Tema 2: Análisis de Riesgos

1. Seguridad Informática Tema 2. Análisis de Riesgos Francisco Medina López – paco.medina@comunidad.unam.mx Facultad de Contadur´ıa y Administración Universidad Nacional Autónoma de México 2021-1

2. Temario 1 Administración de riesgos 2 Amenzas y vulnerabilidades 3 Determinación de probabilidades 4 Valuación de activos 5 Metodolog´ıas de evaluación de riesgo (cualitativa y cuantitativa) 6 Cálculo de expectativa de pérdida anual (ALE) 7 Reducción, transferencia y aceptación de riesgos. 8 Selección de medidas de contención 9 Tratamiento del Riesgo

4. Importancia de la Administraci´on del Riesgo INFOSEC ROCK STAR. How to accelerate your carrer because geek will only get you so far,Ted Demopoulous

5. Fuentes de requisitos de seguridad de la información 1 Evaluación de los riegos para la organización, teniendo en cuenta las estratégias y objetivos del negocio. 2 Requisitos legales y contractuales que una organiación , sus socios comerciales y proveedores de servicios tienen que satisfacer, y su entorno sociocultural. 3 Conjunto de principios, objetivos y requerimientos del negocio para el manejo, procesamiento, almacenamiento, comunicación y archivo de información que una organización desarrolla para dar soporte a sus operaciones.

6. Riesgo Definición Posibilidad de que un agente de amenaza se aproveche de una vulnerabildad y de su correspondiente impacto en el negocio. Ejemplos: • Sin un firewall tiene varios puertos abiertos, hay mayor probabilidad de que un instruso utilice uno de los puertos para acceder a la red de una manera no autorizada. • Si lo usuarios no están educados en los procesos y procedimientos, hay una mayor probabilidad de que un empleado pueda cometer una falta mal intencionada o no y destruir datos.

7. Elementos del riesgo Impacto Pérdida ocasionada por la materialización del riesgo. Si no hay efectos negativos no hay riesgo. Grado de materialización Certeza sobre la ocurrencia del riesgo.

8. Diferencia entre preocupaci´on, riesgo y problema

9. ¿Qué es la Administración de Riesgo? Definición Proceso de planificar, organizar, dirigir, y controlar las actividades de una organización con el fin de minimizar los efectos negativos del riesgo sobre el capital y los ingresos de una organziación. • La administración de riesgos es un proceso continuo que se aplica a todos los aspectos de los procesos operativos de una organización. • La tarea de supervisar este proceso la lleva a cabo un especialista en seguridad de la información, que puede ser el Oficial de Seguridad de la Información (CISO, Chief Information Security Officer).

10. Estándares relativos a la administración del riesgo • ISO / IEC 31000:2018 Gestión del Riesgo – Directrices. • ISACA’s Risk IT Framework. • The open Group’s Factor Analysis for Information Risk (FAIR) model. • Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE). • MAGERIT metodolog´ıa de carácter público perteneciente al Ministerio de Administraciones Públicas de España. • NIST Publicación Especial 800-30. • Facilitated Risk Analysis and Assesment Process (FRAAP).

11. ISO/IEC 31000:2018

12. Establecer alcance, contexto y criterios Prop´osito Deﬁnir el alcance del proceso, y comprender los contextos externo e interno.

13. Evaluación del riesgo Definición Proceso global de identificación, análisis y valoración del riesgo. Objetivos: 1 Encontrar, reconocer y describir los riesgos que impiden a una organización lograr sus objetivos (Identifcar riesgos), 2 Comprender la naturaleza del riesgo y sus caracter´ısticas incluyendo el nivel de riesgo (Analizar riesgos) y 3 Comparar los resultados del análisis de riesgos con los criterios del riesgo establecido para determinar cuando se requiere una acción adicional (Valorar riesgos).

14. Tratamiento del riesgo Definición Implementar opciones para abordar el riesgo. Es un proceso iterativo que implica: • Formular y seleccionar opciones para el tratamiento del riego; • Planificar e implementar el tratamiento del riesgo; • Evaluar la eficacia del tratamiento; • Decidir si el riesgo residual es aceptable.

16. Amenazas Definición Posible causa de un incidente no deseado que puede resultar en daños a un sistema u organización. • La entidad que se aprovecha de una vulnerabildad se denomina agente de amenaza. • Un intruso que accede a la red a través de un puerto en el firewall. • Un proceso de acceso a los datos de manera que viola la pol´ıtica de seguridad. • Un tornado acabando con una instalación. • Un empleado haciendo un error involuntario que podr´ıa exponer información confidencia.

