Download - Taller Gestion de Riesgos 2010

8/19/2019 Taller Gestion de Riesgos 2010

1/32


2/32

TemarioTemario

Objetivos del taller - ¿Por qué se crea el talle- ¿ u se espera e os a

Repaso de conceptos clave-- Amenaza- Vulnerabilidad- Ex osición

- Probabilidad de ocurr - Impacto- Riesgo- nc en e e segur a- Control

- Relación entre los co

?s en es

ncia

ceptos


3/32

TemarioTemario

Proceso de gestión de riesgos Caso de estudio

- Identificación de activos- Dependencia entre acti

- Valoración de activos- Identificación de amena- Caracterización de ame- Identificación de control

- eterm nac n e mpa- Cálculo de riesgos- Tratamiento de riesgos

os

asazass

to


4/32

Objetivos del taller Objetivos del taller ¿Por qué se crea el talle¿Por qué se crea el talle

Demostrar mediante casos d

metodolo ía de estión de ride Gestión de Riesgos de Se

r?r?

estudio la aplicación de la

s os resentada en el cursouridad de la información.


5/32

Objetivos del taller Objetivos del taller ¿Qué se espera de los a¿Qué se espera de los a

seguridad de la información.

Que pongan en práctica la met

u

ue ransm an o apren o e

ue creen conc enc a en sus o

gestionar los riesgos de segurida

sistentes?sistentes?

dología de análisis de riesgos

.

e curso a sus co egas.

rgan smos so re a mportanc a e

de la información.


6/32

Repaso de conceptos clavRepaso de conceptos clav Activo de información Activo de información

organi

un ben

ACTIVO ACTIVO

ACTIVO DE ACTIVO DEINFORMACIONINFORMACION

que

proces

transm

Información

Sistemas Equipamiento Instalaciones

ee

ación posee que puede producir

eficio.s ac vos e una organ zac n que

n, contienen, almacenan o

iten información.


7/32

Repaso de conceptos clavRepaso de conceptos clav Amenaza Amenaza

Event

en for

Las a

Agente o Fuente Agente o Fuentede Amenazade Amenaza

“Entid

Eventos naturales: huracanes, terre, , .

Eventos terroristas, sabotajes o a

ataques químicos, etc. , ,

rotura de tuberías, desastres nucleares

Otros eventos: errores en dispositiv , ,

ee

cuya ocurrencia podría impactar

a negativa en la organización.

enazas se aprovechan de (toman

d” que toma ventaja de una

motos, tormentas de nieve, erupciones

tos de guerra: bombas, secuestros,

,

choques de vehículos, etc.

s, pérdida de comunicación, errores en

, .


8/32

Repaso de conceptos clavRepaso de conceptos clavVulnerabilidadVulnerabilidad – – ExposiExposi

VULNERABILIDADVULNERABILIDADus

Con

amefrec

EXPOSICIÓNEXPOSICIÓNInst

activ

dañ

un a

eeiónión

nc a o e a e un con ro .

ición que podría permitir que una

aza se materialice con ma orencia, mayor impacto o ambas.

ncia en la cual la información o un

o de información es susceptible a

rse o perderse por el accionar de

ente de amenaza.


9/32

Repaso de conceptos clavRepaso de conceptos clavProbabilidad de ocurrenProbabilidad de ocurren

PROBABILIDADPROBABILIDAD

DE OCURRENCIADE OCURRENCIA

Frec

pue

IMPACTOIMPACTOCon

incid

orga

eeciacia -- ImpactoImpacto

uencia con la cual una amenaza

e ocurrir.

ecuencias que produce un

ente de seguridad sobre la

nización.


10/32

Repaso de conceptos clavRepaso de conceptos clavRiesgoRiesgo

RIESGORIESGO ame

en cesto

Se conoce por riesgo comprobabilidad de ocurrencia

.

PROBABILIDADE OCURENC

ee

aza explote una vulnerabilidad,

mbinación con el impacto queocasiona.

la función que combina lay el impacto de un incidente de

DIA

IMPACTO


11/32

Repaso de conceptos clavRepaso de conceptos clavIncidente de seguridadIncidente de seguridad

Event

INCIDENTE DEINCIDENTE DE

SEGURIDADSEGURIDAD

conse

compr con

dispo

Un inccuent

vu ner

ee

adverso evento con

uencias negativas), que puede

ometer o compromete lanc a a , n egr a o

ibilidad de la información.

idente de seguridad se produceuna amenaza explota una

a .

R d t lR d t l


12/32

Repaso de conceptos clavRepaso de conceptos clavControl / ContramedidaControl / Contramedida

Cual

CONTRAMEDIDACONTRAMEDIDAdetect

asociamen

Probabilidad deocurrencia

y/o

ee SalvaguardaSalvaguarda

ier ti o de medida ue ermita

r, prevenir o minimizar el riesgo

do con la ocurrencia de unaza espec ca.

