Gestión de Riesgos de la Información

Eric Donders O.

Septiembre 2010

Eric José Donders Orellana

Magister en Seguridad Informática y Protección de la Información, Universidad Central, 2009

Postítulo en Seguridad de la Información, Universidad Central, 2007

Diplomado en Criptografía, Universidad Central, 2007

Ingeniero Civil en Computación, Universidad de Chile, 1989

CISSP, desde el 2002

Lead Auditor BS7799-2, 2003

Oficial de Seguridad TI desde el 2002

Miembro de ISACA

Comprender los amplios requerimientos para la

gestión adecuada en la Organización del proceso de

riesgos de la información, así como los elementos y

las acciones que se requieren para desarrollar dicho

proceso para implementarlo basado en estándares.

Problemática de Riesgo de Información en la Organización

Definición de Roles y Responsabilidades

Activos de Información y su Valorización

Amenazas y Vulnerabilidades

Proceso de Gestión de Riesgos

Norma ISO 27005

Ejemplo de Matriz

2010

La aplicación sistemática de políticas, prácticas y procedimientos de Gestión a las tareas de identificar, analizar, evaluar, tratar y monitorear el Riesgo

Gestión

•Proceso

•Mejora

Riesgo

•Medir

Información

•Valor

Objetivo Fundamental Identificar, cuantificar y administrar los riesgos

relacionados con la seguridad de información para alcanzar los objetivos de negocio mediante una serie de tareas

Requieren del conocimiento del gerente de seguridad de la información sobre técnicas clave para la Gestión de riesgos La gestión de los riesgos de seguridad de la información involucran riesgos tecnológicos, humanos, ambientales, operativos y físicos, entre otros.

Conocer los Procesos

Clasificar y Valorizar los activos de información y sus propietarios

Evaluar amenazas y vulnerabilidades

Valorar los riesgos en base a impacto y probabilidad

Hacer una gestión continua de riesgos y valorizaciones

Establecer controles y contramedidas

Reportar a niveles de gestión apropiados

Fase1 A Fase2 B Fase3 C

Para que la información cumpla su objetivo, debe satisfacer cinco características

Actualizada La información debe ser capturada cuando

se genera.

Exacta Ante tanta información disponible, debe

buscarse la relevante, ni más ni menos.

Oportuna Velocidad de acceso a la información y

disponibilidad de alto nivel.

Confiable La información debe ser creíble y de

calidad.

Explicable Se debe poder ver, a todos los niveles de

detalle, el origen de la información.

La información adopta diversas formas

Impresa o escrita en papel

Almacenada electrónicamente

Transmitida por medios electrónicos

Transmitida por medios no electrónicos

Mostrada en video

Hablada en conversaciones

ISO 17799, 2000

“La información es un bien, que como cualquier otro bien importante del negocio, tiene valor para la empresa y requiere en consecuencia una protección adecuada”

La preservación de la confidencialidad, integridad y disponibilidad.

Confidencialidad

Asegurar que la información sea accesible sólo

para usuarios autorizados, protegiendo al

sistema de intrusiones o accesos a personas o

programas no autorizados.

Integridad

Salvaguardar que la información y los métodos

de procesamiento sean exactos y completos.

Disponibilidad

Asegurar que los usuarios autorizados tengan

acceso a la información y bienes asociados

cuando lo requieran.

Riesgo es la probabilidad de estar expuesto a un peligro. En término de seguridad, el riesgo es la probabilidad que una amenaza aproveche una vulnerabilidad

Riesgo = Impacto * Probabilidad

AMENAZA: Es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

VULNERABILIDAD: Es la probabilidad de éxito de una categoría de amenaza particular en contra de la organización. Son las inseguridades que posee el activo tanto por problemas tecnológicos, como problemas de procedimientos.

PROBABILIDAD: Es una medida porcentual para estimar la posibilidad de ocurrencia de una amenaza

IMPACTO: Consecuencias que puede ocasionar a la organización la materialización de una amenaza. Es el daño al negocio como resultado de un incumplimiento de seguridad de información, considerando las potenciales consecuencias de pérdidas o fallas de la información.

En un análisis de riesgos cuantitativo, las métricas asociadas con el impacto causado por la materialización de las amenazas se valoran en cifras concretas de forma objetiva, en función del costo económico que suponen para la organización. Emplea dos elementos, la probabilidad de que se produzca un hecho y la probable pérdida en caso que ocurra. Se centra en el uso de una sola cifra producida a partir de estos elementos, a esto se le denomina comúnmente “ALE” Annual Loss Expectancy Este análisis se basa en obtener medidas cuantitativas de los riesgos en base a mediciones o estimaciones. Para esto, se asigna un valor económico al impacto (I), que debe asumirse en el caso de que ocurra el riesgo, y una probabilidad (P) de ocurrencia (por ejemplo, porcentual), con lo que se obtiene el valor estimado del riesgo VE=P*I

Asignar valor a los activos de información Estimar la pérdida potencial por riesgo. Calcular la Expectativa de pérdida unitaria (SLE: Single

Loss Expectancy), que es el costo del activo por el factor de exposición.

