Enviar búsqueda
Cargar
Dominio2
•
0 recomendaciones
•
95 vistas
1
1 2d
Seguir
Educación
Denunciar
Compartir
Denunciar
Compartir
1 de 67
Descargar ahora
Descargar para leer sin conexión
Recomendados
Análisis y gestion de riesgos
Análisis y gestion de riesgos
Universidad Tecnológica
Gestión de riesgos
Gestión de riesgos
revistadigital
Metodologia prima
Metodologia prima
Paolita Gomez
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
1426NA
Riesgos
Riesgos
César Augusto Céspedes Cornejo
Resumen controles 27003 2013
Resumen controles 27003 2013
Unidad Educativa San Juan Evangelista
análisis y gestión del riesgo
análisis y gestión del riesgo
Sindi Santos Cardenas
Guia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgos
MM CO
Recomendados
Análisis y gestion de riesgos
Análisis y gestion de riesgos
Universidad Tecnológica
Gestión de riesgos
Gestión de riesgos
revistadigital
Metodologia prima
Metodologia prima
Paolita Gomez
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
1426NA
Riesgos
Riesgos
César Augusto Céspedes Cornejo
Resumen controles 27003 2013
Resumen controles 27003 2013
Unidad Educativa San Juan Evangelista
análisis y gestión del riesgo
análisis y gestión del riesgo
Sindi Santos Cardenas
Guia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgos
MM CO
Gestión de riesgos
Gestión de riesgos
Karlita G Martín
Pasos para el análisis de riesgo en proyectos tecnológicos
Pasos para el análisis de riesgo en proyectos tecnológicos
Kary Garcia
Una introducción a la gestión de riesgos en proyectos complejos
Una introducción a la gestión de riesgos en proyectos complejos
Angel Gavin
Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2
Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2
Jack Daniel Cáceres Meza
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De Sistemas
Carmen Benites
Riesgosinformatica
Riesgosinformatica
Florencio Lara
Metodologia mosler
Metodologia mosler
Alejandra Valdez
Riesgo de ti
Riesgo de ti
Leo Gomez
Gestion de riesgo software
Gestion de riesgo software
Hector L
Gestion de Riesgos
Gestion de Riesgos
Universidad Dominicana OYM
Analisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
sgalvan
Analisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
Conferencias FIST
Gestión de riesgos en proyectos
Gestión de riesgos en proyectos
Guillermo Montero Fdez-Vivancos
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de software
Angel Reyes
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
edithua
Charla 3
Charla 3
Diany Gonzalez
Gestión del riesgo de software
Gestión del riesgo de software
jose_macias
Seguridad informatica infodasa
Seguridad informatica infodasa
Centro de Desarrollo de Competencias Digitales de Castilla-La Mancha
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
UNIVERSIDAD TECNICA PARTICULAR DE LOJA
Gestion Riesgos
Gestion Riesgos
Diego Celi
Dominio3
Dominio3
1 2d
Seguridad
Seguridad
Fipy_exe
Más contenido relacionado
La actualidad más candente
Gestión de riesgos
Gestión de riesgos
Karlita G Martín
Pasos para el análisis de riesgo en proyectos tecnológicos
Pasos para el análisis de riesgo en proyectos tecnológicos
Kary Garcia
Una introducción a la gestión de riesgos en proyectos complejos
Una introducción a la gestión de riesgos en proyectos complejos
Angel Gavin
Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2
Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2
Jack Daniel Cáceres Meza
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De Sistemas
Carmen Benites
Riesgosinformatica
Riesgosinformatica
Florencio Lara
Metodologia mosler
Metodologia mosler
Alejandra Valdez
Riesgo de ti
Riesgo de ti
Leo Gomez
Gestion de riesgo software
Gestion de riesgo software
Hector L
Gestion de Riesgos
Gestion de Riesgos
Universidad Dominicana OYM
Analisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
sgalvan
Analisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
Conferencias FIST
Gestión de riesgos en proyectos
Gestión de riesgos en proyectos
Guillermo Montero Fdez-Vivancos
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de software
Angel Reyes
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
edithua
Charla 3
Charla 3
Diany Gonzalez
Gestión del riesgo de software
Gestión del riesgo de software
jose_macias
Seguridad informatica infodasa
Seguridad informatica infodasa
Centro de Desarrollo de Competencias Digitales de Castilla-La Mancha
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
UNIVERSIDAD TECNICA PARTICULAR DE LOJA
Gestion Riesgos
Gestion Riesgos
Diego Celi
La actualidad más candente
(20)
Gestión de riesgos
Gestión de riesgos
Pasos para el análisis de riesgo en proyectos tecnológicos
Pasos para el análisis de riesgo en proyectos tecnológicos
Una introducción a la gestión de riesgos en proyectos complejos
Una introducción a la gestión de riesgos en proyectos complejos
Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2
Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De Sistemas
Riesgosinformatica
Riesgosinformatica
Metodologia mosler
Metodologia mosler
Riesgo de ti
Riesgo de ti
Gestion de riesgo software
Gestion de riesgo software
Gestion de Riesgos
Gestion de Riesgos
Analisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
Analisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
Gestión de riesgos en proyectos
Gestión de riesgos en proyectos
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de software
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
Charla 3
Charla 3
Gestión del riesgo de software
Gestión del riesgo de software
Seguridad informatica infodasa
Seguridad informatica infodasa
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Gestion Riesgos
Gestion Riesgos
Similar a Dominio2
Dominio3
Dominio3
1 2d
Seguridad
Seguridad
Fipy_exe
Curso Taller de Preparación para la Certificación (PMI- RMP)®- Realizar el an...
Curso Taller de Preparación para la Certificación (PMI- RMP)®- Realizar el an...
David Salomon Rojas Llaullipoma
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
Harold Morales
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
ffffffffe23
Taller EFC-Auditoría
Taller EFC-Auditoría
Luis Fernando Aguas Bucheli
Presentaciones Procesos Informaticos
Presentaciones Procesos Informaticos
Byron Zurita
Modelo Estándar de Control Interno.pptx
Modelo Estándar de Control Interno.pptx
jorgenieto81
Dominio5
Dominio5
1 2d
Conferencia del Ingeniero Ernesto Ng.pdf
Conferencia del Ingeniero Ernesto Ng.pdf
FedericoRodrguez27
Metodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgo
Diana Rodriguez
Cicyt
Cicyt
Roberto Valdes
Metodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgo
Diana Rodriguez
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
David Eliseo Martinez Castellanos
auditoria
auditoria
frankcq
Iso27001
Iso27001
frankcq
05 gestionseg
05 gestionseg
Roberto Moreno Doñoro
Trabajo analisisriesgo22
Trabajo analisisriesgo22
Yesslyn Sarmiento
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
DIFESAMU
ISE Soluciones Estratégicas
ISE Soluciones Estratégicas
Integración de Soluciones Estrategicas
Similar a Dominio2
(20)
Dominio3
Dominio3
Seguridad
Seguridad
Curso Taller de Preparación para la Certificación (PMI- RMP)®- Realizar el an...
Curso Taller de Preparación para la Certificación (PMI- RMP)®- Realizar el an...