Impacto

R d t lR d t l


13/32

Repaso de conceptos clavRepaso de conceptos clavRelación entre los concRelación entre los conc

AN AN

INFORMACIÓNINFORMACIÓN

PROBPROBDE OCDE OC

IMIM

RIESGORIESGO

CONTROLESCONTROLES

eeptosptos

EMAZAEMAZA

EXPOSICIONEXPOSICION

INCIDENTE DEINCIDENTE DEBILIDADBILIDADRRENCIARRENCIA

SEGURIDADSEGURIDAD

ACTO ACTO

P d G tió d RiP d G tió d Ri


14/32

Proceso de Gestión de RieProceso de Gestión de Rie

1. EVALUACIÓN1. EVALUACIÓN

2. TRATAMIENTO2. TRATAMIENTO

sgossgos

. .. .DE RIESGOSDE RIESGOS

1.2. ANÁLISIS1.2. ANÁLISISDE RIESGOSDE RIESGOS

2.1. SELECCI N E2.1. SELECCI N EIMPLANTACIÓNIMPLANTACIÓN

2.2. SEGUIMIENTO2.2. SEGUIMIENTOY MEDICIÓNY MEDICIÓN


15/32

Caso de estudioCaso de estudio

Identificación de activos

FUNCIONES DE LA ORGANIZACION

• Administración de RRHH• Administración contable

EQUIPAM• Srv1-Aplic• Srv2-BD

• Centro de cómputos• Oficina de RRHH•

• Srv3-Aplic• 4 PCs de

• 10 PCs de

• Edificio

• Base de datos de RRHH• Base de datos contable

• Enlace de

INFORMACIÓN

• Datos de RRHH

SISTEMAS

• Sistema RRHH• Datos contables• Datos impositivos

• Sistema contable

IENTO RRHH• Usuarios finales de RRHH• Usuarios finales de contaduría

RHH

contaduría

• Administradores de red• Administradores de servidores

• Administrador de sistema

Internet


16/32


Dependencia entre activos

Administraciónde RRHH

Datos deRRHH

BD de RRHHSistema de

RRHH

Srv1-Aplic Srv2-BD4 PCs deRRHH

Red LAN

Usuarios finales Administradores Administradores

Centro decómputos

Oficina deRRHH

Administracióncontable

Datos Datos

Función

contables

BD contableSistemacontable

impositivos n ormac n

Sistemas

Srv3-Aplic 10 PCs decontaduría

EquipamientoEnlace deInternet

Usuarios finalesDBA

Administradores

EdificioOficina deContaduría Entorno


17/32


Valoración de activos – Crite

CONFIDENCIALIDAD

1 Puede ser conocida y utilizada sin autori2 Puede ser conocida y utilizada por todo

autorizadas, y cuya divulgación o uso n

pérdidas leves para el Organismo, el Se

4

realizar su trabajo, y cuya divulgación osignificativas al Organismo, al Sector Pú

Puede ser conocida utilizada or un r

generalmente de la alta dirección del Or

autorizados podría ocasionar pérdidas g

terceros.

rio para datos

zación por cualquier persona. los empleados y algunas entidades externas

autorizados podría ocasionar riesgos o

ctor Público Nacional o terceros.

,

uso no autorizados podría ocasionar pérdidasblico Nacional o a terceros.

u o mu reducido de em leados,

anismo, y cuya divulgación o uso no

raves al mismo, al Sector Público Nacional o a

C d t diC d t di


18/32


Valoración de activos – Crite

INTEGRIDAD

1 Su modificación no autorizada puede re2

3

Su modificación no autorizada puede re

leves para el Organismo, el Sector Públi

Su modificación no autorizada es de difí

4

,

Su modificación no autorizada no podríaOrganismo, al Sector Público Nacional

1

2

Su inaccesibilidad no afecta la operatori

Su inaccesibilidad permanente durante

3

4

,


al Organismo, al Sector Público Nacion


al Organismo, al Sector Público Nacion

rio para datos

ararse fácilmente, o no afecta la operatoria.ararse aunque podría ocasionar pérdidas

co Nacional o terceros.

il reparación y podría ocasionar pérdidas

.

repararse, ocasionando pérdidas graves ala terceros.

del Organismo.

días podría ocasionar pérdidas significativas.

días podría ocasionar pérdidas significativas

l o a terceros.

hs. podría ocasionar pérdidas significativas

l o a terceros.

