Análisis de Riesgos para pequeñas dependencias públicas ... · PDF...

Lidia Prudente Tixteco, Ma. del Carmen Prudente Tixteco, Gabriel Sánchez Pérez,

José de Jesús Vázquez Gómez

IPN

Análisis de Riesgos para pequeñas dependencias

públicas basado en el MAAGTICSI

AGENDA

• Introducción

• MAAGTICSI

• Administración de Seguridad de la Información (ASI)

• Análisis de Riesgos

• Recomendaciones

• Conclusiones

• Referencias

2

INTRODUCCIÓN

3

INTRODUCCIÓN

• La gestión y análisis de riesgos siempre son

necesarios para establecer un Sistema de

Gestión de Seguridad de la Información (SGSI).

• El Manual Administrativo de Aplicación General

en materias de Tecnologías de la Información y

Comunicaciones y de Seguridad de la

Información (MAAGTICSI) proporciona una

metodología para el análisis y gestión de

riesgos.

4

MAAGTICSI

5

ANTECEDENTES

2010 MAAGTIC

2011 MAAGTICSI

2012 MAAGTICSI

2014 MAAGTICSI

6

MARCO RECTOR

(MAAGTICSI, 2014)7

Administración de Servicios (ADS).

Administración de la Configuración (ACNF).

Administración de la Seguridad de la

Información (ASI).

Planeación Estratégica (PE).

Administración de Presupuesto y

las Contrataciones (APCT).

Administración de Proyectos (ADP).

Administración Proveedores (APRO).

Administración de la Operación (AOP).

Operación de Controles de Seguridad

de la Información y del ERISC (OPEC).

GOBERNANZA

ORGANIZACIÓN

ENTREGA

ADMINISTRACIÓN DE LA SEGURIDAD

DE LA INFORMACIÓN

Diagrama del Proceso ASI (MAAGTICSI, 2014)

Tareas

ASI 1. Establecer un modelo

de gobierno de seguridad de la

información

ASI 2. Operar y mantener un

gobierno de seguridad de la

información

ASI 3. Diseño del SGSI

ASI 4. Identificar las

infraestructuras críticas y los

activos clave

ASI 5. Elaborar el análisis de

riesgos

ASI 6. Integrar al SGSI los

controles mínimos de

seguridad de la información

ASI 7. Mejorar el SGSI8


DE LA INFORMACIÓN

Diagrama del Proceso ASI (MAAGTICSI, 2014)9

Productos

1. Documento de integración

y operación del grupo

estratégico de seguridad de

la información. Formato ASI F1

2. Catálogo de

infraestructuras críticas. Formato ASI F2

3. Documento de resultados

del análisis de riesgos. Formato ASI F3

4. Documento de definición

del SGSI. Formato ASI F4

5. Directriz rectora de

respuesta a incidentes. Formato ASI F5


DE LA INFORMACIÓN

Diagrama del Proceso ASI (MAAGTICSI, 2014)10

Metodologías y prácticas,

nacionales e internacionales

• NMX-I-27001-NYCE-2009

• NMX-I-086/01-NYCE-2006

• NMX-I-194-NYCE-2009

• Risk IT

• ISO 27001, 27005 y 31000

Influencia en MAAGTICSI

• Risk IT

• ISO 27001, 27005 y 31000

ANÁLISIS DE RIESGOS

11

ANÁLISIS DE RIESGOS

• Identificar, clasificar y priorizar los riesgos paraevaluar su impacto sobre los procesos y losservicios de la Institución, de manera que seobtengan las matrices de análisis de riesgos(MAAGTICSI, 2014).

