SlideShare una empresa de Scribd logo

Metodologia del riesgo

C
carma0101

Este documento describe la metodología de análisis de riesgo de SISTESEG, la cual incluye entrevistas, evaluación de riesgos, determinación de probabilidades, identificación de vulnerabilidades e impactos, identificación de controles, y planes de implementación. El objetivo es definir una estrategia de seguridad alineada con la visión de la organización considerando factores cualitativos y cuantitativos.

1 de 7
Descargar para leer sin conexión
SISTESEG METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP SISTESEG Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la cual consideramos el punto central de la definición de una estrategia de seguridad, perfectamente alineada con la visión de la organización, dentro de su entorno de operación. Esta metodología es el resultado de la combinación de diferentes propuestas existentes en la industria, y utiliza métodos tanto cualitativos, como cuantitativos, los primeros permiten agilidad en el proceso y facilidad en la asignación de valores de impacto o riesgo, y los segundos nos permiten la precisión y exactitud, necesarias a la hora de tomar decisiones de tipo financiero, por ejemplo, en el caso de la selección de los controles adecuados, para mitigar un posible evento negativo a la operación y continuidad del negocio. 1.1 Entrevistas Mediante este tipo de aproximación a la organización, se busca entender los diferentes aspectos que la conforman, tanto en el aspecto tecnológico, como en los procesos críticos, los cuales a su vez, son soportados por las aplicaciones y la infraestructura tecnológica. SISTESEG identificará los siguientes elementos en el marco de la norma de seguridad ISO17799/ISO 27001: Descripción de la Organización y sus Objetivo. Entendimiento de la organización, sus áreas funcionales y su ubicación geográfica. El levantamiento del detalle topológico de la infraestructura de tecnología existente, en el cual se especificará y detallará la plataforma de hardware, software, comunicaciones y procesos utilizados por XXX. Listas de verificación de la Infraestructura Tecnológica: El objetivo de las listas de chequeo es identificar las vulnerabilidades de las plataformas tecnológicas. 1.2 Evaluación de Riesgo. La evaluación de riesgos identifica las amenazas, vulnerabilidades y riesgos de la información, sobre la plataforma tecnológica de una organización, con el fin de generar un plan de implementación de los controles que aseguren un ambiente informático seguro, bajo los criterios de disponibilidad, confidencialidad e integridad de la información. Los dos puntos importantes a considerar son:
SISTESEG La probabilidad de una amenaza La magnitud del impacto sobre el sistema, la cual se mide por el nivel de degradación de uno o combinación de alguno de los siguientes elementos: confidencialidad, disponibilidad, integridad. 1.3 Determinación de la probabilidad. Con el fin de derivar una probabilidad o una estimación de la ocurrencia de un evento, los siguientes factores deben ser tomados en cuenta: Fuente de la amenaza y su capacidad. Naturaleza de la vulnerabilidad. La probabilidad que una vulnerabilidad potencial pueda ser explotada por una fuente de amenaza la podemos clasificar en alta, media-alta, media, media-baja y baja, como se describe a continuación. Nivel Definición Alta = 5 La amenaza esta altamente motivada y es suficientemente capaz de llevarse a cabo. Media-Alta =4 La amenaza está fundamentada y es posible. Media = 3 La amenaza es posible. Media-Baja = 2 La amenaza no posee la suficiente capacidad. Baja = 1 La amenaza no posee la suficiente motivación y capacidad. . Tabla 1. Probabilidad de ocurrencia de un evento determinado. 1.4 Numero de ocurrencias del evento en un periodo de un año. Con el fin de poder determinar la probabilidad de ocurrencia de ciertos eventos, como el caso de una pérdida de potencia, falla en las comunicaciones, utilizamos información obtenida de ciertas publicaciones tecnológicas como Information Week e Infosecurity News, www.cert.org, www.sans.org junto con experiencias de casos Colombianos.
