Taller Gestion de Riesgos 2010
Transcript of Taller Gestion de Riesgos 2010
-
8/19/2019 Taller Gestion de Riesgos 2010
1/32
-
8/19/2019 Taller Gestion de Riesgos 2010
2/32
TemarioTemario
Objetivos del taller - ¿Por qué se crea el talle- ¿ u se espera e os a
Repaso de conceptos clave-- Amenaza- Vulnerabilidad- Ex osición
- Probabilidad de ocurr - Impacto- Riesgo- nc en e e segur a- Control
- Relación entre los co
?s en es
ncia
ceptos
-
8/19/2019 Taller Gestion de Riesgos 2010
3/32
TemarioTemario
Proceso de gestión de riesgos Caso de estudio
- Identificación de activos- Dependencia entre acti
- Valoración de activos- Identificación de amena- Caracterización de ame- Identificación de control
- eterm nac n e mpa- Cálculo de riesgos- Tratamiento de riesgos
os
asazass
to
-
8/19/2019 Taller Gestion de Riesgos 2010
4/32
Objetivos del taller Objetivos del taller ¿Por qué se crea el talle¿Por qué se crea el talle
Demostrar mediante casos d
metodolo ía de estión de ride Gestión de Riesgos de Se
r?r?
estudio la aplicación de la
s os resentada en el cursouridad de la información.
-
8/19/2019 Taller Gestion de Riesgos 2010
5/32
Objetivos del taller Objetivos del taller ¿Qué se espera de los a¿Qué se espera de los a
seguridad de la información.
Que pongan en práctica la met
u
ue ransm an o apren o e
ue creen conc enc a en sus o
gestionar los riesgos de segurida
sistentes?sistentes?
dología de análisis de riesgos
.
e curso a sus co egas.
rgan smos so re a mportanc a e
de la información.
-
8/19/2019 Taller Gestion de Riesgos 2010
6/32
Repaso de conceptos clavRepaso de conceptos clav Activo de información Activo de información
organi
un ben
ACTIVO ACTIVO
ACTIVO DE ACTIVO DEINFORMACIONINFORMACION
que
proces
transm
Información
Sistemas Equipamiento Instalaciones
ee
ación posee que puede producir
eficio.s ac vos e una organ zac n que
n, contienen, almacenan o
iten información.
-
8/19/2019 Taller Gestion de Riesgos 2010
7/32
Repaso de conceptos clavRepaso de conceptos clav Amenaza Amenaza
Event
en for
Las a
Agente o Fuente Agente o Fuentede Amenazade Amenaza
“Entid
Eventos naturales: huracanes, terre, , .
Eventos terroristas, sabotajes o a
ataques químicos, etc. , ,
rotura de tuberías, desastres nucleares
Otros eventos: errores en dispositiv , ,
ee
cuya ocurrencia podría impactar
a negativa en la organización.
enazas se aprovechan de (toman
d” que toma ventaja de una
motos, tormentas de nieve, erupciones
tos de guerra: bombas, secuestros,
,
choques de vehículos, etc.
s, pérdida de comunicación, errores en
, .
-
8/19/2019 Taller Gestion de Riesgos 2010
8/32
Repaso de conceptos clavRepaso de conceptos clavVulnerabilidadVulnerabilidad – – ExposiExposi
VULNERABILIDADVULNERABILIDADus
Con
amefrec
EXPOSICIÓNEXPOSICIÓNInst
activ
dañ
un a
eeiónión
nc a o e a e un con ro .
ición que podría permitir que una
aza se materialice con ma orencia, mayor impacto o ambas.
ncia en la cual la información o un
o de información es susceptible a
rse o perderse por el accionar de
ente de amenaza.
-
8/19/2019 Taller Gestion de Riesgos 2010
9/32
Repaso de conceptos clavRepaso de conceptos clavProbabilidad de ocurrenProbabilidad de ocurren
PROBABILIDADPROBABILIDAD
DE OCURRENCIADE OCURRENCIA
Frec
pue
IMPACTOIMPACTOCon
incid
orga
eeciacia -- ImpactoImpacto
uencia con la cual una amenaza
e ocurrir.
ecuencias que produce un
ente de seguridad sobre la
nización.
-
8/19/2019 Taller Gestion de Riesgos 2010
10/32
Repaso de conceptos clavRepaso de conceptos clavRiesgoRiesgo
RIESGORIESGO ame
en cesto
Se conoce por riesgo comprobabilidad de ocurrencia
.