ASI 5 Elaborar el análisis de riesgos

12

FACTORES CRÍTICOS TAREA ASI 5

1. Establecer la directriz de administración de riesgos

2. Integrar el equipo de trabajo de análisis de

riesgos

3. Identificar los procesos críticos

4. Identificar los activos de información y consultar a los responsables de éstos

5. Identificar las vulnerabilidades

6. Identificar las amenazas 7. Efectuar la identificación y evaluación de escenarios

de riesgo

8. Elaborar el análisis del costo-beneficio de controles

de seguridad

9. Elaborar el “Documento de resultados del análisis

de riesgos”

10. Aprobar el “Documento de resultados del análisis

de riesgos” y enviarlo a los responsables de las

diferentes áreas

11. Seleccionar de entre los controles recomendados

aquéllos a implementar de acuerdo a las capacidades

y recursos

12. Justificar las razones por las cuales existan

controles recomendados no seleccionados

13. Elaborar e integrar el programa de

implementación para el manejo de riesgos

14. Establecer un responsable de la

implementación de cada uno de los riesgos a

manejar

15. Cuidar que el análisis de riesgos se realice o

actualice conforme a los factores críticos de esta

actividad

16. Asegurar que se ejecuten los factores

críticos integralmente y se obtengan los productos

17. Obtener la aprobación del programa de

implementación elaborado

13

RECOMENDACIONES

14

ESCENARIOS DE AMENAZA

1. Realizar una lista de escenarios de amenazatomando en consideración la lista queproporciona el Manual y seleccionando soloaquellos que podrían aplicar al ámbito y tamañode la dependencia.

15

Se aconseja revisar el entorno de la dependencia para seleccionar las

amenazas y agentes de amenazas que la puedan afectar.

ESCENARIOS DE AMENAZA

Agente

s d

e

Am

enaza

Am

enazas

Am

enazasSismo

Inundación

Interrupción energía eléctrica

Chantaje

Extorsión

Robo

Fraude

Motín

Sabotaje

Acceso no autorizado

Ingeniería social

Código malicioso

Suplantación de Identidad

Negación de Servicio

Crackeo de contraseñas

Modificación de Datos

Comunidad

Ex-empleado

Hacker

Material (falla)

Natural

Grupo subversivo

Personal interno descontento

Personal interno inexperto

Proveedor

16

OBJETIVO Y ALCANCE

2. Establecer el objetivo y el alcance del análisis de riesgos en la dependencia.

• Objetivo

• Alcance

17

Se recomienda plantear el objetivo y alcance tomando en cuenta los

procesos y activos de información críticos, y recursos con los que cuenta

para realizar la tarea (humanos, materiales y tiempo).

EVALUACIÓN DE ESCENARIOS DE

RIESGOS

3. Definir el procedimiento para evaluar losescenarios de riesgo.

18

El segundo procedimiento que recomienda el Manual podría resultar más

preciso que el primero, sin embargo, requiere contar con mas recursos o

experiencia para realizarlo.

1. EVALUACIÓN CUALITATIVA

Tabla 1. Probabilidad de ocurrencia

Tabla 2. Nivel de impacto

Valor Probabilidad de ocurrencia de la amenaza Homologación al Manual de Control Interno

0.9 Alta 6-10

0.5 Media 2-5

0.1 Baja 1

Valor Impacto

100 Alto

50 Medio

10 Bajo

19

(Guía de Identificación y Evaluación de

Escenarios de Riesgo, Formato ASI F3,

MAAGTICSI, 2014)

2. FACTORES DE PROBABILIDAD

Valor Probabilidad de existencia del agente amenaza

0.9 Es casi seguro que existe

0.7 Es muy posible que exista

0.5 Es probable que exista

0.3 Es poco probable que exista

0.1 Es casi imposible que exista

Valor Nivel de interés del agente amenaza

0.9 El interés es incontrolable

0.7 Se genera mucho interés

0.5 Se genera regular interés

0.3 Se genera poco interés

0.1 Casi no se genera interés

P = ( e + i + c + v ) / 4

20

Tabla 3. Existencia del agente amenaza para el cálculo de P. (e)

Tabla 4. Niveles de Interés del agente amenaza para el cálculo de P. (i)



MAAGTICSI, 2014)

2. FACTORES DE PROBABILIDAD

Valor Vulnerabilidad del activo de información

0.9 Sin ningún tipo de protección

0.7 Muy poca protección

0.5 Medianamente protegido

0.3 Protección normal

0.1 Protección reforzada

Tabla 6. Vulnerabilidad del Activo de información para el cálculo de P. (v)

