Presentación Riesgo-UBA-bis
-
Upload
jose-german-rodriguez -
Category
Documents
-
view
294 -
download
0
Transcript of Presentación Riesgo-UBA-bis
Universidad de Buenos Aires
MAGERIT
Universidad de Buenos Aires
MAGERIT
“Análisis de Riesgo Tecnológico”
Lic. Raúl Castellanos, CISM
“Análisis de Riesgo Tecnológico”
Lic. Raúl Castellanos, CISM
Definiciones
El “The Institute of Internal Auditors” (The IIA) define al riesgo como:
“La Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto y probabilidad”
Definiciones
La “International Organization for Standarization ” (ISO) define al riesgo como:
“Combinación de la Probabilidad de un Evento y su Consecuencia”
ISO aclara que el término riesgo es generalmente usado siempre y cuando exista la posibilidad de pérdidas (resultado negativo)
Definiciones MAGERIT
Riesgo:“estimación del grado de exposición a que una amenaza se materialice sobre uno o más activoscausando daños o perjuicios a la Organización.”
Análisis de riesgos:proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización.
Gestión de riesgos:selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlarlos riesgos identificados.
Catalogo de
ElementosGuía Técnica
Método
MAGERIT
AGR
Método MAGERIT
Análisis de
Riesgo
Gestión de
Riesgo
EstructuraciónDel
Proyecto
Consejos y
Apéndices
Análisis de Riesgo
Análisis de Riesgo
�Identificación de Activos
�Identificación de Amenazas
�Medición de Impacto
�Determinación del Riesgo
�Salvaguardas
�Riesgo Residual
Activos de Información
Hardware
Software
Datos
Documentos
Proceso de Negocio
Hardware
Software
Datos
Documentos
Proceso de Negocio
Hardware
Software
Datos
Documentos
Proceso de Negocio
Amenazas
Definición:Todo fenómeno, acción o evento, intencional o accidental que produce un impacto negativo en los activos.
Valoración:Se valoran en función de la degradación que producen en los activos, la frecuencia con que pueden actuar y la intencionalidad.
Impacto
Definición:medida del daño sobre el activo derivado de la materialización de una amenaza
Tipos de impactoImpacto acumulado: calculado sobre un activo teniendo en cuenta su valor acumulado (el propio mas el acumulado de los activos que dependen de él)
Impacto repercutido: calculado sobre un activo teniendo en cuenta su valor propio y las amenazas a que están expuestos los activos de los que depende
Determinación del Riesgo
Definición:Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la frecuencia de ocurrencia.
Riesgo BrutoCorresponde al impacto y probabilidad de ocurrencia de una amenaza en un supuesto donde no existen controles ni salvaguardas implementadas.
Riesgo ResidualCorresponde al impacto y probabilidad de ocurrencia de una amenaza en donde existen controles y medidas de seguridad implementadas.
Gestión de Riesgo
�Interpretación del Riesgo
Residual
�Selección de salvaguardas
�Gestión de la Dirección –
Nivel de riesgo aceptable
Interpretación del Riesgo Residual
Impacto y riesgo residual son una medida del estado presente, entre la inseguridad potencial (sinsalvaguarda alguna) y las medidas adecuadas que reducen impacto y riesgo a valores despreciables.
Si la diferencia entre el riesgo bruto y el riesgo residual es nula, las salvaguardas existentes no cumplen ninguna función.
Es importante entender que un valor residual es sólo un número. Para su correcta interpretación debe venir acompañado de la relación de lo que se debería hacer y no se ha hecho.
Selección de Salvaguardas
Hay que planificar el conjunto de salvaguardas pertinentes para atajar tanto el impacto como el riesgo, reduciendo bien la degradación del activo (minimizando el daño), bien reduciendo la frecuencia de la amenaza (minimizando sus oportunidades).
salvaguardas técnicas : en aplicaciones, equipos y redes.salvaguardas físicas : protegiendo el entorno de trabajo de las personas y los equipos.medidas de organización : de prevención y gestión de las incidencias.política de personal : que, a fin de cuentas, es el eslabón imprescindible y más delicado.Es de sentido común que no se puede invertir en salvaguardas más allá del valor de los propios activos a proteger.
Gestión de la Dirección
La dirección de la Organización sometida al análisis de riesgos debe determinar el nivel de impacto y riesgo aceptable. Esta decisión no es técnica. Puede ser una decisión política o gerencial.
Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y acepta formalmente la Dirección.
