PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
1. Seguridad de la Información
Unidad 3: Marcos de Referencia para Seguridad
de la Información
3.2 ISO 27002
ISO 27002
2. Objetivos del encuentro:
1. Adquirir los conceptos básicos relacionados con la
tendencia de SI
2. Reconocer las características de la tendencia de SI
Semana Nro. 10
3. Frase Motivacional
“Siempre que ves una persona
exitosa percibes sus glorias, y nunca
los sacrificios que la llevaron hasta
allí” – Vaibhav Shah.
4. Negocios habilitados por la Seguridad
• Reducir el riesgo de la Seguridad
– Evaluar el entorno
– Mejorar el aislamiento y la resistencia
– Desarrollar e implementar controles
Incrementar el Valor de Negocio
Conectarse con los clientes
Integrarse con los socios
Habilitar a los empleados
Nivel de
Riesgo
Impacto a los
Negocios
Probabilidad
de Ataque
ROI
Conectado
Productivo
4
5. Cambiar el enfoque de la Seguridad
DE
• Ad-hoc y táctico
• Irregular
• Reactivo
• Sin medición
• Absoluto
A
• Administrado y
estratégico
• Sistemático
• Adaptativo
• Medible
• Adecuado
Las actividades de seguridad y las medidas
del desempeño de la seguridad estarán
visiblemente alineadas con los impulsores
estratégicos y los factores críticos de é5xito
6. Componentes (organización) de
la Seguridad de Información
Seguridad de Información
Operación y
Mantenimiento
de Seguridad
Procesos,
Políticas,
Estándares,
Procedimientos
Concientización
y Capacitación
CumplimientoAdministración de
Riesgos y Baselines
Statement of
Aplicability
Programas
de Trabajo
Evaluación
de Riesgos
Selecciónde
Controles
Sub-Comité de SI de TI
Seguimiento de
Amenazas y
Vulnerabilidades
Plan de
Respuestaa
Incidentes
Equipo de
Respuestaa
Incidentes
Política General de
Seguridad de Información
Programa Integral de
Seguridad de Información
Continuidad
de Negocio
Infraestructura
Comité de Protección
de Información
Equipo de DRP
Estructura Organizacional
6
7. Administración de Riesgos
7
• Provee un marco de trabajo para que la administración trate
efectivamente con la incertidumbre y el riesgo y oportunidad
asociados y así mejore su capacidad para construir valor
• La seguridad es un asunto estratégico para la supervivencia de una
organización
• El riesgo debe ser administrado en una base diaria dentro de una
organización
• Un programa de seguridad a nivel empresarial es una reflexión y
ejecución de una estrategia de administración de riesgos
9. Administración de Riesgos
9
• La evaluación de riesgos es una parte muy importante de la
planeación de la estrategia de protección de información.
• Provee una base para la implementación de los planes de protección
de activos contra varias amenazas.
• Una vez hecha la evaluación de riesgos, es necesario realizar la
planeación proactiva y reactiva de protección de información.
10. Administración de Riesgos
10
Definición
Es un proceso interactivo e iterativo basado en el
conocimiento, evaluación y manejo de los riesgos y
sus impactos, con el propósito de mejorar la toma
de decisiones organizacionales
Aplicable a cualquier situación donde un resultado
no deseado o inesperado pueda ser significativo o
donde se identifiquen oportunidades
12. Modelo Sencillo de Control de Riesgos
Vulnerabilidad
Agente
Amenaza
Riesgo
Exposición
Activo
Realiza una
12
Que explota una
Y produce un
Que puede dañar un
Y causar una
Que puede ser
manejada
con un
Control
Afecta
directamente
a un
16. ISO/IEC 27002:2005 - Cláusulas de control
16
5. Política de seguridad
6. Organización de la seguridad de información
7. Administración de activos
8. Seguridad de los recursos humanos
9. Seguridad física y ambiental
10.Administración de las comunicaciones y operaciones
11.Control de acceso
12.Adquisición, desarrollo y mantenimiento de sistemas de información
13.Administración de incidentes de seguridad de información
14.Administración de la continuidad de negocios
15.Cumplimiento
17. Administración de Riesgos
17
Beneficios para la Organización
• Facilita el logro de los objetivos de la organización
• Hace a la organización más segura y consciente de sus
riesgos
• Mejoramiento continuo del Sistema de Control Interno
• Optimiza la asignación de recursos
• Aprovechamiento de oportunidades de negocio
• Fortalece la cultura de autocontrol
• Mayor estabilidad ante cambios del entorno
18. Administración de Riesgos
18
Beneficios para el área de Auditoria
• Soporta el logro de los objetivos de la auditoria
• Estandarización en el método de trabajo
• Integración del concepto de control en las políticas organizacionales
• Mayor efectividad en la planeación general de Auditoria.