Factor de exposición (EF: Exposure Factor): Es el porcentaje estimado de pérdida del activo por una amenaza en particular.

SLE = Valor del Activo * EF Calcular la probabilidad de ocurrencia (ARO: Annualized Rate of Ocurrence): Es el número de veces al año que se espera que se materialice una amenaza. Calcular la Expectativa de pérdida (ALE: Annualized Loss Expectancy) ALE = SLE * ARO

VA = US$ 5.000

FE = 90%

SLE = US$ 4.500

ARO = 5 eventos por

año

ALE = 4.500 * (5/1)

ALE = US$20.000

VA = US$ 1.000.000

FE = 90%

SLE = US$ 900.000

ARO = 1 evento por 10

años

ALE = 900.000 * (1/10)

ALE = US$90.000

La activación de Virus en el interior de las compañías afecta su operación, lo cual trae consigo un costo operacional al no contar con los controles que prevenga el ingreso de Virus, y si al Virus se propaga tiene un costo operacional mas alto. Se estima la perdida anual por no tener el control (ALE: Annual Loss Exposure) y se multiplica por su nivel de exposicion (eficiencia del control) Luego el retorno de la inversión del control de seguridad (ROSI) será (ALE* %Riesgo Mitigado - Costo Control) / Costo

Control.

Se estima un costo por perdida por Virus (Gran Progagación y Daño) en US$ 5000, y por la gran cantidad de estaciones +1500 se estima 5 eventos anuales, luego el ALE es US$25000, suponiendo una eficiencia de 80% (ingreso uno de cinco relevantes) y el costo directo del control anual es de 45000/3 = 15000, entonces tenemos el: ROSI = ( [25000*80% - (15000] ) / (15000) = 33,3% anual Son cálculos conservadores, lo que varia el retorno del control es su impacto.

Análisis

Cuantitativo

Ventajas Desventajas – Se asignan prioridades a los

riesgos según las repercusiones

financieras; se asignan prioridades

de los activos según los valores

financieros.

– Los resultados facilitan la

administración del riesgo por el

rendimiento de la inversión en

seguridad.

– Los resultados se pueden

expresar en terminología

específica de administración (por

ejemplo, los valores monetarios y

la probabilidad como un

porcentaje específico).

– La precisión tiende a ser mayor

con el tiempo a medida que la

organización crea un registro de

historial de los datos mientras gana

experiencia.

– Los valores de repercusión

asignados a los riesgos se basan en

las opiniones subjetivas de los

participantes.

– El proceso para lograr resultados

creíbles y el consenso es muy

lento.

– Los cálculos pueden ser

complejos y lentos.

– Los resultados sólo se presentan

en términos monetarios y pueden

ser difíciles de interpretar por parte

de personas sin conocimientos

técnicos.

– El proceso requiere experiencia,

por lo que los participantes no

pueden recibir cursos fácilmente

durante el mismo.

En el análisis de riesgos cualitativo, las métricas asociadas con el impacto causado por la materialización de las amenazas se valoran en términos subjetivos. Este enfoque no asigna números ni valores monetarios, califica dentro de una escala el riesgo, por ejemplo, Alto-Medio-Bajo Es mucho más sencillo e intuitivo que el anterior, ya que ahora no entran en juego probabilidades exactas sino simplemente una estimación de pérdidas potenciales. Para ello se interrelacionan cuatro elementos principales: las amenazas, presentes en cualquier sistema; las vulnerabilidades, que potencian el efecto de las amenazas; el impacto asociado a una amenaza, que indica los daños sobre un activo por la materialización de dicha amenaza y los controles o contramedidas, para minimizar las vulnerabilidades o el impacto

Análisis

Cualitativo

Ventajas Desventajas

– Permite la visibilidad y la

comprensión de la

clasificación de riesgos.

– Resulta más fácil lograr

el consenso.

– No es necesario

cuantificar la frecuencia de

las amenazas.

– No es necesario

determinar los valores

financieros de los activos.

– Resulta más fácil

involucrar a personas que

no sean expertas en

seguridad o en informática.

– No hay una distinción

suficiente entre los riesgos

importantes.

– Resulta difícil invertir en

la implementación de

controles porque no existe

una base para un análisis de

costo-beneficio.

– Los resultados dependen

de la calidad del equipo de

administración de riesgos

que los hayan creado.

Se puede encontrar una gran cantidad de normas para el análisis y gestión de riesgos de seguridad de la información.

Todos los países cuentan con entidades que establecen dichas directrices de acuerdo a parámetros internos, políticas de gobierno, de inversión y la manera cómo perciben la importancia de la información.

Risk Management En 1999 australianos y neozelandeses publicaron en forma conjunta un estándar para la caracterización de un proceso de gestión de riesgos, AS/NZS 4360:1999.

Tras su primer ciclo de revisión, la versión más reciente data de 2004 y conforma un paquete completo que incluye el manual de apoyo HB 436:2004.

