificación de la informaciónInadecuada clasificación de la información 750750Desarrollo informal (sin metodología) de swDesarrollo informal (sin metodología) de sw 675675Ausencia de planes de continuidad de NegocioAusencia de planes de continuidad de Negocio 585585Incertidumbre para atender incidentesIncertidumbre para atender incidentes 400400Cambios no autorizadosCambios no autorizados

310310Error u omisión en el procesamientoError u omisión en el procesamiento 250250Hurto de activos (recursos informáticos) Hurto de activos (recursos informáticos)

230230Suplantación de usuarios Suplantación de usuarios 175175

25


Tratamiento de riesgos de seguridad Antes la organización debe decidir los criterios para

determinar si los riesgos pueden o no ser aceptados Para cada uno de los riesgos identificados en la

evaluación se decidirá un tratamiento. Opciones posibles son: Aplicar controles apropiados para reducir/mitigar los riesgos Consciente y objetivamente aceptar los riesgos, probando

que claramente satisfacen la política de la organización y los criterios de aceptación de riesgos

Evitar los riesgos no permitiendo las acciones que los provoquen

Transferir los riesgos a terceros, por ejemplo, proveedores o aseguradores

26


Tratamiento de riesgos de seguridad En el caso de la reducción/mitigación de riesgos los

controles seleccionados deberán asegurar un nivel aceptable de riesgos en función de: Los requerimientos y restricciones de la legislación y

regulaciones nacional e internacional Los objetivos organizacionales Los requerimientos y restricciones de operación El costo de implementación y operación en relación a los

riesgos implicados. Mantenerlo proporcional a los requerimientos y restricciones de la organización

El balance entre la inversión requerida por los controles y los daños probables consecuencia de las fallas de seguridad

27


Tratamiento de riesgos de seguridad Los controles pueden ser seleccionados de este u

otro estándar No todos los controles son aplicables a todos los

sistemas u organizaciones Los controles deberán ser considerados en las etapas

de especificación de requerimientos y diseño de proyectos y sistemas

No hay seguridad completa, se deben implementar medidas administrativas adicionales para monitorear, evaluar y mejorar la eficiencia y efectividad de los controles de seguridad para soportar los propósitos de la organización

28

Identificación de Salvaguardas

29

Identificación de Salvaguardas

30

Visión de los Controles de Seguridad de Información

31

Gestión de Riesgos

Elabore la lista de los mecanismos de control que aplican a cada uno de los componentes de su objeto analizado

Procedimientos formales de planeación. uso de estándares de programación, identificación, codificación.uso de mecanismos de autenticación.procedimientos documentados, divulgados y aplicados.uso de metodologías de desarrollo de sw.uso metodologías de definición de requerimientos.procedimientos para el control de cambios.acuerdos explícitos de niveles de servicio.mecanismos de encripciónredundancia en dispositivos y recursos críticos.clasificación de la información procedimientos de respaldosensores y alarmas de factores ambientales (humo, humedad, temperatura)toma física de inventarios de recursos computacionalesverificadores de licencias

Esta será más sencilla de

realizar si se divide

adecuadamente el objeto

de análisis en sus partes

32

Gestión de Riesgos

Definir el nivel de exposición le permitirá conocer la efectividad de los controles.

Sin embargo, tenga presente en relación con la efectividad de los controles los siguientes

aspectos:

Internos frente a los ExternosManuales frente a los AutomáticosPrevios frente a los PosterioresPreventivos frente a los Correctivos y DetectivosGenerales frente a los EspecíficosContinuos frente a los Discretos (aplicación)Periódicos frente a los Esporádicos

Internos frente a los ExternosManuales frente a los AutomáticosPrevios frente a los PosterioresPreventivos frente a los Correctivos y DetectivosGenerales frente a los EspecíficosContinuos frente a los Discretos (aplicación)Periódicos frente a los Esporádicos

Nivel de Exposición = Riesgo – Controles aplicadosNivel de Exposición = Riesgo – Controles aplicadosNivel de Exposición = Riesgo – Controles aplicadosNivel de Exposición = Riesgo – Controles aplicados

33

MAGERIT

34

MAGERIT

35

• El ANÁLISIS Y GESTIÓN DE RIESGOS, Fase nuclear de ‘medición’ y cálculo en el ciclo de gestión de la seguridad, es punto de arranque del ciclo de Gestión de Seguridad y además requiere técnicas de proceso especiales (propias del ámbito de la seguridad). Por estas causas, la Fase es objeto de un método especial, MAGERIT, mientras que las demás Fases del ciclo se apoyan en técnicas más genéricas y conocidas.

• La Fase de Determinación de OBJETIVOS, ESTRATEGIA y POLÍTICA de Seguridad de los Sistemas de Información se nutre de y nutre a su vez la Fase de Análisis y Gestión de Riesgos. En el ciclo inicial de la Gestión de Seguridad, un Análisis y Gestión de Riesgos de carácter global ayuda a determinar los objetivos, estrategia y política, que influirán durante los ciclos sucesivos en el Análisis y Gestión de Riesgos más detallado (que a su vez puede modificarlos para ciclos sucesivos).