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
Taller EFC-Auditoría
Taller EFC-Auditoría
Presentaciones Procesos Informaticos
Presentaciones Procesos Informaticos
Modelo Estándar de Control Interno.pptx
Modelo Estándar de Control Interno.pptx
Dominio5
Dominio5
Conferencia del Ingeniero Ernesto Ng.pdf
Conferencia del Ingeniero Ernesto Ng.pdf
Metodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgo
Cicyt
Cicyt
Metodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgo
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
auditoria
auditoria
Iso27001
Iso27001
05 gestionseg
05 gestionseg
Trabajo analisisriesgo22
Trabajo analisisriesgo22
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
ISE Soluciones Estratégicas
ISE Soluciones Estratégicas
Más de 1 2d
Notas clase
Notas clase
1 2d
Notas clase java ii
Notas clase java ii
1 2d
J2me
J2me
1 2d
6. control de acceso
6. control de acceso
1 2d
5. administracioìn de claves y certificados
5. administracioìn de claves y certificados
1 2d
4. certificados digitales
4. certificados digitales
1 2d
3. boletines de mensajes y firmas digitales
3. boletines de mensajes y firmas digitales
1 2d
2. criptografiìa con java
2. criptografiìa con java
1 2d
1. introduccioìn a la seguridad
1. introduccioìn a la seguridad
1 2d
1046 pdfsam opos informatica
1046 pdfsam opos informatica
1 2d
1203 pdfsam opos informatica
1203 pdfsam opos informatica
1 2d
878 pdfsam opos informatica
878 pdfsam opos informatica
1 2d
516 pdfsam opos informatica
516 pdfsam opos informatica
1 2d
1704 pdfsam opos informatica
1704 pdfsam opos informatica
1 2d
1893 pdfsam opos informatica
1893 pdfsam opos informatica
1 2d
516 pdfsam opos informatica
516 pdfsam opos informatica
1 2d
706 pdfsam opos informatica
706 pdfsam opos informatica
1 2d
330 pdfsam opos informatica
330 pdfsam opos informatica
1 2d
1 pdfsam opos informatica
1 pdfsam opos informatica
1 2d
1379 pdfsam opos informatica
1379 pdfsam opos informatica
1 2d
Más de 1 2d
(20)
Notas clase
Notas clase
Notas clase java ii
Notas clase java ii
J2me
J2me
6. control de acceso
6. control de acceso
5. administracioìn de claves y certificados
5. administracioìn de claves y certificados
4. certificados digitales
4. certificados digitales
3. boletines de mensajes y firmas digitales
3. boletines de mensajes y firmas digitales
2. criptografiìa con java
2. criptografiìa con java
1. introduccioìn a la seguridad
1. introduccioìn a la seguridad
1046 pdfsam opos informatica
1046 pdfsam opos informatica
1203 pdfsam opos informatica
1203 pdfsam opos informatica
878 pdfsam opos informatica
878 pdfsam opos informatica
516 pdfsam opos informatica
516 pdfsam opos informatica
1704 pdfsam opos informatica
1704 pdfsam opos informatica
1893 pdfsam opos informatica
1893 pdfsam opos informatica
516 pdfsam opos informatica
516 pdfsam opos informatica
706 pdfsam opos informatica
706 pdfsam opos informatica
330 pdfsam opos informatica
330 pdfsam opos informatica
1 pdfsam opos informatica
1 pdfsam opos informatica
1379 pdfsam opos informatica
1379 pdfsam opos informatica
Último
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
jlorentemartos
Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.
Alejandrino Halire Ccahuana
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Carlos Muñoz
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Demetrio Ccesa Rayme
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
Decaunlz
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
MaritzaRetamozoVera
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptx
olgakaterin
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...
JonathanCovena1
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
lclcarmen
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
Carlos Campaña Montenegro
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
Angélica Soledad Vega Ramírez
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
https://gramadal.wordpress.com/
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
PryhaSalam
Historia y técnica del collage en el arte
Historia y técnica del collage en el arte
Raquel Martín Contreras
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes d
stEphaniiie
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Fundación YOD YOD
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
Lourdes Feria
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
josetrinidadchavez
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
tapirjackluis
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
amayarogel
Último
(20)
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptx
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
Historia y técnica del collage en el arte
Historia y técnica del collage en el arte
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes d
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
Dominio2
1.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Dominio 2 Dominio 2 Gestión de Riesgos Gestión de Riesgos © Fundación DINTEL DOMINIO 2 – Pág. 1 © Miguel A. Rego Fenández, 2005
2.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Objeto del Dominio Definir los elementos que facilitan la identificación y gestión de los riesgos a los sistemas de información. © Fundación DINTEL DOMINIO 2 – Pág. 2 © Miguel A. Rego Fenández, 2005 El contenido de este área representa el 21% del examen CISM (aproximadamente 42 preguntas). Tareas : •Desarrollar proceso de gestión de riesgos sistemático, analítico y continuo •Asegurar que las actividades relacionadas con la identificación, análisis y gestrión del riesgo se encuentran integradas en el ciclo de vida de los procesos •Aplicar los métodos de análisis e identificación de riesgos •Definir estrategías y priorizar acciones para mitigar los riesgos a los niveles que sean aceptables por la compañía.
3.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Objetivos de análisis y gestión de riesgos: Identificar los riesgos que afectan a un sistema. Recomendar y desarrollar medidas técnicas que prevengan, impidan o controlen los riesgos identificados. Auditar el grado de seguridad del sistema y adaptar los mecanismos de control según avancen las técnicas o se descubran nuevos riesgos. © Fundación DINTEL DOMINIO 2 – Pág. 3 © Miguel A. Rego Fenández, 2005 La identificación y evaluación del riesgo conlleva: •La identificación de la amenaza real •Las posibles consecuencias de la realización de la amenaza •La frecuencia probable de ocurrencia de la amenaza •La posibilidad de que esa amenaza se lleve a cabo. Se han diseñado diversas metodologías, que bajo distintas formulaciones y procesos, ayudan a aportar cierto grado de certeza en la respuesta a estas cuestiones.
4.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Necesidad de metodología Amplio rango de amenazas El nivel de amenaza es difícil de identificar Las vulnerabilidades son difíciles de identificar Amplio abanico de soluciones de seguridad para diferentes negocios y entornos técnicos Se necesita un balance entre aspectos técnicos, físicos y procedimentales. © Fundación DINTEL DOMINIO 2 – Pág. 4 © Miguel A. Rego Fenández, 2005 Beneficios de la utilización de una metodología en el Análisis de Riesgos •Consistencia •Flexibilidad •Rigor •Auditabilidad •Existen herramientas de soporte: •Magerit, CRAMM, RA,..etc •Se debe conocer sus ventajas e inconvenientes •Transparencia en su ejecución
5.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Beneficios Facilita la justificación de inversiones en seguridad: Ratio coste-valor para seguridad Determina el R.O.I. en seguridad Ratio impacto-coste en seguridad Identifica los elementos mas críticos para el negocio y permite una inversión proporcional en seguridad. Identifica los elementos mas vulnerables de la organización. © Fundación DINTEL DOMINIO 2 – Pág. 5 © Miguel A. Rego Fenández, 2005 Uno de los objetivos de un análisis de riesgos es cuantificar el impacto de las amenazas potenciales poniendo un precio al valor o al coste de la perdida de funcionalidad del negocio. Los dos principales resultados de un AR (la identificación de los riesgos y la justificación coste/beneficio de las contramedidas) son de vital importancia para la creación de una estrategia de mitigación (gestión ) del riesgo. Hay muchas ventajas derivadas de la realización de un AR: •Se crea un ratio coste-valor para los elementos de protección •Ayuda a focalizar la seguridad en los recursos mas importantes o mas necesarios. •Puede influir en la toma de decisiones relacionada con la elección de los emplazamientos en que se ubicarán los sistemas de información que soportan los procesos de negocio.