Esta norma provee una guía genérica para el establecimiento e implementación del proceso de administración de riesgos en seguridad de la información.

Risk Management Guidelines La norma británica BS 7799-3:2006, “Sistemas de Gestión de Seguridad de la Información-Parte 3: Guías para la gestión de riesgos de seguridad de la información”, proporciona una guía para soportar los requisitos establecidos por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en la construcción de un SGSI.

Estas tareas incluyen la identificación y evaluación del riesgo, implementación de controles para reducirlos, monitorización y revisión de los riesgos, y mantenimiento y mejora continua del sistema basado en el control del riesgo

Information technology-Security techniques-Information security risk management La norma ISO/IEC 27005:2008, “Tecnologías de la información-Técnicas de Seguridad-Gestión del riesgo de seguridad de la información”, forma parte de la familia ISO 27000, conjunto de estándares desarrollados por ISO e IEC, que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. [ISO 27005, 2008]. ISO 27005 soporta los conceptos definidos en la ISO 27001. Para su entendimiento se recomienda conocer los conceptos, modelos, procesos y terminología de esta norma y de la ISO 27002.

La norma 27005 ha sido diseñada para ayudar a la puesta en práctica satisfactoria del análisis y gestión del riesgo, fase principal del diseño de todo buen sistema de gestión de la seguridad de la información (SGSI). Esta norma actualiza a la antigua ISO/IEC TR 13335-3 y 13335-4 El proceso de Gestión de Riesgos se describe en seis fases

Establecimiento del contexto: se definen los objetivos, alcance y la organización para todo el proceso Valoración de riesgos: se obtiene la información necesaria para conocer, valorar y priorizar los riesgos. Se divide en tres partes: Análisis de Riesgos

• Identificación de riesgos: consiste en determinar qué puede provocar pérdidas en la organización.

• Estimación de riesgos: utilizar métodos cuantitativos o cualitativos para obtener una cuantificación de los riesgos identificados, teniendo en cuenta los activos, amenazas y salvaguardas.

Evaluación de riesgos: se comparan los riesgos estimados con los criterios de evaluación y aceptación de riesgos definidos en el establecimiento del contexto.

Tratamiento de riesgos: se define la estrategia para tratar cada uno de los riesgos valorados; reducción, aceptación, evitación o transferencia. Aceptación de riesgos: se determinan los riesgos que se decide aceptar y su justificación correspondiente Comunicación de riesgos: todos los grupos de interés intercambian información sobre los riesgos. Monitorización y revisión de riesgos: el análisis de riesgos se actualiza con todos los cambios internos o externos que afectan a la valoración de los riesgos.

El proceso de gestión de riesgos de seguridad de la información, se basa en el ciclo de mejoramiento continuo de Deming (PDCA).

Este ciclo contempla cuatro etapas

Ciclo de Deming Proceso de Gestión de riesgos de

seguridad de la información

Planificar (Plan)

Establecimiento del contexto

Valoración de riesgos

Desarrollo del plan de tratamiento de riesgos

Aceptación de riesgos

Ejecutar (Do) Implantación del plan de tratamiento de riesgos

Verificar (Check) Monitorización y revisión continua de riesgos

Actuar (Act) Mantenimiento y mejora del proceso de gestión

de riesgos de seguridad de la información

Nombre País Año Organización Conformidad

Regulatoria Herramienta

ISO/IEC

27005:2008 Internacional (Suiza) 2008

ISO-International Organization

for Standardization

ISO/IEC 27001/2005

ISO/IEC 13335/2004

ISO/IEC

27002/2005

No

BS 7799-3:2006 Reino Unido 2006 BSI-British Standards Institution ISO/IEC

27001/2005 No

AS/NZS

4360:2004 Australia/Nueva Zelanda 2004

AS/ZNS-Australian

Standards/New Zealand

Standards

N/A No

MAGERIT España 2006 Consejo Superior de

Administración Electrónica

ISO/IEC

27001/2005

ISO/IEC

15408/2005

ISO/IEC

17799/2005

ISO/IEC 13335/2004

LOPD 15/1999

Sí, (EAR/

Pilar)

CRAMM Reino Unido 2003 CCTA-Central Computing and

Telecommunications Agency

ISO/IEC17799

GLBA

HIPPA

Sí , CRAMM expert

OCTAVE Estados Unidos 2001-

2007

Carnegie Mellon University

CERT

(Computer Emergency

Response Team)

N/A Sí

NIST SP 800-30 Estados Unidos 2002 NIST-National Institute of

Standards and Technology N/A No

Nombre

Alcance

Análisis de Riesgos Gestión de Riesgos

ISO/IEC 27005:2008 • • BS 7799-3:2006 • •

AS/NZS 4360:2004 • • MAGERIT • • CRAMM • • OCTAVE • •

NIST SP 800-30 • •

Confidencialidad: aseguramiento de que la información es accesible solo para aquellos autorizados a tener acceso. Integridad: garantía de la exactitud y completitud de la información de la información y los métodos de su procesamiento. Disponibilidad: aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. Autenticidad: Aseguramiento de la identidad u origen. La información que se almacena o circula, debe permanecer protegida ante falsificaciones. Trazabilidad: Aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento. Fiabilidad: Aseguramiento de que la información está en buen estado y es confiable.

