Administracion de riesgos

6.762 visualizaciones

Publicado el

Administración de riesgos

Publicado en: Educación
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
6.762
En SlideShare
0
De insertados
0
Número de insertados
5.177
Acciones
Compartido
0
Descargas
19
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.
  • Administración del riesgo es un imtegral
  • Administración del riesgo es un imtegral
  • Administración del riesgo es un imtegral
  • When we look at information security, there are several types of risk a corporation needs to be aware of and address properly. The following items touch on the major categories
    Physical Damage: Fire, water, power loss, vandalism
    Human Error: Accidental or intentional action
    Equipment malfunction: Failure of system
    Inside and outside attacks: Hacking , cracking
    Misuse of data:Sharing trade secrets
    Loss od data: Intentional or unintentional loss
    Application error: Computation errors, input errors
    The threats need to be indentified, classified by category, and the actual magnitude of potential loss needs to be calculated. Real risk is hard to measure, but making priorities of the potential risks is attainable.
  • The information owner is usually a senior executive within the management group of the company. The information owner has the final corporate resposibility of data protection and would be the one held liable for any negligence when it comes to protecting the company’s information assets. The person who hold this role is responsible for assigning a classification to the information and dictating how the information should be protected.
    Information owner should dictate who can access resources and how much capacity users can possess pertaining to those resources. The security administration’s job is to make sure this happens. Administrative, technical and physical controls should be implemented to achieve this management directives.
    Administrative controls include the development and publication of policies, standards, procedures, and guidelines, the screeining of personnel, security awareness training, the monitoring of system activities, and change control procedures.
    Technical controls consist of logical access control mechanisms, password and resource management , identification and authentication methods, security devices, and configuration of the network
    Physical controls entail controlling individual access into the facility and different departments, locking systems and removing unnecessary floppy or CD-ROM drives, protecting the perimeter of the facility and so on.
  • Administracion de riesgos

    1. 1. Administración de Riesgos en Seguridad Informática
    2. 2. Objetivo Proveer información complementaria para la aplicación de la Administración de Riesgos en Ambientes Informáticos
    3. 3. Agenda  Qué es Administración de Riesgos?  Proceso de Administración de Riesgos
    4. 4. Qué es Administración de Riesgos? HHeerrrraammiieennttaa ggeerreenncciiaall qquuee aappooyyaa llaa ttoommaa ddee ddeecciissiioonneess oorrggaanniizzaacciioonnaalleess ffaacciilliittaannddoo ccoonn eelllloo eell ccuummpplliimmiieennttoo ddee llooss oobbjjeettiivvooss ddeell nneeggoocciioo
    5. 5. Qué es Administración de Riesgos? RRIIEESSGGOOSS PPrroocceessoo iitteerraattiivvoo bbaassaaddoo eenn eell ccoonnoocciimmiieennttoo,, vvaalloorraacciióónn,, ttrraattaammiieennttoo yy mmoonniittoorreeoo ddee llooss rriieessggooss yy ssuuss iimmppaaccttooss eenn eell nneeggoocciioo
    6. 6. Qué es Administración de Riesgos? AApplliiccaabbllee aa ccuuaallqquuiieerr ssiittuuaacciióónn ddoonnddee uunn rreessuullttaaddoo nnoo ddeesseeaaddoo oo iinneessppeerraaddoo ppooddrrííaa sseerr ssiiggnniiffiiccaattiivvoo eenn eell llooggrroo ddee llooss oobbjjeettiivvooss oo ddoonnddee ssee iiddeennttiiffiiqquueenn ooppoorrttuunniiddaaddeess ddee PPrroocceessoo PPrrooyyeeccttoo nneeggoocciioo UUbbiiccaacciióónn GGeeooggrrááffiiccaa UUnniiddaadd OOrrggaanniizzaacciioonnaall SSiisstteemmaa ddee IInnffoorrmmaacciióónn OOppoorrttuunniiddaadd
