01-InformationSecurityandRiskManagementv3

CISSP Security Training – Information Security and Risk Management

1

Information Security and RiskManagement

CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.

2

Agenda

� Aspectos Generales� Administración de la Seguridad� Controles de InfoSec� C-I-A (Confidencialidad, Integridad y Disponibilidad)� Definiciones de Seguridad

� Gestión del Riesgo� Análisis de Riesgos� Tratamiento de Riesgos

� Políticas, Procedimientos, Estándares, Baselines y Guidelines.


3

Agenda (Cont.)

� Clasificación de la Información

� Roles y Responsabilidades� Políticas y Practicas de Empleo� Information Security Awareness

� Referencias y Lecturas Complementarias� Preguntas


2


Aspectos Generales


5

Aspectos Generales

� Gestión de Seguridad de la InformaciónProteger los activos de información de la organización.

Comprende:� Gestión de riesgos� Normativas de seguridad: políticas, normas, procedimientos,

estándares, guías� Clasificación de la información� Organización de la seguridad� Educación en seguridad� Definición e implantación de controles� Seguimiento y mejora continuos


6

Aspectos Generales (Cont.)

� IncumbenciaLa Seguridad de la Información debe ser incumbencia de la alta gerencia de la organización.

� Definitivamente NO debe circunscribirse al área de TI o al área de seguridad.

� Enfoque TOP-DOWN.


3


7


� Función del Information Security Manager

Establecer y mantener un Programa Integral de Seguridad, el cual permita garantizar la existencia de tres requerimientos básicos: Confidencialidad, Integridad y Disponibilidad, sobre los activos de información de la organización.

� Determinar Objetivos, alcance, políticas, prioridades, estándares y estrategias.


8


� Ubicación dentro de la estructuraIndependencia de otras áreas de la organización.Llegada a los altos mandos.

Alta Gerencia

GerenciaAdministrativa

GerenciaFinanciera

GerenciaComercial

Gerenciade Producción

Gerenciade TI …

Gerencia deSeguridad de la

Información

Alta Gerencia

GerenciaAdministrativa

GerenciaFinanciera

GerenciaComercial

Gerenciade Producción

Gerenciade TI …

Area deSeguridad de la

Información


9


� Posibles inconvenientes con la Alta Gerencia� Falta de entendimiento sobre la necesidad de

seguridad.� Concepción de la seguridad como costosa e

innecesaria� Incapacidad de identificar amenazas y vulnerabilidades.� Incapacidad para estimar el impacto y probabilidad de

los riesgos relacionados con los recursos.� Creer que la implementación de seguridad interferirá

con los objetivos de negocio.� Creer que la seguridad es un tema de TI.


4


10


� Sistema Confiable (Trustworthy System)

Un Sistema Confiable, suele ser definido como aquel que posee la combinación apropiada de Confidencialidad, Integridad y Disponibilidad a efectos de soportar los objetivos particulares de negocio fijados por la organización.


11

Controles de InfoSec

� El principal objetivo del establecimiento de Controles de Seguridad de la Información, es el de reducir los efectos producidos por las amenazas de seguridad

(threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable por la empresa.

� Estos controles pueden ser:� Preventivos / Detectivos / Correctivos� Físicos / Técnicos (Lógicos) / Administrativos


12

Controles de InfoSec (Cont.)

Controles Físicos

Controles Administrativos

Controles Técnicos

Datos y Activos de la Organización

Políticas, Estándares,Procedimientos,

Guidelines, Baselines,Security Awareness,

Screening de personal,Change Control

Control de Acceso Lógico,Encripción, Identificación

y Autenticación, Monitoreo Lógico

Guardias de Seguridad,Cerraduras, Protección

del edificio,Cámaras de seguridad,Controles ambientales


5


13

The BIG three / AIC Triad / C-I-A

Confidencialidad

Disponibilidad

Integridad

AmenazasVulnerabilidades

Riesgos

Controles ymedidas deseguridad


14

The BIG three – Confidencialidad

� Confidencialidad

La información es accedida solo por personal autorizado y de manera autorizada.

� Identificación, Autenticación y Autorización


15

The BIG three – Confidencialidad (Cont.)

