ISEC INFOSECURITY TOUR 2016 INFOSECURITY 2016... · relacionados con tecnología informática y...

Copyright ©2013 BDO ARGENTINA. Presentación confidencial solo para ser utilizada por miembros de Becher y Asociados S.R.L.

ISEC INFOSECURITY TOUR 2016

Seguridad Digital Total basada en Riesgos

Por Ing. Pablo A. SILBERFICH (CISA, CISM)

BDO Argentina

Dpto. API (Aseguramiento de Procesos Informáticos)

Setiembre 2016

Qué es el Riesgo

2

El término riesgo normalmente se utiliza únicamente cuando

existe al menos la posibilidad de consecuencias negativas

En algunas situaciones, el riesgo proviene de la posibilidad de

un desvío del resultado o del suceso previsto

Combinación de la probabilidad

de un suceso y su consecuencia

3

Regulaciones y Normas que tratan el riesgo de TIComunicación “A” 4609 del BCRA para Entidades Financieras

• Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información.

ISO/IEC 27001-27005

• Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)

Basilea

• Estándar internacional que sirve de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos.

Ley Sarbanes Oxley (SOX)

• Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros.

4

Se puede definir como “el proceso de toma de decisiones en unambiente de incertidumbre sobre una acción que puede sucedery sobre las consecuencias que existirán si esta acción ocurre.

¿Y la Gestión del Riesgo?

Gestión de Riesgos

El Análisis de Riesgos implica:

Determinar qué se necesita proteger.

De qué hay que protegerlo.

Cómo hacerlo.

El Análisis de Riesgos de TI con impacto en el negocio sirve para:

• Mejorar la Administración de los activos de TI (eficacia, eficiencia,

costo-beneficio)

• Armar el plan anual y detalles ad-hoc de la Auditoría Informática

(TIC´s)

• Administrar la utilización de las salvaguardas de

Seguridad de la Información.

5

6

Amenaza

Se entiende por una amenaza una condición del entorno del sistema de

información (persona, máquina, suceso o idea) que ante determinada

circunstancia podría dar lugar a que se produjese una violación de seguridad

(no cumplimiento de alguno de los aspectos mencionados) afectando alguno

de los activos de la compañía.

Riesgo

Es la posibilidad de que se produzca un impacto en la organización.

Contramedidas o Salvaguardas

Protecciones u acciones que disminuyen el riesgo.

Vulnerabilidad

Es un hecho o actividad que permite concretar una amenaza.

Impacto

Es el daño producido por la efectivización de una amenaza.

Conceptos y Definiciones Generales de Riesgo de IT

Relación con la Seguridad de la Información

7

El riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia.

La administración de riesgos es el proceso de identificación, evaluación y toma de decisiones para reducir el riesgo a un nivel aceptable.

El análisis de Riesgo Informático es un elemento que forma parte del programa de Gestión de Continuidad del Negocio (Business ContinuityManagement)

En el Análisis del Riesgo Informático es necesario identificar si existen controles, procedimientos, etc.(Seguridad de la Información) que ayuden a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado); de no existir controles, la vulnerabilidad será de riesgo no controlado.

Gestión de Riesgos de TI

8

Fase 1 - Entender el negocio

• Identificar las estrategias de la organización y los objetivos de negocio

• Comprender el perfil de riesgo de la organización

• Identificar como la organización estructura sus operaciones de negocio

• Entender el modelo de TI que soporta al negocio

Fase 2 - Definir el universo de TI y de la información

• Identificar las aplicaciones significativas que soportan las operaciones

• Identificar la infraestructura crítica para las aplicaciones significativas

• Comprender el papel de las tecnologías que sustentan a TI

• Identificar los principales proyectos e iniciativas

• Identificar las salvaguardas

Fases para utilizar apropiadamente el Análisis de Riesgos

9

Fase 3 - Realizar la evaluación de riesgos • Identificar riesgos a considerar • Evaluar el riesgo y rankear los sujetos a asegurar usando factores de riesgo de TI y de negocio

Fase 4 - Formalizar el Plan de Seg Info • Seleccionar las áreas / temas y agruparlos en los respectivos

proyectos • Validar el plan resultante con la alta gerencia / dirección del

negocio


10

Fase 1 – Entender el negocio


11

Fase 2 - Definir el universo se TI y de la información

En esta fase se examina el modelo de negocio identificando las

aplicaciones que lo sustentan, así como el uso de tecnologías de soporte

(aplicaciones de mail, software de encripción, etc.). También se

consideran las funciones del área de TI y sus procesos (centralizados o

descentralizados) y las normativas específicas que apliquen (p.ej.; PCI-

DSS).