17. Tipos de amanezas

18. Clasiﬁcaci´on de las amenazas

19. Ejemplos de amenazas

20. Vulnerabilidad Definición Debilidad de un activo o grupo de activos que puede ser explotado por una o más amenazas. • Se caracteriza por la ausencia o debilidad de un control que podr´ıa ser explotada. • Un servicio que se ejecuta en un servidor. • Aplicaciones sin parches o sistemas operativos sin actualizaciones. • Un puerto abierto en un firewall. • Módem inalámbrico sin restricciones. • Falta de seguridad f´ısica que permite que cualquiera pueda entrar en cuarto de servidores. • Débil administración de contraseñas de servidores y estaciones de trabajo.

21. Fuentes de divulgaci´on de vulnerabilidades • The NVD: https://nvd.nist.gov/vuln/search • CVE Details: https://www.cvedetails.com/

22. Vulnerabilidades reportadas por a˜no Enlace

23. Vulnerabilidades por fabricante Enlace

24. Vulnerabilidades por tipo de software

25. Top 10 Vulnerabilidades por producto

26. Tipos de vulnerabilidades más frecuentes • Vulnerabilidades de configuración; • Validación de entrada; • Salto de directorio; • Inyección de comandos en el sistema operativo; • Inyección SQL; • Error de búfer; • Fallo de autenticación; • Error en la gestión de recursos; • Error de diseño;

27. Malware Definición Programas diseñados para acceder a un sistema informático de forma no autorizada y provocar daños a este. Objetivos: • Destrucción o modificación de información. • Robo de información y claves de acceso. • Propagación a otros equipos de una misma red o a través de internet. • Introducir publicidad de forma masiva. • Comprometer la integridad de las aplicaciones y sistemas operativos.

28. Tipos de malware 1 Virus. 2 Cookies. 3 Troyanos. 4 Keylooger. 5 Spyware. 6 Gusanos (worms). 7 Ransoware.

29. Herramientas en l´ınea para an´alisis de malware https://www.virustotal.com/gui/ https://id-ransomware.malwarehunterteam.com/

30. Relaci´on amenazas y vulnerabilidades

32. Probabilidad Definición Estimación de posibilidades de que se materialce el riesgo o, lo que es lo mismo, que se produzca una amenaza real. • La probabilidad de ocurrencia de una amenaza está determinada por un análisis de vulnerabilidades.

34. Clasificación de Activos Definición Cualqueir cosa que tenga valor para la organización. 1 Tangibles • Datos • Software • Computadoras, equipos de comunicaciones, cableado. 2 Intangibles • Privacidad • Seguridad y salud de los empleados • Imagen y reputación • Continuidad de las actividades • Moral del empleado

35. Valor de los activos • La importance de los activos de un sistema de información dependerá de su valoración. Si un activo no tiene valor, es completamnte prescindible. • Por otra parte, si un activo es necesario para el correcto funcionamiento del sistema, es que tiene cierto valor. • La valoración del activo viene definida como el costo que implicará recuperarse de un fallo del activo provocado por alguna incidencia.

36. Factores para valorar un activo 1 Costo del personal espacializado necesario para recuperar el activo (Costo de mano de obra). 2 Los ingresos perdidos por el fallo del activo. 3 Costo de adquisición e instalación de un activo nuevo en caso de que el anterior haya resultado inservible (Costo de recuperación). 4 Pérdida de percepción de confianza y calidad de los clientes y proveedores provocados por una interrupción del servicio provocada por el fallo del activo. 5 Infracciones cometidas y sanciones correspondientes al incumplimiento de requierimientos legales o de obligaciones contractuales debidas al fallo del activo. 6 Daños y efectos perjudiciales provocados por el activo a otros activos, tanto propios como ajenos a la organización. 7 Daños medioambientales causados por el activo. 8 Daños a otras personas causadas por el activo.

37. Ejemplo: Pérdida de percepción de confianza Fuente: Grupo de Facebook ”Facultad de Contadur´ıa y Administración (FCA-UNAM)”.

38. Tipos de valoraci´on de activos Auditoria de seguridad inform´atica

39. Dimensiones de valoración de los activos 1 Disponibilidad • ¿Cuál ser´ıa la importancia del activo si no estuviera disponible? 2 Integridad • ¿Qué importancia tendr´ıa que el activo sufriera modificaciones? 3 Confidencialidad • ¿Cuál ser´ıa la importancia del conocimiento del activo por usuarios no autorizados? 4 Autenticidad • ¿Cuál ser´ıa la importancia del acceso al activo por parte de personas no autorizadas? 5 Trazabilidad • ¿Cuál ser´ıa la importancia de la falta de constancia de la utilización del activo?

41. Introducción 1 Análisis Cualitativo de Riesgos • Utiliza elementos de la organización como opinión, mejores prácticas, intuición, experiencia, etc. para ponderar el riesgo y sus componentes. • Aplicable a todas las situaciones 2 Análisis Cuantitativo de Riesgos • Asigna valores monetarios (objetivos) a cada componente de la evaluación de riesgos y a cada potencial pérdida.