SISTESEG De esta manera se define una escala en la cual, a una probabilidad alta, le asignamos el valor P=5, para una probabilidad media le asignamos el valor P=3 y por último para una probabilidad baja le asignamos el valor P=1, esta asignación se define en proporción directa al numero de veces que el evento puede ocurrir en un periodo de un año. Para el caso P=5 se considera que ocurre al menos dos veces al año. 1.5 Identificación de Vulnerabilidades. Para la identificación de vulnerabilidades sobre la plataforma de tecnología, se utilizan herramientas como listas de verificación y herramientas de software que determinan vulnerabilidades a nivel del sistema operativo y firewall: Seguridad Física. o Monitoreo ambiental o Control de acceso o Desastres naturales o Control de incendios o Inundaciones Seguridad en las conexiones a Internet. o Políticas en el Firewall o VPN o Detección de intrusos Seguridad en la infraestructura de comunicaciones. o Routers o Switches o Firewall o Hubs o RAS Seguridad en Sistema Operacionales(Unix, Windows) Correo Electrónico Seguridad en las aplicaciones Críiticas o Se define las aplicaciones que son críticas para la organización y por cada una de ellas se obtendrá una matriz de riesgo. Es importante considerar que las aplicaciones están soportadas por: Sistemas operativos, hardware servidor, redes LAN y WAN, y el Centro de cómputo. También con el fin de realizar una correspondencia con los datos obtenidos por medio de las listas de verificación, contamos con el uso de una herramienta especializada fabrica por GFI Languard, la cual identifica vulnerabilidades en los sistemas operativos, ayudándonos de esta forma en el proceso de identificación de vulnerabilidades. A continuación mostramos algunas de las características de esta herramienta: Búsqueda de vulnerabilidades en su red (Windows y Linux)
SISTESEG Directorios compartidos, puertos abiertos, cuentas no usadas. Revisión de actualizaciones aplicadas en los sistemas operativos. Detección de dispositivos USB Figura 1. Resultados herramienta de análisis de vulnerabilidades. 1.6 Análisis del impacto y el factor de riesgo El próximo paso en la metodología que estamos describiendo, es poder determinar el impacto adverso para la organización, como resultado de la explotación por parte de una amenaza de una determinada vulnerabilidad, para ello se deben considerar los siguientes aspectos: Consecuencias de tipo financiero, es decir pérdidas causadas sobre un activo físico o lógico determinado y las consecuencias que este activo no funcione, y afecte la operación de la compañía. La importancia critica de los datos y el sistema (importancia a la organización). Sensibilidad de los datos y el sistema. 1.7 Identificación de Controles. En esta fase se evaluarán las conclusiones de la valoración respecto a ISO17799 y la matriz de riesgo con el fin de identificar los controles que mitiguen los riesgos encontrados.
SISTESEG 1.8 Plan de Implementación Tecnológica. El plan de Implementación tecnológica, se presenta como una herramienta para el control por parte de XXX de las actividades que se deben llevar a cabo para mitigar los riesgos identificados, en la evaluación de riesgo del proyecto en curso y de acuerdo al alcance definido. De esta forma la seguridad hoy en día se ha convertido en la carta de navegación para el tema de la inversión en tecnología, debemos en toda inversión tecnológica considerar aspectos relacionados con la gestión de la seguridad, con el fin de que esta inversión este alineada plenamente con la estrategia del negocio y garantice de manera efectiva y eficiente su continuidad. 