Upload
aranda-software
View
394
Download
0
Embed Size (px)
DESCRIPTION
Conozca la metodología para que las organizaciones definan una estrategia de gestión del riesgo, basados en los resultados de las mediciones de su impacto y de su probabilidad de ocurrencia.
Citation preview
Luis Carlos Arbesú Consultor de Preventa Especialista en Seguridad
Agenda
• Introducción • Riesgo • Análisis de Riesgos • Metodologías para el Análisis y Gestión de
Riesgos • Metodología NIST 800-30 • Manejo de Riesgos • Resumen • Riesgo Residual
EL PROBLEMA: • Darse cuenta que pasa, hasta que pasa. • Cuantificarlos económicamente, por ejemplo: ¿cuánto le cuesta a la compañía su base de datos? • Vincular directamente sus efectos sobre los resultados de la compañía LA SOLUCIÓN: • No es invertir gran cantidad de dinero. • Buenas prácticas administración y control. • Medición – auditoria – informática
Introducción
Es el potencial que dada una amenaza, esta explote una vulnerabilidad de un activo o de un grupo de activos y de esta forma cause daño en la organización
Riesgo
Es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.
Análisis de Riesgos
Metodologías para el Análisis y Gestión de Riesgos
Citicus One
CRAMM: “CCTA Risk Assessment and
Management Methodology”
ISO/IEC 27005
MAGERIT
OCTAVE (Operationally Critical Threat, Asset,
and Vulnerability Evaluation)
NIST SP 800-39
NIST SP 800-26/30 Mehari AS/NZS
Metodologías para el Análisis y gestión de Riesgos
Estas metodologías de análisis y gestión del riesgo hacen parte del ciclo de mejor continua PHVA dentro del SGSI
El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU. La misión del NIST consiste en elaborar y promover patrones de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida. NIST 800-30 Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información
NIST 800
NIST 800-30
Caracterización del sistema EN
TRA
DA
S • Activos de la organización
• Hardware
• Software
• Interfaces del sistema
• Información
• Personas
• Misión del sistema
SALI
DA
S • Caracterización de los sistemas de IT evaluados
• Definir el alcance del análisis de riesgos
Toda esta información se puede obtener a partir de cuestionarios, reuniones en sitio, herramientas automáticas de escaneo, etc.
Identificación de Amenazas
• Potencial de que una fuente de amenazas se aproveche o explote una vulnerabilidad especifica accidental o intencionalmente Amenaza
• Intención o método que puede explotar una vulnerabilidad. Estas pueden ser naturales, humanas, del ambiente, etc.
Fuente de Amenazas
• Falla o debilidad en los sistemas de seguridad de un sistema, diseño, implementación, control interno, etc., que puede ser aprovechada y resultar en una violación de la política de seguridad del sistema
Vulnerabilidad
Identificación de Amenazas
Hacker, Cracker
Criminales Terroristas
Espionage Industrial o
Intereses Extrangeros
Interno (Empleados enojados,
descuidados)
Desastres Naturales
Identificación de Vulnerabilidades
Evaluaciones previas de riesgos
Reportes de auditoria, reportes de revisión de la seguridad y reportes de evaluación y pruebas de sistemas
Listas de vulnerabilidades (NIST I-CAT)
Advertencias de seguridad (Federal Computer Incident Response Capability FedCIRC)
Advertencias de vendedores
Análisis de Vulnerabilidades y Pentesting
Reportes de anomalias del sistema
Análisis de Controles
Los controles pueden ser extrapolados de: - Políticas y guías de seguridad - Procedimientos de operación de los sistemas - Especificaciones de seguridad del sistema - Estándares y buenas practicas
Controles Técnicos
- Preventivos - Control de acceso - Antivirus - Mecanismos de identificación y autenticación - Firewalls - Encripción - Detectivos - Logs - IDS
Análisis de Controles
Controles Operacionales (personal, seguridad física, etc.) - Preventivos Entrenamiento y conciencia de la seguridad
Planes de contingencia, recuperación y emergencias - Detectivos
Revisiones de seguridad y auditorias Investigaciones
Controles administrativos - Revisiones de auditorias - Evaluaciones de riesgos - Reglas de comportamiento
Probabilidad de Ocurrencia
• La fuente esta altamente motivada y es lo suficientemente capaz y los controles no son efectivos Alta
• La fuente esta altamente motivada y es lo suficientemente capaz y los controles son efectivos. Media
• La fuente no tiene motivación o capacidad o existen controles para prevenir, impedir significativamente
Baja
Análisis de Impactos
• La integridad se pierde si cambios no autorizados son realizados al sistema o a los datos accidental o intencionalmente. Puede causar impacto similar a la perdida de disponibilidad. Puede ser el primer paso hacia una perdida de disponibilidad o confidencialidad
Integridad
• SI el sistema esta parcial o completamente no disponible para los usuarios autorizados puede afectarse la misión de la organización
Disponibilidad
• Protección de la información contra divulgaciones no autorizadas.
Confidencialidad
Análisis de Impactos
Determinación del Riesgo
Riesgo = Probabilidad X Impacto Probabilidad: Probabilidad de ocurrencia de un incidente o fallo en un periodo de tiempo determinado. Impacto: Impacto asociado a la ocurrencia de un incidente o fallo. Incluye pérdidas económicas, en productividad, en desempeño, en imagen organizacional, etc. y usualmente se expresa en dinero.
Determinación del Riesgo
Matriz de Riesgos
- Implementación de controles
- Documentación de amenazas, vulnerabilidades, riesgos
Manejo de Riesgos
• Eliminar la amenaza quitando la falla o vulnerabilidad
Eliminarlo
• Implementar controles que restringen el impacto de una amenaza
Reducirlo
• Pagándole a un tercero para que el asuma el riesgo por mi
Transferirlo
• El nivel de riesgo es muy bajo y cuesta mas la implementación del control que las repercusiones económicas.
Aceptarlo
Diseno
sistema
Activo
Falla o
debilidad? Explotable?
Existe
vulnerabilidad?
&
No hay
riesgo
No hay
riesgo
Existe
amenaza Motivacion?
Perdida
considerable?
Riesgo
inaceptable
Acepta
riesgo
Acepta
riesgo
Si
No No
No No
Si
Si Si Controles
Riesgo
Residual
Resumen
Es el riesgo latente luego de aplicar los controles apropiados
Riesgo Residual