Si el impacto y/o el riesgo están por encima de lo aceptable, se puede:
1. eliminar el activo; suena muy fuerte, pero a veces hay activos que, simplemente, no vale la pena mantener.
2. introducir nuevas salvaguardas o mejorar la eficacia de las presentes.
Estructuración del Proyecto
�Planificación�Modelo de Valor de los activos
�Identificación de amenazas�Evaluación de impacto potencial y residual
�Toma de decisiones para gestionar riesgo
�Elaboración Plan de Seguridad
Planificación
Participantes:– Comité de Dirección– Comité de Seguimiento– Equipo de Proyecto– Grupos de Interlocutores– Promotor– Director de Proyecto– Enlace Operacional
Planificación:– Se establecen las consideraciones necesarias para arrancar el
proyecto AGR.– Se investiga la oportunidad de realizarlo.– Se definen los objetivos que ha de cumplir y el dominio (ámbito) que
abarcará.– Se planifican los medios materiales y humanos para su realización.– Se procede al lanzamiento del proyecto.
Análisis de Riesgo
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados:
1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación.
2. Determinar a qué amenazas están expuestos aquellos activos.
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.
4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza.
Sobre todos los activos informáticos identificados, se realiza
una clasificación en base a la criticidad del activo para el
negocio, utilizando como medida a las tres componentes
principales de la Seguridad de la Información:
�Integridad
�Disponibilidad
�Confidencialidad
Modelo de Valor de los Activos
Clasificación de Activos Informáticos
Integridad:
Garantiza la exactitud y totalidad de la información y los procesos
Confidencialidad:
Garantiza que la información es accedida solo por personas autorizadas para ello.
Disponibilidad:
Garantiza que la información y los procesos estarán disponibles cuando así lo requiera la operación de la empresa.
La componente de integridad tiene la siguiente escala de valores:
En negocio no funciona si toma más de 3 horas restablecer la integridad.Crítico5
El negocio soporta hasta 24 horas para restablecer la integridad.Vital4
El negocio soporta hasta 48 horas para restablecer la integridad.Importante3
El negocio soporta hasta 1 semana para restablecer la integridad.Promedio2
El negocio no se ve afectado por la pérdida de la integridad.Bajo1
DescripciónRequerimientos de IntegridadValor
La componente de disponibilidad tiene la siguiente escala de valores:
En negocio no funciona sin el activo informático.Crítico5
El negocio soporta hasta 24 horas sin el activo informático.Vital4
El negocio soporta hasta 48 horas sin el activo informático.Importante3
El negocio soporta hasta 1 semana sin el activo informático.Promedio2
El negocio no se ve afectado por la pérdida del activo informático.Bajo1
DescripciónRequerimientos de DisponibilidadValor
La componente de confidencialidad tiene la siguiente escala de valores:
Incluye toda aquella información que puede presentar riesgos importantes para la Compañía.
Estrictamente Confidencial
5
Incluye toda aquella información que puede presentar riesgos para la compañía, y cuyo acceso debe ser expresamente autorizado por el responsable y restringido a un grupo reducido de usuarios que la necesite para el desarrollo de sus tareas habituales.
Confidencial
4
Incluye toda aquella información que se utiliza en las actividades laborales del día a día y que puede presentar riesgos mínimos para la compañía.
Interno3
Incluye toda aquella información que no representa riesgo significativo para la compañía.
Público1
DescripciónRequerimientos de ConfidencialidadValor
Sobre todos los activos informáticos identificados, se realiza
una clasificación en base a la criticidad del activo para el
negocio, utilizando como medida a las tres componentes
principales de la Seguridad de la Información, Confidencialidad,
Integridad y Disponibilidad:
Clasificación de Activos Informáticos
AmenazasAmenazas
Las amenazas pueden ser clasificadas en tres grandes grupos:
�Amenazas ambientales,
�Amenazas humanas: Internas, Externas, Estructuradas, No
estructuradas
�Amenazas tecnológicas.
Esta clasificación permite analizar, tomar medidas de seguridad e
implementar controles para tratar las amenazas en conjunto.