6.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Beneficios Cuantifica las beneficios que aporta cada control en cada activo. Sirve como base para el desarrollo de los Planes de Seguridad. Sirve como base para la elaboración de los Planes de Continuidad del Negocio. © Fundación DINTEL DOMINIO 2 – Pág. 6 © Miguel A. Rego Fenández, 2005 La identificación del nivel de riesgo es importante para una adecuada selección de controles y salvaguardas de seguridad. El riesgo es una función de la probabilidad de que un determinada amenaza, a través de una determinada vulnerabilidad, provoque un evento (impacto) que afecta al normal funcionamiento de la organización. Esta circunstancia puede llevar a consecuencias no deseadas que afectan a la vida, a la salud, a las propiedades o al entorno.
7.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Preparación del Proyecto Recabar el apoyo de la dirección Seleccionar el equipo de trabajo Establecer el alcance del AR Identificar los actores a entrevistar © Fundación DINTEL DOMINIO 2 – Pág. 7 © Miguel A. Rego Fenández, 2005 •Apoyo de la dirección •Este es el elemento mas crítico, si la alta dirección no soporta el proceso el proyecto este no concluirá con resultados fiables. •Selección del equipo de trabajo •El equipo será responsable del desarrollo del proyecto y de analizar la información obtenida. Los miembros del equipo deben tener conocimientos, experiencia y habilidades suficientes. •Establecer adecuadamente el alcance •Se deberán incluir las áreas operacionales mas importantes, pero el alcance no debe ser demasiado grande. Si es demasiado extenso el equipo del proyecto tendrá dificultades para poder analizar toda la información. Si el ámbito de estudio es reducido, los resultados obtenidos podrían no ser significativos. •Identificar los actores •Serán aquellos miembros de la organización a los que será necesario entrevistar para facilitar la valoración de los activos, su interrelación, y la evaluación de los impactos.
8.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Obtención de Información Cuestionarios Entrevistas On-site Revisión de la documentación Herramientas automáticas de escaneo © Fundación DINTEL DOMINIO 2 – Pág. 8 © Miguel A. Rego Fenández, 2005 Obtención de información: Cuestionarios: Para la recogida de información relevante, el personal del equipo de análisis de riesgos puede desarrollar cuestionarios que permitan extraer información sobre como se han diseñado, implantado y se están operando los controles que se están utilizando en los Sistemas de Información. Los cuestionarios se utilizarán durante las visitas on-site y las entrevistas. Entrevistas On-site: Permiten la recogida de información útil sobre los sistemas de información. Las visitan también permiten la observación y recogida de información sobre los aspectos de seguridad relacionados con el control de acceso físico, el entorno, y las practicas operacionales. En sistemas que se encuentren en la fase de diseño posibilita de evaluación del entorno físico en el que el sistema IT operará. Revisión de la documentación: Las políticas, documentación del sistema y la documentación relacionada con la seguridad del sistema pueden aportar información relacionada con los controles de seguridad previstos y los que realmente son usados. El análisis de impactos y la valoración de activos aportará información relacionada con la criticidad y sensibilidad de los datos. Herramientas automáticas de escaneo: Pueden utilizarse para recoger información de manera eficiente.
9.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 GESTIÓN DE LA SEGURIDAD Política Política Análisis Análisis Requisitos Requisitos de de Principios Principios de de Legales Legales Seguridad Seguridad y Objetivos y Objetivos Riesgos Riesgos Contractuales Contractuales de la de la Información Información Seguridad Seguridad © Fundación DINTEL DOMINIO 2 – Pág. 9 © Miguel A. Rego Fenández, 2005 Requisitos y principios del negocio Cumplimiento de las políticas y normas de seguridad de la empresa Cumplimiento de los estándares del sector Outsourcing y contratos con terceros Requisitos legales y contractuales 1. Protección de datos personales y privacidad 2. Derechos de Propiedad intelectual y Copyright 3. Prevención del mal uso del equipamiento de tratamiento de la información 4. Regulación sobre criptografía 5. Contratos
10.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 PROCESO DE GESTIÓN DE SEGURIDAD Política de Política de Aspectos Aspectos Seguridad TI Seguridad TI Organizativos Organizativos Análisis yyGestión Análisis Gestión de Riesgos de Riesgos Implantación Implantación Salvaguardas Salvaguardas Seguimiento Seguimiento © Fundación DINTEL DOMINIO 2 – Pág. 10 © Miguel A. Rego Fenández, 2005 Es un proceso continuo, que debe adaptarse a la situación cambiante de la organización. El escenario de riesgos se modifica con la actividad de la organización.
11.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Fijar GESTIÓN DE LA objetivos SEGURIDAD Evaluar riesgos Requisitos legales Principios Definir controles Políticas Organización Tecnología Implantar controles © Fundación DINTEL DOMINIO 2 – Pág. 11 © Miguel A. Rego Fenández, 2005 ¿Cómo alcanzar un nivel de seguridad aceptable? Implantando un conjunto de controles: políticas, prácticas, procedimientos, estructuras organizativas y medidas técnicas Los controles deben establecerse para asegurar que se cumplen los objetivos específicos de seguridad (objetivos de control) de la Organización. La identificación de los controles que deben instalarse requiere una planificación cuidadosa. Son más baratos y eficaces si se incorporan en las fases tempranas de diseño del sistema. Fuentes para establecer los requisitos de Seguridad: •la valoración de los riesgos de la Organización. Con ella se identifican las amenazas a los activos, se evalúa la vulnerabilidad y la posibilidad de su ocurrencia y se estima su impacto potencial. •los requerimientos legales, estatutarios y contractuales que debe satisfacer la Organización, sus socios comerciales, los contratistas y los proveedores de servicios. •los principios, objetivos y requerimientos para el proceso de la información que soportan las operaciones de la Organización.
12.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 El Análisis de Riesgos El Análisis de Riesgos © Fundación DINTEL DOMINIO 2 – Pág. 12 © Miguel A. Rego Fenández, 2005
13.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 1-Análisis de Riesgo ¿QUE RIESGO? ¿COMO REDUCIRLO? 2-Gestión del Riesgo Plan de Plan de Continuidad Seguridad © Fundación DINTEL DOMINIO 2 – Pág. 13 © Miguel A. Rego Fenández, 2005
14.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 4 sub-procesos 1-Identificación/valoración de activos 2-Análisis 3-Análisis Amenazas Vulnerabilidades 4-Identificación y valoración de Riesgos Riesgos Asumibles Riesgos No Asumibles © Fundación DINTEL DOMINIO 2 – Pág. 14 © Miguel A. Rego Fenández, 2005 Al final de este proceso se obtendrá, para activo, una valoración del nivel de riesgo que tiene asociado. En función de que la Alta Dirección considere, o no, ese nivel aceptable, se alcanzaría un “riesgo asumible” o bien (si el riesgo no fuera asumible) habría que entrar en un proceso de gestión de riesgos.
