Esta presentación se realizo en e Congreso Nacional de Ingeniería Informática en Chimbote. El cual describe como se genera el portafolio de proyectos de seguridad informática mediante una evaluación costo beneficio.
4. Conceptos previos
• Seguridad de la Información: “Preservación de la
confidencialidad, integridad y disponibilidad de la
información” ISO/IEC 17799:2005
• Amenaza: “Es la indicación de un potencial evento no
deseado” Alberts y Dorofee, 2003. “Es una indicación de
un evento desagradable con el potencial de causar daño”
• Vulnerabilidad: “Es una debilidad del sistema, aplicación
o infraestructura, control o diseño de flujo que puede ser
explotada para violar la integridad del sistema” Peltier,
2001
• Control de seguridad: “Medio de dirigir el riesgo,
incluyendo políticas, procedimientos, directrices,
practicas o estructuras organizacionales, los cuales
pueden ser de naturaleza técnica, de gestión o legal”
• Explotación: “Es aprovecharse de una vulnerabilidad”
• Revisión de Código: “Es el proceso de revisión que se
hayan aplicado controles de seguridad a nivel de código
al momento de desarrollar el software o parte”
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
5. Triada de la Seguridad
• Disponibilidad: Propiedad
de estar accesible y utilizable
bajo demanda de una
entidad autorizada. ISO/IEC
13335-1:2004
• Integridad: Propiedad de
Salvaguardar la exactitud y la
totalidad de activos. ISO/IEC
13335-1:2004
• Confidencialidad: Propiedad
de que la información no
este disponible o divulgada a
individuos, entidades o
procesos no autorizados.
ISO/IEC13335-1:2004
RaulDiaz|CISM,ISFISO
27002,ITIL(F),CEH,CHFI,ECSA,EC
SP
6. ImplantarSeguridad de la
Informaciónen las organizaciones
Identificar
procesos
críticos
Evaluación del
riesgo
Tratamiento
del riesgo
(Proyectos)
Diagnostico
actual
Implantación
de nuevos
controles
Monitoreo de
Controles
Mejora
Continua
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
8. Identificar procesos críticos
Proceso Obj O1 O2 O3
Gestión Comercial X
Gestión de TI X
Gestión de
Cadena de
Suministros
X X X
Gestión de Pagos X
Producción X X X
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
9. ImplantarSeguridad de la
Informaciónen las organizaciones
Identificar
procesos
críticos
Evaluación del
riesgo
Tratamiento
del riesgo
(Proyectos)
Diagnostico
actual
Implantación
de nuevos
controles
Monitoreo de
Controles
Mejora
Continua
RaulDiaz|CISM,ISFISO
27002,ITIL(F),CEH,CHFI,ECSA,EC
SP
10. Análisis y Evaluación del Riesgo
Identificación de
activos críticos
Identificación de
amenazas
Identificación de
vulnerabilidades
Identificación
del evento de
riesgo
Probabilidad de
ocurrencia
Probabilidad de
Impacto
Calculo del
riesgo inherente
Identificación de
controles
actuales
Calculo del
riesgo residual
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
11. Identificación de activos críticos
• Para tasar los activos se tomaran en cuenta las propiedades de
la seguridad: integridad, confidencialidad y disponibilidad
correspondiente a los procesos críticos
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
Activo Confidencialidad Integridad Disponibilidad Total
BD 2 5 5 4
SW 5 5 4 5
CORE 3 5 5 4
WEB 4 3 2 3
AD 6 3 5 5
12. Identificaciónde amenazas,
vulnerabilidades y su calculo
• Se identifican cuales son las potenciales amenazas y
vulnerabilidades por cada amenaza.
• Se calcula el impacto de la amenaza y la probabilidad de
ocurrencia.
RaulDiaz|CISM,ISFISO
27002,ITIL(F),CEH,CHFI,ECSA,EC
SP
13. Identificación de
Vulnerabilidades
Reconocimiento Escaneo Explotación Documentación
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
Análisis de Vulnerabilidades vs Pruebas de
Penetración
Las debilidades se pueden identificar verificando la existencia de controles de
seguridad según el marco de la ISO 27001, una evaluación técnica de
vulnerabilidades también es input para nuestra matriz de riesgo.
