Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
1. Control de Acceso y Seguridad Desarrollo
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 02
Análisis de riesgos
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Introducción
La empresa Atoland S.A., empresa que se dedica al sector financiero,
específicamente a otorgar préstamos al consumo, ha sufrido un marcado
crecimiento en los último años. De acuerdo a lo expresado por la gerencia,
este crecimiento explosivo ha generado que la función TI de la empresa
fuese adaptándose al crecimiento del negocio de manera adaptativa y no
planificada, lo cual les genera miedos a los gerentes respecto a la manera
en la cual se está operando.
Para contar con una perfecta descripción de la situación actual y sus
implicancias, han decidido contratar a una empresa consultora para que
releve y evalúe cómo está operando y se está gestionando la función TI.
Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/CASO_%20DE_%20RIESGO_%20INFORMaTICO.pdf
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Introducción
Vídeo
Riesgos de la Informática
(https://www.youtube.com/watch?v=RZJjzl4VlUw)
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Análisis del riesgo
Uso sistemático de información para identificar amenazas y
estimar el riesgo [ISO/IEC Guide 73:2002]
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Análisis de riesgos:
Es el estudio de las posibles amenazas y vulnerabilidades a los que están
expuesto los recursos y servicios que ofrece TI a la Organización y que
permita estimar la magnitud de los impactos que pueda ocasionar a la
Organización en caso de producirse los riesgos.
¿Qué es el Análisis de Riesgos de TI?
Un análisis de riesgos no es una tarea menor que
realiza cualquiera en sus ratos libres. Es una tarea
mayor que requiere esfuerzo y coordinación. Por
tanto debe ser planificada y justificada.
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Objetivos de un Análisis de Riesgos
• Identificación de las
amenazas potenciales a los
activos de información que
afectan la confidencialidad,
integridad y disponibilidad
de la información.
Es la identificación de las amenazas y
vulnerabilidades a los que están expuestos los
activos de información que puedan generar un
riesgo en TI y en la Organización
Identificación de todos los riesgos a los que
están expuesto los activos de información.
Identificación y aplicación de parámetros y
métricas para el análisis de riesgo
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Dominio 03: Administración de Activos/Gestión de
Activos
3.1. Responsabilidad sobre los activos
3.2. Clasificación de la información
Según Metodología Magerit
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Dominio 03: Administración de Activos/Gestión de
Activos
3.1. Responsabilidad sobre los activos
Objetivo.- Lograr y mantener una protección adecuada de los activos
de la Organización
Sub-objetivos:
3.1.1. Inventario de activos.
3.1.2. Responsable de los activos.
3.1.3. Acuerdos sobre el uso aceptable de los activos.
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Dominio 03: Administración de Activos/Gestión de
Activos
3.2 Clasificación de la información
Objetivo.- Asegurar que la información reciba un nivel de protección
apropiada
Sub-objetivos:
3.2.1. Directrices de clasificación.
3.2.2. Marcado y tratamiento de la información.
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplo 01
El Personal de Seguridad de Información en cumplimiento al desarrollo de un
SGSI, deberá formular respecto al Dominio 03: “Administración de Activos/Gestión
de Activos” lo necesario para cumplir el objetivo general y específicos de: “03.1
Responsabilidad sobre los activos”
¿consideraciones?:
……………………….
……………………….
……………………….
Tiempo Máximo: 20 Min.
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplo 02
El Personal de Seguridad de Información en cumplimiento al desarrollo de un
SGSI, deberá formular respecto al Dominio 03: “Administración de Activos/Gestión
de Activos” lo necesario para cumplir el objetivo general y específicos de: “03.2
Clasificación de la información”
¿consideraciones?:
……………………….
……………………….
……………………….
Tiempo Máximo: 20 Min.
13. 13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Activo de
Información
Amenaza 01
Amenaza 02
Amenaza ‘n’
Un activo de información o
ACTIVO se refiere a cualquier
información o sistema
relacionado que tenga valor
para la organización y que
tiene un conjunto de
amenazas, que es importante
identificar y clasificar en un
análisis de riesgo
.