PROBABILIDADE OCURENC
ee
aza explote una vulnerabilidad,
mbinación con el impacto queocasiona.
la función que combina lay el impacto de un incidente de
DIA
IMPACTO
-
8/19/2019 Taller Gestion de Riesgos 2010
11/32
Repaso de conceptos clavRepaso de conceptos clavIncidente de seguridadIncidente de seguridad
Event
INCIDENTE DEINCIDENTE DE
SEGURIDADSEGURIDAD
conse
compr con
dispo
Un inccuent
vu ner
ee
adverso evento con
uencias negativas), que puede
ometer o compromete lanc a a , n egr a o
ibilidad de la información.
idente de seguridad se produceuna amenaza explota una
a .
R d t lR d t l
-
8/19/2019 Taller Gestion de Riesgos 2010
12/32
Repaso de conceptos clavRepaso de conceptos clavControl / ContramedidaControl / Contramedida
Cual
CONTRAMEDIDACONTRAMEDIDAdetect
asociamen
Probabilidad deocurrencia
y/o
ee SalvaguardaSalvaguarda
ier ti o de medida ue ermita
r, prevenir o minimizar el riesgo
do con la ocurrencia de unaza espec ca.
Impacto
R d t lR d t l
-
8/19/2019 Taller Gestion de Riesgos 2010
13/32
Repaso de conceptos clavRepaso de conceptos clavRelación entre los concRelación entre los conc
AN AN
INFORMACIÓNINFORMACIÓN
PROBPROBDE OCDE OC
IMIM
RIESGORIESGO
CONTROLESCONTROLES
eeptosptos
EMAZAEMAZA
EXPOSICIONEXPOSICION
INCIDENTE DEINCIDENTE DEBILIDADBILIDADRRENCIARRENCIA
SEGURIDADSEGURIDAD
ACTO ACTO
P d G tió d RiP d G tió d Ri
-
8/19/2019 Taller Gestion de Riesgos 2010
14/32
Proceso de Gestión de RieProceso de Gestión de Rie
1. EVALUACIÓN1. EVALUACIÓN
2. TRATAMIENTO2. TRATAMIENTO
sgossgos
. .. .DE RIESGOSDE RIESGOS
1.2. ANÁLISIS1.2. ANÁLISISDE RIESGOSDE RIESGOS
2.1. SELECCI N E2.1. SELECCI N EIMPLANTACIÓNIMPLANTACIÓN
2.2. SEGUIMIENTO2.2. SEGUIMIENTOY MEDICIÓNY MEDICIÓN
-
8/19/2019 Taller Gestion de Riesgos 2010
15/32
Caso de estudioCaso de estudio
Identificación de activos
FUNCIONES DE LA ORGANIZACION
• Administración de RRHH• Administración contable
EQUIPAM• Srv1-Aplic• Srv2-BD
• Centro de cómputos• Oficina de RRHH•
• Srv3-Aplic• 4 PCs de
• 10 PCs de
• Edificio
• Base de datos de RRHH• Base de datos contable
• Enlace de
INFORMACIÓN
• Datos de RRHH
SISTEMAS
• Sistema RRHH• Datos contables• Datos impositivos
• Sistema contable
IENTO RRHH• Usuarios finales de RRHH• Usuarios finales de contaduría
RHH
contaduría
• Administradores de red• Administradores de servidores
• Administrador de sistema
Internet
-
8/19/2019 Taller Gestion de Riesgos 2010
16/32
Caso de estudioCaso de estudio
Dependencia entre activos
Administraciónde RRHH
Datos deRRHH
BD de RRHHSistema de
RRHH
Srv1-Aplic Srv2-BD4 PCs deRRHH
Red LAN
Usuarios finales Administradores Administradores
Centro decómputos
Oficina deRRHH
Administracióncontable
Datos Datos
Función
contables
BD contableSistemacontable
impositivos n ormac n
Sistemas
Srv3-Aplic 10 PCs decontaduría
EquipamientoEnlace deInternet
Usuarios finalesDBA
Administradores
EdificioOficina deContaduría Entorno
-
8/19/2019 Taller Gestion de Riesgos 2010
17/32
Caso de estudioCaso de estudio
Valoración de activos – Crite
CONFIDENCIALIDAD
1 Puede ser conocida y utilizada sin autori2 Puede ser conocida y utilizada por todo
autorizadas, y cuya divulgación o uso n
pérdidas leves para el Organismo, el Se
4
realizar su trabajo, y cuya divulgación osignificativas al Organismo, al Sector Pú
Puede ser conocida utilizada or un r
generalmente de la alta dirección del Or
autorizados podría ocasionar pérdidas g
terceros.
rio para datos
zación por cualquier persona. los empleados y algunas entidades externas
autorizados podría ocasionar riesgos o
ctor Público Nacional o terceros.