Administración de la Seguridad de Información - etapas

36

• La Fase de Establecimiento de la PLANIFICACION de la Seguridad de los Sistemas de Información deriva de la Fase de Análisis y Gestión de Riesgos como su consecuencia funcional más inmediata. Utiliza técnicas generales de planificación (resultados, secuenciación, hitos de decisión), pero adaptadas al ámbito de la seguridad.

• La Fase de Determinación de la ORGANIZACION de la Seguridad de los Sistemas de Información deriva de la Fase de Análisis y Gestión de Riesgos como su consecuencia orgánica más inmediata. Utiliza técnicas generales de organización (compromiso gerencial, roles, responsabilidades, documentación normativa), aunque adaptadas al ámbito de la seguridad.

• La Fase de IMPLANTACION de SALVAGUARDAS y otras medidas de Seguridad para los Sistemas de Información deriva de las Fases de Planificación y Organización, utilizando técnicas generales de Gestión de Proyectos y Gestión de Configuración, aunque adaptadas al ámbito de la seguridad.


37

• La Fase de CONCIENCIACIÓN de TODOS en la SEGURIDAD de los Sistemas de Información deriva de las Fases de Planificación y Organización. Tiene en cuenta el papel fundamental del recurso humano interno en todo proyecto de seguridad y utiliza técnicas generales de Gestión de Proyectos y Gestión de Formación, Comunicación y Recursos Humanos, aunque adaptadas al ámbito de la seguridad.

• La Fase de REACCIÓN a cada evento, de MANEJO y REGISTRO de las incidencias y de RECUPERACIÓN de Estados aceptables de Seguridad tiene un carácter básicamente operacional y utiliza por tanto técnicas generales de Gestión cotidiana y de Atención a Emergencias adaptadas al ámbito de la seguridad.

• La Fase de MONITORIZACIÓN, GESTIÓN de CONFIGURACIÓN y de CAMBIOS en la Seguridad de los Sistemas de Información tiene un carácter básicamente de mantenimiento, con técnicas generales de monitorización, gestión de configuración y gestión de cambios adaptadas al ámbito de la seguridad.


38

MAGERIT - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

39

Etapas del Análisis y Gestión de Riesgos

Etapa 1. Planificación del Análisis y Gestión de Riesgos

Establece las consideraciones necesarias para arrancar el proyecto de análisis y gestión de riesgos;

permite investigar la oportunidad de realizarlo; definir los objetivos que ha de cumplir y el dominio (ámbito) que abarcará;

planificar los medios materiales y humanos para su realización; e

iniciar el lanzamiento del proyecto

40


ETAPA 1. PLANIFICACIÓN DEL ANÁLISIS Y GESTIÓN DE RIESGOS

Actividad 1.1: Oportunidad de realización- 1.1.1:(única) Clarificar la oportunidad de realizaciónActividad 1.2: Definición de dominio y objetivos- 1.2.1: Especificar los objetivos del proyecto- 1.2.2: Definir el dominio y los límites del proyecto- 1.2.3: Identificar el entorno y restricciones generales- 1.2.4: Estimar dimensión, coste y retornos del proyectoActividad 1.3: Planificación del proyecto- 1.3.1: Evaluar cargas y planificar entrevistas- 1.3.2: Organizar a los participantes- 1.3.3: Planificar el trabajoActividad 1.4: Lanzamiento del proyecto- 1.4.1: Adaptar los cuestionarios- 1.4.2: Seleccionar criterios de evaluación y técnicas para el proyecto- 1.4.3: Asignar los recursos necesarios- 1.4.4: Sensibilizar (campaña informativa)

41


Etapa 2. Análisis de riesgos Permite identificar y valorar los elementos que

intervienen en el riesgo; obtener una evaluación de éste en las distintas

áreas del dominio; y estimar los umbrales de riesgo deseables.

42


ETAPA 2. ANÁLISIS DE RIESGOSActividad 2.1: Acopio de información- 2.1.1: Preparar la información- 2.1.2: Realización de las entrevistas- 2.1.3: Analizar la información recogidaActividad 2.2: Identificación y agrupación de ACTIVOS- 2.2.1: Identificar activos y grupos de activos- 2.2.2: Identificar mecanismos de salvaguarda existentes- 2.2.3: Valorar activosActividad 2.3: Identificación y evaluación de AMENAZAS- 2.3.1: Identificar y agrupar amenazas- 2.3.2: Establecer los árboles de fallos generados por amenazasActividad 2.4: Identificación y estimación de VULNERABILIDADES- 2.4.1: Identificar vulnerabilidades- 2.4.2: Estimar vulnerabilidades

43


ETAPA 2. ANÁLISIS DE RIESGOS (cont.)Actividad 2.5: Identificación y valoración de IMPACTOS- 2.5.1: Identificar impactos- 2.5.2: Tipificar impactos- 2.5.3: Valorar impactosActividad 2.6: Evaluación del RIESGO- 2.6.1: Evaluar el riesgo intrínseco- 2.6.2: Analizar las funciones de salvaguarda existentes- 2.6.3: Evaluar el riesgo efectivo

44


Etapa 3. Gestión de riesgos Permite identificar las posibles funciones o servicios

de salvaguarda reductores del riesgo detectado; seleccionar las salvaguardas aceptables en función de

las ya existentes y de las restricciones; simular diversas combinaciones; y especificar las finalmente elegidas.