� Cuales son las amenazas respecto de la Confidencialidad?� “Shoulder surfing”� Ingeniería Social� Usuarios descuidados� Hacker / Cracker� Masqueraders / Spoofing (Suplantación)� Descarga de archivos sin protección� Actividad de usuario no autorizada� Caballos de Troya� Sniffing / Man-in-the-middle� Trashing� Emanations� Etc.


6


16

The BIG three – Confidencialidad (Cont.)

� Medidas de Protección contra la perdida de Confidencialidad� Encripción de datos (Origen, Transito y Destino)� Estrictos mecanismos de Control de Acceso� Clasificación de la información� Capacitación del Personal� Procedimientos


17

The BIG three - Integridad

� Integridad

Toda modificación a datos o información es realizada por personas autorizadas de manera autorizada.

� Integridad de datos / información. Consistencia� Integridad del proceso de manipulación de datos /

información. � Consistencia Interna y Externa

� Interna: La información es consistente dentro del sistema Informático

� Externa: La información es consistente con “el mundo real”.


18

The BIG three – Integridad (Cont.)

� Cuales son las amenazas respecto de la Integridad?� Ingeniería Social� Usuarios descuidados� Hacker / Cracker� Masqueraders (Suplantación)� Actividad de usuario no autorizada� Descarga de archivos sin protección� Caballos de Troya� Virus / Gusanos� Buffer overflow� Trapdoor – Maintenance hook� Etc.


7


19

The BIG three – Integridad (Cont.)

� Medidas de Protección contra amenazas a la Integridad� Menor Privilegio - Need-to-Know Access (Otorgar

acceso solo a lo necesario)� Separación de Deberes / Tareas (Separation of Duties)� Rotación de Deberes / Tareas (Rotation of Duties)� Procedimientos de control de cambios� Integrity Checkers (Tripwire)� Algoritmos de hash


20

The BIG three - Disponibilidad

� DisponibilidadLa información y datos se encuentran disponibles para personal autorizado cuando se necesitan.


21

The BIG three – Disponibilidad (Cont.)

� Cuales son las amenazas respecto de la Disponibilidad?� Denegación de Servicio� Desastres naturales� Acciones humanas – intencionales o accidentales


8


22

The BIG three – Disponibilidad (Cont.)

� Medidas de Protección contra amenazas a la Disponibilidad� Conjunto de Controles: Físicos, Técnicos y

Administrativos� Seguridad física� Mecanismos de tolerancia a fallos� Plan de contingencia� Procedimientos operativos


23

En resumen: Objetivos de Seguridad

� Confidencialidad� Prevenir la divulgación NO Autorizada de

información sensible.

� Integridad� Prevenir la modificación NO Autorizada de los

sistemas e información.� Disponibilidad

� Prevenir interrupción del servicio y la perdida de productividad.


24

En resumen: Objetivos de Seguridad (Cont.)

� El Opuesto a las The BIG three � Revelación (disclosure)

� Modificación (alteration)� Destrucción - Interrupción (detruction - disruption)


9


25

Otros Conceptos

� Identificación Identification

� Autenticación Authentication� Autorización Authorization� Responsabilidad Accounting

� No-repudio Non-Repudiation

“AAA”


26

Otros Conceptos (Cont.)

� Identificación

Forma en la cual los usuarios comunican su identidad a un sistema. Identificación es un paso necesario para lograr la autenticación y autorización.

“Equivale a la presentación de credenciales a un autoridad”


27


� Autenticación

Es el proceso por el cual se prueba que la información de identificación se corresponde con el sujeto que la presenta.

“Equivale a la validación por parte de la autoridad de las credenciales presentadas”


10


28


� Autorización

Derechos y permisos otorgados a un individuo (o proceso) que le permite acceder a un recurso del sistema / computadora.El proceso de Autorización se realiza una vez que se ha logrado la Identificación y Autenticación del usuario.


29


� Ejemplo

Identificación ID

Autenticación Password

Autorización Derechos / Permisos


30


� Responsabilidad (Accountability)

Habilidad para determinar las acciones individuales que un usuario efectúa en un sistema y cuándo las efectúa, y para identificar unívocamente a dicho usuario. Usualmente este principio esta soportado por logs de auditoría.


11


31


� Privacidad vs. Confidencialidad

� PrivacidadEs un principio de la seguridad que busca proteger la información del individuo empleando controles para garantizar que la misma no es diseminada o accedida en forma no autorizada.

� ConfidencialidadEs un principio de la seguridad que busca garantizar que la información no es revelada a personas no autorizadas.