C d t diC d t di


19/32


Valoración de activos - Dato

Información CONFIDENCIALIDAD

INTEGRI

Datos de

RRHH4 3

contables

Datos 2 4

DAD DISPONIBILIDAD CRITICIDAD

3 4

2 3

C d t diC d t di


20/32


Valoración de activos – Here

Activos CONFIDENCIALIDAD I

Sistema RH

Sistema contable 2

BD de RRHH 4

BD contable 2

Srv1-A lic

Srv2-BD 4

4

Centro Cómputos 4

cia de valoración

TEGRIDAD DISPONIBILIDAD CRITICIDAD

4 3 3

3 3 4

4 3 3

3 3 4

3 3 4

3 3 4

C d t diC d t di


21/32


Identificación de amenazas

Activo Amenaza

n orno esas res na ura esIncendio

Equipamiento Desastres naturalesIncendioFallas de hardwareFallas de administración

Sistemas Código malicioso

Intrusión

Activo Amenaza

AlteraciónDivulgaciónDestrucción

Funciones de laorganización

Interrupción

IncendioEnfermedades

Huelgasngen er a soc a



22/32


Caracterización de amenaza

FRECUENCIA

an a e veces que se es mun año. Ej.:

5 ………………

0,1 ………………

Porcentaje de afectación de la aConfidencialidad Inte ridad D

a pue e ocurr r a amenaza en

veces en un año

vez en 2 años

menaza sobre lais onibilidad res ectivamente.


23/32



24/32


Identificación de controles

Debepresentar

VIGENCIVIGENCI

EFECTIVIDEFECTIVID

IMPACTOIMPACTO

PROBABILIDADPROBABILIDADDE OCURRENCIADE OCURRENCIA

DD



25/32


Identificación de controles Activo

Entorno Construcción

Sistemas deEquipamiento Mantenimient

CapacitaciónMonitoreo de

on ro e ac

Sistemas AntivirusSistemas de

Información Cifrado

Copias de reunc ones e a

organizaciónroce m en

RRHH Concientizaci

egregac n

Controles

antisísmica

etección y extinción de incendiospreventivo

de los administradoresfuncionamientoeso s co

etección/prevención de intrusiones

paldos a erna vos

n

e unc ones



26/32


Determinación del impacto

Activo Amenaza

en ro eCómputos

esas res na ura esIncendio

Srv1-Aplic Desastres naturalesIncendioFallas de hardwareFallas de administración

Sistema RH Código malicioso

Fallas de administraciónn rus n

*

I(C) I(I) I(D) I(total)

--

-- 2 2

- - 3 3-

-4

-

13-

31

48

3

4

2

3

2

1

7

8



27/32


Cálculo del riesgo

Activo Amenaza

Centro deCómputos

Desastres naturalesIncendio

-

IncendioFallas de hardwareFallas de administraciónRobo

Sistema RH Código maliciosoFallas de administraciónIntrusión

*

Riesgo

amenaza

Riesgo Nivel de

ries o

12

2 MUY BAJO

28

327

7032

39 MUY ALTO

16

Escala1 : 5 MUY BAJO6 : 10 BAJO11: 14 MEDIO15: 20 ALTO> 20 MUY ALTO



28/32


Técnicas de tratamiento de r

ACEPTAR ACEPTAR

TRANSFERIRTRANSFERIR

EVITAREVITAR

esgos

NIVEL DE RIESGO ACEPTABLE



29/32


Técnicas de tratamiento de r

MUY BAJO Centro de Cómputos

BAJO Srv1-Aplic

esgos

MITIGARMITIGAR

MUY ALTO Sistema de RH

Código maliciosoFallas de administración

Intrusión



30/32


Mitigación de riesgos

MUY ALTO Sistema de RH

AMENAZA RIESG

Código malicioso MUY AL

Fallas de administración MUY AL

Intrusión ALTO

CONTROL

O Gestión de parches de seguridad

Gestión de antivirus

Control de malware

O Capacitación de administradores

Registro de actividades

Alarmas

IPS / IDS

Monitoreo



31/32


Evaluación de las medidas d

Establecimiento de puntos de

Registro de mediciones

Evaluación de cumplimiento

Identificación de desvíos: inc

reducción de riesgos, generació

Correcciones

e tratamiento:

control y métricas

on los objetivos previstos

mplimiento de objetivos, falta de

de costos no previstos, etc.

BibliografíaBibliografía


32/32

NORMA ISO/IEC 27005 - Tecnol

seguridad - Gestión del riesgo de s

NORMA IRAM - ISO/IEC 27001 -

NORMA IRAM - ISO/IEC 27002 -

Técnicas de Seguridad - Código de

seguridad de la información MAGERIT – versión 2

Información

Metodología de Análisis de Riesg NIST SP 800-30 - Risk Managem

Systems

gía de la información - Técnicas de

guridad de la información

Tecnología de la información -

-

Tecnología de la información -

práctica para la gestión de la

os de ArCERTent Guide for Information Technology