Valor Nivel de capacidad del agente amenaza

0.9 Los recursos son superiores

0.7 Cuenta con muchos recursos

0.5 Los recursos son regulares

0.3 Cuenta con muy pocos recursos

0.1 Los recursos son casi nulos

Tabla 5. Capacidad del agente amenaza para el cálculo de P. (c)

P = ( e + i + c + v ) / 4

21



MAAGTICSI, 2014)

2. IMPACTO

Impacto Humano Material Financiero Operativo Imagen

10 Desastroso Muertes

Pérdidas

graves no recuperables

Más de $1,000,000.00

Afectación de procesos críticos

que no pueden restablecerse en

menos de dos días

Difusión a

nivel internacional

8 Gran

impacto Heridos

Pérdidas

graves recuperables

a largo plazo

Entre $100,000.00 y $1,000,000.00

Afectación de

procesos críticos, que pueden

restablecerse en

menos de dos días

Difusión a nivel

nacional

6 Regular impacto

Lesiones que producen una incapacidad

Pérdidas leves no

recuperables

Entre $50,000.00 y $100,000.00

Afectación de varios procesos no críticos

Difusión a nivel local

4 Mínimo

impacto

Lesiones

leves

Pérdidas

leves recuperables

Entre

$10,000.00 y $50,000.00

Afectación de un

proceso no crítico

Difusión dentro de la

dependencia o entidad

2 Insignificante Sin lesiones Sin pérdidas

materiales

Menor de

$10,000.00

Sin afectación de

procesos

Difusión dentro de la

unidad

Tabla 7. Nivel de impacto para el cálculo de R.

22



MAAGTICSI, 2014)

ANÁLISIS Y DETERMINACIÓN DE

RIESGOS

Código Amenaza Activo e i c v P ih im if io ii I R

R-3 1003 004 0.7 0.9 0.9 0.83 2 6 4 10 4 10 8.3

R-18 1018 004 0.7 0.7 0.9 0.9 0.8 2 6 4 10 4 10 8

R-32 1032 004 0.7 0.7 0.9 0.9 0.8 2 6 4 10 4 10 8

R-46 1046 004 0.3 0.9 0.7 0.7 0.65 2 6 4 10 8 10 6.5

R-66 1066 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4

R-79 1079 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4

R-88 1088 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4

R-97 1097 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4

R-151 1151 004 0.7 0.7 0.9 0.9 0.8 2 6 4 10 4 10 8

R-164 1164 004 0.7 0.7 0.9 0.7 0.75 2 6 4 10 4 10 7.5

R-266 1266 004 0.7 0.7 0.9 0.9 0.8 2 2 4 8 4 8 6.4

R-330 1330 004 0.7 0.7 0.9 0.7 0.75 2 2 4 8 4 8 6

R-339 1339 004 0.7 0.7 0.9 0.7 0.75 2 2 4 8 4 8 6

R-371 1371 004 0.7 0.7 0.9 0.7 0.75 2 2 2 8 8 8 6

R-422 1422 004 0.7 0.7 0.9 0.9 0.8 2 2 2 10 8 10 8

R-434 1434 004 0.7 0.7 0.9 0.9 0.8 2 2 2 10 8 10 8

R-467 1467 004 0.7 0.7 0.9 0.7 0.75 2 4 4 8 4 8 6

R-476 1476 004 0.7 0.7 0.9 0.9 0.8 2 4 4 8 4 8 6.4

23



MAAGTICSI, 2014)