,
uso no autorizados podría ocasionar pérdidasblico Nacional o a terceros.
u o mu reducido de em leados,
anismo, y cuya divulgación o uso no
raves al mismo, al Sector Público Nacional o a
C d t diC d t di
-
8/19/2019 Taller Gestion de Riesgos 2010
18/32
Caso de estudioCaso de estudio
Valoración de activos – Crite
INTEGRIDAD
1 Su modificación no autorizada puede re2
3
Su modificación no autorizada puede re
leves para el Organismo, el Sector Públi
Su modificación no autorizada es de difí
4
,
Su modificación no autorizada no podríaOrganismo, al Sector Público Nacional
1
2
Su inaccesibilidad no afecta la operatori
Su inaccesibilidad permanente durante
3
4
,
Su inaccesibilidad permanente durante
al Organismo, al Sector Público Nacion
Su inaccesibilidad permanente durante
al Organismo, al Sector Público Nacion
rio para datos
ararse fácilmente, o no afecta la operatoria.ararse aunque podría ocasionar pérdidas
co Nacional o terceros.
il reparación y podría ocasionar pérdidas
.
repararse, ocasionando pérdidas graves ala terceros.
del Organismo.
días podría ocasionar pérdidas significativas.
días podría ocasionar pérdidas significativas
l o a terceros.
hs. podría ocasionar pérdidas significativas
l o a terceros.
C d t diC d t di
-
8/19/2019 Taller Gestion de Riesgos 2010
19/32
Caso de estudioCaso de estudio
Valoración de activos - Dato
Información CONFIDENCIALIDAD
INTEGRI
Datos de
RRHH4 3
contables
Datos 2 4
DAD DISPONIBILIDAD CRITICIDAD
3 4
2 3
C d t diC d t di
-
8/19/2019 Taller Gestion de Riesgos 2010
20/32
Caso de estudioCaso de estudio
Valoración de activos – Here
Activos CONFIDENCIALIDAD I
Sistema RH
Sistema contable 2
BD de RRHH 4
BD contable 2
Srv1-A lic
Srv2-BD 4
4
Centro Cómputos 4
cia de valoración
TEGRIDAD DISPONIBILIDAD CRITICIDAD
4 3 3
3 3 4
4 3 3
3 3 4
3 3 4
3 3 4
C d t diC d t di
-
8/19/2019 Taller Gestion de Riesgos 2010
21/32
Caso de estudioCaso de estudio
Identificación de amenazas
Activo Amenaza
n orno esas res na ura esIncendio
Equipamiento Desastres naturalesIncendioFallas de hardwareFallas de administración
Sistemas Código malicioso
Intrusión
Activo Amenaza
AlteraciónDivulgaciónDestrucción
Funciones de laorganización
Interrupción
IncendioEnfermedades
Huelgasngen er a soc a
Caso de estudioCaso de estudio
-
8/19/2019 Taller Gestion de Riesgos 2010
22/32
Caso de estudioCaso de estudio
Caracterización de amenaza
FRECUENCIA
an a e veces que se es mun año. Ej.:
5 ………………
0,1 ………………
Porcentaje de afectación de la aConfidencialidad Inte ridad D
a pue e ocurr r a amenaza en
veces en un año
vez en 2 años
menaza sobre lais onibilidad res ectivamente.