2 DEFINICION DE POLITICAS Se entiende por política, las reglas generales de comportamiento definidas para la interacción entre los usuarios y los activos informáticos. Las políticas son independientes de los ambientes propios de la entidad y representan la base de un modelo de seguridad. Las Políticas de seguridad dependen de la cultura de la organización. Por esta razón las políticas y procedimientos deben estar hechos a la medida, según los requerimientos específicos de cada organización. Para la definición de las políticas y procedimientos se realiza un proceso de validación en conjunto con la organización con el fin de generar políticas y procedimientos que se ajusten a esta. Como punto de partida para la definición de las políticas se tendrá como referencia el análisis de riesgo realizado, los controles del ISO 1 7799/ISO 27001. Las políticas cubrirán los siguientes temas: Seguridad en la Organización: o Roles y Responsabilidades de Seguridad de la Información o Políticas para la conexión con terceros. Clasificación de la Información: o Importancia de la información según la organización. Seguridad en el recurso Humano: o Responsabilidades de seguridad de la información para los diferentes cargos.
SISTESEG o Entrenamiento a empleados en seguridad de la información como parte de su proceso de inducción y mejoramiento continuo. Seguridad Física: o Seguridad ambiental o Control de Acceso físico. Administración de las operaciones de cómputo y comunicaciones. o Políticas sobre el uso del correo electrónico o Políticas sobre el uso de Internet. o Políticas sobre el uso de recursos. Control de Acceso. Desarrollo y mantenimiento de Sistemas. Continuidad de Negocio. Conformidad con leyes civiles, legales y contractuales. Las políticas constan de: Audiencia Introducción Definiciones Objetivo Enunciado de la Política Políticas y Procedimientos relacionados Roles y responsabilidades Violaciones a la política 3 DEFINICION DE PROCEDIMIENTOS Los procedimientos son la descripción detallada de la manera como se implanta una política. El procedimiento incluye todas las actividades requeridas, los roles y responsabilidades de las personas encargadas de llevarlos a cabo. Los procedimientos a definir son los siguientes: Administración de cuentas de usuario. Manejo de Incidentes Manejo de Virus Administración de cuentas privilegiadas. Procedimiento de Control de Cambios. Procedimiento de Acceso al edificio. Procedimiento de acceso al centro de Cómputo. Procedimiento de respaldo Los procedimientos constan:
SISTESEG Introducción Objetivo Alcance Responsable de su administración Responsables de la implementación y ejecución. Responsable del control 4 DEFINICION DE ESTANDARES Es la definición cuantitativa o cualitativa de un valor o parámetro determinado que puede estar incluido en una política o procedimiento. Algunos de los principales estándares a definir son: Longitudes de contraseñas Histórico de contraseñas Eventos a registrar en logs Switches Routers Firewall VPNs Sistema Operativo Windows AUTOR: EL ing Rodrigo Ferrer (rodrigo.ferrer@sisteseg.com) es egresado de la universidad de los Andes como ingeniero Eléctrico, en donde también ha realizado estudios de postgrado y especialización en telecomunicaciones y Gestión de sistemas de información. Se ha desempeñado laboralmente en empresas de redes y seguridad tales como: 3com, Extreme Networks, Sonicwall, Sisteseg, desempeñándose como Network Consultant para la región andina y como académico en varias universidades del país. Recibió en el 2006 la certificación CISSP (Certified Information System Security Profesional) del International Information Systems Security Certification Consortium (www.isc2.org), la certificación internacional más reconocida a nivel mundial en el área de seguridad de la información, seguridad física y seguridad en redes. Tambien esta en proceso de obtener la certificación CISA de ISACA y es LEAD AUDITOR 27001. Como complemento a su formación tecnológica, ha realizado también realizado estudios de educación continuada en la Universidad de Cambridge en el Reino Unido y actualmente está finalizando la Maestría en Filosofía, en la Universidad Javeriana orientado al tema "filosofía de la ciencia y la tecnología".