15.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Fases (NIST) 1. Identificar y valorar los activos, identificar las dependencias 2. Identificar las de amenazas. 3. Identificar las vulnerabilidades. 4. Identificar controles ya implantados riesgo. © Fundación DINTEL DOMINIO 2 – Pág. 15 © Miguel A. Rego Fenández, 2005
16.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Fases (NIST) 5. Determinar la probabilidad. 6. Analizar los impactos 7. Determinar el nivel de riesgo . 8. Recomendar controles 9. Documentar. © Fundación DINTEL DOMINIO 2 – Pág. 16 © Miguel A. Rego Fenández, 2005
17.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Paso 1: Identificar y Valorar Activos El resultado de esta fase será: Identificar los activos que deberán ser evaluados Visión completa del entorno IT Definición de los límites del sistemas Valorar los activos Establecer sus relaciones. © Fundación DINTEL DOMINIO 2 – Pág. 17 © Miguel A. Rego Fenández, 2005 El primer paso es delimitar el alcance, identificar los limites del S.I. y los recursos y la información que comprende. La definición de los límites permiten identificar las autoridades: Operacionales Acreditación y delimitar el entorno: hardware software conectividad La proliferación de activos oscurece la interpretación del análisis: •Solo incluir los activos que soportan un riesgo apreciable •No se trata de modelar el universo al completo si no solo los activos de peso, los significativos •Si hay muchos elementos equivalentes es mejor tratarlos como colectivo (portátiles)
18.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Activos Recursos del sistema, o relacionados con éste, necesarios para que la Organización funcione correctamente según los objetivos marcados por la Dirección: Entorno Sistema de Información Información Procesos de la Organización Otros activos © Fundación DINTEL DOMINIO 2 – Pág. 18 © Miguel A. Rego Fenández, 2005 Un activo de información es un “Servicio de Negocio”: Un conjunto de Información Datos Aplicación Equipo(s) Servicio(s) Soporte(s) Persona(s) Agrupado de forma lógica Modelo, Estructura, Relaciones Negocio
19.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 AGRUPACIÓN AGRUPACIÓN Dependencia DE ACTIVOS DE ACTIVOS Información Información Según Jerarquía Sistema Sistema Efecto Edificación Edificación Virus Ordenadores Virus Ordenadores Según Amenaza ••PC1 PC1 ••PC2 PC2 ••Servidor Servidor Edificaciones Control Edificaciones Control ••Edificio1 Edificio1 accesos Edificio2 accesos ••Edificio2 Según Salvaguarda ••Despacho Despacho © Fundación DINTEL DOMINIO 2 – Pág. 19 © Miguel A. Rego Fenández, 2005 Los activos se encuentran interrelacionados entre sí de forma jerárquica, de modo que el fallo o disfunción en uno puedo afectar a otros. Es imprescindible identificar y establecer el mapa de relaciones entre activos para que el resultado del análisis de riesgos represente el mapa de riesgos real. Para cada proceso de negocio: Tipo de información: •Ordenador X con software Y •Habitación Z en el edificio U •Gente del grupo W
20.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Dependencias Activos Entorno Físico Datos Software Hardware Aplicación Sistemas Servicios de Redes de infraestructura Comunicaciones Empleados © Fundación DINTEL DOMINIO 2 – Pág. 20 © Miguel A. Rego Fenández, 2005 Las relaciones de dependencias viene dada por la correlación entre los diferentes activos. Valor acumulado= •Valor propio+Valor de los activos que dependen del activo •Ponderado en función del grado de dependencia Debe incluir: Coste del activo Coste del daño (en termino de negocio) Coste de la recuperación Debido a la dificultad de calculo (objetividad): Definir y elegir una escala de valoración Valores Tangibles (€) o Intangibles
21.
VALORACIÓN DE
VALORACIÓN DE ACTIVOS ACTIVOS Valoración estado Valoración intrínseca de Seguridad del del Activo: Activo (CID) Cualitativo: Valor de uso Cuantitativo: Valor de cambio © Fundación DINTEL DOMINIO 2 – Pág. 21 © Miguel A. Rego Fenández, 2005 La valoración cuantitativa asigna valores numéricos a los activos y a las perdidas potenciales. Cuando todos los elementos (activo, impacto, frecuencia de la amenaza, efectividad de las salvaguardas, costes de las salvaguardas y probabilidad ) son medidos y valorados el proceso se considerado “completamente cuantitativo”. Los resultados se expresan en términos económicos (euros). Un análisis de riesgos completamente cuantitativo no es posible porque en el proceso de elaboración siempre existen decisiones que deben basarse en estimaciones cualitativas. La diferencia entre el AR cualitativo y cuantitativo estriba en que el AR cuantitativo utiliza valores numéricos (por ejemplo en euros) al valorar los diferentes componentes del análisis de riesgos y de las perdidas potenciales, mientras el AR cualitativo utiliza valores intangibles. En la valoración cualitativa la importancia de las amenazas y la sensibilidad relativa de los activos permiten asignarles un valoración gradual, un ranking de importancia. La consecuencia es una valoración subjetiva con parámetros tales como “alto”, “medio” o “bajo”, o una escala de 0 a 5.
22.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Paso 2: Identificación de Amenazas Amenazas: eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos. La consecuencia de la materialización de una amenaza es un incidente que modifica el estado de seguridad de los activos. Amenaza Activo Activo Estado i Estado f © Fundación DINTEL DOMINIO 2 – Pág. 22 © Miguel A. Rego Fenández, 2005 El objetivo identificar las amenazas potenciales que pueden afectar al sistema de información que está siendo evaluado. Es importante considerar todas las amenazas potenciales que podrían dañar al Sistema y a su entorno de procesamiento. Por ejemplo, aunque una amenaza de inundación producida por causas naturales pudiera no afectar a un determinado sistema, que se encuentra ubicado en un emplazamiento en alto (una colina), por la baja probabilidad que se produzca ese evento, existe la posibilidad de que por causas accidentales se produzca una rotura en una tubería contra incendios, provocando daños a recursos y activos del sistema.
23.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 AMENAZAS Desastres Naturales Organización • Incendio • Falta de políticas • Inundación • Procedimientos inadecuados • Terremotos Tecnología Personas • Averías en el hardware • Huelgas • Fallos del software • Fraudes • Líneas de comunicación • Sabotajes • Fallos en las instalaciones • Errores y negligencias © Fundación DINTEL DOMINIO 2 – Pág. 23 © Miguel A. Rego Fenández, 2005 No existe una forma única de clasificar amenazas. Algunos criterios se basan en clasificarlas: •Por grupos de activos •Por impacto •Por el agente causante. •Por la propia naturaleza de la amenaza Amenazas naturales: Inundaciones, terremotos, tornados, deslizamientos de tierra, avalanchas, tormentas eléctricas, y otros. Amenazas Humanas : Eventos que pueden ser propiciados o producidos por los seres humanos pudiendo ser intencionados (ataques remotos en red, carga de software malicioso, acceso no autorizado a información confidencial) o no intencionados (entrada errores de datos, errores en la operación) Amenazas del Entorno: Fallos de alimentación eléctrica, polución, etc.
24.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Valoración de amenazas Las amenazas se valoran por su efecto sobre los activos afectados Frecuencia de ocurrencia Degradación Elaboración de árboles de ataques: Conjunción de desastres para que se de una amenaza: AND Amenaza provocada por diversas vías: OR © Fundación DINTEL DOMINIO 2 – Pág. 24 © Miguel A. Rego Fenández, 2005 Factores que afectan a la probabilidad de la materialización de una amenaza: •Experiencia previa •Tendencias generales •Motivación ( ataques deliberados) •Condiciones de trabajo (amenazas deliberadas e intencionales ) Frecuencia de ocurrencia: •Cuantas veces sucede (ARO) Degradación: •Daño causado •Porcentaje del valor del activo que costará devolverlo al estado previo.