42. Análisis Cualitativo de Riesgos Definición Modelo basado en escenarios mas que en cálculos. • En lugar de asignar el costo exacto respecto de las posibles pérdidas, en este escenario se ponderan en escala, los riesgos, costos y efectos de una amenaza en relación del activo. • Este tipo de procesos, conjuga: juicio, experiencia e intuición. • Técnicas y Métodos utilizados: • Lluvia de ideas (Brainstorming), Ténicas Delphi, Cuestionarios, Listas (Checklist), Entrevistas, . . .

43. Pasos del Análisis Cualitativo de Riesgos 1 Definición de: • Niveles de probabilidad de ocurrencia de las amenazas • Niveles de impacto de las amenazas • Niveles de riesgo (en función a las anteriores) 2 Clasificación de las amenazas en cuanto a su probabilidad de ocurrencia e impacto. 3 Estimación del riesgo

44. Probabilidad de ocurrencia

45. Impacto

46. Análisis Cuantitativo de Riesgos Definición Asigna valores monetarios a cada componente de la evaluación de riesgos y a cada potencial pérdida. Pasos: 1 Asignar valores a los activos. 2 Estimar la pérdida potencial por cada amenaza. 3 Analizar las amenazas. 4 Estimar la pérdida anual.

47. Matriz de evaluaci´on de riesgo

48. Resultado An´alisis de Riesgos

49. Ejemplo: Matriz an´alisis de riesgo Fuente: http://protejete.wordpress.com/gdr_principal/matriz_riesgo/

50. Resultados del An´alisis Cuantitativo de Riesgos? • Valor de los activos (en dinero). • Posibles amenazas a los activos. • Probabilidad de ocurrencia de cada amenaza. • Posible p´erdida anual por cada amenaza.

51. Cuantitativo vs Cualitativo (2)

53. Estimar la pérdida potencial por cada amenaza • Factor de Exposición (EF): Porcentaje de pérdida que una amenaza podr´ıa tener sobre un determinado activo. • Expectativa de Pérdida Individual (SLE): Valor monetario asociado a un evento determinado. Representa la pérdida producida por una amenaza determinada en forma individual.

54. Tasa de Ocurrencia Anual (ARO) • Tasa de Ocurrencia Anual (ARO): Representa la frecuencia estimada de ocurrencia de un evento (amenaza), dentro del periodo de un a˜no.

55. Estimar la pérdida anual • Expectativa de Pérdida Anualizada (ALE): Representa la pérdida anual producida por una amenaza determinada individual..

56. C´alculo de expectativa de p´erdida anual (ALE)

58. Estrategias para tratar los Riesgos 1 Mitigar: Implementar controles para reducir el nivel de riesgo. 2 Aceptar: Se acepta el riesgo en su nivel actual. 3 Transferir: Compartir el riesgo con partes externas. 4 Evitar: Cancelar la actividad que genera el riesgo.

60. Control o contramedida Definición Cualquier tipo de mecanismo que permita identificar, proteger, detectar, responder o minimizar el riesgo asociado con la ocurrencia de una amenaza espec´ıfica. Objetivo: • Reducir los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable para una organización. Los controles o contramedidas pueden ser: • Preventivos / De detección / Correctivos / De respuesta / De recuperación. • F´ısicos / Técnicos (Lógicos) / Administrativos

61. Tratamiento de los Riesgos Cada organización debe definir y efectuar un proceso de tratamiento de los riesgos de seguridad para: • Seleccionar las opciones adecuadas de tratamiento de riesgos de seguridad de la información teniendo en cuenta los resultados de la apreciación de riesgos. • Determinar todos los controles que sean necesarios para implementar la(s) opción(es) elegida(s) de tratamiento de riesgos de seguridad de la información.

62. Familia de controles de acuerdo al NIST NIST Security and Privacy Controls forInformation Systems and Organizations Enlace .

63. Familia de controles de acuerdo al ISO 27001 ISO/IEC 27001:2013 Enlace .

64. Controles T´ecnicos de Seguridad

66. Plan de Tratamiento de Riesgos

67. Referencias bibliográficas Comptia Security+ All-In-One Exam Guide, Fifth Edition (Exam Sy0-501) CHICANO Tejada, Ester., Auditor´ıa de seguridad informática., 2014.

Tema 2: Análisis de Riesgos

Tema 2: Análisis de Riesgos

Recomendados

Más contenido relacionado

Similar a Tema 2: Análisis de Riesgos

Similar a Tema 2: Análisis de Riesgos(20)

Más de Francisco Medina

Más de Francisco Medina(20)

Último

Último(20)

Tema 2: Análisis de Riesgos