• Evaluaciones enfocadas en riesgos
• Mayor cobertura de la administración de riesgos
• Auditorias más efectivas y con mayor valor agregado
19. Planificación del Análisis y Gestión de Riesgos
Específicamente en la administración de TI.
y de procesos operativos apoyados con TI.
Tecnológicos y de Información
Integridad, Confidencialidad y Disponibilidad
+ Efectividad, Eficiencia, Cumplimiento de Normas
+ De negocio
Procesos de TI (Ejemplo COBIT) Subprocesos
Ej: Manejo y Administración de Proyectos
Adquisición y mantenimiento de sistemas de aplicación
Administración de la configuración
Prestación de servicio continuo
Proyecto de TI Etapas o actividades
Sistema de Información Módulos, Interfase, E/P/S
19
20. Análisis de Riesgos
Ineficiencia en el uso de los recursos
Pérdida de confidencialidad
Pérdida de Integridad de información
Interrupción en la continuidad del servicio
Acceso no autorizado
Pérdida económica
20
Heterogeneidad en la ejecución de procesos
Ausencia de metodologías de procesos
Inadecuada clasificación de la información
Error u omisión en el procesamiento
Cambios no autorizados
Hurto de activos (recursos informáticos)
Incertidumbre para atender incidentes
Ausencia de planes de continuidad de Negocio
Suplantación de usuarios
AlgunosAlgunosAlgunosAlgunos
RiesgosRiesgosRiesgosRiesgos
AlgunasAlgunasAlgunasAlgunas
CausasCausasCausasCausas
21. Análisis de Riesgos
Desarrollo y
Adquisición
de Software
Sub o sobre
dimensionamiento
Diseño
Inadecuado
Aceptación de
sw no acorde con
las necesidades
Falta de oportu-
nidad en entrada
en producción
Negación del
servicio
Cambios no
autorizados
Ineficiente uso
de los recursos
Acceso no
autorizado
Operación de
Instalaciones
Técnicos y
Tecnológicos
Relacionados con
la Información
Pérdida de
información
Selección
inadecuada
de estrategias
Obsolescencia
Tecnológica
Pérdida de
Información
Pérdida de
Confidencialidad
Pérdida de
integridad o
Confiabilidad
Incumplimiento
de normas
Riesgos de TI
(un ejemplo con 2 procesos y 2 recursos)
21
23. Análisis de Riesgo
Relacionados con
la Probabilidad
1 Rara vez ocurre
2 Poco probable
3 Algunas Veces
4 probable
5 muy probable
Pérdida Financiera
0 No hay pérdida
1 de 1 a
2 de 10.000 a
10.000
50.000
3 de 50.000 a 100.000
4 de 100.000 a 500.000
5 más de 500.000
Relacionada con el Impacto
Haga uso de la información histórica que tenga disponible.
Aplique un método cuantitativo
Pérdida de Imagen
0 No se afecta la imagen
1 ante los empleados
2 ante un cliente
3ante una ciudad
4 ante el país
5 ante el mundo
Cuando lo requiera elabore sus propias escalas de medición
Aplique métodos semi-cuantitativos
Valorar Riesgo (Causa) = Probabilidad x Impacto
Pérdida de Disponibilidad
1 No se afecta
2por algunos segundos
2 por algunos minutos
3 por algunas horas
4 por un día/semana
5 por una semana/mes
23
24. Seguridad en el Desarrollo y Mantenimiento de Sistemas de Información
24
25. Evaluación y tratamiento de riesgos
25
• Evaluación de riesgos de seguridad
• Las evaluaciones de riesgos deberán identificar, cuantificar y priorizar los
riesgos contra los criterios para la aceptación de riesgos y los objetivos
relevantes para la organización
• Los resultados deberán guiar y determinar la acción administrativa apropiada
y las prioridades para administrar los riesgos e implementar los controles
seleccionados para proteger contra estos riesgos
• Este es un proceso interactivo e iterativo para cubrir las distintas áreas o
sistemas de la organización y el progresivo logro de una seguridad más
completa
26. Evaluación y tratamiento de riesgos
26
• Evaluación de riesgos de seguridad
• Se debe incluir la estimación sistemática de la magnitud del riesgo (análisis
de riesgo) y la comparación de los riesgos estimados contra los criterios de
riesgo establecidos para determinar la importancia de los riesgos (evaluación
de riesgos)
• Se deben realizar metódica y periódicamente para atender cambios en los
requerimientos de seguridad y en las situaciones de riesgo y producir
resultados comparables y reproducibles
• Se debe hacer siempre con un alcance muy bien definido; puede ser toda la