Identificación de Amenazas
Las amenazas ambientales tienen los siguientes riesgos
asociados:
Amenazas ambientales
Daño por erupción volcánicax
Daño sísmicox
Fuego Externox
Fuego Internox
Inundación externax
Inundación internaAmbientalesx
Riesgos AsociadosTipos de AmenazasINE
IE
ENE
EE
A
Las amenazas humanas tienen los siguientes riesgos
asociados:
Amenazas humanas
Modificación no autorizada de software / hardwarexxxx
Robo o acceso no autorizado de datosxxxx
Transferencia no autorizada de datosxxxx
Destrucción no autorizada de datos o softwarexxxx
Introducción de software malicioso, virus, etc.xxxx
Acceso físico no autorizadoxx
Uso de contraseñas débilesxx
Intrusión externaxx
Ataque de Denegación de servicio externox
Ataque de Denegación de servicio internox
Manejo inapropiado de datos sensiblesxxx
Errores de operación, falla u omisión de controlesxx
Uso no autorizado de recursosxxxx
Daños por alteración del orden publicoxxxx
Huelga de Empleadosxx
Terrorismo / Sabotajexx
Malversación de fondosxx
Abuso de confianzaxx
Hurto / Roboxxxx
Extorsión / SecuestroHumanasxx
Riesgos AsociadosTipos de AmenazasINE
IE
ENE
EE
A
Las amenazas tecnológicas tienen los siguientes riesgos
asociados:
Amenazas tecnológicas
Vulnerabilidades de softwarexxxx
Fallas en las conexiones con tercerosxxxx
Fallas en la red internaxx
Fallas en las aplicacionesxxxx
Fallas en los sistemas de basexx
Fallas en el hardwarex
Fallas en los sistemas de control ambientalxx
Cortes o alteraciones en el suministro eléctrico / UPSTécnicasxxxx
Riesgos AsociadosTipos de AmenazasINE
IE
ENE
EE
A
Evaluación de Riesgo Bruto y
Residual
Evaluación de Riesgo Bruto y
Residual
La matriz de impacto se define de acuerdo a las
características de la empresa:
Determinación de la Matriz de Impacto
Hay una pérdida sustancial en la participación de
mercado y en el valor de la marca y la reputación de la
organización, con publicidad adversa
prolongada; las alianzas estratégicas se desintegran
Suspensión de la autorización para operar
Impacto catastrófico en operaciones que afecta
seriamente la capacidad de la compañía para continuar con el negocio; mas de 48
horas sin servicio
Hay pérdida masiva de clientes; hay litigios contra las unidades de negocios
Más de $100 millonesCatastrófico
(5)
Hay una pérdida mayor en la participación de mercado y en el valor de la marca,
con publicidad adversa; las alianzas estratégicas están
amenazadas
El incumplimiento regulatorio resulta en
sanciones que pudieran afectar la capacidad de la organización para operar
Impacto mayor en operaciones que afecta
seriamente la capacidad de la compañía para atender a
sus clientes; hasta 48 horas sin servicio
Los reclamos de los clientes son masivos; hay
pérdida de carteraEntre $10 a $100 millones
Significativo (4)
Hay un impacto importante en el corto plazo en la
reputación y en el valor de la marca; difusión masiva y
corta
El incumplimiento regulatorio genera
sanciones que no afectan la capacidad de la
organización para operar
Impacto importante en operaciones, unidades de negocio sin servicio por
hasta 8 horas, pudiera ser percibido por el cliente
Los reclamos de los clientes son importantes;
hay pérdida menor de clientes
Entre $0,25 y $10 millonesModerado (3)
Hay un impacto menor en la reputación y en el valor de la marca; difusión leve
El incumplimiento regulatorio genera sanciones leves
Impacto menor en operaciones, no percibido
por el cliente. Las consecuencias pueden ser absorbidas dentro de las
operaciones normales