ANÁLISIS Y DETERMINACIÓN DE

RIESGOS


R-3 1003 004 0.7 0.9 0.9 0.83 2 6 4 10 4 10 8.3

R-18 1018 004 0.7 0.7 0.9 0.9 0.8 2 6 4 10 4 10 8

R-32 1032 004 0.7 0.7 0.9 0.9 0.8 2 6 4 10 4 10 8

R-46 1046 004 0.3 0.9 0.7 0.7 0.65 2 6 4 10 8 10 6.5

R-66 1066 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4

R-79 1079 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4

R-88 1088 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4

R-97 1097 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4

R-151 1151 004 0.7 0.7 0.9 0.9 0.8 2 6 4 10 4 10 8

R-164 1164 004 0.7 0.7 0.9 0.7 0.75 2 6 4 10 4 10 7.5

R-266 1266 004 0.7 0.7 0.9 0.9 0.8 2 2 4 8 4 8 6.4

R-330 1330 004 0.7 0.7 0.9 0.7 0.75 2 2 4 8 4 8 6

R-339 1339 004 0.7 0.7 0.9 0.7 0.75 2 2 4 8 4 8 6

R-371 1371 004 0.7 0.7 0.9 0.7 0.75 2 2 2 8 8 8 6

R-422 1422 004 0.7 0.7 0.9 0.9 0.8 2 2 2 10 8 10 8

R-434 1434 004 0.7 0.7 0.9 0.9 0.8 2 2 2 10 8 10 8

R-467 1467 004 0.7 0.7 0.9 0.7 0.75 2 4 4 8 4 8 6

R-476 1476 004 0.7 0.7 0.9 0.9 0.8 2 4 4 8 4 8 6.4


R-422 1422 004 0.7 0.7 0.9 0.9 0.8 2 2 2 10 8 10 8

Nº Amenaza + N º Activo

AmenazaAgente

Amenaza

Negación de

servicio

Personal

interno

descontento

(intencional)

Lista Final de

Activos de

información

004 Servidor

Base de Datos

Existencia

0.7 = Es muy

posible que

exista

Interés

0.7 = Se genera

mucho interés

Capacidad

0.9 = Los

recursos son

superiores

Vulnerabilidad

0.9 = Sin ningún

tipo de

protección

Impacto Humano

2 = Sin Lesiones

Impacto Material

2 = Sin pérdidas

materiales

Impacto

Financiero

2 = Menor de

$10,000.00

Impacto Operativo10 = Afectación de

procesos críticos

que no pueden

restablecerse en

menos de dos días

Impacto de

Imagen

8 = Difusión a

nivel nacional

P = (e+i+c+v)/4

R = P * I

Impacto Mayor

24

(Guía de Identificación y

Evaluación de Escenarios de

Riesgo, Formato ASI F3,

MAAGTICSI, 2014)

MATRIZ DE RIESGOS

4. Se propone obtener un valor promedio deriesgo por cada uno de los activos de informacióny este valor mapearlo en la matriz de riesgos quepropone el MAAGTICSI.

25

Los escenarios de riesgos pueden resultar muchos por la cantidad de

amenazas, agentes de amenazas y activos que estén dentro del alcance

del análisis de riesgos, por lo que puede ser mas factible utilizar otro

criterio de representación.

MATRIZ DE RIESGOS DEL MAAGTICSI

Probabilidad de Ocurrencia

0.9 Casi Seguro 1.8 3.6 6.4 7.2 9

0.7 Alta 1.4 2.8 4.2 5.6 7

0.5 Mediana 1 2 3 4 5

0.3 Baja 0.6 1.2 1.8 2.4 3

0.1 Casi imposible 0.2 0.4 0.6 0.8 1

Insignificante Significativo Grave Crítico Desastroso

2 4 6 8 10

IMPACTO

26

Tabla 8. Matriz de riesgos.



MAAGTICSI, 2014)

MATRIZ DE RIESGOS PROPUESTA

0.9

0.5

0.7

0.1

0.3

2 4 6 8 10

P R

O B

A B

I L

I D

A D

I M P A C T O

Clase A. Requiere

Atención Inmediata.

Clase B. Requiere

tomar acciones

planeadas a corto

plazo.

Clase C. Se

sugieren acciones

planeadas a

mediano plazo y

actividades de

monitoreo continuo.

Clase D. Se sugiere

realizar acciones de

largo plazo y

monitoreo

periódico.