45


ETAPA 3. GESTIÓN DE RIESGOSActividad 3.1: Interpretación del Riesgo- 3.1.1:(única) Interpretar los riesgosActividad 3.2: Identificación y estimación de Funciones de

salvaguarda- 3.2.1: Identificar funciones de salvaguarda- 3.2.2: Estimar la efectividad de las funciones de salvaguardaActividad 3.3: Selección de Funciones de Salvaguarda- 3.3.1: Aplicar los parámetros de selección- 3.3.2: Evaluar el riesgoActividad 3.4: Cumplimiento de objetivos- 3.4.1 (única): Determinar el cumplimiento de los objetivos

46


Etapa 4. Selección de salvaguardas Permite seleccionar los mecanismos de salvaguarda a

implantar; elaborar una orientación del plan de implantación de los

mecanismos de salvaguarda elegidos; establecer los mecanismos de seguimiento para la

implantación; recopilar los documentos de trabajo del proceso de

Análisis y Gestión de Riesgos; obtener los documentos finales del proyecto; y realizar las presentaciones de los resultados a los

diversos niveles.

47


ETAPA 4. SELECCIÓN DE SALVAGUARDASActividad 4.1: Identificación de mecanismos de salvaguarda- 4.1.1: Identificar mecanismos posibles- 4.1.2: Estudiar mecanismos implantados- 4.1.3: Incorporar restriccionesActividad 4.2: Selección de mecanismos de salvaguarda- 4.2.1: Identificar mecanismos a implantar- 4.2.2: Evaluar el riesgo (mecanismos elegidos)- 4.2.3: Seleccionar mecanismos a implantarActividad 4.3 Especificación de los mecanismos a implantar- 4.3.1 (única): Especificar los mecanismos a implantarActividad 4.4: Planificación de la implantación- 4.4.1 Priorizar mecanismos- 4.4.2: Evaluar los recursos necesarios- 4.4.3: Elaborar cronogramas tentativosActividad 4.5: Integración de resultados- 4.5.1 (única): Integrar los resultados

48

Selección de Salvaguardas

• La identificación de opciones de tratamiento del riesgo puede conducirle a:– Implementación de nuevos mecanismos de control.– Cambiar, modificar o eliminar controles existentes.– Combinar mecanismos de control.

• Dependiendo del grado de complejidad de la opción elegida su implementación puede llegar al punto de convertirse en un proyecto.– Obligatoriedad del cambio de claves– Definición de pistas de auditoria– Documentación de Procesos– Plan de Continuidad Tecnológico– Función de aseguramiento de la calidad

49


• En los planes de Implementación es conveniente considerar:– Respaldo de la gerencia– Responsables– Presupuestos– Compromiso con la fecha de finalización

50


• Seguimiento a los compromisos en el plan de implementación de opciones de tratamiento.

• Revisión y ajuste de métodos y técnicas aplicadas.• Análisis de los beneficios alcanzados (en el

negocio, en la administración de TI, en la auditoria, en los usuarios).

• ¿Es posible y conveniente continuar con otros activos? (procesos, proyectos, áreas).

• Nivel de aprendizaje de la organización en relación con la administración de sus riesgos.

Reflexión sobre el proceso de Administración de RiesgosReflexión sobre el proceso de Administración de RiesgosReflexión sobre el proceso de Administración de RiesgosReflexión sobre el proceso de Administración de Riesgos

51

DOCUMENTACIÓN

52

Documentación de Etapas del Análisis y Gestión de Riesgos

En cada etapa del proceso se requiere incluir: Objetivos Audiencia Recursos de información Supuestos DecisionesLa política de administración de riesgo puede incluir. Objetivos de la política y justificación para la administración de

riesgos Conexiones entre la política de administración de riesgos y los planes

estratégicos y de negocios de la organización Extensión y rango de los puntos a los que aplica la política Guía sobre lo que puede ser considerado como riesgo aceptable Quién es responsable de administrar los riesgos Soporte experto disponible para asistir a aquellos responsables de

administrar los riesgos Nivel de documentación requerida Plan de revisión del grado de cumplimiento de la política de

administración de riesgo53

Documentación de Etapas del Análisis y Gestión de Riesgos

La documentación típica debería incluir: Un registro de riesgos – para cada riesgo identificado registrar:

Fuente del riesgo Naturaleza del riesgo Controles existentes Consecuencias y probabilidad Medición inicial de riesgo Vulnerabilidad a factores externos/internos

Un plan de mitigación de riesgo y acción que provea: Quien tiene la responsabilidad de implementar el plan Los recursos que serán utilizados La asignación de presupuesto Programa de implementación Detalles de las medidas de los mecanismos de control Frecuencia de cumplimiento

Documentos de monitoreo y auditoria que incluyan: Resultados de las auditorias/revisiones y otros procedimientos de

monitoreo Seguimiento de las revisiones de las recomendaciones y estatus de

implementación 54

MEDICIÓN

55

ROSI (Return On Security Investment) – retorno sobre la inversión en seguridad

La cantidad total de dinero que una organización espera ahorrar en un año por implementar un control de seguridad