    7. 7. Proceso de Administración de Riesgos 1. Establecer Marco General 2. Identificar Riesgos 3. Análisis de Riesgos 4. Evaluar y Priorizar Riesgos 5. Tratamiento del Riesgo Monitorear y Revisar Monitorear y Revisar
    8. 8. Administración de Riesgos 1. Establecer Marco General 1.1. Entender el Entorno 1.2. Entender la Oganización 1.3. Identificar Criterios de Calificación 1.4. Identificar 1.4. Identificar O Obbjjeettooss C Crrítíticicooss
    9. 9. Administración de Riesgos 1. Establecer Marco General 1.1. Entender el Entorno 1.2. Entender la Oganización Análisis Externo Aspectos financieros, 1.3. Identificar Criterios de Calificación operacionales, competitivos, políticos (percepción / imagen), sociales, clientes, culturales y 1.4. Identificar 1.4. Identificar O Obbjjeettooss C Crrítíticicooss legales Stakeholders Objetivos Estrategias
    10. 10. Administración de Riesgos 1. Establecer Marco General MMeettooddoollooggííaa PPoollííttiiccaass 1.1. Entender el Entorno CCrriitteerriiooss ddee CCaalliiffiiccaacciióónn yy TTaabbllaass ddee VVaalloorraacciióónn UUnniivveerrssoo ddee OObbjjeettooss 1.2. Entender yy OObbjjeettooss la Oganización CCrrííttiiccooss PPrriioorriizzaaddooss 1.3. Identificar Criterios de Calificación 1.4. Identificar 1.4. Identificar O Obbjjeettooss C Crrítíticicooss
    11. 11. OObbjjeettoo 11 OObbjjeettoo 22 OObbjjeettoo 33 OObbjjeettoo nn CCrriitteerriioo 11 CCrriitteerriioo 22 CCrriitteerriioo 33 CCrriitteerriioo 44 CCrriitteerriioo 55 CCrriitteerriioo 66 CCrriitteerriioo 77 CCrriitteerriioo 88 CCrriitteerriioo nn Administración de Riesgos Qué y Cómo calificar - priorizar?
    12. 12. Administración de Riesgos Qué calificar - Objetos? Cómo dividir la organización?  Interés de la Dirección  Procesos – Subprocesos  Proyectos  Unidades Orgánicas  Sistemas - Aplicaciones  Geográficamente Lista de Objetos a los cuáles se les puede realizar Administración de Riesgos
    13. 13. Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT) Planeación estratégica de sistemas Desarrollo de sistemas Evolución o mantenimiento de sistemas Integración de paquetes de software Capacitación Proceso de datos en ambientes de trabajo en batch Atención a requerimientos de usuarios Administrar servicios de terceros (incluye outsourcing) Administración de proyectos Administración de la infraestructura informática Dirección y control del área de tecnología de información Administración de recursos materiales (equipo, tecnología e instalaciones) Administración de recursos humanos Administración de recursos financieros  Basado en Sistemas  Basado en Proyectos  Basado en Infraestructura
    14. 14. Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas Para un sistema en particular Programas – Archivos - Procedimientos Eventos - Entrada – Comunicación – Proceso – Salida - Distribución  Basado en Proyectos  Basado en Infraestructura
    15. 15. Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas  Basado en Proyectos A Productos Análisis al Proceso  Basado en Infraestructura
    16. 16. Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas Datos Sistemas de Información (Aplicaciones) Tecnología (Equipos – SW de base y SMBD – SW de Productividad – Metodologías) Instalaciones Recursos Humanos Elementos de Administración Recursos Financieros Proveedores  Basado en Proyectos  Basado en Infraestructura
    17. 17. Administración de Riesgos Cómo calificar – Criterios? • Pérdida financiera • Pérdida de imagen • Discontinuidad del negocio • Incumplimiento de la misión • Calidad del Control Interno • Competencia de la Dirección (entrenamiento, experiencia, compromiso y juicio) • Integridad de la Dirección (códigos de ética) • Cambios recientes en procesos (políticas, sistemas, o dirección) • Tamaño de la Unidad (Utilidades, Ingresos, Activos) • Liquidez de activos • Cambio en personal clave • Complejidad de operaciones • Crecimiento rápido • Regulación gubernamental • Condición económica deteriorada de una unidad • Presión de la Dirección en cumplir objetivos • Nivel de moral de los empleados • Exposición política / Publicidad adversa • Distancia de la oficina principal De Negocio IIA • Exposición financiera • Pérdida y riesgo potencial • Requerimientos de la dirección • Cambios importantes en operaciones, programas, sistemas y controles • Oportunidades de alcanzar beneficios operativos • Capacidades del persona