Recomendados

Metodologia prima
Metodologia primaMetodologia prima
Metodologia prima
Paolita Gomez
 
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasMetodologias de Seguridad De Sistemas
Metodologias de Seguridad De Sistemas
Carmen Benites
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2
ucc
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
Any López
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos II
Tensor
 
Análisis de riesgos informáticos
Análisis de riesgos informáticosAnálisis de riesgos informáticos
Análisis de riesgos informáticos
Juanita Noemy Miniano Corro
 
01 riesgosinformatica
01 riesgosinformatica01 riesgosinformatica
01 riesgosinformatica
Elizabeth Sanchez
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
Riesgosinformatica
Florencio Lara
 

Recomendados

Metodologia prima
Metodologia primaMetodologia prima
Metodologia prima
Paolita Gomez
 
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasMetodologias de Seguridad De Sistemas
Metodologias de Seguridad De Sistemas
Carmen Benites
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2
ucc
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
Any López
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos II
Tensor
 
Análisis de riesgos informáticos
Análisis de riesgos informáticosAnálisis de riesgos informáticos
Análisis de riesgos informáticos
Juanita Noemy Miniano Corro
 
01 riesgosinformatica
01 riesgosinformatica01 riesgosinformatica
01 riesgosinformatica
Elizabeth Sanchez
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
Riesgosinformatica
Florencio Lara
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
maxol03
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
Conferencias FIST
 
Informe Análisis de caso Simón II - Gestión de la Seguridad Informática
Informe Análisis de caso Simón II - Gestión de la Seguridad InformáticaInforme Análisis de caso Simón II - Gestión de la Seguridad Informática
Informe Análisis de caso Simón II - Gestión de la Seguridad Informática
Jesús Daniel Mayo
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
alexa1rodriguez
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
Harold Morales
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
Karlita G Martín
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Eli Castro
 
Politica de seguridad jose
Politica de seguridad josePolitica de seguridad jose
Politica de seguridad jose
Jose Ramon Rodriguez Alvarado
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgos
Alexander Velasque Rimac
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
alejenny
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
Marcos Harasimowicz
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
Aranda Software
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
Maricarmen García de Ureña
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistema
Nathy Ahdz
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
sgalvan
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
Abby Ramirez
 
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
Miguel A. Amutio
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
jesus
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
CincoC
 
Proyecto 2016 1
Proyecto 2016 1Proyecto 2016 1
Proyecto 2016 1
Beymar Odiño Geronimo Riveros
 
Triptico
TripticoTriptico
Triptico
Facebook en Español
 
Calculo de soldadura
Calculo de soldaduraCalculo de soldadura
Calculo de soldadura
Beymar Odiño Geronimo Riveros
 

Más contenido relacionado

La actualidad más candente

Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
maxol03
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
Conferencias FIST
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
Harold Morales
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Eli Castro
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
alejenny
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistema
Nathy Ahdz
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
jesus
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
CincoC
 

La actualidad más candente (19)

Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
 
Informe Análisis de caso Simón II - Gestión de la Seguridad Informática
Informe Análisis de caso Simón II - Gestión de la Seguridad InformáticaInforme Análisis de caso Simón II - Gestión de la Seguridad Informática
Informe Análisis de caso Simón II - Gestión de la Seguridad Informática
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Politica de seguridad jose
Politica de seguridad josePolitica de seguridad jose
Politica de seguridad jose
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgos
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistema
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 

Destacado

Informe tecnico
Informe tecnicoInforme tecnico
Informe tecnico
Nicol España Morales
 
Presentation orbital spa
Presentation orbital spaPresentation orbital spa
Presentation orbital spa
arleto
 
Conformado en caliente
Conformado en calienteConformado en caliente
Conformado en caliente
vsanchezlichan
 

Destacado (20)

Proyecto 2016 1
Proyecto 2016 1Proyecto 2016 1
Proyecto 2016 1
 
Triptico
TripticoTriptico
Triptico
 
Calculo de soldadura
Calculo de soldaduraCalculo de soldadura
Calculo de soldadura
 
Informe tecnico
Informe tecnicoInforme tecnico
Informe tecnico
 
Reflexion modulo 3
Reflexion modulo 3Reflexion modulo 3
Reflexion modulo 3
 
Almacenamiento
AlmacenamientoAlmacenamiento
Almacenamiento
 
Lab de fabricaion
Lab de fabricaionLab de fabricaion
Lab de fabricaion
 
Presentation orbital spa
Presentation orbital spaPresentation orbital spa
Presentation orbital spa
 
Módulo reflexió II
Módulo reflexió IIMódulo reflexió II
Módulo reflexió II
 
Proceso de conformado
Proceso de conformadoProceso de conformado
Proceso de conformado
 
Mapa sistemas de costos de produccion
Mapa sistemas de costos de produccionMapa sistemas de costos de produccion
Mapa sistemas de costos de produccion
 
Conformado en caliente
Conformado en calienteConformado en caliente
Conformado en caliente
 
Reflexion modulo 2 (1)
Reflexion modulo 2 (1)Reflexion modulo 2 (1)
Reflexion modulo 2 (1)
 