ROSI = (ALE antes del control) – (ALE después del control) – (costo anual del control)

ALE (Annual Lose Expectancy) – Expectativa de pérdida anual La cantidad total de dinero que una organización perderá en un año si

no se hace nada para mitigar un riesgo

ALE = SLE X AROSLE (Single Loss Expectancy) – Expectativa de una sola pérdida

La cantidad total de ingresos que se pierden de una sola ocurrencia de un riesgo

ARO (Annual Rate of Ocurrence) – Tasa anual de ocurrencia El número de veces que se espera que un riesgo ocurra durante un año

56

ENFOQUE CUANTITATIVO VS CUALITATIVO

57

Enfoques de la administración de riesgos

Cuantitativo Cualitativo

Beneficios Los riesgos son priorizados por su valor financieroLos resultados facilitan la administración en base al ROSILos resultados pueden ser expresados en términos específicos de negociosLa precisión tiende a incrementarse con el tiempo a medida que se gana experiencia y se acumula información histórica

Habilita la visibilidad y entendimiento de la categorización de riesgosEs más fácil de alcanzar el consensoNo necesitan cuantificarse la frecuencia de las amenazasNo necesitan determinarse los valores financieros de los activosEs más fácil de involucrar a gente no experta en seguridad o computadoras

58

Enfoques de la administración de riesgos

Cuantitativo Cualitativo

Desventajas Los valores de impacto asignados a los riesgos se basan en opiniones subjetivasLos procesos para alcanzar el consenso y resultados creíbles consumen mucho tiempoLos cálculos pueden ser complejos y consumidores de tiempoLos resultados sólo se presentan en términos monetariosEl proceso requiere experiencia, los participantes no pueden ser educados con facilidad a través del proceso

No hay suficiente diferenciación entre los riesgos importantesEs difícil de justificar la inversión en la implementación de los controles debido a que no hay bases para un análisis costo-beneficioLos resultados son dependientes de la calidad del equipo de administración de riesgos creado

59

Programa de Administración de Riesgos

60

CRITERIOS DE MADUREZ DE LA ADMINISTRACIÓN DE RIESGOS

61

Criterios de Madurez de la Administración de Riesgos en las Organizaciones

0 No existeLa directiva (o el proceso) no está documentada y la organización, anteriormente, no ha tomado conciencia del riesgo de negocios asociado a esta administración de riesgos. Por lo tanto, no ha habido comunicados al respecto.

1 Ad hocEs evidente que algunos miembros de la organización han llegado a la conclusión de que la administración de riesgos tiene valor. No obstante, los esfuerzos de administración de riesgos se han llevado a cabo de un modo ad hoc. No hay directivas o procesos documentados y el proceso no se puede repetir por completo. En general, los proyectos de administración de riesgos parecen caóticos y sin coordinación; los resultados no se han medido ni auditado.

62


2 RepetibleHay una toma de conciencia de la administración de riesgos en la organización. El proceso de administración de riesgos es repetible aunque inmaduro. El proceso no está totalmente documentado; no obstante, las actividades se realizan periódicamente y la organización está trabajando en establecer un proceso de administración de riesgos exhaustivo con la participación de los directivos. No hay cursos formales ni comunicados acerca de la administración de riesgos; la responsabilidad de la implementación está en manos de empleados individuales.

63


3 Proceso definidoLa organización ha tomado una decisión formal de adoptar la administración de riesgos incondicionalmente con el fin de llevar a cabo su programa de seguridad de información. Se ha desarrollado un proceso de línea de base en el que se han definido los objetivos de forma clara con procesos documentados para lograr y medir el éxito. Además, todo el personal dispone de algunos cursos de administración de riesgos rudimentaria. Finalmente, la organización está implementando de forma activa sus procesos de administración de riesgos documentados.

64


4 AdministradoHay un conocimiento extendido de la administración de riesgos en todos los niveles de la organización. Los procedimientos de administración de riesgos existen, el proceso está bien definido, la comunicación de la toma de conciencia es muy amplia, hay disponibles cursos rigurosos y se han implementado algunas formas iniciales de medición para determinar la efectividad. Se han dedicado recursos suficientes al programa de administración de riesgos, muchas partes de la organización disfrutan de sus ventajas y el equipo de administración de riesgos de seguridad puede mejorar continuamente sus procesos y herramientas. Se utilizan herramientas de tecnología como ayuda para la administración de riesgos, pero la mayoría de los procedimientos, si no todos, de evaluación de riesgos, identificación de controles y análisis de costo-beneficios son manuales.

65


5 OptimizadoLa organización ha dedicado recursos importantes a la administración de riesgos de seguridad y los miembros del personal miran al futuro intentando determinar los problemas y soluciones que habrá en los meses y años venideros. El proceso de administración de riesgos se ha comprendido bien y se ha automatizado considerablemente mediante el uso de herramientas (desarrolladas internamente o adquiridas a proveedores de software independientes). La causa principal de todos los problemas de seguridad se ha identificado y se han adoptado medidas adecuadas para minimizar el riesgo de repetición. El personal dispone de cursos en distintos niveles de experiencia.