27

RESULTADOS DEL ANÁLISIS DE

RIESGOS

0.9

0.5

0.7

0.1

0.3

2 4 6 8 10

P R

O B

A B

I L

I D

A D

I M P A C T O

Activos

1. Site

2. Infraestructura de

Red

3. Servidor Web

4. Servidor Base de

Datos

5. Página Web

6. Base de Datos

7. Expedientes

8. Personal

8

7

6 5

4

3

21

28

TRATAMIENTO DE RIESGOS

5. Elegir la forma de tratamiento de riesgos paraasociar controles de seguridad, auxiliándose de lamatriz de riesgos propuesta para tomardecisiones.

29

Se recomienda tomar un valor de riesgo mínimo de 6 para establecer

prioridades de atención.

ESTRATEGIAS DE TRATAMIENTO DE

RIESGOS

Evitar Prevenir Mitigar Financiar Asumir

30

EVALUACIÓN DE RIESGOS

Código

EscenarioP I R

Criterio de

Aceptación

¿Requiere

control?Prioridad Estrategia

Controles

Propuestos

R-3 0.83 10 8.3 6 SI 1 MITIGAR

R-18 0.8 10 8 6 SI 2 PREVENIR

R-32 0.8 10 8 6 SI 3 PREVENIR

R-46 0.65 10 6.5 6 SI 42 MITIGAR

R-66 0.8 8 6.4 6 SI 57 MITIGAR

R-79 0.8 8 6.4 6 SI 58 MITIGAR

R-88 0.8 8 6.4 6 SI 59 PREVENIR

R-97 0.8 8 6.4 6 SI 60 PREVENIR

R-151 0.8 10 8 6 SI 4 PREVENIR

R-164 0.75 10 7.5 6 SI 13 PREVENIR

R-266 0.8 8 6.4 6 SI 61 PREVENIR

R-330 0.75 8 6 6 SI 98 MITIGAR

R-339 0.75 8 6 6 SI 99 MITIGAR

R-371 0.75 8 6 6 SI 100 PREVENIR

R-392 0.6 8 4.8 6 NO

R-407 0.5 10 5 6 NO

R-422 0.8 10 8 6 SI 5 MITIGAR

R-434 0.8 10 8 6 SI 6 PREVENIR

R-442 0.5 10 5 6 NO

R-458 0.65 8 5.2 6 NO

R-467 0.75 8 6 6 SI 108 PREVENIR

R-476 0.8 8 6.4 6 SI 62 PREVENIR

004 Servidor

Base de Datos

31



MAAGTICSI, 2014)

EVALUACIÓN DE RIESGOS

Código

EscenarioP I R

Criterio de

Aceptación

¿Requiere


Controles

Propuestos

R-3 0.83 10 8.3 6 SI 1 MITIGAR

R-18 0.8 10 8 6 SI 2 PREVENIR

R-32 0.8 10 8 6 SI 3 PREVENIR

R-46 0.65 10 6.5 6 SI 42 MITIGAR

R-66 0.8 8 6.4 6 SI 57 MITIGAR

R-79 0.8 8 6.4 6 SI 58 MITIGAR

R-88 0.8 8 6.4 6 SI 59 PREVENIR

R-97 0.8 8 6.4 6 SI 60 PREVENIR

R-151 0.8 10 8 6 SI 4 PREVENIR

R-164 0.75 10 7.5 6 SI 13 PREVENIR

R-266 0.8 8 6.4 6 SI 61 PREVENIR

R-330 0.75 8 6 6 SI 98 MITIGAR

R-339 0.75 8 6 6 SI 99 MITIGAR

R-371 0.75 8 6 6 SI 100 PREVENIR

R-392 0.6 8 4.8 6 NO

R-407 0.5 10 5 6 NO

R-422 0.8 10 8 6 SI 5 MITIGAR

R-434 0.8 10 8 6 SI 6 PREVENIR

R-442 0.5 10 5 6 NO

R-458 0.65 8 5.2 6 NO

R-467 0.75 8 6 6 SI 108 PREVENIR

R-476 0.8 8 6.4 6 SI 62 PREVENIR

Código

EscenarioP I R

Criterio de

Aceptación

¿Requiere


R-422 0.8 10 8 6 SI 5 MITIGAR

Nº Amenaza + N º

Activo

004 Servidor

Base de Datos

32



MAAGTICSI, 2014)

ANÁLISIS COSTO-BENEFICIO

6. Hacer un análisis costo-beneficio tomando dereferencia la matriz propuesta, ya que ayuda areflejar el estado de los activos de información dela dependencia.

