Este documento presenta información sobre Jesús Vílchez Sandoval, coordinador de la Oficina de Calidad y Acreditación de la FIEM. Contiene detalles sobre su información de contacto y experiencia laboral. Además, incluye una presentación sobre sistemas de seguridad en redes que abarca temas como la gestión del riesgo, determinación del nivel de riesgo, probabilidad de impacto y evaluación del riesgo.

1. Datos del Profesor:
Ing. Jesús Vílchez Sandoval
CIP 129615
email:jvilchez@utp.edu.pe
http://jesusvilchez.wordpress.com
móvil: (51)99 407*1449 / (51)9 9368 0094
Coordinador de la Oficina de Calidad y Acreditación - FIEM

2. Ing. Jesús Vílchez Sandoval
Sistemas de
SEGURIDAD EN REDES
Basado en la presentación del Mg. Jean del Carpio

3. Contenido
Gestión del Riesgo
Determinación del Nivel Riesgo
Determinación de la Probabilidad
Determinación del Impacto
Evaluación del Riesgo
Tratamiento del Riesgo
© Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados

4. Gestión del Riesgo

5. Enfoque para la Gestión del Riesgo
 En la cláusula 4.2.1 (c) se requiere que la organización identifique y
adopte un método y un enfoque sistémico para el cálculo del riesgo
de sus activos de información.
 La gestión de los riesgos puede utilizar diferentes enfoques
gerenciales y métodos de cálculo del riesgo que satisfagan a la
organización.
 El enfoque que la empresa escoja y su nivel de detalle y
complejidad afectará proporcionalmente en el esfuerzo y cantidad
de recursos requeridos durante el proceso de cálculo y posterior
tratamiento de los riesgos.
 El cálculo del riesgo debe ser tan detallado y complejo como sea
necesario para poder atender eficazmente los requerimientos de la
organización y lo que se requiera según el alcance establecido por el
SGSI.

6. Consideraciones para la Gestión del Riesgo
 Se debe determinar el criterio para la aceptación del riesgo,
documentando las circunstancias bajo las cuales la organización
está dispuesta a aceptar los riesgos.
 Identificación de los niveles de riesgo que la organización considere
aceptables.
 Cobertura de todos los aspectos del alcance del SGSI. El enfoque
escogido por la empresa, para el cálculo del riesgo debe contemplar
un análisis exhaustivo de todos los controles presentados en el
Anexo A de ISO 27001:2005.
 El cálculo del riesgo debe lograr un claro entendimiento sobre que
factores deben controlarse , en la medida en que estos factores
afecten el correcto funcionamiento de los sistemas, servicios y
procesos que sean críticos para la organización.

7. Ciclo del Análisis y Evaluación del Riesgo

8. Proceso del Análisis y Evaluación del Riesgo

9. Determinación del nivel de
riesgo
Basado en MAGERIT

10. Identificación de Riesgos
• Probabilidad de que una
amenaza se materialice,
explotando alguna
vulnerabilidad.
• Identificar activos TI,
• Identificar amenazas y vulnerabilidades,
• Determinar frecuencia e impacto,
• Determinar el riesgo.
(*) Revisar catálogo MAGERIT.

11. Amenazas y Vulnerabilidades
[A] Amenazas que pueden comprometer las dimensiones de un activo
Identificación del Riesgo
[N] Desastres naturales
[I] De origen industrial
[E] Errores y fallos no intencionados
[A] Ataques intencionados
Dimensiones
D I C A T
[SW] Software / Aplicaciones
I.5 Avería de origen físico o lógico 1 1 Dimensiones
E.1 Errores de los usuarios 1 1
E.2 Errores de los administradores 1 1 1 1 1 D Disponibilidad
E.3 Errores de monitoreo (logs) 1 I Integridad
E.4 Error en el establecimiento de datos de configuración 1 1 1 1 1
C Confidencialidad
E.8 Difusión casual de software dañino (malware) 1 1 1 1 1
E.9 Errores de encaminamiento (de información) 1 1 1 1 A Autenticidad
E.10 Errores de secuencia (orden) de mensajes transmitidos 1 T Trazabilidad
E.14 Escape de información 1
E.20 Vulnearbilidades en el código (programa) 1 1 1
E.21 Errores en el mantenimiento del código (programa) 1 1
A.4 Manipulación de la configuración 1 1 1 1 1
A.5 Suplantación de identidad de usuario 1 1 1
A.6 Abuso de privilegios de acceso 1 1
A.7 Utilización del recurso para uso no previsto 1
A.8 Difusión intencionada de software dañino (malware) 1 1 1 1 1
A.9 Encaminamiento de mensajes 1 1 1 1
A.10 Alteración de secuencia (de mensajes) 1
A.11 Acceso no autorizado (aprovechando una debilidad) 1 1
A.14 Interceptación de información (escucha) 1
A.22 Manipulación de programas 1 1 1 1
• A cargo de especialistas en seguridad, riesgos y administradores de activos.

12. Determinación de Riesgos
MAPA DE RIESGOS
Probabilidad / Frecuencia
5
Extremo
Intolerable
4
Tolerable
Aceptable
3
2
1
Impacto
1 2 3 5 8

13. Determinación del Riesgo Medición del Riesgo

14. Determinación de la
Probabilidad
Basado en MAGERIT

15. Determinación de la Probabilidad
Enfoque cualitativo, basado en juicio experto.

16. Determinación del Impacto
Basado en el Método Australiano

17. Determinación del Impacto
• El Impacto de los procesos en la empresa debido a la no
disponibilidad de servicios TI (BIA-Business Impact
Analysis).
• Se puede determinar a partir de:
– Factor de impacto del macro proceso en el cumplimiento de la
misión y objetivos (Fp)
– Nivel de soporte del servicio TI (NS)
– RTO-Recovery Time Objective.