PIPING ENGINEER UN IMPERATIVO PARA LA INDUSTRIA
PIPING ENGINEER UN IMPERATIVO PARA LA INDUSTRIAPIPING ENGINEER UN IMPERATIVO PARA LA INDUSTRIA
PIPING ENGINEER UN IMPERATIVO PARA LA INDUSTRIA
 
Simulator
SimulatorSimulator
Simulator
 
Practica de soldadura
Practica de soldaduraPractica de soldadura
Practica de soldadura
 
Prácticas mec265 2012-2
Prácticas mec265 2012-2Prácticas mec265 2012-2
Prácticas mec265 2012-2
 
Sublimación
SublimaciónSublimación
Sublimación
 
Sugerencias para lograr conversaciones en línea de calidad participantes
Sugerencias para lograr conversaciones en línea de calidad participantesSugerencias para lograr conversaciones en línea de calidad participantes
Sugerencias para lograr conversaciones en línea de calidad participantes
 
Imprimir mapa
Imprimir mapaImprimir mapa
Imprimir mapa
 

Similar a Metodologia del riesgo

Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informatica
Mariano Galvez
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
alejenny
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?
Meztli Valeriano Orozco
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
mia
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2
macase
 

Similar a Metodologia del riesgo (20)

Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informatica
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?
 
Políticas de Seguridad Informática
Políticas de Seguridad InformáticaPolíticas de Seguridad Informática
Políticas de Seguridad Informática
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
Riesgosinformatica
 
Evidencia 2 sandra jaramillo
Evidencia 2 sandra jaramilloEvidencia 2 sandra jaramillo
Evidencia 2 sandra jaramillo
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Cyber seguridad
Cyber seguridadCyber seguridad
Cyber seguridad
 
Evaluación 1
Evaluación 1Evaluación 1
Evaluación 1
 
Evaluación 1
Evaluación 1Evaluación 1
Evaluación 1
 
Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 
Presentacion2
Presentacion2Presentacion2
Presentacion2
 
Seguridad
Seguridad Seguridad
Seguridad
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2
 

Más de carma0101

Ficha soldadura oxiacetileno
Ficha soldadura oxiacetilenoFicha soldadura oxiacetileno
Ficha soldadura oxiacetileno
carma0101
 
Condiciones de riesgo en la construcción
Condiciones de riesgo en la construcciónCondiciones de riesgo en la construcción
Condiciones de riesgo en la construcción
carma0101
 
Andamios colgantes
Andamios colgantesAndamios colgantes
Andamios colgantes
carma0101
 
Factores de riesgo ocupacional
Factores de riesgo ocupacionalFactores de riesgo ocupacional
Factores de riesgo ocupacional
carma0101
 
Anexo 15. procedimiento de notificación e investigación
Anexo 15. procedimiento de notificación e investigaciónAnexo 15. procedimiento de notificación e investigación
Anexo 15. procedimiento de notificación e investigación
carma0101
 
Anexo 3. reglamento de higiene y seguridad industrial
Anexo 3. reglamento de higiene y seguridad industrialAnexo 3. reglamento de higiene y seguridad industrial
Anexo 3. reglamento de higiene y seguridad industrial
carma0101
 
Estandar de seguridad soldadura
Estandar de seguridad soldaduraEstandar de seguridad soldadura
Estandar de seguridad soldadura
carma0101
 
Espacios confinados (2)
Espacios confinados (2)Espacios confinados (2)
Espacios confinados (2)
carma0101
 
Procedim en ener peligrosas
Procedim en ener peligrosasProcedim en ener peligrosas
Procedim en ener peligrosas
carma0101
 
Procedimiento de seguridad para trabajos de alto riesgo innes
Procedimiento de seguridad para trabajos de alto riesgo innesProcedimiento de seguridad para trabajos de alto riesgo innes
Procedimiento de seguridad para trabajos de alto riesgo innes
carma0101
 
Las normas 9000
Las normas 9000Las normas 9000
Las normas 9000
carma0101
 

Más de carma0101 (11)

Ficha soldadura oxiacetileno
Ficha soldadura oxiacetilenoFicha soldadura oxiacetileno
Ficha soldadura oxiacetileno
 
Condiciones de riesgo en la construcción
Condiciones de riesgo en la construcciónCondiciones de riesgo en la construcción
Condiciones de riesgo en la construcción
 