    18. 18. Administración de Riesgos Cómo calificar – Criterios Seguridad Informática Confidencialidad Los activos de un sistema computacional son accedidos solo por personas autorizadas El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la existencia de un objeto SECRETO, RESERVA, PRIVACIDAD Integridad Disponibilidad “SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS” Previene la divulgación no autorizada de datos
    19. 19. Administración de Riesgos Cómo calificar – Criterios Seguridad Informática Los activos pueden ser modificados solo por partes autorizadas o solo en formas autorizadas La modificación incluye escribir, cambiar, cambiar estados, borrar y crear PRECISIÓN, EXACTITUD, NO MODIFICADO, MODIFICADO SOLO EN FORMAS ACEPTABLES, MODIFICADO SOLO POR PERSONAS AUTORIZADAS, MODIFICADO SOLO POR PROCESOS AUTORIZADOS, CONSISTENCIA, CONSISTENCIA INTERNA, SIGNIFICADO Y RESULTADOS CORRECTOS ACCIONES AUTORIZADAS, SEPARACIÓN Y PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y Confidencialidad Integridad Disponibilidad CORRECCIÓN DE ERRORES “CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER CUALES RECURSOS EN QUE FORMAS” Previene la modificación no autorizada de datos
    20. 20. Administración de Riesgos Cómo calificar – Criterios Seguridad Informática Los activos son accesibles a partes autorizadas PRESENCIA DE OBJETOS O SERVICIOS EN FORMA UTIL, CAPACIDAD PARA CUMPLIR LAS NECESIDADES DE SERVICIO, TIEMPO DE ESPERA LIMITADO, TIEMPO DE SERVICIO Confidencialidad Aplica a datos y servicios ADECUADO RESPUESTA OPORTUNA, TOLEREANCIA A FALLAS, UTILIDAD, CONCURRENCIA CONTROLADA (Soporte para acceso simultáneo, administración de concurrencia y Integridad Disponibilidad acceso exclusivo) NEGACIÓN O REPUDIACIÓN DEL SERVICIO Previene la negación de acceso autorizado a INDEPENDENCIA - TRASLAPO datos
    21. 21. Administración de Riesgos 2. Identificar Riesgos 2.1. Establecer el Contexto de Administración de Riesgos 2.2. Desarrollar Criterios de Valoración de Riesgos 2.3. Definir la Estructura 2.4. Identificar riesgos 2.5. Identificar causas
    22. 22. Administración de Riesgos Seguridad Informática - Activos Hardware Software Datos Medios de almacenamiento Redes Acceso Gente clave
    23. 23. Administración de Riesgos Seguridad en Redes – Activos (Componentes)  Hardware Servidores, estaciones cliente, dispositivos de comunicación (router, bridge, hub, gateway, modem), dispositivos periférico, cables, fibras  Software (o Servicios) Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones, herramientas (administrativas, mantenimiento, backup), software bajo desarrollo  Datos De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-mail De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria, configuración y parámetros de la red De los usuarios: datos procesados personal, archivos de propiedad del usuario
    24. 24. Administración de Riesgos Seguridad en Redes - Riesgos R1 = Acceso no autorizado a la red o sus recursos R2 = Divulgación no autorizada de información R3 = Modificación no autorizada a datos y/o software R4 = Interrupción de las funciones de la red (no disponibilidad de datos o servicios) R4a = incluyendo perdida o degradación de las comunicaciones R4b = incluyendo destrucción de equipos y/o datos R4c = incluyendo negación del servicio R5 = Acciones engañosas en la red (no saber quien)
    25. 25. Information Security Risks  Physical Damage: Fire, water, power loss, vandalism  Human Error: Accidental or intentional action  Equipment malfunction: Failure of system  Inside and outside attacks: Hacking , cracking  Misuse of data:Sharing trade secrets  Loss od data: Intentional or unintentional loss  Application error: Computation errors, input errors