.
.
14. ¿Qué es una amenaza?
Amenaza.- (Inglés: Threat).
Persona o cosa que
representa un peligro.
Según la ISO/IEC 13335-
1:2004: causa potencial de
un incidente no deseado, el
cual puede causar el daño a
un sistema o la
organización.
15. 15
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplo de Amenazas:
Activo Amenaza
Servidor de Dominio de Red Deje de operar
Baja el rendimiento del servidor
Acceso de personal no autorizado
16. 16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Activo de
Información
Amenaza 01
Un activo puede tener un
conjunto de amenazas
producto de la ejecución de
una o varias vulnerabilidades
Amenaza 02
Amenaza 03
Amenaza ‘n’
Vulnerabilidad 01
Vulnerabilidad 02
Vulnerabilidad 04
Vulnerabilidad 03
Vulnerabilidad ´n´
.
.
.
.
.
.
17. ¿Qué es una vulnerabilidad?
Vulnerabilidad.- (Inglés:
Vulnerability).
Debilidad en la seguridad de la
información de una organización
que potencialmente permite que
una amenaza afecte a un activo.
Según la ISO/IEC 13335-
1:2004: debilidad de un activo o
conjunto de activos que puede
ser explotado por una amenaza.
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplo: Activo-Amenaza-Vulnerabilidad
Activo Amenaza Vulnerabilidades
Servidor de Dominio de
Red
Deje de operar • Instalación de actualizaciones sin el
debido testing
• Carencia de mantenimiento
• Falta de renovación del hardware
• Carencia o documentación
incompleta
• Instalación de servicios adicionales
Baja el
rendimiento del
servidor
• Carencia de mantenimiento
• Ambiente inadecuado para su
operatividad
• Instalación de servicios adicionales
Acceso de
personal no
autorizado
• Falta/inadecuado control de acceso
físico
19. 19
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Qué es una probabilidad?
La probabilidad mide la
frecuencia con la que se obtiene
un resultado (o conjunto de
resultados) al llevar a cabo un
experimento aleatorio, del que se
conocen todos los resultados
posibles, bajo condiciones
suficientemente estables.
20. 20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplo:
Activo Amenaza Vulnerabilidades Probabilidad
Servidor de Dominio de
Red
Deje de operar • Instalación de
actualizaciones sin el debido
testing
• Carencia de mantenimiento
• Falta de renovación del
hardware
• Carencia o documentación
incompleta
• Instalación de servicios
adicionales
• Muy Alta
• Baja
• Muy Baja
• Alta
• Media
Baja el
rendimiento del
servidor
• Carencia de mantenimiento
• Ambiente inadecuado para
su operatividad
• Instalación de servicios
adicionales
• Alta
• Media
• Muy Alta
Acceso de
personal no
autorizado
• Falta/inadecuado control de
acceso físico
• Alta
21. 21
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Qué es un impacto?
Impacto: medida o grado del daño sobre un activo
producto de la materialización de una amenaza.
22. 22
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Activo Amenaza Vulnerabilidades Probabil
idad
Impacto Detalle
Impacto
Servidor de
Dominio de
Red
Deje de
operar
• Instalación de
actualizaciones sin el
debido testing
• Carencia de
mantenimiento
• Falta de renovación del
hardware
• Carencia o
documentación
incompleta
• Instalación de servicios
adicionales
• Muy
Alta
• Baja
• Muy
Baja
• Alta
• Media
• Alto • Impacto 1
Baja el
rendimiento
del servidor
• Carencia de
mantenimiento
• Ambiente inadecuado
para su operatividad
• Instalación de servicios
adicionales
• Alta
• Media
• Muy
Alta
• Medio • Impacto 2
Acceso de
personal no
autorizado
• Falta/inadecuado
control de acceso físico
• Alta
• Bajo • Impacto 3
23. 23
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Impacto – Análisis CID
El impacto es la materialización valorada cualitativa o cuantitativa de
una amenaza –o más de una, que afecta las actividades/procesos del
negocio principalmente en los siguientes principios:
Detalle del Impacto C I D
Impacto 1 2 3 5
Impacto 2 4 5 3
Impacto 3 - 3 1
-C = Confidencialidad
-I = Integridad
-D = Disponibilidad
24. 24
Mg, Ing. Jack Daniel Cáceres Meza, PMP
CID
ISO/IEC 13335-1:2004
Confidencialidad: garantizar que la información sea accesible
únicamente para quienes tengan [cuenten con] acceso autorizado.