32


� No-Repudio

El principio de No-Repudio, evita que el responsable de una transacción niegue haberla realizado posteriormente.


Gestión del Riesgo


12


34

Conceptos Previos

� Vulnerabilidad

� Amenaza� Riesgo� Exposición

� Contramedida o Salvaguarda


35

Conceptos Previos (Cont.)

� Vulnerabilidad

Ausencia o debilidad de un control.

Condición que podría permitir que una amenaza se materialice con mayor frecuencia, impacto o ambas.

Una vulnerabilidad puede ser la ausencia o debilidad en los controles administrativos, técnicos o físicos.


36

� Amenaza

Evento cuya ocurrencia podría impactar en forma negativa en la organización.

La amenazas explotan (toman ventaja de) las vulnerabilidades.

La “entidad” que toma ventaja de una vulnerabilidad, suele referirse como “agente de la amenaza” (Threat Agent).



13


37

� Riesgo

Probabilidad de que un agente de amenaza explote una vulnerabilidad, en combinación con el impacto que esto ocasiona.

Se conoce por riesgo a la combinación de probabilidad de ocurrencia e impacto de una amenaza.



38

� Exposición

Instancia en la cual la información o un activo de información es susceptible a dañarse o perderse por el accionar de un agente de amenaza.

La exposición, no significa que el evento que produce la perdida o daño del recurso “este ocurriendo”, solo significa que podría ocurrir dado que existe una amenaza y una vulnerabilidad que ésta podría explotar.



39

� Contramedida o Salvaguarda

Cualquier tipo de medida, que permita detectar, prevenir o minimizar el riesgo asociado con la ocurrencia de una amenaza especifica.

Las contramedidas también son conocidas como controles.



14


40

Relación Entre los Conceptos

Vulnerabilidad

Agente deamenaza

Amenaza

Riesgo

Contramedida

Exposición

Activo

Produce

Explota

Ocasiona

Puede dañar

Sujeto a

Puede sercontrarrestado con

Directly affect


41

Relación Entre los Conceptos: Ejemplo

Software Antivirus + Firmas Desactualizadas(Vulnerabilidad)

Vulnerable al ataque de un virus (Amenaza)

Al ingresar el virus en la compañía,comienza la exposición

Mantener actualizadas las firmas(Contramedida)


42

Gestión del Riesgo

� El riesgo de una organización, comienza desde el momento mismo que la esta inicia sus actividades (Tal vez antes…)

� El riesgo puede ser identificado y reducido, nunca eliminado.

� Una organización se encuentra permanentemente en riesgo.

� No existe un entorno 100% seguro.


15


43

Gestión del Riesgo (Cont.)

� Por Gestión del Riesgo, debemos entender el proceso de identificar, analizar, determinar, mitigar y transferir o aceptar el riesgo.


44


� Gestión del Riesgo - Information Risk Management (IRM)

Proceso compuesto por las siguientes fases:1. Análisis de riesgos - Risk assessment

Identificación de vulnerabilidades y amenazas, análisis de probabilidad de ocurrencia e impacto, análisis de las medidas para aceptar, evitar o transferir el riesgo.

2. Tratamiento de riesgosPriorización, presupuestación, implementación y mantenimiento de medidas para la mitigación de riesgos.


45


IDENTIFICACIÓN DE ACTIVOS

IDENTIFICACIÓNDE AMENAZAS

IDENTIFICACIÓNDE VULNERABILIDADES

ANÁLISIS DECONTROLES

DETERMINACIÓN DE LAPROBABILIDAD DE OCURRENCIA

ANÁLISIS DE IMPACTO

DETERMINACIÓN DEL RIESGO

TRATAMIENTO DEL RIESGO

D O

C U

M E

N T

A C

I ÓN


16


46


� Principal objetivo

Reducir los riesgos hasta niveles de tolerancia aceptables para la organización.


47


� Tipos de Riesgo� Daño físico� Acciones humanas� Fallas del equipamiento� Ataques internos o externos� Pérdida de datos� Errores en las aplicaciones� Etc.


48

Conceptos de Gestión del Riesgo

� Activo (Recurso / Asset)� Recurso, producto, proceso, dato, todo aquello que

tenga un valor para la organización.� Amenaza

� Evento que pueda impactar en forma negativa en la organización.