Los reclamos de los clientes son aislados
Entre $0,01 y $0,25 millones
Menor (2)
Sin impacto en el valor o reputación de la marca
El incumplimiento regulatorio no genera
sanciones
Sin impacto en las operaciones
Sin reclamo de clientesEntre $0 a $ 0,01 millonesInsignificante
(1)
Impacto en reputaciónImpacto RegulatorioImpacto en OperacionesImpacto en clientesImpacto en resultadosCategoría
La matriz de probabilidad de ocurrencia se define en base a
criterios establecidos por la empresa:
Determinación de la Matriz de Probabilidad
0,1Solo podría ocurrir en casos
excepcionalesCada diez años o mas
Improbable (1)
0,25No es muy probable que ocurra
Una vez cada 4 añosIncierto (2)
0,5Podría ocurrir algunas veces
Una vez cada 2 añosPosible (3)
0,75Probablemente ocurrirá en la mayoría
de las circunstanciasUna vez cada 1 año y 4 meses
Probable (4)
1
Se espera que ocurra en la mayoría de las circunstancias
Una vez al año o mas de una vez al año
Muy Probable (5)
Frecuencia anualizada
DescripciónProbabilidad
La matriz de riesgos se obtiene en base a la matriz de impacto
y a la matriz de probabilidad de ocurrencia:
Determinación de la Matriz de Riesgos
1000100100,2500,010
Impacto en
millones de USD
Catastrófico (5)Significativo (4)Moderado (3)Menor (2)Insignificante (1)Probabilidad Anualizada
Riesgo ExtremoRiesgo AltoRiesgo MedioRiesgo Bajo
Riesgo BajoImprobabl
e (1)0,01
Riesgo ExtremoRiesgo ExtremoRiesgo AltoRiesgo Medio
Riesgo BajoIncierto
(2)0,25
Riesgo ExtremoRiesgo ExtremoRiesgo AltoRiesgo Medio
Riesgo BajoPosible
(3)0,50
Riesgo ExtremoRiesgo ExtremoRiesgo AltoRiesgo Medio
Riesgo BajoProbable
(4)0,75
Riesgo ExtremoRiesgo ExtremoRiesgo ExtremoRiesgo
AltoRiesgo Medio
Muy Probable
(5)1,00
Riesgo Bruto y Riesgo Residual
No. Riesgos Asociados
Impa
cto
Pro
babi
lidad
de
ocur
renc
ia
Rie
sgo
Bru
to
Controles Existentes
Impa
cto
Pro
babi
lidad
de
ocur
renc
ia
Rie
sgo
Res
idua
l
Vulnerabilidades Conocidas
1
Extorsión / Secuestro 3 2 3,2 No hay controles 3 2 3,2
2 Hurto / Robo 4 2 4,2
Hay guardia en el edificio, alarma contra robo, acceso a oficinas con tarjeta magnética y los servidores están asegurados
4 1 4,1 La reposición de servidores toma 24 hs.
3
Abuso de confianza 3 4 3,4
Existen controles cruzados en la operación. Hay niveles de autorización por monto de transacción.
3 3 3,3 No hay procedimientos de chequeo al personal
4
Malversación de fondos 3 4 3,4
Existen controles cruzados en la operación. Hay niveles de autorización por monto de transacción. Solo el personal de Tesorería tiene acceso a la información de fondos.
3 3 3,3
No Hay monitoreo de crédito, bancario y de antecedentes del personal.
5
Terrorismo / Sabotaje 5 1 5,1 Hay guardias en el acceso al edificio. 5 1 5,1 El control en el
acceso es muy laxo
6
Huelga de Empleados 3 1 3,1 Hay un continuo monitoreo del clima laboral 3 1 3,1
Riesgos por amenazas humanas
Riesgos por Amenazas Ambientales
Riesgos por amenazas tecnológicas
Las medidas y controles de seguridad tienen como propósito:
�Eliminar el riesgo,
�Reducir el riesgo,
�Aceptar el riesgo,
�Trasladar / Transferir el riesgo,
�Incrementar el riesgo,
�Reducir el nivel de control o eliminar las respuestas a
riesgos.
Medidas y controles de Seguridad
Plan de Seguridad
� Se traducen las decisiones en acciones concretas.
� Se tomarán en consideración todos los escenarios de impacto y riesgo que se consideren críticos o graves.
� Se elaborará un conjunto de programas de seguridad que den respuesta a todos y cada uno de los escenarios analizados.