66

EVALUACIÓN DEL NIVEL DE MADUREZ DE LA ADMINISTRACIÓN DE RIESGOS DE LA ORGANIZACIÓN

67

Evaluación del Nivel de Madurez de la Administración de Riesgo de la Organización

1. Las directivas y procedimientos de seguridad son claros, concisos, completos y están bien documentados.

2. Todos los cargos con responsabilidades que impliquen seguridad de información están articulados de forma clara y sus funciones y responsabilidades se conocen bien.

3. Las directivas y procedimientos para proteger el acceso de terceros a los datos de negocios están bien documentados. Por ejemplo, los proveedores remotos que llevan a cabo el desarrollo de aplicaciones para una herramienta de negocios interna disponen de suficiente acceso a los recursos de red para colaborar y realizar su trabajo de una forma eficaz, pero sólo tiene el acceso mínimo que necesitan.

4. Existe un inventario preciso y actualizado de los activos de tecnología de información (TI), como hardware, software y repositorios de datos.

68


5. Se han implementado controles adecuados para proteger los datos de negocios frente al acceso no autorizado por parte de intrusos o de personas de la organización.

6. Se han implementado programas de toma de conciencia de usuario eficaces, como cursos y boletines relativos a directivas y prácticas de seguridad de información.

7. El acceso físico a la red de equipos y otros activos de tecnología de información está restringido mediante el uso de controles eficaces.

8. Se han incorporado nuevos sistemas informáticos según los estándares de seguridad organizativa de un modo estandarizado mediante herramientas automatizadas como imágenes de disco o secuencias de comandos de creación.

69


9. Un sistema de administración de revisiones eficaz puede ofrecer automáticamente actualizaciones de software de gran parte de los proveedores a la inmensa mayoría de sistemas informáticos de la organización.

10.Se ha creado un equipo de respuesta a incidencias y se han desarrollado y documentado procesos eficaces para afrontar las incidencias de seguridad y realizar el seguimiento de las mismas. Todas las incidencias se investigan hasta que se identifica la causa principal y se resuelven los problemas.

11.La organización dispone de un exhaustivo programa antivirus que incluye varios niveles de defensa, cursos de toma de conciencia para los usuarios y procesos eficaces para responder a los ataques de los virus.

70


12.Los procesos de creación de usuarios están bien documentados y, como mínimo, parcialmente automatizados para que a los nuevos empleados, proveedores y socios se les pueda proporcionar un nivel de acceso adecuado a los sistemas de información de la organización de un modo oportuno. Estos procesos también deben admitir la deshabilitación y eliminación puntuales de las cuentas de usuario que ya no se necesiten.

13.El acceso a los equipos y la red se controla mediante autenticación y autorización de usuarios, listas de control de acceso restrictivo a los datos y supervisión proactiva de las infracciones a las directivas.

14.Los desarrolladores de aplicaciones disponen de cursos y una toma de conciencia clara de los estándares de seguridad para la creación de software y las pruebas de control de calidad del código.

15.La continuidad de negocios y los programas de continuidad de negocios están definidos de forma clara, bien documentados y se han probado periódicamente mediante simulaciones y pruebas.

71


16.Se han iniciado programas y están en vigor para garantizar que todo el personal desempeña sus tareas conforme a los requisitos legales.

17.Se utilizan periódicamente revisiones y auditorias de terceros para garantizar el cumplimiento con las prácticas estándar de seguridad para los activos de negocios.

Se suman los puntos otorgados en cada uno de los criterios, la máxima calificación es 85, tomando en base los niveles de madurez

72

DEFINICIONES

73

Definiciones Activo

Cualquier cosa que tenga valor para la organización. Recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección

Administración de riesgos Actividades coordinadas para dirigir y controlar una organización con

respecto al riesgo Típicamente incluye el análisis, la evaluación, el tratamiento, la

aceptación y la comunicación de riesgos ALE (Annual Lose Expectancy) – Expectativa de pérdida

anual La cantidad total de dinero que una organización perderá en un año si

no se hace nada para mitigar un riesgo Amenaza

Una causa potencial de un incidente indeseado, que puede resultar en daño a un sistema u organización

74

Definiciones Análisis costo/beneficio

Un estimado y comparación del valor y costo relativos asociados con cada control propuesto de modo que el más efectivo sea implementado

Análisis de riesgos El uso sistemático de información para identificar fuentes y estimar el

riesgo ARO (Annual Rate of Ocurrence) – Tasa anual de ocurrencia

El número de veces que se espera que un riesgo ocurra durante un año

BIA (Business Impact Analysis) – Análisis del impacto al negocio Un ejercicio que determina el impacto de perder el soporte de

cualquier recurso en la organización, establece la escalación de esa pérdida en el tiempo, identifica los recursos mínimos necesarios para la recuperación, y prioriza la recuperación de los procesos y el sistema de soporte

75

Definiciones Clasificación de datos

La asignación de un nivel de sensibilidad a los datos que resulta de la especificación de controles para cada nivelo de clasificación. Se asignan niveles de sensibilidad de datos de acuerdo a categorías predefinidas a medida que los datos son creados, agregados, mejorados, almacenados o transmitidos. El nivel de clasificación es una indicación del valor o importancia de los datos para la organización