Nombre Requerimientos de seguridad

Confidencialidad Integridad Disponibilidad Autenticidad Trazabilidad Fiabilidad

ISO/IEC

27005:2008

BS 7799-

3:2006

AS/NZS

4360:2004

MAGERIT

CRAMM

OCTAVE

NIST SP 800-

30

Nombre Elementos del modelo

Procesos Activos Dependencias Vulnerabilidades Amenazas Controles

ISO/IEC

27005:2008

BS 7799-

3:2006

AS/NZS

4360:2004

MAGERIT

CRAMM

OCTAVE

NIST SP 800-

30

Amenazas

Externalidades al activo de información que son capaces de explortar vulnerabilidades

Amenazas contra la integridad:

Modificación indebida de datos (fallo de permisos)

Falta de integridad (borrado o modificación) de datos

Imposibilidad de identificar fuente de datos

Fallo en la integridad de bases de datos (corrupción)

Modificación en archivos de sistema (configuraciones, logs)

Destrucción o corrupción de backups

Virus

Amenazas contra la confidencialidad:

Accesos no autorizados a información confidencial

Accesos públicos a información confidencial por error

Mala configuración o descuido

Suplantación de usuarios

Acceso a servicios confidenciales (correo, BBDD, servidores de acceso)

Instalación de caballos de troya.

Acceso físico a material restringido

Amenazas contra la disponibilidad:

Caída de servicios externos. (DoS)

Agotamiento de recursos, ancho de banda, disco, socket. (DoS o mala configuración)

Fallo de infraestructuras generales de red, por ejemplo, routing, switches, otros. (DoS, fallo, mala configuración o sabotaje)

Destrucción de configuraciones o servicios. (DoS o Sabotaje)

Acceso físico a infraestructura básica. (Sabotaje)

Nº Amenazas 1 Acción/juicio Industrial (interna / externa)

2 Actos o ataques terroristas

3 Ataque por denegación de servicios

4 Cambio de personal a posiciones claves

5 Cambios no exitosos/fallidos

6 Canales secretos/encubiertos

7 Carencia de staff / proveedores y/o terceras partes

8 Contaminación

9 Contaminación ambiental (natural o provocado por el hombre)

10 Crackeo/quiebre de password

11 Daño deliberado

12 Desastre ambiental

13 Desastre de mercado (por ejemplo, una crisis)

14 Desastre de la naturaleza o ambiental

15 Descuido fortuito/eventual

16 Destrucción maliciosa

17 Discado/marcación errónea (teléfono /fax)

18 Emisión de información incorrecta/inexacta

19 Enmascaramiento /spoofing

20 Error de mantención (mala programación de mantención)

21 Errores de operación de aplicación por parte de usuarios

22 Errores de proceso

23 Errores de software

24 Errores/atrasos de transmisión de datos y/o archivos

25 Errores Humanos

26 Errores operacionales del staff

27 Escucha secreta

28 Espionaje

29 Explosión de bomba

30 Falla de Aire Acondicionado

Las vulnerabilidades son de naturaleza variada, pero intrísicas al activo de información, como por ejemplo: Falta de conocimiento del usuario Tecnología inadecuadamente probada o testeada. Transmisión por redes públicas. Antivirus no actualizado.

Por cada amenaza, se identifican las vulnerabilidades que pueden provocar que la amenaza se materialice y se convierta en un riesgo para los activos de información de la organización. Calcular la probabilidad de explotación de las vulnerabilidades sobre cada amenaza,

Vulnerabilidades 1 Acceso de tipo público a instalaciones (total o parcial)