� Un programa de seguridad es una serie de tareas agrupadas para ganar eficiencia o por necesidades de interdependencia o por objetivos comunes. Cada programa debe detallar:
�Objetivo genérico
�Salvaguardas a implantar
�Relación de escenarios de riesgo que afronta
�Unidad responsable de su ejecución
�Recursos y costos
Consejos y Apéndices
�Consejos de valoración de activos y amenazas, selección de salvaguardas
�Apéndices•Glosario•Marco Legal•SGSI•Certificación•Herramientas
Activos• Tipos y ClasificaciónDimensiones de Valoración• Disponibilidad• Integridad• Confidencialidad• Autenticidad de los usuarios• Autenticidad de los datos• Trazabilidad del servicio• Trazabilidad de los datosCriterios de Valoración• Escalas estándar
Amenazas• Desastres naturales• De origen industrial• Errores y fallas no intencionales• Ataques intencionados• Correlación de errores y ataques
• Amenazas por tipo de activo
Salvaguardas• Para los servicios• Para los datos• Para el software• Para el hardware• Para las comunicaciones• Para el personal
Catalogo de Elementos
Informes• Modelo de valor• Mapa de riesgos• Evaluación de salvaguarda• Estado de riesgo• Informe de insuficiencias• Plan de seguridad
Análisis mediante tablas
• Modelo Cualitativo• Modelo Cuantitativo• Modelo escalonado
Árboles de Ataque
• Salvaguardas• Riesgo Residual
Técnicas Generales
• Análisis Coste-Beneficio• Diagramas flujo de datos• Diagramas de procesos• Planificación y diagramas GANTT, PERT, Pareto
• Valoracion Delphi
Guías Técnicas
Ejemplo Árbol de Ataque
Veamos un ejemplo ilustrativo sobre como usar fraudulentamente (sin pagar) un servicio de pago:1. Objetivo : usar sin pagar (OR)
1. suplantar la identidad de un usuario legítimo2. soslayar la identificación de acceso al servicio3. abusar del contrato (AND)
1. ser un usuario legítimo2. conseguir que no se facture el servicio (OR)
1. que no queden trazas de uso2. que se destruyan las trazas antes de facturación (OR)
1. las destruyo yo2. engaño al operador para que las borre3. manipulo del sw para que no las sume
3. repudiar las trazas4. dar datos de cargo falsos
EjercicioEjercicio
Los activos informáticos pertenecen a una industria de alimentos
La componente de integridad posee la siguiente valoración:
Valor Requerimientos de Disponibilidad Descripción
1 Bajo El negocio no se ve afectado por la pérdida de la integridad. 2 Promedio El negocio soporta hasta 1 semana para restablecer la integridad. 3 Importante El negocio soporta hasta 48 horas para restablecer la integridad. 4 Vital El negocio soporta hasta 24 horas para restablecer la integridad. 5 Crítico En negocio no funciona si toma más de 3 horas restablecer la integridad.
La componente de disponibilidad posee la siguiente valoración:
Valor Requerimientos de Disponibilidad Descripción
1 Bajo El negocio no se ve afectado por la pérdida del activo informático. 2 Promedio El negocio soporta hasta 1 semana sin el activo informático. 3 Importante El negocio soporta hasta 48 horas sin el activo informático. 4 Vital El negocio soporta hasta 24 horas sin el activo informático. 5 Crítico En negocio no funciona sin el activo informático.
La componente de confidencialidad posee la siguiente valoración:
Valor Requerimientos de Confidencialidad Descripción
1 Público Incluye toda aquella información que no representa riesgo significativo para la compañía.
3 Interno Incluye toda aquella información que se utiliza en las actividades laborales del día
a día y que puede presentar riesgos mínimos para la compañía.
4
Confidencial Incluye toda aquella información que puede presentar riesgos para la compañía, y cuyo acceso debe ser expresamente autorizado por el responsable y restringido a un grupo reducido de usuarios que la necesite para el desarrollo de sus tareas habituales.
5 Estrictamente Confidencial
Incluye toda aquella información que puede presentar riesgos importantes para la Compañía.
1. Clasifique los siguientes activos informáticos u tilizando las
escalas propuestas
Activo Informático Centro de Cómputos Plataforma Soportada I D C Total Sistema de Manejo de Personal Principal
WINDOWS
ERP - SAP Principal
UNIX
Proveedores Principal
UNIX
Consultas automáticas de Clientes por Teléfono Principal
UNIX
Correo Electrónico Principal
WINDOWS
Intranet Principal
WINDOWS
Ejercicio Riesgos asociados con Amenazas Ambientale s Indique qué salvaguardas, controles o medidas de protección implementaría para reducir la probabilidad en las amenazas 1, 2 y 3, y qué salvaguardas, controles o medidas de protección implementaría para reducir el impacto de las amenazas 4, 5 y 6, indicando el riesgo residual resultante.
No. Riesgos Asociados
Impa
cto
Pro
babi
lidad
de
ocur
renc
ia
Rie
sgo
Bru
to
Controles Existentes
Impa
cto
Pro
babi
lidad
de
ocur
renc
ia
Rie
sgo
Res
idua
l
Vulnerabilidades Conocidas
1
Inundación interna 5 3 5,3
2
Inundación externa 4 2 4,2
3
Fuego Interno 5 4 5,4
4
Fuego Externo 5 3 5,3
5
Falta de suministro eléctrico
5 3 5,3
6
Daño por erupción volcánica
4 3 4,3