� Vulnerabilidad� Ausencia o debilidad de un control.

Nota: La combinación de Activo, Amenaza y Vulnerabilidad conforman lo que se conoce como Triple en seguridad informática.


17


49

Conceptos de Gestión del Riesgo (Cont.)

� Control (implantado)� Su función es reducir el riesgo asociado con una

amenaza o grupo de amenazas.


50

Política de Gestión del Riesgo

� Parte de la Política de Gestión de Riesgos de la organización

� Alineada con la Política de Seguridad de la Información� Alineada con la Estrategia de la organización� Definición del equipo de Gestión del Riesgo

� Contempla:� Objetivos

� Definición de niveles aceptables de riesgo

� Procesos de análisis y tratamiento de riesgos

� Metodologías� Definición de roles y responsabilidades

� Indicadores claves para el monitoreo de los controles implementados para la mitigación del riesgo


51

Equipo de Gestión del Riesgo

� ObjetivoGarantizar que la organización se encuentra protegida ante los riesgos teniendo en cuenta la relación costo-beneficio de la implementación de controles.

� ConformaciónPersonal de las áreas sustantivas de la organización, incluyendo TI y seguridad de la información.


18


52

Equipo de Gestión del Riesgo (Cont.)

� Funciones� Proposición de la política� Redacción de los procedimientos� Análisis de riesgos� Tratamiento de riesgos� Definición de métricas� Concienciación del personal� Capacitación del personal� Documentación� Integración de la Gestión de Riesgos al proceso de Control

de Cambios


53

De qué se trata la Gestión del Riesgo?

� Qué puede pasar (amenaza)?

� Si pasa, qué tan malo puede ser (impacto de la amenaza)?� Qué tan seguido puede pasar (frecuencia de la amenaza)?� Qué tan seguro estoy de las respuestas anteriores

(reconocimiento de inseguridad)?� Qué puedo hacer (mitigar el riesgo)?

� Cuanto me costara (anualizado)?� Dicho costo es efectivo (Relación Costo/Beneficio)?


54

Análisis de Riesgos

� El Análisis de Riesgos, es la principal herramienta a utilizar como parte del proceso de “Gestión de Riesgos”.

� El Análisis de Riesgos no es más que un método por medio del cual, es posible identificar los riesgos relacionados con un recurso y evaluar el daño potencial que este puede sufrir, a fin de justificar los costos asociados con las contramedidas o salvaguardas necesarias para minimizarlo.


19


55

Análisis de Riesgos (Cont.)

� El Análisis de Riesgos, busca alcanzar cinco objetivos principales:

� Identificar activos y sus amenazas y vulnerabilidades asociadas

� Cuantificar el impacto en caso de concretarse la amenaza

� Estimar la probabilidad de ocurrencia de la materialización de la amenaza

� Calcular el riesgo� Analizar la relación costo/beneficio en los controles

a implementar


56

� Identificación de Activos

� Tangibles� Datos� Software

� Computadoras, equipos de comunicaciones, cableado

� Documentos, Registros de Auditoría, Libros, etc.



57

� Identificación de Activos

� Intangibles� Privacidad� Seguridad y Salud de los empleados

� Imagen y Reputación� Continuidad de las actividades� Moral del empleado



20


58

� Valoración de activos

¿Por qué?� Es necesario para realizar el análisis de costo/

beneficio.� Para saber verdaderamente qué es lo que está en

riesgo.� Puede ser necesario para determinar pólizas de

seguro.

� Es requerido para cumplir con el “Due Care”

(Cuidado Debido)



59

� Valoración de activos

Cómo?� Costo inicial (licenciamiento, compra, flete, instalación,

puesta a punto, etc.)� Costo de mantenimiento (mantenimiento preventivo, mejoras,

etc.)� Valor del activo para los dueños, usuarios, competencia, etc.� Valor estimado de la propiedad intelectual.� Costo de reemplazo.� Operaciones y actividades que se verían afectadas si el

recurso no se encuentra disponible.� Responsabilidades en caso de que el recurso sea

comprometido.



60


� Identificación de Amenazas y vulnerabilidades

Daños severos al equipamiento de procesamiento crítico

Falta de un sistema de detección de incendios

Fuego

Ejecución de transacciones de privilegio de forma no autorizada

Deficiente asignación de permisos de acceso en la aplicación

Empleado

Acceso no autorizado a la información

Servidor configurado de forma insegura

Hacker

Resultando en la siguiente amenaza

Puede explotar esta vulnerabilidad

Fuente de amenaza


21


61


� Análisis de controles

Identificar los controles ya implementados y analizar su vigencia y efectividad.