Concienciación, información y formación Tipo de salvaguarda ‘estructural’ (ligada a la estructura global de

la Organización). Su importancia está justificada por el papel esencial que juega en la seguridad el factor humano (personal propio y del relacionado establemente con la Organización)

Confidencialidad La propiedad de que la información no sea hecha disponible o

revelada a individuos, entidades o procesos no autorizados

76

Definiciones

Contramedidas El proceso utilizado para protegerse contra ataques

Control Medios de administrar el riesgo, incluye políticas,

procedimientos, guías, prácticas o estructuras organizacionales, que pueden ser administrativas, técnicas, gerenciales o legales.

Es también utilizado como sinónimo de salvaguarda o contramedida

Corrección Tipo de salvaguarda que impide la propagación del Impacto

debido a la amenaza materializada y limita así los efectos de ésta

Defensa en profundidad El enfoque de utilizar múltiples capas de seguridad para proteger

contra la falla de un componente individual de seguridad

77

Definiciones Detección curativa o, ‘monitorización’

Tipo de salvaguarda previa a toda eficacia en la actuación de las salvaguardas curativas (muchas agresiones son detectadas tarde o nunca)

Detección preventiva Tipo de salvaguarda preventiva que puede hasta llegar a ser

disuasoria, si su instalación es conocida por el potencial agresor, consciente de que podría ser descubierto

Disuasión Tipo de salvaguarda que empuja a que el potencial agresor humano

intencional reconsidere el inicio de la agresión, a partir de las consecuencias que puedan sobrevenirle contra su propio interés

Estándares Definición de las métricas utilizadas para determinar lo correcto de una

cosa o proceso; un conjunto de reglas o especificaciones que cuando son tomadas juntas, definen un programa o equipo. Un estándar es también una base reconocida para comparar o medir algo

78

Definiciones Evaluación de riesgos

Es el proceso de comparar el riesgo estimado contra el criterio de riesgo dado para determinar la importancia del riesgo

Evento de Seguridad de Información Es la ocurrencia identificada de un estado de un sistema, servicio o

red que indica una posible infracción de una política de seguridad de información o la falla de salvaguardas establecidas, o una situación previamente desconocida que puede ser relevante para la seguridad

Exploit El uso de una vulnerabilidad para ocasionar un compromiso de las

actividades de negocio o de la seguridad de información Exposición

Una acción de amenaza por la cual se libera o expone información sensible directamente a entidades no autorizadas

Guía Una descripción que clarifica qué debe ser hecho y cómo, para

obtener los objetivos fijados en las políticas

79

Definiciones

Impacto Consecuencia que sobre un Activo tiene la materialización de una

Amenaza Incidente de Seguridad de Información

Está indicado por un único evento o una serie de eventos no deseados o inesperados de seguridad de información que tienen una significativa probabilidad de comprometer las operaciones del negocio y amenazar la seguridad de información

Integridad La propiedad de que los datos no hayan sido alterados o destruidos de

manera no autorizada Mitigación

Reducir un riesgo tomando acciones diseñadas (contramedidas y controles) para contrarrestar la amenaza subyacente

Objetivo de control Una definición del resultado o propósito que se desea alcanzar

implementando procedimientos de control en una actividad de TI particular

80

Definiciones Política

Intención y dirección general expresada formalmente por la Alta Gerencia

Prevención Tipo de salvaguarda de protección que no impide el inicio de la

materialización de la amenaza, sino su realización completa y por lo tanto la consecución plena del impacto

Procedimiento Una descripción detallada de los pasos necesarios para realizar

operaciones específicas en conformidad con los estándares aplicables, una porción de una política de seguridad que establece el proceso general que será realizado para cumplir un objetivo de seguridad

Programa de seguridad de información La combinación total de medidas técnicas, operativas y de

procedimiento y las estructuras administrativas implementadas para proveer la confidencialidad, integridad y disponibilidad de información en base a los requerimientos de negocio y el análisis de riesgos

81

Definiciones

Remediación Tipo de salvaguarda restauradora que repara los daños o reconstruye

los elementos dañados para acercarse al estado de seguridad del Activo agredido previo a la agresión

Reputación La opinión que la gente tiene acerca de una organización; las

reputaciones de la mayoría de las empresas tienen un valor real aunque este es intangible y difícil de calcular

ROSI (Return On Security Investment) – retorno sobre la inversión en seguridad La cantidad total de dinero que una organización espera ahorrar en

un año por implementar un control de seguridad Riesgo

Combinación de la probabilidad de un evento y sus consecuencias (impactos)

Riesgo intrínseco Riesgo definido o calculado antes de aplicar salvaguardas

82

Definiciones

Riesgo residual Riesgo que se da tras la aplicación de salvaguardas dispuestas

en un escenario de simulación o en el mundo real Risk Assessment

Proceso completo de análisis, evaluación y priorización de riesgos

Seguridad de Información Preservación de la confidencialidad, integridad y disponibilidad

de la información; además, se pueden involucrar otras propiedades, tales como: Autentificación, responsabilidad, no repudiación y fiabilidad