18. Determinación del Impacto
5
 10 
I p = Fp * NS p * ∑ ∑ I RTO( k )  * PRA( i )
i =1  k =1 
Tabla de Impacto (x Área)
8 Desastroso Pérdida total del servicio
5 Mayor Pérdida permanente de la información o sistemas
3 Moderado Pérdida temporal de la información o sistemas
2 Menor Pérdida de información parcial
1 Insignificante Sin pérdida de información

19. Impacto
Los servicios TI heredan el impacto del principal
proceso al que asisten.

20. Evaluación del Riesgo
Basado en ISO 27001 – Anexo A

21. Evaluación del Riesgo
• Si el riesgo es aceptable, finaliza el proceso.
• Caso contrario:
– Transferir (tomar un seguro),
Impacto
– Evitar (retirar activo), o Transferir Evitar
– Mitigar el riesgo, a través de:
Aceptar Mitigar
• Controles1 preventivos, o
• Correctivos. Probabilidad
---
[1] Salvaguardas o medidas de mitigación.

22. A5 - Política de S.I.
Ejemplo:
• Los sistemas de información son activos de vital importancia para el
Banco, y sus debilidades de seguridad afectarían el normal desarrollo de
las actividades y operaciones.
• La gestión del riesgo operativo y tecnológico forma parte de la gestión
institucional (vía políticas y controles de sus sistemas de información). El
Banco acata los requerimientos de seguridad de las entidades
competentes nacionales e internacionales.
• Los colaboradores asumen una responsabilidad individual respecto a la
seguridad de los sistemas de información, así como del uso de información
privilegiada en la Institución.
22

23. A6 - Organización de la S.I.
Dominio ISO 27001 Unidad Organizacional
1 Política de Seguridad Gerencias Centrales
2 Organización de la Seguridad Gerencia de Riesgos
3 Control y Clasificación de la Información Secretaria General
4 Seguridad del Personal Gerencia de Recursos Humanos
5 Seguridad Física y Ambiental Gerencia de Compras y Servicios
6 Gestión de Comunicaciones y Operaciones
7 Control de Acceso Gerencia de Tecnologías de Información
8 Desarrollo y Mantenimiento de Sistemas
9 Gestión de Incidentes Gerencia de Riesgos
10 Gestión de la Continuidad Gerencias Centrales
11 Cumplimiento regulatorio Gerencia Jurídica
Participación integral de los responsables del proceso.
23

24. A7 - Gestión Activos de Información
Clasificación de Recursos / Activos TI*
Categoría Ejemplos
SW Software / Aplicaciones Aplicaciones, sistemas operativos, herramientas de desarrollo y utilitarios
Servidores (S.O.), PCs, routers, hubs, firewalls, medio magnético,
HW Hardware / equipos
gabinetes, cajas fuertes, salas, mobiliario, sistema de alarma, etc.
SI Soportes de información SAN, discos, cintas, USB, CD, DVD
BDs
COM Redes de comunicaciones Medios de transporte que llevan datos de un sitio a otro
BD, archivos de datos, contratos y acuerdos, documentación del
sistema, información de investigación, manuales de usuario, material de
DAT Datos / Información
entrenamiento, de operación, procedimientos de soporte, planes de
continuidad y contingencia, acuerdos
Equipamiento de soporte a los sistemas de información (UPS,
AUX Equipamiento auxiliar
Generados, Aire acondicionado, cableado, etc.)
Lugares donde se hospedan los sistemas de Información, registros
INS Locales / Instalaciones
vitales y comunicaciones
Personas, calificaciones, experiencia y capacidades (usuarios,
PER Personal / RR.HH.
proveedores, personal de TI)
Vigilancia, servicios de impresión, computación, telecomunicaciones,
SRV Servicios generales
eléctrica, agua, etc.
24

25. 1
Ej. Servidor de BD
Servicio LBTR 2 Medio
N° Activo TI Valor Riesgo
BDs
1 Aplicación LBTR Web (Java EE - BD) 5 2 Medio
2 Servidor de BD (DBS) 5 1 Bajo
3 Servidor de Aplicaciones 5 2 Medio
4 Servidor Web (SUN Web Server) 5 1 Bajo
5 Seguridad de datos (Six/Security, HSM) 4 2 Medio
6 Red de Bancos (Extranet) 4 1 Bajo
7 Red Of. Principal (Intranet) 3 2 Medio
8 Seguridad Perimétrica (Firewall) 3 1 Bajo
9 Administración TI (Resp. servicio) 4 2 Medio
10 Normativa (Procedimientos / guías) 2 1 Bajo
11 Estación de trabajo 2 1 Bajo
Servidor de BD
Base de Datos
Plataforma SUN Solaris
Plataforma Sun Solaris
Servidor y Sistema Operativo
Administración TI (DBA)
Normativa (Procedimiento / Guía) Sistema de almacenamiento
Centro de Datos Institucional (CDI)
Centro Externo de Respaldo (CER)
Servicio de respaldo (Back-up)
Administrador TI (Plataforma)
1] Los valores son de ejemplo. Normativa (Procedimiento / Guía)

26. A8 - Seguridad de los RR.HH.
Cuidados
1. Antes
2. Durante, y
3. Después
de la incorporación de talentos.
 Normativa / Procedimientos,
buenas prácticas.

27. ? Preguntas

28. Laboratorio
Análisis de Riesgos

29. Ejercicio
Análisis de Riesgos

30. SEGURIDAD EN REDES
FIN DE SESION