14. Vulnerabilidades en aplicaciones web
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
OWASP Top 10 – 2007 (Previo) OWASP Top 10 – 2010 (Nuevo)
A2 – Fallas de inyección A1 – Inyección
A1 – Secuencia de Comandos en Sitios Cruzados (XSS) A2 – Secuencia de Comandos en Sitios Cruzados (XSS)
A7 – Pérdida de Autenticación y Gestión de Sesiones A3 – Pérdida de Autenticación y Gestión de Sesiones
A4 – Referencia Directa Insegura a Objetos A4 – Referencia Directa Insegura a Objetos
A5 – Falsificación de Peticiones en Sitios Cruzados (CSRF) A5 – Falsificación de Peticiones en Sitios Cruzados (CSRF)
<T10 2004 A10 – Administración Insegura de Configuración> A6 – Defectuosa Configuración de Seguridad (NUEVO)
A8 – Almacenamiento Criptográfico Inseguro A7 – Almacenamiento Criptográfico Inseguro
A10 – Falla de Restricción de Acceso a URL A8 – Falla de Restricción de Acceso a URL
A9 – Comunicaciones Inseguras A9 – Protección Insuficiente en la Capa de Transporte
<no disponible en T10 2007> A10 – Redirecciones y reenvíos no validados (NUEVO)
A3 – Ejecución Maliciosa de Ficheros <removido del T10 2010>
A6 – Filtrado de Información y Manejo Inapropiado de Errores <removido del T10 2010>
15. Matriz para el calculo del riesgo
RaulDiaz|CISM,ISFISO
27002,ITIL(F),CEH,CHFI,ECSA,EC
SP
16. Análisis de Riesgo
• El objetivo del análisis del riesgo es identificar y calcular los
riesgos basados en los activos o procesos críticos, y en calculo
de las amenazas y vulnerabilidades.
• Se debe utilizar un método de calculo cualitativo o
cuantitativo.
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
Activo Amenaza Vul Evento de
Riesgo
Impacto Prob. de
ocurrencia
Calculo del
Riesgo
Priorización
A RES MJI XYZ M+ M Extremo 1
17. Riesgos Comunes
• Cambios no autorizados
en producción
• Explotación de
vulnerabilidades técnicas
en activos críticos.
• Indisponibilidad de
activos críticos
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
18. Decisión sobre el riesgo
Aceptar Transferir
Mitigar Evadir
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
19. ImplantarSeguridad de la
Informaciónen las organizaciones
Identificar
procesos
críticos
Evaluación del
riesgo
Tratamiento
del riesgo
(Proyectos)
Diagnostico
actual
Implantación
de nuevos
controles
Monitoreo de
Controles
Mejora
Continua
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
20. Tratamiento del Riesgo
• Se toma en cuenta el apetito de
riesgo de la organización
• Se toma acción de los riesgos
críticos de la organización,
identificando controles con los
cuales mitigar, transferir o evadir
el mismo.
• Se hace una análisis costo
beneficio. Se puede utilizar la
identificación del ROSI.
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
21. Return on Security Investments
El ROI mide la forma de medir cualquier inversión en general.
ROI [%] = (Beneficio [Dinero] – Costo [Dinero])/Costo [Dinero]
ROSI [%]= (Riesgo Disminuido [Dinero] – Costo [Dinero])/Costo [Dinero]
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
22. TRATAMIENTO DEL RIESGO
Proyectos 1 2 3 4 5 6 RESP PR
Establecimiento de
metodología
Sistemas 2
Ethical Hacking Segur. Info 5
Revisión de Código Segur. Info 4
Separación de
Ambientes de
Producción y
Desarrollo
Operaciones 2
Implantación de
Procesos de Pase a
Producción
Operaciones 3
Capacitación Sistemas 1
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP
23. Demo
• Se tiene una nueva aplicación en la organización, se te pide evaluar el nivel
de seguridad de este nuevo activo.
RaulDiaz|CISM,ISFISO27002,
ITIL(F),CEH,CHFI,ECSA,ECSP