Andamios colgantes
Andamios colgantesAndamios colgantes
Andamios colgantes
 
Factores de riesgo ocupacional
Factores de riesgo ocupacionalFactores de riesgo ocupacional
Factores de riesgo ocupacional
 
Anexo 15. procedimiento de notificación e investigación
Anexo 15. procedimiento de notificación e investigaciónAnexo 15. procedimiento de notificación e investigación
Anexo 15. procedimiento de notificación e investigación
 
Anexo 3. reglamento de higiene y seguridad industrial
Anexo 3. reglamento de higiene y seguridad industrialAnexo 3. reglamento de higiene y seguridad industrial
Anexo 3. reglamento de higiene y seguridad industrial
 
Estandar de seguridad soldadura
Estandar de seguridad soldaduraEstandar de seguridad soldadura
Estandar de seguridad soldadura
 
Espacios confinados (2)
Espacios confinados (2)Espacios confinados (2)
Espacios confinados (2)
 
Procedim en ener peligrosas
Procedim en ener peligrosasProcedim en ener peligrosas
Procedim en ener peligrosas
 
Procedimiento de seguridad para trabajos de alto riesgo innes
Procedimiento de seguridad para trabajos de alto riesgo innesProcedimiento de seguridad para trabajos de alto riesgo innes
Procedimiento de seguridad para trabajos de alto riesgo innes
 