organización o partes de ella, un sistema de información, componentes de un
sistema, etc., donde sea practicable, realista y útil
27. Priorización de Riesgos
Heterogeneidad en la ejecución de procesos785
Inadecuada clasificación de la información 750
Desarrollo informal (sin metodología) de sw 675
Ausencia de planes de continuidad de Negocio 585
Incertidumbre para atender incidentes 400
Cambios no autorizados 310
Error u omisión en el procesamiento 250
Hurto de activos (recursos informáticos) 230
Suplantación de usuarios 175
27
28. Evaluación y tratamiento de riesgos
28
• Tratamiento de riesgos de seguridad
• Antes la organización debe decidir los criterios para determinar si los riesgos
pueden o no ser aceptados
• Para cada uno de los riesgos identificados en la evaluación se decidirá un
tratamiento. Opciones posibles son:
• Aplicar controles apropiados para reducir/mitigar los riesgos
• Consciente y objetivamente aceptar los riesgos, probando que claramente satisfacen la
política de la organización y los criterios de aceptación de riesgos
• Evitar los riesgos no permitiendo las acciones que los provoquen
• Transferir los riesgos a terceros, por ejemplo, proveedores o aseguradores
29. Evaluación y tratamiento de riesgos
29
• Tratamiento de riesgos de seguridad
• En el caso de la reducción/mitigación de riesgos los controles seleccionados
deberán asegurar un nivel aceptable de riesgos en función de:
• Los requerimientos y restricciones de la legislación y regulaciones nacional e
internacional
• Los objetivos organizacionales
• Los requerimientos y restricciones de operación
• El costo de implementación y operación en relación a los riesgos implicados. Mantenerlo
proporcional a los requerimientos y restricciones de la organización
• El balance entre la inversión requerida por los controles y los daños probables
consecuencia de las fallas de seguridad
30. Evaluación y tratamiento de riesgos
30
• Tratamiento de riesgos de seguridad
• Los controles pueden ser seleccionados de este u otro estándar
• No todos los controles son aplicables a todos los sistemas u organizaciones
• Los controles deberán ser considerados en las etapas de especificación de
requerimientos y diseño de proyectos y sistemas
• No hay seguridad completa, se deben implementar medidas administrativas
adicionales para monitorear, evaluar y mejorar la eficiencia y efectividad de
los controles de seguridad para soportar los propósitos de la organización
34. Gestión de Riesgos
Elabore la lista de los mecanismos de control que aplican a cada
uno de los componentes de su objeto analizado
Procedimientos formales de planeación.
uso de estándares de programación, identificación, codificación.
uso de mecanismos de autenticación.
procedimientos documentados, divulgados y aplicados.
uso de metodologías de desarrollo de sw.
uso metodologías de definición de requerimientos.
procedimientos para el control de cambios.
acuerdos explícitos de niveles de servicio.
mecanismos de encripción
redundancia en dispositivos y recursos críticos.
clasificación de la información
procedimientos de respaldo
sensores y alarmas de factores ambientales (humo, humedad, temperatura)
toma física de inventarios de recursos computacionales
verificadores de licencias
Esta será más
sencilla de realizar
si se divide
adecuadamente el
objeto de análisis
en sus partes
34
35. Gestión de Riesgos
Externos
Automáticos
Posteriores
Correctivos y Detectivos
Específicos
Discretos (aplicación)
Internos
Manuales
Previos
Preventivos
Generales
Continuos
Periódicos
frente a los
frente a los
frente a los
frente a los
frente a los
frente a los
frente a los Esporádicos
Nivel de Exposición = Riesgo – Controles aplicados
Definir el nivel de exposición le permitirá conocer la
efectividad de los controles.
Sin embargo, tenga presente en relación con la
efectividad de los controles los siguientes
aspectos:
35
36. Direccionamiento actividades de aprendizaje
Actividades:
• Revisar el aula virtual
• Realizar las actividades y tareas planteadas.
Se recomienda describir por ejemplo:
• Tomar apuntes esenciales, revisar el material de clases