25.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Paso 3: Identificación vulnerabilidades La Vulnerabilidad de un Activo es la posibilidad (≠ probabilidad) de ocurrencia de la materialización de una Amenaza sobre el Activo. Amenaza Vulnerabilidad Activo Agresión © Fundación DINTEL DOMINIO 2 – Pág. 25 © Miguel A. Rego Fenández, 2005 El análisis de amenazas que afectan a un sistema debe incluir el análisis de las vulnerabilidades asociadas con el entorno del sistema. El objetivo de es desarrollar una lista de las vulnerabilidades del sistema (defectos o debilidades) que pueden ser explotadas por las fuentes de amenazas potenciales.
26.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Paso 3: Identificación vulnerabilidades Pruebas de Seguridad en el Sistema Herramientas de análisis de vulnerabilidades Evaluación y Pruebas de Seguridad (Security Test and Evaluation-ST&E) Tests de Penetración © Fundación DINTEL DOMINIO 2 – Pág. 26 © Miguel A. Rego Fenández, 2005 Pruebas de Seguridad Métodos proactivos que pueden ser utilizados para identificar de forma eficiente las vulnerabilidades. Se pueden realizar de forma recurrente en función de la criticidad del sistema y de la disponibilidad de recursos. Estas pruebas pueden ser: •Herramientas de análisis de vulnerabilidades: Se emplean típicamente para escanear un grupo de hosts, o de redes, en busca de vulnerabilidades en los servicios (por ejemplo el sistema permite realizar FTP anónimos, o reencamina sendmail). Alguna de las vulnerabilidades potenciales que se hayan localizado podrían no representar vulnerabilidades reales en el contexto de funcionamiento del sistema, produciendo lo que se conoce como “falsos positivos”. •Evaluación y Pruebas de Seguridad (ST&E) ST&E es otra técnica que puede ser utilizada por identificar vulnerabilidades en el sistema durante el proceso de análisis de riesgos. Incluyen el desarrollo y la ejecución de planes de prueba. El objetivo es verificar la efectividad de los controles de seguridad de un sistema dentro de un entorno de explotación determinado, asegurando que los controles aplicados cumplen las políticas de la organización y reúnen los estándares de la industria. •Tests de Penetración Se usan para complementar las revisiones de los controles con objeto de determinar si los sistemas son seguros siguiendo una aproximación similar a la que seguida por usuarios externos. Con estas pruebas se puede evaluar el sistema desde el punto de vista del origen o fuente de las amenazas, determinando el grado de dificultad real que supondría la materialización de una amenaza.
27.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Paso 3: Identificación vulnerabilidades Desarrollo de listas de comprobación de requisitos de seguridad Gestión Operaciones Áreas Técnicas © Fundación DINTEL DOMINIO 2 – Pág. 27 © Miguel A. Rego Fenández, 2005 Desarrollo de listas de comprobación de requisitos de seguridad Una lista de comprobación de seguridad contiene los elementos y parámetros básicos que deben ser usados para identificar vulnerabilidades en los activos, en los procedimientos manuales, en los procesos, y en las transferencias de información que afectan a un sistema dentro de las áreas de: •Gestión •Operaciones •Técnicas Se determinará si los requisitos de seguridad establecidos para el sistema durante la fase de diseño se están alcanzando por los actuales controles de seguridad, o por los que están planificados. El resultado de esta fase será la obtención de una lista de vulnerabilidades del sistema relacionadas con las potenciales amenazas que pudieran hacer uso de ellas.
28.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Paso 4: Análisis de Controles El objetivo es analizar los controles implantados, o previstos, y la forma en que actúan minimizando o eliminando la probabilidad de ocurrencias de amenazas sobre las vulnerabilidades detectadas. © Fundación DINTEL DOMINIO 2 – Pág. 28 © Miguel A. Rego Fenández, 2005 Controles Los controles de seguridad pueden apoyarse en métodos técnicos o no técnicos. Los controles técnicos son salvaguardas que se incorporan en el hardware, software, o firmware (por ejemplo, mecanismos de control de acceso, de identificación, de autenticación, métodos de cifrado, software de detección de intrusos). Los controles no técnicos son controles operacionales, o de gestión, tales como: políticas de seguridad, procedimientos operacionales, procedimientos de seguridad física, de las personas o del entorno. Clasificación de los Controles Controles Preventivos. Inhiben los intentos de violar la política de seguridad. Incluyen controles de control de acceso, cifrado y autenticación. Controles Detectivos. Notifican las violaciones, o los intentos de violación de la política de seguridad. Están comprendidos en este apartados los métodos de detección de intrusos y las pistas de auditoria. La implantación de los controles durante el proceso de Gestión de Riesgos es el resultado de la identificación de deficiencias en los controles actuales o planificados (por ejemplo, controles que no se han activados o no se han implantado correctamente) El desarrollo de un lista de comprobación de seguridad facilitará que el análisis de los controles se realice de forma sistemática y eficiente. Esta lista puede ser empleada para validar el cumplimiento o no cumplimiento, por lo que debe estar actualizada reflejando los cambios que se hayan producido en el entorno de controles (por ejemplo, cambios en la política de seguridad, métodos y requisitos). Como resultado de esta fase se debe obtener una lista de de los controles que realmente están siendo utilizados en la organización.
29.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Paso 5: Determinación de la Probabilidad Cálculo de la probabilidad de que una vulnerabilidad potencial pueda ser utilizada por una amenaza. © Fundación DINTEL DOMINIO 2 – Pág. 29 © Miguel A. Rego Fenández, 2005 Se deberán considerar los siguientes factores: •Capacidad y nivel de motivación de la fuente de amenaza •Naturaleza de la vulnerabilidad •Existencia y efectividad de los controles actuales La probabilidad de que una vulnerabilidad potencial pueda ser aprovechada por una fuente de amenazas determinada puede ser descrita cualitativamente como alta, media o baja.
30.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Paso 6: Análisis del Impacto Impacto es la consecuencia sobre un Activo de la materialización de una Amenaza. Activo Amenaza Estado i Agresión Impacto Activo Estado f © Fundación DINTEL DOMINIO 2 – Pág. 30 © Miguel A. Rego Fenández, 2005 Para hacer un análisis del impacto es necesario obtener los siguientes datos: •Misión del sistema (por ejemplo, los procesos asociados con el sistema de información) •Criticidad del sistema y de los datos (por ejemplo, el valor o importancia del sistema para la organización) Ej.: Interrupción del servicio, responsabilidades legales, pérdida económica, y de imagen
31.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Estimación Potencial de Perdidas Para estimar las perdidas potenciales incurridas por una amenaza se debe valorar los activos mediante cualquiera de las técnicas de valoración posibles. Este proceso da como resultado la posibilidad de asignar a cada activo un valor financiero para el calculo del EF y el SLE. © Fundación DINTEL DOMINIO 2 – Pág. 31 © Miguel A. Rego Fenández, 2005
32.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 EF Exposure factor (EF) representa el porcentaje de perdida que una amenaza provocará sobre un activo concreto. Es necesario para el cálculo del Single Loss Expectancy (SLE), que es necesario para el cálculo del Annualized Loss Expectancy (ALE). © Fundación DINTEL DOMINIO 2 – Pág. 32 © Miguel A. Rego Fenández, 2005 EF puede dar un valor, en porcentaje, pequeño como podría ser el efecto de la perdida de un elemento hardware específico, o podría dar una valor de porcentaje alto como la perdida catastrófica de todos los recursos de computación de un CPD.