Integridad: salvaguardar la exactitud e integridad de la información
y activos asociados.
Disponibilidad: garantizar que los usuarios autorizados tengan
acceso a la información y activos asociados cuando sea necesario.
25. 25
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Activo Vulnerabilidades Probabilidad Amenaza Impacto C I D
Servidor
de
Dominio
de Red
Instalación de
actualizaciones sin la
debida
certificación/pruebas
Muy Alta
(10)
A1 I1 (MA) - 2 5
Carencia de
mantenimiento
Alta (08) Muy Alto
(MA)
Falta de renovación del
hardware
Media (05) Alto (A)
Ambiente inadecuado
para su operatividad
Baja (03) Medio
(M)
Instalación de servicios
adicionales
Muy Baja
(01)
Bajo (B)
Carencia o
documentación
incompleta
Alta (08) Muy Bajo
(MB)
Ejemplo: Análisis CID
26. 26
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Metodologías para el Desarrollo de Análisis y Gestión
de Riesgos
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
Evaluation) gratuita
MAGERIT, es gratuita y se encuentra disponible en español
ISO/IEC 27005
MEHARIT, desarrollada por CLUSIF (Club de la Sécurité de
l’Information Français). Es gratuita
THE SECURITY RISK Management Guide de Microsoft, en
inglés y gratuita
NIST SP 800-30 “RISK MANAGEMENT GUIDE FOR
INFORMATION TECHNOLOGY SYSTEMS”
Otras
27. 27
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Herramientas para Análisis y Gestión de Riesgos
EAR/PILAR (www.ar-tools.com/pilar). Gratuitas
CCTA Risk Analysis and Method Management (CRAMM)
Mehari, desarrollada por CLUSIF (Club de la Sécurité de l’Information
Français). Es gratuita y se encuentra disponible en varios idiomas
Desarrollada en español y gratuita
The Security Risk Management Guide de Microsoft, en inglés y gratuita
COBRA, con costo y en inglés
Callio, con costo y en inglés
MARION, Méthodologie d'Analyse des Risques Informatiques et
d'Optimisation par Niveau, desarrollada en Francia por el Club de la
Sécurité Informatique Français (CLUSIF).
ISAMM, Information Security Assessment & Monitoring Method,
desarrollada en Bélgica por Telindus N.V.
IT-Grundschutz, desarrollada por la Bundesamt für Sicherheit in der
Informationstechnik (Oficina Federal para la Seguridad de la
Información) de Alemania.
28. 28
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Acciones a Realizar en un Análisis de Riesgos
Determinar el alcance del análisis de riesgo de TI
Identificar todos los activos de información de la Organización, su
interrelación y su valor, en el sentido de qué perjuicio (coste) supondría
su degradación)
Identificar las principales amenazas de los activos de información
Identificar las principales vulnerabilidades que pueden generar las
amenazas de cada activo de información
Identificar la probabilidad que tienen cada una de las vulnerabilidades
identificadas.
Estimar (con los elementos anteriores):
El impacto: lo que podría pasar y el análisis CID
El riesgo: lo que probablemente pase
Desarrollar la Matriz de Riesgo
Interpretar la matriz de riesgo, brindar conclusiones y recomendaciones
29. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?