2 Alto valor de la propiedad intelectual mantenida (ej. Atractiva para competidores, espionaje industrial.)

3 Alto valor de las acciones, tecnologías, etc. (ej. Atractivos para ladrones)

4 Área susceptible a fluctuaciones o cortes temporales de energía

5 Aspectos de Seguridad no incluidos en las descripciones de cargos, roles y responsabilidades

6 cableado defectuoso/equivocado/indebido

7 Cableado expuesto para la infraestructura de red (p. ej.. afuera del edificio, en áreas de trabajo manual)

8 Carencia de entendimiento/educación en el Acta de Copyrights, diseño y patentes

9 Carencia de entendimiento/educación en el Acta de Derechos Humanos

10 Carencia de entendimiento/educación en el Acta de Mal uso de la Computadora

11 Carencia de entendimiento/educación en el Acta Libertad de Información

12 Carencia de entendimiento/educación en los requerimientos del Acta de Protección de la Información

13 Clientes con acceso físico o lógico no sujetos al mismo control de los empleados internos

14 Compromiso de activos

15 Compromiso de la seguridad

16 Conexión no autorizada de equipos a la red (Ej. PDA, modem, home systems)

17 Conexiones a la red pública sin protección

18 Configuración incorrecta de aspectos relevantes y controles de seguridad

19 Configuración insegura de servicios RAS (Remote Access Services) con clientes

20 Política y procedimientos de configuración, mantención y análisis del firewall no adecuada o insuficientes

21 Corrupción de información a causa de fallas de sistema (p. ej.. corrupción de un disco)

22 Defectos conocidos del software

23 Desarrollo/construcción de contratos no adecuados con terceras partes, socios, proveedores.

24 Desecho o reutilización de medios de almacenamiento sin el borrado apropiado

25 Documentación del software insuficiente o en forma inadecuada

26 Empleados descontentos o trastornados

27 Equipos computacionales ubicados en áreas públicas sin una supervisión constante

28 Equipos de computación portátil en lugares no seguros (ej. Laptops en áreas públicas)

29 Exceso de confianza en personal clave / falta de delegación, planes de sucesión, etc.

30 Existencia de material combustible

Evaluar los RiesgosDefinir los requerimientos

de seguridad

Operar y Soportar las

Soluciones de

Seguridad

Medir las soluciones

De Seguridad

Determinar los

Riesgos Aceptables

Diseñar y Crear

Soluciones de

Seguridad

Ejecutivo

Patrocinador

¿Qué es lo importante?

Grupo de Seguridad de

Información

Priorizar los Riesgos

Grupo de Informática

La mejor solución de

Control

Tasación o

Valorización de

Activos

Posibilidad de

Ocurrencias de

Amenazas

Posibilidad de

Ocurrencias de

Vulnerabilidades

Posibilidad de

Ocurrencia del

Riesgo

Score del Riesgo de

los Activos

Identificación de

Vulnerabilidades

Activos

Amenazas y

Vulnerabilidades

Evaluación de

Riegos

Identificación de

Activos

Identificación

de Amenazas

Estimado del Valor

de los Activos en

Riesgos

PROCESOS CADENA DE VALOR

SATISFACCIÓN

CLIENTE

INTERNO

Y EXTERNO

REQUISITOS

CLIENTE

INTERNO

Y EXTERNO

PROCESOS CLAVES

PROCESOS DE CADENA DE VALOR

MAPA DE PROCESOS

PROCESOS DE APOYO

PROCESOS DE GESTIÓN

PROCESOS MEDICIÓN, ANÁLISIS Y MEJORA

Servicio al

Cliente

Análisis

Informátic

a

Comercial Suministro

s Comité de

Crédito Imprenta

de

Chequeras

Evaluación Aprobación Emisión Solicitud

Superintendencia de Bancos

Tipo Activos Ejemplos

• Activos de información (Datos de Gestión, Transacción Electrónica, etc.)

• Documentos de papel (Contratos, decretos, reglamentos, etc.)

• Activos de software (Aplicación, software de sistemas, ERP, BD, etc.)

• Activos físicos (Computadoras, medios magnéticos, data center, etc.)

• Personal (Clientes, personal, proveedores, etc.)

• Servicios (Comunicaciones, servidores, diferentes sistema de

apoyo, etc.)

Ranking 1 a 5

Integridad Criterio Valor

Básico

Procedimientos y

chequeos de integridad

dependientes del usuario

I-1

Estándar

Acceso basado en

funciones

I-2

Individual

Evaluación de las

versiones de software y

parches antes del

despliegue

I-3

Doble Intervención

Requiere una revisión

doble para cualquier

cambio o eliminación

(acceso de escritura)

I-4

Disponibilidad Criterio Valor

Recuperable

Respaldo y recuperación

de la información

D-1

Recuperación en frío

Hardware o sistemas de

cómputo en modo “Cold

Stand by”

D-2

Recuperación en caliente

Transmisión, sistemas o

hardware de cómputo en

modo “Hot Stand by”