Las normas 9000
Las normas 9000Las normas 9000
Las normas 9000
 

Metodologia del riesgo

  • 1. SISTESEG METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP SISTESEG Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la cual consideramos el punto central de la definición de una estrategia de seguridad, perfectamente alineada con la visión de la organización, dentro de su entorno de operación. Esta metodología es el resultado de la combinación de diferentes propuestas existentes en la industria, y utiliza métodos tanto cualitativos, como cuantitativos, los primeros permiten agilidad en el proceso y facilidad en la asignación de valores de impacto o riesgo, y los segundos nos permiten la precisión y exactitud, necesarias a la hora de tomar decisiones de tipo financiero, por ejemplo, en el caso de la selección de los controles adecuados, para mitigar un posible evento negativo a la operación y continuidad del negocio. 1.1 Entrevistas Mediante este tipo de aproximación a la organización, se busca entender los diferentes aspectos que la conforman, tanto en el aspecto tecnológico, como en los procesos críticos, los cuales a su vez, son soportados por las aplicaciones y la infraestructura tecnológica. SISTESEG identificará los siguientes elementos en el marco de la norma de seguridad ISO17799/ISO 27001: Descripción de la Organización y sus Objetivo. Entendimiento de la organización, sus áreas funcionales y su ubicación geográfica. El levantamiento del detalle topológico de la infraestructura de tecnología existente, en el cual se especificará y detallará la plataforma de hardware, software, comunicaciones y procesos utilizados por XXX. Listas de verificación de la Infraestructura Tecnológica: El objetivo de las listas de chequeo es identificar las vulnerabilidades de las plataformas tecnológicas. 1.2 Evaluación de Riesgo. La evaluación de riesgos identifica las amenazas, vulnerabilidades y riesgos de la información, sobre la plataforma tecnológica de una organización, con el fin de generar un plan de implementación de los controles que aseguren un ambiente informático seguro, bajo los criterios de disponibilidad, confidencialidad e integridad de la información. Los dos puntos importantes a considerar son:
  • 2. SISTESEG La probabilidad de una amenaza La magnitud del impacto sobre el sistema, la cual se mide por el nivel de degradación de uno o combinación de alguno de los siguientes elementos: confidencialidad, disponibilidad, integridad. 1.3 Determinación de la probabilidad. Con el fin de derivar una probabilidad o una estimación de la ocurrencia de un evento, los siguientes factores deben ser tomados en cuenta: Fuente de la amenaza y su capacidad. Naturaleza de la vulnerabilidad. La probabilidad que una vulnerabilidad potencial pueda ser explotada por una fuente de amenaza la podemos clasificar en alta, media-alta, media, media-baja y baja, como se describe a continuación. Nivel Definición Alta = 5 La amenaza esta altamente motivada y es suficientemente capaz de llevarse a cabo. Media-Alta =4 La amenaza está fundamentada y es posible. Media = 3 La amenaza es posible. Media-Baja = 2 La amenaza no posee la suficiente capacidad. Baja = 1 La amenaza no posee la suficiente motivación y capacidad. . Tabla 1. Probabilidad de ocurrencia de un evento determinado. 1.4 Numero de ocurrencias del evento en un periodo de un año. Con el fin de poder determinar la probabilidad de ocurrencia de ciertos eventos, como el caso de una pérdida de potencia, falla en las comunicaciones, utilizamos información obtenida de ciertas publicaciones tecnológicas como Information Week e Infosecurity News, www.cert.org, www.sans.org junto con experiencias de casos Colombianos.
  • 3. SISTESEG De esta manera se define una escala en la cual, a una probabilidad alta, le asignamos el valor P=5, para una probabilidad media le asignamos el valor P=3 y por último para una probabilidad baja le asignamos el valor P=1, esta asignación se define en proporción directa al numero de veces que el evento puede ocurrir en un periodo de un año. Para el caso P=5 se considera que ocurre al menos dos veces al año. 1.5 Identificación de Vulnerabilidades. Para la identificación de vulnerabilidades sobre la plataforma de tecnología, se utilizan herramientas como listas de verificación y herramientas de software que determinan vulnerabilidades a nivel del sistema operativo y firewall: Seguridad Física. o Monitoreo ambiental o Control de acceso o Desastres naturales o Control de incendios o Inundaciones Seguridad en las conexiones a Internet. o Políticas en el Firewall o VPN o Detección de intrusos Seguridad en la infraestructura de comunicaciones. o Routers o Switches o Firewall o Hubs o RAS Seguridad en Sistema Operacionales(Unix, Windows) Correo Electrónico Seguridad en las aplicaciones Críiticas o Se define las aplicaciones que son críticas para la organización y por cada una de ellas se obtendrá una matriz de riesgo. Es importante considerar que las aplicaciones están soportadas por: Sistemas operativos, hardware servidor, redes LAN y WAN, y el Centro de cómputo. También con el fin de realizar una correspondencia con los datos obtenidos por medio de las listas de verificación, contamos con el uso de una herramienta especializada fabrica por GFI Languard, la cual identifica vulnerabilidades en los sistemas operativos, ayudándonos de esta forma en el proceso de identificación de vulnerabilidades. A continuación mostramos algunas de las características de esta herramienta: Búsqueda de vulnerabilidades en su red (Windows y Linux)