33

No todos los escenarios de riesgo serán posibles atender de inmediato,

un criterio de decisión puede ser si pertenecen a un activo de alto riesgo

o crítico.

RESULTADOS DEL ANÁLISIS DE

RIESGOS

0.9

0.5

0.7

0.1

0.3

2 4 6 8 10

P R

O B

A B

I L

I D

A D

I M P A C T O

Activos

1. Site

2. Infraestructura de

Red

3. Servidor Web

4. Servidor Base de

Datos

5. Página Web

6. Base de Datos

7. Expedientes

8. Personal

8

7

6 5

4

3

21

34

CONTROLES DE SEGURIDAD

7. Determinar los controles de seguridad que seaplicarán a los activos de información máscríticos y en los que puede recaer los procesos oservicios importantes de la dependencia.

35

Se sugiere tomar como base la lista de controles del Anexo del ISO

27001.

CONTROLES APLICABLES

Servidor

Base de

Datos

36

Número de

referencia de

activo

ActivoReferencia de

controlObjetivo Control

004 Servidor Base de Datos A.7.2.2

Capacitación y educación en

la seguridad de la

información

Todos los empleados de la organización y cuando sea

relevante también los contratistas deben recibir el

apropiado conocimiento, capacitación y actualizaciones

regulares de las políticas y procedimientos

organizacionales conforme sean relevantes para su

función laboral.

004 Servidor Base de Datos A.8.1.1 Inventarios de activos

Los activos asociados con información y medios de

procesamiento de información deben ser identificadas y

se debe elaborar y mantener un inventario de todos esos

activos.

004 Servidor Base de Datos A.11.2.3 Seguridad del cableado

El cableado de energía y telecomunicaciones que

transporta datos o soporta información de servicios debe

ser protegida de intercepción, interferencia o daño.

004 Servidor Base de Datos A.11.2.4 Mantenimiento de equipoEl equipo debe ser mantenido correctamente para

permitir su continua disponibilidad e integridad.

004 Servidor Base de Datos A.11.2.5 Eliminación de activosEl equipo, información o software no deben ser sacados

fuera de la propiedad sin previa autorización.

004 Servidor Base de Datos A.11.2.8Equipo de usuario

desatendido

Los usuarios deben asegurar que el equipo desatendido

tiene la proteccion adecuada.


Documentación de

procedimientos

operacionales

Los procedimientos operacionales deben ser

documentados y puestos a disposición de todos los

usuarios que los necesiten.

004 Servidor Base de Datos A.12.2.1Controles contra software

malicioso

Controles de detección, prevención y recuperación para

protegerse de software malicioso deben ser

implementados, junto con el conocimiento del usuario.

004 Servidor Base de Datos A.12.3.1 Respaldo de información

Copias de respaldo de la información, software e

imágenes de sistema deben ser tomadas y probadas

regularmente de acuerdo con una política de respaldo

acordada.

004 Servidor Base de Datos A.12.4.1 Registro de eventos

El registro de eventos registra las actividades de

usuarios, excepciones, fallas y eventos de seguridad de

la información deben ser producidos, mantenido y

revisados periódicamente.

004 Servidor Base de Datos A.12.5.1Instalación de software en

sistemas operacionales

Procedimientos deben ser implementados para controlar

la instalación de software en sistemas operacionales.

004 Servidor Base de Datos A.12.6.2Restricción de instalación de

software

Normas que rigen la instalación de software por usuarios

debe ser establecidas e implementadas.


Restricciones sobre los

cambios en los paquetes de

software

Modificaciones a los paquetes de software deben ser

desalentadas, limitadas a los cambios necesarios y todos

los cambios deben ser estrictamente controlados.