D-3

Tolerante a fallas

Hardware en modo “A

prueba de fallo” con

funciones completamente

redundantes

D-4

Confidencialidad Criterio Valor

Público

Sin restricciones de

acceso

C-1

Reservado

Restricciones de acceso

basadas en las funciones

C-2

Secreto

Nombres de las personas

con acceso que cuentan

con seguridad reforzada

en un ambiente a prueba

de intrusiones con

protección de controles

criptográficos

C-3

Activo Descripción Proceso

Area

Organizac

ional

Tipo de

Activo

Ubicación

Fisica

Confidenc

ialidad

Integrid

ad

Disponi

bilidadValor

Sitio WEB del

Banco para el

publico

Sitio WEB del

Banco para

clientes

Intranet del

Banco

Web Master

Riesgo

Impacto Probabilidad

Activo

Amenaza

Vulnerabilidad

Mitigación

IMPACTO

Valor # Valor Descripción

1 Insignificante Sin perjuicios, perdida financiera muy baja

2 Menor

Tratamiento de Soporte 1er nivel, se contuvo

inmediatamente, perdida financiera baja

3 Moderado

Tratamiento de Soporte 2do nivel, se contuvo con

asistencia externa, perdida financiera media

4 Mayor

Perdida de capacidad de producción, perdida financiera

mayor

5 Muy alto

Perdida de capacidad de producción prolongada, perdida

financiera enorme

PROBABILIDAD

Valor # Valor Descripción

1 Muy Baja Raro, puede ocurrir solo en circunstancia excepcionales

2 Baja Es poco probable, pudo ocurrir en algún momento

3 Moderada Es posible, podría ocurrir en algún momento

4 Alta Es probable que ocurra

5 Muy Alta Es muy probable que ocurra

RIESGOS

Valor # Valor Descripción

5 Alto

Riesgo extremo, requiere apoyo de la alta gerencia y acción

inmediata para implantación de controles de seguridad

4 Medio Alto

Riesgo Alto, requiere atención de la alta gerencia y requiere

implantación de controles de seguridad

3 Medio

Debe especificarse responsabilidad gerencial y requiere

implantación de controles de seguridad

2 Medio Bajo

Debe administrarse bajo un adecuado manejo de incidentes

y/o evaluar implantar controles de seguridad

1 Bajo Debe administrarse bajo procedimientos de rutinas

PROBABILIDAD

Muy Alta 5 5 6 7 8 9

Alta 4 4 5 6 7 8

Moderada 3 3 4 5 6 7

Baja 2 2 3 4 5 6

Muy Baja 1 1 2 3 4 5

1 2 3 4 5

Insignificante Menor Moderado Mayor Muy Alto

IMPACTO

(1)

Opción de

Reducción

del Riesgo

Implantar los

Controles

¿Los

Controles son

Económicamente

Factibles de

Implantar?

¿Los

Controles

permiten

Reducir el Riesgo a

Niveles

Aceptables?

¿Las

Consecuencias

son económicamente

Devastadoras para

Organización?

(2)

Opción de

Evitar

el Riesgo

(3)

Opción de

Transferencia

del Riesgo

(4)

Opción de

Aceptación

del Riesgo

SI

NO

SI

SI

NO

NO

Revisar los controles actuales

Recalcular Impacto y Probabilidad

Reevaluar riesgo dado el o los controles existente

Equipo de

Gestión de

Riesgo

Comité de

Seguridad de la

Informacióm

Seleccionar

estrategia de

mitigación de

riesgos

6

Propetario

de la

mitigación

Identificar

solución de

controles o

mejoras

2

Definir

Requerimientos

Funcionales

1

Estimar costo

de cada

solución

5

Estimar grado

de reducción

de riesgos

4 Revisar

Soluciones

contra

requerimientos

3

Controles Preventivos

Detectivos

Correctivos

Controles Manual

Semiautomático

Automático

Control Elemento que permite mantener y/o mitigar un

riesgo asociado a un activo de información

Evaluación de controles Riesgo Inherente es el riesgo del activo sin

controles asociados

El uso de control actual permite mitigar el riesgo inherente del activo y evaluar el riesgo actual del activo