SLE (Single Loss Expectancy) – Expectativa de una sola pérdida La cantidad total de ingresos que se pierden de una sola

ocurrencia de un riesgo

83

Definiciones Sistema de Información

Conjunto de elementos físicos, lógicos, elementos de comunicación, datos y personal que permiten el almacenamiento, transmisión y proceso de la información

Tratamiento de riesgos Proceso de selección e implementación de medidas para modificar los

riesgos Umbral de riesgo

Valor establecido como base para decidir por comparación si el Riesgo calculado es asumible o aceptable

Vulnerabilidad Una debilidad de un activo o grupo de activos que puede ser explotada

por una o más amenazas. Posibilidad de materialización de una amenaza

Vulnerabilidad efectiva Vulnerabilidad del Activo respecto al tipo de Amenaza, teniendo en

cuenta las Salvaguardas aplicadas en cada momento a dicho Activo

84

Definiciones

Vulnerabilidad intrínseca Vulnerabilidad del Activo respecto al tipo de Amenaza, sin

considerar las salvaguardas implantadas o existentes Vulnerabilidad residual

Vulnerabilidad del Activo resultante de aplicar las salvaguardas complementarias, aconsejadas como resultado del Análisis y Gestión de Riesgos

85

Tipos de Activos

1. Activos relacionados con el nivel del Entorno Equipamientos y suministros (energía, climatización,

comunicaciones) Personal (de dirección, de operación, de desarrollo, otro) Otros tangibles (edificaciones, mobiliario, instalación física)2. Activos relacionados con el nivel de los Sistemas de Información Hardware (de proceso, de almacenamiento, de interfaz, servidores,

firmware, otros) Software (de base, paquetes, producción de aplicaciones,

modificación de firmware) Comunicaciones (redes propias, servicios, componentes de

conexión, etc.)3. Activos relacionados con el nivel de la Información Datos (informatizados, concurrentes al o resultantes del Sistema de

Información) Meta-información (estructuración, formatos, códigos, claves de

cifrado) Soportes (tratables informáticamente, no tratables)

86

Tipos de Activos

4. Activos relacionados con el nivel de las Funcionalidades de la organización

Objetivos y misión de la organización Bienes y servicios producidos Personal usuario y/o destinatario de los bienes o servicios

producidos5. Otros Activos no relacionados con los niveles anteriores Credibilidad (ética, jurídica, etc.) o buena imagen de una persona

jurídica o física, Conocimiento acumulado, Independencia de criterio o de actuación, Intimidad de una persona física, Integridad material de las personas, etc.

87

Valuación de Activos

El valor total del activo para la organización El cálculo o estimación del valor del activo en términos

financieros elevado al año El impacto financiero inmediato de la pérdida del activo

Los ingresos generados por el activo multiplicados por la exposición calculada en por ciento por año

El impacto indirecto al negocio por la pérdida del activo Gasto en publicidad para contrarrestar la publicidad negativa

provocada por un incidente

88

Tipos de Amenazas

Grupo A de Accidentes A1: Accidente físico de origen industrial: incendio, explosión,

inundación por roturas, contaminación por industrias cercanas o emisiones radioeléctricas

A2: Avería: de origen físico o lógico, debida a un defecto de origen o sobrevenida durante el funcionamiento del sistema

A3: Accidente físico de origen natural: riada, fenómeno sísmico o volcánico, meteoro, rayo, corrimiento de tierras, avalancha, derrumbe, ...

A4: Interrupción de servicios o de suministros esenciales: energía, agua, telecomunicación, fluidos y suministros diversos

A5: Accidentes mecánicos o electromagnéticos: choque, caída, cuerpo extraño, radiación, electrostática...

89

Tipos de Amenazas

Grupo E de Errores E1: Errores de utilización ocurridos durante la recogida y

transmisión de datos o en su explotación por el sistema E2: Errores de diseño existentes desde los procesos de desarrollo

del software (incluidos los de dimensionamiento, por la posible saturación de los flujos en los sistemas).

E3: Errores de ruta, secuencia o entrega de la información en tránsito

E4: Inadecuación de monitorización, trazabilidad, registro del tráfico de información

90

Tipos de Amenazas

Grupo P de Amenazas Intencionales Presenciales P1: Acceso físico no autorizado con inutilización por

destrucción o sustracción (de equipos, accesorios o infraestructura)

P2: Acceso lógico no autorizado con intercepción pasiva simple de la información (requiere sólo su lectura)

P3: Acceso lógico no autorizado con alteración o sustracción de la información en tránsito o de configuración (requiere lectura y escritura); es decir, reducción de la confidencialidad del sistema para obtener bienes o servicios aprovechables (programas, datos ...)

P4: Acceso lógico no autorizado con corrupción o destrucción de información en tránsito o de configuración

P5: Indisponibilidad de recursos, sean humanos (huelga, abandono, rotación) o técnicos (desvío del uso del sistema, bloqueo).