004 Servidor Base de Datos A.14.2.8Pruebas de seguridad de

sistemas

Las pruebas de funcionalidad de seguridad debe ser

llevadas a cabo durante el desarrollo.

004 Servidor Base de Datos A.14.2.9Pruebas de aceptación del

sistema

Programas de pruebas de aceptación y criterios relativos

deben ser establecidos para nuevos sistemas de

información, actualizaciones o nuevas versiones.

CONTROLES APLICABLES

Servidor

Base de

Datos

37

Número

de

referencia

de activo

ActivoReferencia

de controlObjetivo Control

004Servidor Base de

DatosA.12.1.1

Documentación

de

procedimientos

operacionales

Los procedimientos operacionales

deben ser documentados y puestos

a disposición de todos los usuarios

que los necesiten.

004Servidor Base de

DatosA.12.4.1

Registro de

eventos

El registro de eventos registra las

actividades de usuarios,

excepciones, fallas y eventos de

seguridad de la información deben

ser producidos, mantenido y

revisados periódicamente.

Controles Aplicacbles al Servidor Base de Datos (Lidia Prudente, 2015)

CONCLUSIONES

38

CONCLUSIONES

La metodología de Análisis de Riesgos del Manual

Administrativo de Aplicación General en las

materias de Tecnologías de la Información y

Comunicaciones y de Seguridad de la Información

(MAAGTICSI) puede aplicarse a todo tipo de

dependencia pública sin importar el giro o tamaño

para gestionar la seguridad de la información.

39

40

CONCLUSIONES

Todos los departamentos de una Dependencia

Pública en México, pueden empezar a trabajar en

su Análisis de Riesgos con futuro a la

implementación de un SGSI holístico para proteger

sus procesos y activos de información, ya que

éstos también pueden estar en riesgo y verse

afectados en su seguridad y/u operación; que

puede tener como consecuencia implicaciones

jurídicas o sanciones administrativas y/o penales a

sus responsables.

REFERENCIAS

• Secretaría de la Función Pública. (2014). Manual Administrativo de

Aplicación General en las materias de Tecnologías de la Información y

Comunicaciones y de Seguridad de la Información. Secretaría de la Función

Pública. Diario Oficial de la Federación.

http://www.normateca.gob.mx/NF_Secciones_Otras.php?Subtema=61

• ISO/IEC 27001. (2013). Information technology — Security techniques —

Information security management systems — Requirements. Estándar,

International Organization for Standarization & International Electrotechnical

Commission.

• OEA y Symantec. (2014). Tendencias de Seguridad Cibernética en América

Latina y el Caribe. Organización de Estados Americanos y Symantec,

Seguridad Multidimensional Organización de los Estados Americanos y de

Asuntos Gubernamentales y Políticas Globales de Seguridad Cibernétic

https://www.symantec.com/content/es/mx/enterprise/other_resources/b-

cyber-security-trends-report-lamc.pdf 41

REFERENCIAS

• UNAM-CERT. (2015). Gestión de seguridad de la información basado en el

MAAGTICSI para programas académicos en Instituciones de Educación

Superior. Revista Digital .Seguridad Cultura de prevención para TI Núm. 24,

ISSN: 1251478, 1251477, junio-julio 2015, México, págs. 12-17.

http://revista.seguridad.unam.mx/numero24/gesti-n-de-seguridad-de-la-

informaci-n-basado-en-el-maagticsi-para-programas-acad-micos-en-

• IPN. (2015). Curso de Tópicos Selectos de Gestión de Seguridad de la

Información. Maestría en Ingeniería en Seguridad y Tecnologías de la

Información. Sección de Estudios de Posgrado e Investigación ESIME

Culhuacan. México.

42

Lidia Prudente Tixteco

SEPI – ESIME Culhuacan - IPN

[email protected]

GRACIAS POR SU

ATENCIÓN

43

mailto:[email protected]

Análisis de Riesgos para pequeñas dependencias públicas ... · PDF...

Documents

Transcript of Análisis de Riesgos para pequeñas dependencias públicas ... · PDF...