Generalmente el universo de TI es clasificado en las siguientes

categorías:

• aplicaciones

• operaciones

• infraestructura


12

Fase 3 - Realizar la evaluación de riesgos

La elaboración de un plan de Seg Info debe basarse en la cuantificación

de los riesgos presentes en todos los ciclos / áreas sujetos a revisión.

Para que este proceso de gestión de riesgos sea eficaz debe estar basado

en principios generales y reunir una serie de componentes relativos al

proceso de detección / medición (en el caso de riesgos cuantificables) y

control de las posiciones para las principales categorías de riesgos

asumidos.


13

Fase 3 - Realizar la evaluación de riesgos (continuación)

Entre los principios generales en los que se basa la Gestión de Riesgos se pueden

destacar:

• Establecer una función independiente de gestión de riesgos, para supervisar

todas las actividades y cubrir toda la operatoria de cada ciclo.

• Para cada tipo de riesgo establecer las políticas adecuadas de asunción de

riesgos, esto implica fijar límites operativos apropiados para los riesgos

cuantificables, y definir procedimientos adecuados para mitigar los no

cuantificables y determinar el procedimiento de autorización necesario para

determinar las nuevas tareas.

• El cumplimiento de las políticas y de los límites debe ser vigilado de forma

continua y establecerse unos procedimientos bien definidos de seguimiento

de los posibles incumplimientos. Asimismo dichas políticas y límites deben

revisarse periódicamente teniendo en cuenta la evolución del mercado.

.


14


Matriz de scoring

Area

Financial Impact

IT Risks

Score and Level

Quality of Internal Controls

Changes in Audit Unit

Availability Integrity Confidentia

lity

L I L I L I L I L I L I

Administración de seguridad de la información 3 3 2 2 2 3 2 2 2 3 3 3 38

Controles generales de TI 3 3 2 2 2 3 2 3 2 3 2 3 37

Revisión de la seguridad y de la administración de correo electrónico 2 3 2 2 2 2 1 1 2 2 3 3 28

Gestión de redes 2 2 3 2 3 2 3 3 2 2 2 2 33

Revisión de sistemas operativos 2 2 2 2 2 2 3 3 2 2 2 2 29

Revisión de base de dato SQL Server 2 2 2 2 2 2 3 3 2 2 2 2 29

Administración de Continuidad 2 2 3 3 1 2 3 3 1 2 1 1 27

Selección, Implantación y Mantenimiento de Aplicativos 1 2 3 2 2 2 1 1 2 2 1 2 19

Licencias de software 2 1 3 2 2 2 1 2 1 2 1 1 17

Gestión de Incidente Service Desk / Soporte Técnico 1 1 2 2 2 1 3 1 1 3 2 2 17

Administración de Proyectos 1 1 2 2 1 1 3 1 1 1 1 2 12

Penetration testing 1 2 2 2 2 2 2 3 1 2 1 2 20

Revisión de Seguridad Intranets 1 1 2 1 1 2 2 2 1 1 1 2 12

L = Likelihood I = Impact

Fase 4 - Formalizar el Plan de Seg Info

15

ISO/IEC 27005

1. Establecer el contexto.

2. Evaluación del riesgo.

a. Identificación del riesgo

b. Estimación del riesgo

c. Valoración del riesgo

3. Tratamiento del riesgo.

4. Aceptación del riesgo.

5. Comunicación del riesgo.

6. Seguimiento del riesgo.

16

Fase 4 - Formalizar el Plan de Seg Info

17

Seleccionamos las dimensiones de

Seguridad a analizar

Caso de Estudio

18

Caso de Estudio

Grupos de amenazas

se puede eliminar las que no corresponden por su muy baja probabilidad de ocurrencia o

frecuencia.

19

Caso de Estudio

Se crean los activos aanalizar, cada unocorresponde a distintasCapas.