33.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 SLE Single Loss Expectancy (SLE) es la valoración económica expresa en dólares (euros) que se asigna a un determinado evento.Representa la perdida originada por ese evento. Se calcula a partir de la fórmula: SLE= Asset Value ($) × Exposure Factor (EF) © Fundación DINTEL DOMINIO 2 – Pág. 33 © Miguel A. Rego Fenández, 2005 Por ejemplo, un activo valorado en $100,000 sometido a un factor de exposición EF del 30 por ciento tendría un SLE de $30,000. Aunque este valor es calculado para identificar el Annualized Loss Expectancy (ALE), podría ser también utilizado para calcular el impacto producido por un evento en los cálculos realizados para obtener un Business Impact Assessment (BIA).
34.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 ARO Annualized Rate of Occurrence (ARO) representa la frecuencia estimada por el que que puede ocurrir una amenaza. Este parámetro solo considera la posibilidad de que suceda el evento, no tiene en cuenta las perdidas que se puedan originar como consecuencia. © Fundación DINTEL DOMINIO 2 – Pág. 34 © Miguel A. Rego Fenández, 2005 Por ejemplo, el hecho de que una meteorito dañe el Centro de Proceso de Datos es de una vez cada 100,000 años, el ARO será de 0.00001. A su vez 100 accesos al sistema, se estima que al menos seis constituirán intentos de acceso no autorizados, siendo el valor del ARO de 600.
35.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 ALE Annualized Loss Expectancy (ALE) es un valor económico expresado en dólares (euros) calculado a partir de la formula: ALE = Single Loss Expectancy (SLE) × Annualized Rate of Occurrence (ARO) © Fundación DINTEL DOMINIO 2 – Pág. 35 © Miguel A. Rego Fenández, 2005
36.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Paso 7: Determinación del Riesgo Activo Activo Amenaza Amenaza Tien sa e Cau Frecuencia de Afectado materialización Impacto Impacto Vulnerabilidad Vulnerabilidad Contribuye Riesgo Riesgo © Fundación DINTEL DOMINIO 2 – Pág. 36 © Miguel A. Rego Fenández, 2005 Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización. El Riesgo calculado es un indicador ligado a los valores calculados de la Vulnerabilidad y el Impacto, ambos derivados de la relación entre el Activo y la Amenaza a las que el Riesgo calculado se refiere. El objetivo de este paso es determinar el valor de riesgo del sistema. La determinación del riesgo asociada a una determinada amenaza/vulnerabilidad puede ser expresada en función de los siguientes factores: •La probabilidad de que una fuente de amenaza actúe sobre una determinada vulnerabilidad •La magnitud del impacto producido por una amenaza a través de una vulnerabilidad •La eficiencia de los controles planeados o existentes para reducir o eliminar un riesgo determinado. Con objeto de hacer una valoración del nivel de riesgo es necesario desarrollar una escala, o una matriz, de niveles de riesgo. Las determinación final del riesgo se obtendrá mediante el producto de la probabilidad de una amenaza por el calculo del impacto o perdida producida.
37.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Tipos: Riesgo calculado intrínseco: se define o calcula antes de aplicar salvaguardas. Riesgo calculado efectivo: se define o calcula después de aplicar salvaguardas. Umbral de riesgo: valor establecido como base para decidir por comparación si el Riesgo calculado es asumible o aceptable. Riesgo calculado residual: el que finalmente es asumido. © Fundación DINTEL DOMINIO 2 – Pág. 37 © Miguel A. Rego Fenández, 2005
38.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Métodos de Valoración METODOS: Matricial, Sumando, Multiplicando Quien y como se valora (describir y entender las variables, escalas y métodos) No se busca un Valor ABSOLUTO, sino un valor RELATIVO para poder clasificar y priorizar los actuaciones Nivel de SEGURIDAD a asegurar Independiente de los resultados, reflexionar sobre: Casos donde un Riesgo pueda resultar infravalorado © Fundación DINTEL DOMINIO 2 – Pág. 38 © Miguel A. Rego Fenández, 2005 Existen varios métodos de calculo del valor de los riesgos: Riesgo = Función de Vact,Vame,Vul y del impacto en la Confidencialidad, Integridad y Disponibilidad Vac =Valor Activo ( Escala) Impacto, Daño, Recuperación: Cualitativo, Cuantitativo Vame= Nivel de la Amenaza (Escala) Probabilidad para ocurrir Vvul = Nivel de la Vulnerabilidad (Escala) Facilidad en ser explotada por una amenaza METODOS: Matricial, Sumando, Multiplicando Quien y como se valora (describir y entender las variables, escalas y métodos) No se busca un Valor ABSOLUTO, sino un valor RELATIVO para poder clasificar y priorizar los actuaciones Nivel de SEGURIDAD a asegurar Independiente de los resultados, reflexionar sobre: Casos donde un Riesgo pueda resultar infravalorado!
39.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Definición de escalas Definición de escalas: De forma clara, evitando ambigüedades Completa No sujeto a subjetividad Sin decimales ( o valores intermedios) Probabilidad ¿Definición ¿Definición Mala? buena? Alto 2 +2 veces al Muchas veces año Medio 1 1 vez al año Pocas veces Bajo 0 Improbable Raras veces © Fundación DINTEL DOMINIO 2 – Pág. 39 © Miguel A. Rego Fenández, 2005
40.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Método: Matriz sencilla Valor del Riesgo: de 0 a 4 Nivel Amenaza Bajo Alto Nivel Bajo Alto Bajo Alto Vulnerabilidad Valor Bajo 0 1 2 3 Activo Alto 1 2 3 4 © Fundación DINTEL DOMINIO 2 – Pág. 40 © Miguel A. Rego Fenández, 2005
41.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Método: Matriz normal Valor del Riesgo: de 0 a 8 Nivel Amenaza Bajo Medio Alto Nivel Vulnerabilidad B M A B M A B M A Valor 0 0 1 2 1 2 3 2 3 4 Activo 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 © Fundación DINTEL DOMINIO 2 – Pág. 41 © Miguel A. Rego Fenández, 2005
42.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Método: Por orden y medición del riesgo Valor del Riesgo: de 0 a 25 Amenaza Impacto Probabilidad Medición Orden Ocurrencia Riesgo Ame. A 5 2 10 2 Ame. B 2 4 8 3 Ame. C 3 5 15 1 Ame. D 1 3 3 5 Ame. E 4 1 4 4 Ame. F 2 4 8 3 © Fundación DINTEL DOMINIO 2 – Pág. 42 © Miguel A. Rego Fenández, 2005
43.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 La Gestión de Riesgos La Gestión de Riesgos © Fundación DINTEL DOMINIO 2 – Pág. 43 © Miguel A. Rego Fenández, 2005
44.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 3 sub-procesos Riesgos Riesgos Gestión del Riesgo asumibles NO asumibles 1-Reducción del riesgo Riesgos Riesgos Negocio Legal Residuales Requisitos de Seguridad 2-Identificación y selección Controles de controles Actuales 3-Aceptación del Riesgo residual © Fundación DINTEL DOMINIO 2 – Pág. 44 © Miguel A. Rego Fenández, 2005
45.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Reducción del riesgo 1-Evitar el riesgo 2-Transferir el riesgo 3-Reducir el riesgo 4-Asumir el riesgo © Fundación DINTEL DOMINIO 2 – Pág. 45 © Miguel A. Rego Fenández, 2005 La forma de abordar el riesgo para su reducción depende de: •Política de Seguridad •Entorno y circunstancias del negocio •Estado de la tecnología •Definición del objetivo del control
46.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Impacto Impacto Vulnerabilidad Vulnerabilidad Riesgo Riesgo Reduce Reduce Decisión Curativo Control Control Preventivo © Fundación DINTEL DOMINIO 2 – Pág. 46 © Miguel A. Rego Fenández, 2005