    26. 26. Administración de Riesgos 2. Cómo escribir Riesgos? CCoonncceeppttoo uussaaddoo ppaarraa eexxpprreessaarr iinncceerrttiidduummbbrree ssoobbrree ""ccoonnsseeccuueenncciiaass yy//oo eevveennttooss qquuee ppooddrrííaann lllleeggaarr aa iimmppaaccttaarr eell EEvveennttoo SSiittuuaacciióónn qquuee ppooddrrííaa lllleeggaarr aa ooccuurrrriirr eenn uunn lluuggaarr ddeetteerrmmiinnaaddoo eenn uunn mmoommeennttoo ddaaddoo CCaauussaa CCaauussaa llooggrroo ddee llooss oobbjjeettiivvooss"" EEvveennttoo pprriimmaarriioo ffuunnddaammeennttoo uu oorrííggeenn ddee uunnaa ccoonnsseeccuueenncciiaa EEvveennttoo pprriimmaarriioo ffuunnddaammeennttoo uu oorrííggeenn ddee uunnaa ccoonnsseeccuueenncciiaa RRiieessggoo RRiieessggoo CCoonncceeppttoo uussaaddoo ppaarraa eexxpprreessaarr iinncceerrttiidduummbbrree ssoobbrree ""ccoonnsseeccuueenncciiaass yy//oo eevveennttooss qquuee ppooddrrííaann lllleeggaarr aa iimmppaaccttaarr eell llooggrroo ddee llooss oobbjjeettiivvooss"" CCoonnsseeccuueenncciiaa CCoonnsseeccuueenncciiaa RReessuullttaaddoo ddee uunn eevveennttoo oo ssiittuuaacciióónn eexxpprreessaaddoo RReessuullttaaddoo ddee uunn eevveennttoo oo ssiittuuaacciióónn eexxpprreessaaddoo ccuuaalliittaattiivvaa oo ccuuaannttiittaattiivvaammeennttee ccuuaalliittaattiivvaa oo ccuuaannttiittaattiivvaammeennttee EEvveennttoo SSiittuuaacciióónn qquuee ppooddrrííaa lllleeggaarr aa ooccuurrrriirr eenn uunn lluuggaarr ddeetteerrmmiinnaaddoo eenn uunn mmoommeennttoo ddaaddoo
    27. 27. Administración de Riesgos 2. Cómo escribir Riesgos? CCoonncceeppttoo uussaaddoo ppaarraa eexxpprreessaarr iinncceerrttiidduummbbrree ssoobbrree ""ccoonnsseeccuueenncciiaass yy//oo eevveennttooss qquuee ppooddrrííaann lllleeggaarr aa iimmppaaccttaarr eell EEvveennttoo,, AAmmeennaazzaa CCaauussaa,, CCaauussaa,, llooggrroo ddee llooss oobbjjeettiivvooss"" EEvveennttoo pprriimmaarriioo oo SSiittuuaacciióónn EEvveennttoo pprriimmaarriioo oo SSiittuuaacciióónn RRiieessggoo RRiieessggoo CCoonncceeppttoo uussaaddoo ppaarraa eexxpprreessaarr iinncceerrttiidduummbbrree ssoobbrree ""ccoonnsseeccuueenncciiaass yy//oo eevveennttooss qquuee ppooddrrííaann lllleeggaarr aa iimmppaaccttaarr eell llooggrroo ddee llooss oobbjjeettiivvooss"" EEvveennttoo,, AAmmeennaazzaa CCoonnsseeccuueenncciiaa,, IImmppaaccttoo,, EExxppoossiicciióónn oo RReessuullttaaddoo CCoonnsseeccuueenncciiaa,, IImmppaaccttoo,, EExxppoossiicciióónn oo RReessuullttaaddoo ++
    28. 28. Administración de Riesgos Seguridad en redes – Impactos Significativos  Violación de la privacidad  Demandas legales  Perdida de tecnología propietaria  Multas  Perdida de vidas humanas  Desconcierto en la organización  Perdida de confianza
    29. 29. Administración de Riesgos Seguridad Informática - Amenazas  Naturales  Accidentales  Deliberadas
    30. 30. Administración de Riesgos Seguridad Informática – Amenazas Naturales Origen Amenaza directa Impacto inmediato Terremotos, Interrupción de potencia, R4, R4a, R4b tormentas temperatura extrema debido eléctricas a daños en construcciones, Fenómenos Perturbaciones R4, R4a astrofísicos electromagnéticas Fenómenos Muerte de personal crítico R4, R4c biológicos
    31. 31. Administración de Riesgos Seguridad Informática – Amenazas Accidentales Origen Amenaza directa Impacto inmediato Error del Usuario Error del Administrador Fallas de equipos Borrado de archivos, Formateo de drive, mal empleo de equipos, errores de entrada Configuración inapropiada de parámetros, borrado de información Problemas técnicos con servidores de archivos, servidores de impresión, dispositivos de comunicación, estaciones cliente, equipo de soporte (cintas de back-up, control de acceso, derrame de café) R3, R4 R1: R2, R3, R4, R5 R3, R4, R4b
    32. 32. Administración de Riesgos Seguridad Informática – Involucrados •Amateurs •Hackers • Empleados maliciosos • Rateros •Crackers • Vándalos •Criminales •Espías (gobiernos foráneos) • Terroristas
    33. 33. Administración de Riesgos Seguridad Informática – Vulnerabilidades Características o debilidades en el sistema de seguridad que pueden ser explotadas para causar daños o perdidas (facilitan la ocurrencia de una amenaza) • Interrupción: un activo se pierde, no está disponible, o no se puede utilizar • Intercepción: alguna parte (persona, programa o sistema de computo) no autorizada accede un activo • Modificación: una parte no autorizada accede y manipula indebidamente un activo • Fabricación: Fabricar e insertar objetos falsos en un sistema computacional