Capas

20

Caso de Estudio

Caracterización de un activo

21

Caso de Estudio

Dependencias de los activos

22

Caso de Estudio

Valoración de los activos

23

Caso de Estudio

Identificación de las amenazas

24

Caso de Estudio

Frecuencia

1 Una vez al año

2 Dos veces al año

10 Mensual

100 Diario

0.5 Cada 2 años

0.1 Cada 10 años

Degradación

Valoración de las amenazas

25

Caso de Estudio

Riesgo intrínsico de cada activosin considerar las salvaguardas

26

Caso de Estudio

Se identifican las salvaguardas existentes y se las valoriza en función

de la eficacia de la misma

Niveles de madurez

27

Caso de Estudio

Riesgo asociado a cada activo, considerando las salvaguardas

28

Caso de Estudio

Riesgo Repercutido

¿Qué es el PESI?

PLAN ESTRATÉGICO DE SEGURIDAD DE LA INFORMACIÓN (PESI)

Es un instrumento en donde se refleja secuencialmente y priorizados las

políticas, inversiones, recursos y necesidades del negocio relacionadas

con la Seguridad de la Información.

1. Identificar tareas actuales aplicados a S.I.

2. Identificar tiempos asociados a las tareas (1).

3. Identificar tiempos disponibles del personal de S.I.

4. Identificar la capacidad del personal de S.I.

¿Cómo armar e Implementar un PESI?


Segunda Etapa: Identificar Objetivos

1. Identificar tareas requeridas por normativa determinada.

2. Identificar tareas resultado de procesos controles y/o auditorias

previas.

3. Identificar tareas objeto de procesos ajenos a Seguridad de la

Información.

4. Identificar los niveles de implementación requeridos por el

negocio para cada tarea.

5. Proyectar/Identificar necesidades POST implementación de una

tarea.


Segunda Etapa: Identificar Objetivos


Tercera Etapa: Armado del PESI

1. Identificar los tiempos requeridos por cada tarea.

2. Identificar responsables de llevarla a cabo / su implementación.

3. Identificar los costos/recursos asociados.

4. Generar el Plan de Implementación y los requerimientos externos.


Cuarta Etapa: Implementación Exitosa

1. Sponsoreo de la Alta Dirección

2. Monitoreo de los avances

3. Gestión de los retrasos/desvíos

4. Adecuaciones oportunas

¡¡ SEGUIMIENTO CONTINUO !!

SEGURIDAD DE LA INFORMACIÓN

Servicios de consultoría en:

Normas de la serie ISO 27000, Ley de Protección de Datos

Personales, test de intrusión, Asesoramiento a Gerencias de

Seguridad de la Información (PESI basado en Riesgos), planes de

concientización (awareness), Computación forense, PCI/DSS,

MSSP, SIaaS, BCP (Business Continuity Plan) y DRP (Disaster

Recovery Plan) y otros servicios especializados del área, etc,

etc, etc ...

EJEMPLOS DE SERVICIOS DE BDO A.P.I.– CONSULTORÍA

NORMAS Y REGULACIONES LOCALES E INTERNACIONALES

Diagnóstico, asesoramiento y consultoría para el cumplimiento

de diferentes regulaciones y normativas, incluyendo entre las

principales: Secc. 404 de la Ley Sarbanes-Oxley, PCI-DSS, SSAE

16, ISAE 3402, ISO 20000, ISO 27000 y otras.

EJEMPLOS DE SERVICIOS DE BDO A.P.I.– CONSULTORÍA

NUESTROS ANTECEDENTES

Somos Centro de

Excelencia de LATAM.

¡MUCHAS GRACIAS!

Ing. Pablo Silberfich

SocioAseguramiento de Procesos Informáticos

Maipú 942 1°piso

Rondeau 1664, PB

Buenos Aires, Argentina

Tel.: 54 11 4106 7000

Fax: 54 11 4106 7255

www.bdoargentina.com

ISEC INFOSECURITY TOUR 2016 INFOSECURITY 2016... · relacionados con tecnología informática y...

Documents

Transcript of ISEC INFOSECURITY TOUR 2016 INFOSECURITY 2016... · relacionados con tecnología informática y...