Reducir el nivel de riesgo significa

• Mejorar el control

• Implantar control que mitigue dicho riesgo

Cláusula Objetivo de Control Control ISO

17799:2005

5 Política de Seguridad

5.1 Política de Seguridad de la

Información

5.1.1 Documento de política de seguridad de la Información

5.1.2 Análisis, Revisión y Evaluación de la Política de seguridad de la

Información

6 Organización de la Seguridad de la Información

6.1 Organización Interna 6.1.1 Compromiso de la Dirección con la seguridad de Información

6.1.2 Coordinación de la Seguridad de la Información

6.1.3 Reasignación de las Responsabilidades con la Seguridad de la

Información

6.1.4 Proceso de autorización para los recursos de procesamiento de la

información

6.1.5 Acuerdo de Confidencialidad

6.1.6 Contacto con Autoridades

6.1.7 Contacto con grupos de interés especial

6.1.8 Análisis, Revisión y Evaluación Independiente de la Seguridad de la

Información

6.2 Organizaciones externas 6.2.1 Identificación de los riesgos relacionados con las Organizaciones externas

6.2.2 Tratamiento de la seguridad cuando se esta tratando con Clientes

6.2.3 Tratamiento de la seguridad en contratos de Terceros

7 Gestión de Activos

7.1 Responsabilidad de Activos 7.1.1 Inventario de Activos

7.1.2 Propietario de Activos

7.1.3 Uso aceptable de Activos

7.2 Clasificación de la Información 7.2.1 Recomendaciones para la clasificación

7.2.2 Rótulos y manejo de la Información

Cláusula Objetivo de Control Control ISO

17799:2005

8 Seguridad de Recursos Humanos

8.1 Antes del Empleo 8.1.1 Roles y Responsabilidades

8.1.2 Selección de Personal

8.1.3 Términos y condiciones contractuales

8.2 Durante el empleo 8.2.1 Responsabilidades de la Dirección

8.2.2 Concientización, educación y entrenamiento en la Seguridad de la

Información

8.2.3 Proceso Disciplinario

8.3 Término o cambio de empleo 8.3.1 Término de las actividades y responsabilidades

8.3.2 Devolución de Activos

8.3.3 Retiro de los derechos de acceso

9 Seguridad Física y Ambiental

9.1 Áreas Seguras 9.1.1 Perímetro Físico de Seguridad

9.1.2 Control de Ingreso Físico

9.1.3 Seguridad en oficinas, salas e instalaciones

9.1.4 Protección contra amenazas externas y ambientales

9.1.5 Trabajo en áreas Seguras

9.1.6 Acceso Público, áreas de entrega y de carga

9.2 Seguridad de equipos 9.2.1 Instalación y Protección de Equipamiento

9.2.2 Utilidades y Soporte de Servicios Públicos

9.2.3 Seguridad del cableado

9.2.4 Mantención de Equipamiento

9.2.5 Seguridad de equipamiento fuera de las dependencias de la Organización

9.2.6 Reutilización o eliminación segura de equipamiento

9.2.7 Retiro o traslado de Propiedad

Cláusula Objetivo de Control Control ISO

17799:2005

10 Gestión de las Comunicaciones y Operaciones 10.1 Procedimientos y Responsabilidades

Operacional

10.1.1 Documentación de los procedimientos operacionales

10.1.2 Gestión de los Cambios

10.1.3 Segregación de las funciones

10.1.4 Separación de los recursos de desarrollo, prueba y de producción

10.2 Gestión de Servicios Tercerizados 10.2.1 Entrega del Servicio

10.2.2 Monitoreo y análisis se servicios tercerizados

10.2.3 Gestión de Cambios para servicios Tercerizados

10.3 Planificación y aprobación de Sistemas 10.3.1 Gestión de capacidad

10.3.2 Aprobación de Sistemas

10.4 Protección contra código maliciosos y

código móvil

10.4.1 Control contra Código maliciosos

10.4.2 Protección contra código móvil

10.5 Respaldos y Recuperación de Información 10.5.1 Respaldos y Recuperación de información

10.6 Gestión de la Seguridad en la red 10.6.1 Controles de red

10.6.2 Seguridad de Servicios de Red

10.7 Manejo de medios 10.7.1 Gestión de medios removibles

10.7.2 eliminación de medios

10.7.3 Procedimientos de manejo de Información

10.7.4 Seguridad de documentación del sistema

10.8 Intercambio de Información 10.8.1 Políticas y procedimientos de intercambio de información

10.8.2 Acuerdo para intercambios

10.8.3 Medios físicos en tránsito

10.8.4 Servicios de mensaje electrónico

10.8.5 Sistemas de Información del Negocio

10.9 Servicios Comercio Electrónico 10.9.1 Comercio Electrónico

10.9.2 Transacciones en línea

10.9.3 Información Disponible públicamente

10.10 Monitoreo 10.10.1 Registros (bitácoras) de auditoria

10.10.2 Monitoreo del uso del sistema

10.10.3 Protección de registro (bitácora)

10.10.4 Registros (bitácoras) del administrador y operador

10.10.5 Registro (log) de fallas

10.10.6 Sincronización de Reloj

Cláusula Objetivo de Control Control ISO

17799:2005

11 Control de Acceso

11.1 Requisitos de negocios para el

control de acceso

11.1.1 Políticas de Control de Acceso

11.2 Gestión de Accesos a Usuarios 11.2.1 Registro e inscripción de Usuarios

11.2.2 Gestión de Privilegios

11.2.3 Gestión de contraseñas

11.2.4 Revisión y Análisis de los derechos de acceso de usuarios

11.3 Responsabilidades de los Usuarios 11.3.1 Uso de las contraseñas

11.3.2 Equipo de usuario desatendido

11.3.3 Políticas de escritorios limpios y pantalla limpia

11.4 Control de Acceso a la red 11.4.1 Política de utilización de los servicios de red

11.4.2 Autenticación para la conexión externa del usuario

11.4.3 Identificación de equipo en redes

11.4.4 Protección de puertas de diagnóstico y configuración

11.4.5 Segregación de Redes

11.4.6 Control de Conexión de Redes

11.4.7 Control de enrutamiento de redes