    34. 34. Administración de Riesgos Seguridad Informática – Vulnerabilidades Interrupción (Negación del Servicio) Intercepción (Robo) Hardware Actos Involuntarios/Accidentales – Intencionales/Voluntarios que limitan la disponibilidad Software Datos Destrucción Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas, Ataques físicos, Bombas Robo
    35. 35. Administración de Riesgos Seguridad Informática – Vulnerabilidades Hardware Software Datos Interrupción (Borrado) Intercepción Modificación Borrado accidental o destrucción de programas Robo - Copia ilícita de programas Causar fallas o errores Salvar una copia mala de un programa destruyendo una buena, Programas modificados (cambio de bits, de instrucciones – bombas lógicas, efectos colaterales) Caballos de Troya, Virus, Puerta falsa, Fuga de Información
    36. 36. Administración de Riesgos Seguridad Informática – Vulnerabilidades Hardware Software Datos Interrupción (Perdida) Intercepción Modificación Fabricación Robo Confidencialidad – líneas derivadas, recipientes de basura, soborno a empleados claves, inferencia, preguntando, compra Programas maliciosos – Técnica de salami, utilidades del sistema de archivos, facilidades de comunicación defectuosas Reprocesamiento de datos utilizados, adicionar registros en una base de datos
    37. 37. Administración de Riesgos 3. Analizar Riesgos 3.1. Valorar Riesgo Inherente 3.2. Determinar Controles Existentes 3.3. Identificar Nivel de Exposición Valorar el posible daño que puede ser causado
    38. 38. Administración de Riesgos Cómo valorar riesgo? Probabilidad x Impacto Frecuencia x Impacto $ Inherente Nivel de exposición Residual
    39. 39. Administración de Riesgos Controles en Seguridad Controles Administrativos Politícas, Estándares, Procedimientos, Guías, Entrenamiento Controles Técnicos Acceso lógico, controles, encripción, dispositivos de seguridad, Identificación y autenticación Controles físicos Protección de instalaciones, Guardias, candados, Monitoreo, Controles ambientales
    40. 40. Administración de Riesgos Controles en Seguridad Medidas protectoras – acciones, dispositivos, procedimientos o técnicas – que reducen una vulnerabilidad Encripción Conf. Integ. Disp. Interr. Interc. Mod. Fab. Administración de la Configuración (Control de Cambios a Programas) Políticas Controles de Hardware Controles Físicos (candados y guardas)
    41. 41. Monitorea r y Revisar Monitorea r y Revisar Valorar prioridades de riesgo Riesgo aceptable? SI Aceptar Transferir Evitar total o parcialmente Reducir NO consecuencia Reducir probabilidad Considerar factibilidad, costos y beneficios, y niveles de riesgo Recomendar estrategias de tratamiento Seleccionar estrategia de tratamiento Preparar planes de tratamiento para reducir, transferir o evitar el riesgo, financiando cuando sea apropiado Transferir Evitar total o parcialmente Reducir consecuencia Reducir probabilidad NORiesgo residual aceptable? SI Retener VALORAR Y PRIORIZAR RIESGOS IDENTIFICAR OPCIONES DE TRATAMIENTO EVALUAR OPCIONES DE TRATAMIENTO PREPARAR PLANES DE TRATAMIENTO IMPLEMENTAR PLANES DE TRATAMIENTO Riesgo residual no aceptable Porción retenida Porción transferida Asegurar la efectividad costo/beneficio de los controles
    42. 42. Administración de Riesgos Dónde invertir? Principio de la Adecuada Protección: Los ítems deben ser protegidos solo hasta que ellos pierden su valor y deben ser protegidos de manera consistente con su valor Hardware Software Datos Variables: Cantidad de involucrados Esfuerzo de Aseguramiento Valor del activo Duración del Activo Esfuerzo de detección de incidentes Impacto en los objetivos del negocio Efectividad de la medida Nivel de sofisticación Facilidad de uso
    43. 43. Bibliografía  Security in Computing – Charles P. Pfleeger – Prentice Hall  Network Security - Analysis and Implementation - January 1996 - MG-1 - http://www.cse.dnd.ca - Government of Canadá, Communications Security Establishment (CSE)

    ×