91

Tipos de Amenazas

Grupo T de Amenazas Intencionales de Origen Remoto T1: Acceso lógico no autorizado con intercepción pasiva (para

análisis de tráfico...) T2: Acceso lógico no autorizado con corrupción o destrucción

de información en tránsito o de configuración (requiere lectura y escritura) y usando o no un reemisor o ‘man in the middle’: es decir, reducción de la integridad y/o disponibilidad del sistema sin provecho directo (sabotaje inmaterial, infección vírica..)

T3: Acceso lógico no autorizado con modificación (Inserción, Repetición) de información en tránsito

T4: Suplantación de Origen (del emisor o reemisor, ‘man in the middle’) o de Identidad

T5: Repudio del Origen o de la Recepción de información en tránsito

92

SOFISTICACIÓN DE LOS ATAQUES VS CONOCIMIENTO DEL INTRUSO

93

Tiempos de Respuesta

94

Tipos de Vulnerabilidad

Vulnerabilidades organizativas Exactitud y coherencia de la información manejada Acceso al sistema por personas externas Trascendencia de información del sistema al exterior Disponibilidad de acceso al sistema (caídas, lentitud,...) Obtención

de productos del sistema acceso de personas externas al recinto de terminales

Vulnerabilidades técnicas Averías en terminales/impresoras: frecuencia/solución Cortes de fluido eléctrico Ubicación de terminales e impresoras Aprobación del diseño y pruebas por el usuario Control del soporte papel. Almacenamiento de éste

95

Tipos de Vulnerabilidad

Vulnerabilidades ‘humanas’ Posibilidad física de robo/inutilización de recursos Errores en la introducción de datos Inasistencias de personal significativas Dependencia de ciertas personas/rotación del personal Obtención de información por personas ajenas Conocimiento de las aplicaciones Uso indebido de claves de usuario. Borre de antiguas Cambio periódico de claves Uso de medios de seguridad en terminales (llaves,...) Intervención de informáticos en cambiar datos reales

96

Tipos de ImpactoImpactos con consecuencias cualitativas funcionales El deterioro del estado de Autenticación (SA) no suele ser evolutivo

(multiplicación en cadena) pero produce directamente anulación de documentos y procedimientos e indirectamente inseguridad jurídica (muy importante en la Administración pública)

El deterioro del estado de Confidencialidad (SC) no suele ser evolutivo y tiene consecuencias de distintos órdenes, unas directas (divulgación de información no revelable o revelada anticipadamente, sustracción puntual o masiva) y otras indirectas (desconfianza, incomodidades, chantaje ...).

El deterioro del estado de Integridad (SI) puede ser evolutivo y tiene consecuencias directas como la alteración de información sensible o vital en mayor o menor escala, e indirectas como la posible contaminación de programas (pérdida, tratamiento erróneo, etc).

El deterioro del estado de Disponibilidad (SD) puede ser evolutivo y causar de inmediato desde la degradación de la productividad del activo como recurso o la interrupción de su funcionamiento de forma más o menos duradera y profunda (de unos datos, de una aplicación, de un servicio o de todo un sistema). Indirectamente esto se traduce en caída de margen por falta de resultados; así como en gastos suplementarios para recuperar o mantener la funcionalidad precedente a la amenaza. 97

Tipos de ImpactoUna parte de los deterioros anteriores tienen Impactos con

consecuencias cuantitativas de diversos tipos N1: Pérdidas de valor económico, ligadas a activos inmobiliarios o

inventariables, que comprenden todos los costes de reposición de la funcionalidad, incluyendo los gastos de tasar, sustituir, reparar o limpiar lo dañado: edificios y obras, instalaciones, computadores, redes, accesorios, etc..

N2: Pérdidas indirectas, valorables económicamente y ligadas a intangibles en general no inventariados: gastos de tasación y restauración o reposición de elementos no materiales del sistema: datos, programas, documentación, procedimientos, etc.

N3: Pérdidas indirectas, valorables económicamente y unidas a disfuncionalidades tangibles: se aprecian por el coste del retraso o interrupción de funciones operacionales de la organización; la perturbación o ruptura de los flujos y ciclos productivos (de productos, servicios o expedientes, por ejemplo), incluido el deterioro de la calidad de éstos; y la incapacidad de cumplimentar las obligaciones contractuales o estatutarias.

N4: Pérdidas económicas relativas a responsabilidad legal (civil, penal o administrativa) del ‘propietario’ del sistema de información por los perjuicios causados a terceros ((incluidas, por ejemplo, sanciones de la Agencia de Protección de Datos). 98

Tipos de Impacto

Otros deterioros de los estados de seguridad tienen Impactos con consecuencias cualitativas orgánicas de varios tipos

L1: Pérdida de fondos patrimoniales intangibles: conocimientos (documentos, datos o programas) no recuperables, información confidencial, 'know-how' ...

L2: Responsabilidad penal por Incumplimiento de obligaciones legales

L3: Perturbación o situación embarazosa político-administrativa (deontología, credibilidad, prestigio, competencia política ...)

L4: Daño a las personas

99

FIN

¡Muchas gracias!

100

Administración de Riesgos ISO/IEC 27002:2005 Luis Bartolini Siqueiros 1.

Documents

Transcript of Administración de Riesgos ISO/IEC 27002:2005 Luis Bartolini Siqueiros 1.