47.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Depende Depende Activo Activo Amenaza Amenaza Tien sa e Cau Frecuencia de Afectado materialización Impacto Impacto Vulnerabilidad Vulnerabilidad Contribuye Riesgo Riesgo Reduce Reduce Función/Servicio Función/Servicio Curativa Curativa Preventiva Preventiva Protegido Mecanismo Mecanismo © Fundación DINTEL DOMINIO 2 – Pág. 47 © Miguel A. Rego Fenández, 2005
48.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 CONTROLES Control: Cualquier actividad para prevenir o corregir errores o irregularidades que pueden afectar al funcionamiento de un S.I. Completos Simples Fiables Revisables Rentables Adecuados © Fundación DINTEL DOMINIO 2 – Pág. 48 © Miguel A. Rego Fenández, 2005 •Controles en aplicaciones •Entrada de Datos •Tratamiento de Datos •Salida de Datos •Controles específicos de ciertas tecnologías •Sistemas de Gestión de Bases de Datos •Informática distribuida •Ordenadores Personales •Redes de Área Local
49.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 CONTROLES Controles generales organizativos Políticas Planes Controles de desarrollo, adquisición y mantenimiento. Metodología del ciclo de vida de desarrollo Explotación y Mantenimiento Controles de Explotación Planificación y gestión de recursos Uso efectivo de los recursos Seguridad Física y Lógica © Fundación DINTEL DOMINIO 2 – Pág. 49 © Miguel A. Rego Fenández, 2005 Identificar y seleccionar los controles Identificar los requerimientos de Seguridad las 3 fuentes de requerimientos Empresariales Reducción de riesgos Legales Identificar y seleccionar los controles de seguridad que aplican y sus objetivos Manual, automatizado, herramientas, etc... MEDIDAS DE SEGURIDAD
50.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 CONTROLES Control Características Ejemplos Impedir problemas antes de que Empleo de personal cualificado ocurran Segregación de funciones Visualizar entradas y operaciones Control de accesos a las áreas de riesgo Preventivos Procurar predecir potenciales Uso de documentos bien diseñados problemas antes de que ocurran Procesos adecuados de autorización de las Evitar errores, omisiones y actos transacciones maliciosos Control informatizado de accesos al sistema Detectan cuando se ha producido un Totales de control (hash totals) error, una omisión o un acto indebido, e Puntos de control en tareas de producción. informan de ello (Check points) Detectivos Control de eco en las telecomunicaciones Control duplicado de los cálculos Funciones de auditoría interna Minimizan el impacto de una amenaza Planes de contingencia Remedian problemas identificados Procedimientos de copias de seguridad mediante un control detectivo Identifican la causa de un problema Procesos de re-ejecución (re-run) Correctivos Corrigen errores surgidos como consecuencia de un problema Modifican los sistemas de proceso para evitar futuras repeticiones del mismo problema © FAST © Fundación DINTEL DOMINIO 2 – Pág. 50 © Miguel A. Rego Fenández, 2005
51.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 CONTROLES Interrelación de controles: Compensatorios Solapados © Fundación DINTEL DOMINIO 2 – Pág. 51 © Miguel A. Rego Fenández, 2005
52.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Paso 8: Recomendación de Controles El objetivo es reducir el nivel de riesgo hasta un nivel aceptable. Los siguientes factores deben considerarse al recomendar controles para minimizar o eliminar riesgos identificados: Eficiencia de las opciones recomendadas (por ejemplo, compatibilidad con el sistema) Adecuación con la legislación y las normas de aplicación. La política organizativa El impacto en la operación Fiabilidad y seguridad © Fundación DINTEL DOMINIO 2 – Pág. 52 © Miguel A. Rego Fenández, 2005 Las recomendación de controles es el resultado del proceso de valoración de riesgos y constituye el punto de partida para el proceso de mitigación. Durante ese proceso los controles se seguridad técnicos o procedimentales son evaluados, priorizados e implantados. No todos los controles pueden ser implantados para reducir el riesgo de perdidas. Para seleccionar que controles van a ser realmente implantados es necesario realizar una análisis coste /beneficio de forma que se demuestre como el coste de un determinado control aporta beneficios en relación a la reducción de riesgo que proporciona. Adicionalmente se debería valorar el impacto operacional (el efecto sobre el rendimiento en el sistema) y la viabilidad (los requisitos técnicos y el grado de aceptación por los usuarios). El resultado de este paso será una lista de controles recomendados de reducción de riesgos.
53.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Criterios de Selección Objetivo: Identificar los controles de seguridad más adecuados para el negocio Factores Coste y esfuerzo Disponibilidad tecnológica Implementación y mantenimiento Política de gestión del riesgo ¿Nivel de certificación UNE requerido? Restricciones Uso o mejora de los Controles existentes Geografía, Infraestructura © Fundación DINTEL DOMINIO 2 – Pág. 53 © Miguel A. Rego Fenández, 2005 El factor mas importante, entre los criterios de selección de controles, es el de eficiencia, calculado mediante un proceso de análisis beneficio/coste. Para determinar el coste total de las salvaguardas se necesitan considerar los siguientes aspectos: •Los costes de adquisición, desarrollo o licenciamiento de la salvaguarda •Los costes de instalación, y los derivados de las pruebas o de la interrupción del funcionamiento normal del sistema durante estos procesos. •Los costes de mantenimiento, o reparación, y de operación La forma más sencilla de calcular el beneficio/coste de un control determinado sería: Valor de la salvaguarda para la organización = (ALE antes de la implantación de la salvaguarda) - (ALE después de la implantación de la salvaguarda) - (coste anual de la salvaguarda) Por ejemplo si se ha determinado el ALE de una amenaza en $10,000, el ALE después de la salvaguarda en $1,000, y el coste anual derivado de la operación de la salvaguarda en $500, entonces el valor anual de la salvaguarda será de $8,500 anuales. Esta cantidad se comparará contra los costes de instalación para determinar los benéficos o falta de beneficios en relación con los costes. Además de este valor calculado, estrictamente económico, es necesario tener en cuenta otros factores al tomar la decisión sobre la implantación o no de un control. Por ejemplo los derivados del incumplimiento un precepto legal.
54.
Convocatoria 2005
RTOs para los Recursos Se debe fijar cuales son los objetivos de recuperación (Recovery Time Objective) como paso previo a establecer una estrategía de mitigación de riesgos. Las necesidades del negocio y sus prioridades son las que en cada caso fijarán el RTO © Fundación DINTEL DOMINIO 2 – Pág. 54 © Miguel A. Rego Fenández, 2005 Determinación de los RTOs Se deben establecer los objetivos de tiempo de recuperación (RTO) como parte del proceso de evaluación y gestión del riesgo. Las necesidades y objetivos del negocio deben ser los que fijen, en cada caso, el valor el RTO, que puede ser definido como el máximo periodo de tiempo que un determinado recurso puede permanecer no disponible. La criticidad de los recursos, las prioridades en la recuperación, y las distintas interdependencias entre dichos recursos, son parámetros que deben estudiarse y establecerse como paso previo al establecimiento del RTO.