-
8/19/2019 Taller Gestion de Riesgos 2010
23/32
Caso de estudioCaso de estudio
-
8/19/2019 Taller Gestion de Riesgos 2010
24/32
Caso de estudioCaso de estudio
Identificación de controles
Debepresentar
VIGENCIVIGENCI
EFECTIVIDEFECTIVID
IMPACTOIMPACTO
PROBABILIDADPROBABILIDADDE OCURRENCIADE OCURRENCIA
DD
Caso de estudioCaso de estudio
-
8/19/2019 Taller Gestion de Riesgos 2010
25/32
Caso de estudioCaso de estudio
Identificación de controles Activo
Entorno Construcción
Sistemas deEquipamiento Mantenimient
CapacitaciónMonitoreo de
on ro e ac
Sistemas AntivirusSistemas de
Información Cifrado
Copias de reunc ones e a
organizaciónroce m en
RRHH Concientizaci
egregac n
Controles
antisísmica
etección y extinción de incendiospreventivo
de los administradoresfuncionamientoeso s co
etección/prevención de intrusiones
paldos a erna vos
n
e unc ones
Caso de estudioCaso de estudio
-
8/19/2019 Taller Gestion de Riesgos 2010
26/32
Caso de estudioCaso de estudio
Determinación del impacto
Activo Amenaza
en ro eCómputos
esas res na ura esIncendio
Srv1-Aplic Desastres naturalesIncendioFallas de hardwareFallas de administración
Sistema RH Código malicioso
Fallas de administraciónn rus n
*
I(C) I(I) I(D) I(total)
--
-- 2 2
- - 3 3-
-4
-
13-
31
48
3
4
2
3
2
1
7
8
Caso de estudioCaso de estudio
-
8/19/2019 Taller Gestion de Riesgos 2010
27/32
Caso de estudioCaso de estudio
Cálculo del riesgo
Activo Amenaza
Centro deCómputos
Desastres naturalesIncendio
-
IncendioFallas de hardwareFallas de administraciónRobo
Sistema RH Código maliciosoFallas de administraciónIntrusión
*
Riesgo
amenaza
Riesgo Nivel de
ries o
12
2 MUY BAJO
28
327
7032
39 MUY ALTO
16
Escala1 : 5 MUY BAJO6 : 10 BAJO11: 14 MEDIO15: 20 ALTO> 20 MUY ALTO
Caso de estudioCaso de estudio
-
8/19/2019 Taller Gestion de Riesgos 2010
28/32
Caso de estudioCaso de estudio
Técnicas de tratamiento de r
ACEPTAR ACEPTAR
TRANSFERIRTRANSFERIR
EVITAREVITAR
esgos
NIVEL DE RIESGO ACEPTABLE
Caso de estudioCaso de estudio
-
8/19/2019 Taller Gestion de Riesgos 2010
29/32
Caso de estudioCaso de estudio
Técnicas de tratamiento de r
MUY BAJO Centro de Cómputos
BAJO Srv1-Aplic
esgos
MITIGARMITIGAR
MUY ALTO Sistema de RH
Código maliciosoFallas de administración
Intrusión
Caso de estudioCaso de estudio
-
8/19/2019 Taller Gestion de Riesgos 2010
30/32
Caso de estudioCaso de estudio
Mitigación de riesgos
MUY ALTO Sistema de RH
AMENAZA RIESG
Código malicioso MUY AL
Fallas de administración MUY AL
Intrusión ALTO
CONTROL
O Gestión de parches de seguridad
Gestión de antivirus
Control de malware
O Capacitación de administradores
Registro de actividades
Alarmas
IPS / IDS
Monitoreo
Caso de estudioCaso de estudio
-
8/19/2019 Taller Gestion de Riesgos 2010
31/32
Caso de estudioCaso de estudio
Evaluación de las medidas d
Establecimiento de puntos de
Registro de mediciones
Evaluación de cumplimiento
Identificación de desvíos: inc
reducción de riesgos, generació
Correcciones
e tratamiento:
control y métricas
on los objetivos previstos
mplimiento de objetivos, falta de
de costos no previstos, etc.
BibliografíaBibliografía
-
8/19/2019 Taller Gestion de Riesgos 2010
32/32
NORMA ISO/IEC 27005 - Tecnol
seguridad - Gestión del riesgo de s
NORMA IRAM - ISO/IEC 27001 -
NORMA IRAM - ISO/IEC 27002 -
Técnicas de Seguridad - Código de
seguridad de la información MAGERIT – versión 2
Información
Metodología de Análisis de Riesg NIST SP 800-30 - Risk Managem
Systems
gía de la información - Técnicas de
guridad de la información
Tecnología de la información -
-
Tecnología de la información -
práctica para la gestión de la
os de ArCERTent Guide for Information Technology