  • 4. SISTESEG Directorios compartidos, puertos abiertos, cuentas no usadas. Revisión de actualizaciones aplicadas en los sistemas operativos. Detección de dispositivos USB Figura 1. Resultados herramienta de análisis de vulnerabilidades. 1.6 Análisis del impacto y el factor de riesgo El próximo paso en la metodología que estamos describiendo, es poder determinar el impacto adverso para la organización, como resultado de la explotación por parte de una amenaza de una determinada vulnerabilidad, para ello se deben considerar los siguientes aspectos: Consecuencias de tipo financiero, es decir pérdidas causadas sobre un activo físico o lógico determinado y las consecuencias que este activo no funcione, y afecte la operación de la compañía. La importancia critica de los datos y el sistema (importancia a la organización). Sensibilidad de los datos y el sistema. 1.7 Identificación de Controles. En esta fase se evaluarán las conclusiones de la valoración respecto a ISO17799 y la matriz de riesgo con el fin de identificar los controles que mitiguen los riesgos encontrados.
  • 5. SISTESEG 1.8 Plan de Implementación Tecnológica. El plan de Implementación tecnológica, se presenta como una herramienta para el control por parte de XXX de las actividades que se deben llevar a cabo para mitigar los riesgos identificados, en la evaluación de riesgo del proyecto en curso y de acuerdo al alcance definido. De esta forma la seguridad hoy en día se ha convertido en la carta de navegación para el tema de la inversión en tecnología, debemos en toda inversión tecnológica considerar aspectos relacionados con la gestión de la seguridad, con el fin de que esta inversión este alineada plenamente con la estrategia del negocio y garantice de manera efectiva y eficiente su continuidad. 2 DEFINICION DE POLITICAS Se entiende por política, las reglas generales de comportamiento definidas para la interacción entre los usuarios y los activos informáticos. Las políticas son independientes de los ambientes propios de la entidad y representan la base de un modelo de seguridad. Las Políticas de seguridad dependen de la cultura de la organización. Por esta razón las políticas y procedimientos deben estar hechos a la medida, según los requerimientos específicos de cada organización. Para la definición de las políticas y procedimientos se realiza un proceso de validación en conjunto con la organización con el fin de generar políticas y procedimientos que se ajusten a esta. Como punto de partida para la definición de las políticas se tendrá como referencia el análisis de riesgo realizado, los controles del ISO 1 7799/ISO 27001. Las políticas cubrirán los siguientes temas: Seguridad en la Organización: o Roles y Responsabilidades de Seguridad de la Información o Políticas para la conexión con terceros. Clasificación de la Información: o Importancia de la información según la organización. Seguridad en el recurso Humano: o Responsabilidades de seguridad de la información para los diferentes cargos.
  • 6. SISTESEG o Entrenamiento a empleados en seguridad de la información como parte de su proceso de inducción y mejoramiento continuo. Seguridad Física: o Seguridad ambiental o Control de Acceso físico. Administración de las operaciones de cómputo y comunicaciones. o Políticas sobre el uso del correo electrónico o Políticas sobre el uso de Internet. o Políticas sobre el uso de recursos. Control de Acceso. Desarrollo y mantenimiento de Sistemas. Continuidad de Negocio. Conformidad con leyes civiles, legales y contractuales. Las políticas constan de: Audiencia Introducción Definiciones Objetivo Enunciado de la Política Políticas y Procedimientos relacionados Roles y responsabilidades Violaciones a la política 3 DEFINICION DE PROCEDIMIENTOS Los procedimientos son la descripción detallada de la manera como se implanta una política. El procedimiento incluye todas las actividades requeridas, los roles y responsabilidades de las personas encargadas de llevarlos a cabo. Los procedimientos a definir son los siguientes: Administración de cuentas de usuario. Manejo de Incidentes Manejo de Virus Administración de cuentas privilegiadas. Procedimiento de Control de Cambios. Procedimiento de Acceso al edificio. Procedimiento de acceso al centro de Cómputo. Procedimiento de respaldo Los procedimientos constan:
  • 7. SISTESEG Introducción Objetivo Alcance Responsable de su administración Responsables de la implementación y ejecución. Responsable del control 4 DEFINICION DE ESTANDARES Es la definición cuantitativa o cualitativa de un valor o parámetro determinado que puede estar incluido en una política o procedimiento. Algunos de los principales estándares a definir son: Longitudes de contraseñas Histórico de contraseñas Eventos a registrar en logs Switches Routers Firewall VPNs Sistema Operativo Windows AUTOR: EL ing Rodrigo Ferrer (rodrigo.ferrer@sisteseg.com) es egresado de la universidad de los Andes como ingeniero Eléctrico, en donde también ha realizado estudios de postgrado y especialización en telecomunicaciones y Gestión de sistemas de información. Se ha desempeñado laboralmente en empresas de redes y seguridad tales como: 3com, Extreme Networks, Sonicwall, Sisteseg, desempeñándose como Network Consultant para la región andina y como académico en varias universidades del país. Recibió en el 2006 la certificación CISSP (Certified Information System Security Profesional) del International Information Systems Security Certification Consortium (www.isc2.org), la certificación internacional más reconocida a nivel mundial en el área de seguridad de la información, seguridad física y seguridad en redes. Tambien esta en proceso de obtener la certificación CISA de ISACA y es LEAD AUDITOR 27001. Como complemento a su formación tecnológica, ha realizado también realizado estudios de educación continuada en la Universidad de Cambridge en el Reino Unido y actualmente está finalizando la Maestría en Filosofía, en la Universidad Javeriana orientado al tema "filosofía de la ciencia y la tecnología".