55.
Convocatoria 2005
RTOs para los Recursos Para el calculo del RTO se deben considerar los siguientes sensibilidades: Responsables que en su trabajo utilicen un determinado recurso de información. Alta dirección © Fundación DINTEL DOMINIO 2 – Pág. 55 © Miguel A. Rego Fenández, 2005 Los requisitos de disponibilidad se pueden basar en las necesidades de los clientes, las expectativas de servicios, los acuerdos de nivel de servicio y los cumplimientos legales. A través del proceso de análisis de riesgos se ha determinado la criticidad de determinados recursos de información y ahora es necesario incluir una evaluación de RTO en cada uno de los procesos en que se soporta la organización. Existen dos perspectivas que deben ser consideradas: •La primera es la perspectiva de que aquellos personas en cuyo trabajo habitual deben utilizar la información. •El otro punto de vista es el de la dirección de la organización.
56.
Convocatoria 2005 RTO –
Business Continuity Planning Los RTOs son necesarios para desarrollar estrategías de recuperación ante incidentes. En general cuanto mas pequeño sea el RTOs mayor será el coste de los procedimientos de recuperación. Se puede reducir el RTOs, pero existe un coste significativo asociado © Fundación DINTEL DOMINIO 2 – Pág. 56 © Miguel A. Rego Fenández, 2005 La determinación del RTO es necesaria para que una organización pueda desarrollar e implantar un programa eficiente de continuidad del negocio. Una vez establecido el RTO se podrán identificar y desarrollar estrategias de contingencia que serán conformes a los requisitos de tiempo de recuperación de los recursos. Un factor crítico de este proceso es el coste del proceso de contingencia. Generalmente cuanto mas corto sea el RTO mas costoso será el procedimiento de contingencia asociado. El coste de la recuperación será, por lo tanto, mas barato cuanto mayor sea el RTO asociado a un recurso. Existe un punto de ruptura en esta aproximación, cuando el impacto de una interrupción sea mayor que el coste de recuperación. .
57.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Nivel de Seguridad Criterio para identificar los riesgos que no pueden ser aceptados por la organización (Política de Seguridad) 3 características a definir: Confidencialidad Integridad Disponibilidad de los Activos Riesgo NO Aceptable Objetivo: Poder medir el nivel actual de seguridad Criterio para priorizar las actuaciones Valor Impacto/Activo ¡Los Recursos no son ilimitados! Crítico Severo Nivel de Seguridad Leve Riesgo Aceptable Conf. Integr. Disp. © Fundación DINTEL DOMINIO 2 – Pág. 57 © Miguel A. Rego Fenández, 2005
58.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Definición del Nivel de Seguridad Nivel de Nivel Amenaza Bajo Medio Alto riesgo no aceptable : Nivel B M A B M A B M A Vulnerabilidad >=5 Valor 0 0 1 2 1 2 3 2 3 4 Activo 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 © Fundación DINTEL DOMINIO 2 – Pág. 58 © Miguel A. Rego Fenández, 2005
59.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Aceptación del riesgo residual Identificar el riesgo residual después de la implementación del control Identificado, reconocido y aceptado Aceptable vs NO Aceptable ¿Por qué?: Imposibilidad material y financiera de tener 100% de seguridad Un activo por el alto coste de los posibles controles o el poco riesgo, se puede dejar “descubierto” Si el riesgo es No aceptable, que presupuesto de control se necesita para llegar a “Aceptable” © Fundación DINTEL DOMINIO 2 – Pág. 59 © Miguel A. Rego Fenández, 2005
60.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Paso 9: Documentación de Resultados Una vez finalizado el análisis de riesgos (se han identificado las fuentes de amenazas y vulnerabilidades, se han valorado los riegos y se han recomendado controles) los resultados deben documentarse mediante un informe . © Fundación DINTEL DOMINIO 2 – Pág. 60 © Miguel A. Rego Fenández, 2005 Un informe del análisis de riesgos es un informe que ayuda a la dirección de la compañía a tomar decisiones que afectan y pueden modificar la política de seguridad, los procedimientos y los presupuestos e inversiones. A diferencia se los informes de auditoria que reflejan aspectos relativos a “lo que está mal hecho”, el informe de análisis de riesgos no debería presentarse con un estilo “acusatorio” sino con una una aproximación analítica de forma que la dirección pueda comprender el nivel de riesgos existente y como asignar recursos para reducir las perdidas potenciales que pudiera suceder.
61.
Convocatoria 2005 Which of
the following is a key drawback in the use of quantitative risk analysis? A. It applies numeric measurements to qualitative elements. B. It attempts to assign numeric values to exposures of assets. C. It is based on a criticality analysis of information assets. D. It produces the results in numeric (percentage, probability) form. © Fundación DINTEL DOMINIO 2 – Pág. 61 © Miguel A. Rego Fenández, 2005 Suggested Answer: A
62.
Convocatoria 2005
Acceptable risk is usually: A. subjectively determined. B. objectively determined. C. less than residual risk. D. based on loss expectancy. © Fundación DINTEL DOMINIO 2 – Pág. 62 © Miguel A. Rego Fenández, 2005 Suggested answer: A
63.
Convocatoria 2005
The cost of mitigating a risk should not exceed the: A. annual loss expectancy. B. value of the physical asset. C. expected benefit to be derived. D. cost to the perpetrator to exploit the weakness. © Fundación DINTEL DOMINIO 2 – Pág. 63 © Miguel A. Rego Fenández, 2005 Suggested answer: C
64.
Convocatoria 2005
Which of the following is the BEST source for developing recovery time objectives (RTO)? A. Industry averages B. Tape restore statistics C. Business impact analysis D. Previous recovery test results © Fundación DINTEL DOMINIO 2 – Pág. 64 © Miguel A. Rego Fenández, 2005 Suggested answer: C
65.
Convocatoria 2005
In providing risk reporting to management, the MOST appropriate vehicle for the initial reporting of a major security incident would be to include it in a: A. quarterly report. B. special report. C. monthly report. D. weekly report. © Fundación DINTEL DOMINIO 2 – Pág. 65 © Miguel A. Rego Fenández, 2005 Suggested answer: B
66.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Lecturas Recomendadas MAGERIT 1.0 Ministerio de Administraciones Publicas NIST SP 800-30 Risk Management Guide for Information Technology Systems ISO/IEC 13335-UNE 71501 Managing Information Security Risk- The OCTAVE Approach- Alberts & Dorofee- Editorial Addison Wesley © Fundación DINTEL DOMINIO 2 – Pág. 66 © Miguel A. Rego Fenández, 2005
67.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Lecturas Recomendadas Justifiying Investment in Security, by Kamal Parmar, Control vol 4 2003 Risk-aware Decision Making form New IT Investments, by Georges Ataya Control vol 2 2003 Risk Assesment Tools By Tari Scherider ¿What is your Risk Appetite? The RISK IT Model, By Shirley Booker, Control vol 2 2004 Managing the Risks of Outsourcing, by Nick Benbenuto & David Brand, Control vol 5 2005 © Fundación DINTEL DOMINIO 2 – Pág. 67 © Miguel A. Rego Fenández, 2005
Descargar ahora