11.5 Control de acceso de sistema

operacional

11.5.1 Procedimientos de ingreso seguro en el sistema

11.5.2 Identificación y Autenticación de usuarios

11.5.3 Sistema de Administración de Contraseñas

11.5.4 Uso de programas Utilitarios

11.5.5 Desconexión de la sesión por inactividad

11.5.6 Limitación del tiempo de la conexión

11.6 Control de Acceso a las aplicaciones

e información

11.6.1 Restricción de acceso a la información

11.6.2 Aislamiento de sistemas sensibles

11.7 Computación móvil y trabajo remoto 11.7.1 Computación móvil comunicaciones

11.7.2 Trabajo remoto (tele-trabajo)

Cláusula Objetivo de Control Control ISO

17799:2005

12 Adquisición, Desarrollo y mantenimiento de los Sistemas de Información

12.1 Requisitos de Seguridad de

Sistemas de Información

12.1.1 Análisis y especificación de los requerimientos de la seguridad

12.2 Procesamiento correcto en las

aplicaciones

12.2.1 Validación de los Datos de Entrada

12.2.2 Control de procesamiento interno

12.2.3 Integridad de mensajes

12.2.4 Validación de los Datos de Salida

12.3 Controles criptográficos 12.3.1 Política para el uso de controles de criptografía

12.3.2 Gestión de Claves criptográficas

12.4 Seguridad de los archivos de

sistemas

12.4.1 Control de software en producción

12.4.2 Protección de los datos de prueba del sistema

12.4.3 Control de Acceso al código de programa fuente

12.5 Seguridad en los procesos de

desarrollo y soporte

12.5.1 Procedimientos de control de cambio

12.5.2 Revisión Técnica de aplicaciones después de cambios en el sistema

operacional

12.5.3 Restricciones en los cambios en paquetes de software

12.5.4 Fuga de Información

12.5.5 Desarrollo de software por terceros

12.6 Gestión de Vulnerabilidades

Técnicas

12.6.1 Control de la Vulnerabilidades Técnicas

13 Gestión de Incidentes en la Seguridad de la Información

13.1 Reporte de eventos y fallas de la

seguridad de información

13.1.1 Reportando eventos de seguridad de la información

13.1.2 Reportando Debilidades de seguridad

13.2 Gestión de Incidentes de Seguridad

y mejoras

13.2.1 Responsabilidades y procedimientos

13.2.2 Aprendizaje de los incidentes de seguridad de la información

13.2.3 Recolección de evidencias

Cláusula Objetivo de Control Control ISO

17799:2005

14 Gestión de la Continuidad del Negocios

14.1 Aspectos de seguridad de la

información de Gestión de

Continuidad de la Organización

14.1.1 Inclusión de la seguridad de la Información en el Proceso de

Gestión de Continuidad de los negocios

14.1.2 Continuidad de negocios y evaluación de riesgos

14.1.3 Desarrollo e Implementación de un Plan de Continuidad incluyendo

la Seguridad de la Información

14.1.4 Estructura del Plan de Continuidad de Negocios

14.1.5 Prueba, mantención y re-evaluación de los planes de continuidad de

negocios

15 Cumplimiento

15.1 Cumplimiento con requerimientos

legales

15.1.1 Identificación de la legislación vigente

15.1.2 Derechos de Propiedad Intelectual

15.1.3 Protección de los registros Organizacionales

15.1.4 Protección de los Datos y privacidad de la información Personal

15.1.5 Prevención contra el uso indebido de los recursos de procesamiento

de la información

15.1.6 Reglamentación de los controles de criptografía

15.2 Cumplimiento con las normas y

políticas de seguridad y

conformidad técnica

15.2.1 Conformidad con normas y políticas de seguridad

15.2.2 Verificación de Conformidad Técnica

15.3 Consideraciones cuanto a

auditoria de sistemas de

información

15.3.1 Controles de auditoria de sistemas de información

15.3.2 Protección de herramientas de auditoria de sistemas de información

Se identifica Activo de la Información

Se identifican amenazas y vulnerabilidad

Se estima impacto y probabilidad

Se evalúa riesgo de acuerdo a impacto y probabilidad sin controles Riesgo Inherente

Evaluando controles actuales se recalcula impacto y/o probabilidad y se reevalúa riesgo Riesgo Residual

ID Riesgo Activo Riesgo Inherente Riesgo Mitigado

# Amenaza & Vulnerabilidad Involucrado Impacto Probabilidad Control(es) mitigante(s) Impacto Probabilidad

22

Acceso no autorizado

en terminales caja

debido a un inadecuado

control de acceso.

Terminal de

caja 4 4

Medio

Alto

* Política de

resguardo de claves

* Utilitario que

controla: Horario de

conexión, conexión

sólo a la app de

cajas; validación

terminal

4 1 Medio

45

Acceso no autorizado a

servidor/bases de datos

debido a un inadecuado

control de acceso

Transacciones

financieras 3 4 Medio

* Bloqueo de acceso

(sólo vía servicio)

* Cifrado de Base de

datos

* Activación de log

3 1 Medio

Bajo

54 Fraude por software

defectuoso

Sistema de

Cajas 5 3

Medio

Alto

* Política de

Desarrollo

* Certificación de QA

* Resguardo

versiones sistema

5 1 Medio

Nro Actividad Sub Actividad Ejecutor Estado

1 Evaluación de

Riesgos

Identificación de

Procesos

OK/Pendiente

2 Evaluación de

Riesgos

Identificación de

Activos de la

Información

3 Evaluación de

Riesgos

Evaluación de Activos

4 Evaluación de

Riesgos

Identificación de

Vulnerabilidades

5 Evaluación de

Riesgos

Identificación de

Objetivos de Control,

Controles y

Contramedidas

6 Evaluación de

Riesgos

Informe al Comité de

Seguridad

7 Evaluación de

Riesgos

Monitoreo y Revisión

Encabezado

Detalle

Detalle

Encabezado

Encabezado

Detalle

Detalle

Detalle