62

� Determinación del riesgo

El riesgo es una combinación entre la probabilidad de ocurrencia y el impacto.



63

� Análisis Cuantitativo de Riesgos� Asigna valores monetarios hard (objetivos) a cada

componente de la evaluación de riesgos y a cada potencial pérdida.

� Análisis Cualitativo de Riesgos� Utiliza elementos soft de la organización (opinión,

mejores prácticas, intuición, experiencia, etc.) para ponderar el riesgo y sus componentes.

� Aplicable a todas las situaciones



22


64

Análisis Cuantitativo de Riesgos

� Pasos del Análisis de Riesgo:1. Asignar valor a los activos.2. Estimar la pérdida potencial por cada amenaza.3. Analizar las amenazas.4. Estimar la pérdida anual.


65

Análisis Cuantitativo de Riesgos (Cont.)

2. Estimar la pérdida potencial por cada amenaza

Factor de Exposición (EF)

Porcentaje de pérdida sobre el valor del un activo generado por la concreción de una amenaza.

0% ≤ EF ≤ 100%


66


2. Estimar la pérdida potencial por cada amenaza

Expectativa de Pérdida Individual (SLE)

Valor monetario asociado a un evento determinado. Representa la pérdida producida por una amenaza determinada en forma individual.

SLE = Valor Activo ($) * EF (Factor de Exposición)


23


67


3. Analizar las amenazas

Tasa de Ocurrencia Anual (ARO)

Representa la frecuencia estimada de ocurrencia de un evento (amenaza), dentro del período de un año.

0 ≤ ARO < ∞ (Krutz - Cuantitativo)0 ≤ ARO ≤ 1 (Harris - Probabilístico)


68


� Tasa de Ocurrencia Anual (ARO)

Valores ARO Frecuencia de Ocurrencia

.01 Una vez cada 100 años (1/100)



.5 Una vez cada 2 años (1/2)1 Una vez al año10 10 veces al año20 20 veces al año


69


4. Estimar la pérdida anual

Expectativa de Pérdida Anualizada (ALE)

Representa la pérdida anual producida por una amenaza determinada individual.

ALE = SLE (Expectativa de Perdida Individual) * ARO (Taza de Ocurrencia Anual)


24


70

� Activo: Data Warehouse

� Valor: u$s 100.000

� Amenaza: Virus


SLE = Valor x EF = u$s 100.000 x 25% = u$s 25.000

ARO (Tasa de Ocurrencia Anual – Annualized Rate of Ocurrence)

ALE (Expectativa de Perdida Anual – Annualized Loss Expectancy)

EF (Factor de Exposición – Exposure Factor)

SLE (Expectativa de Perdida Individual – Single Loss Expectancy)

ALE = SLE x ARO = u$s 25.000 x 2 = u$s 50.000

� EF: 25%� ARO: 2 (2 veces al año)


71

� Activo: Edificio

� Valor: u$s 1.000.000

� Amenaza: Fuego


SLE = Valor x EF = u$s 1.000.000 x 50% = u$s 500.000





ALE = SLE x ARO = u$s 500.000 x 0.1 = u$s 50.000

� EF: 50%� ARO: 1/10 (1 vez cada 10 años)


72

� Activo: Web server

� Valor: u$s 5.000

� Amenaza: DoS


SLE = Valor x EF = u$s 5.000 x 50% = u$s 2.500





ALE = SLE x ARO = u$s 2.500 x 0.5 = u$s 1.250

� EF: 50%� ARO: 1/2 (1 vez cada 2 años)


25


73

� Qué obtenemos luego de realizar un Análisis Cuantitativo de Riesgos

� Valor de los activos (en dinero)� Posibles amenazas a los activos� Probabilidad de ocurrencia de cada amenaza� Posible pérdida anual por cada amenaza



74

Análisis Cualitativo de Riesgos

� El Análisis de Riesgo Cualitativo, a diferencia del Cuantitativo, es un modelo basado mas bien en escenarios que en cálculos.

� En vez de asignar el costo exacto respecto de las posibles pérdidas, en este escenario se ponderan en escala, los riesgos, costos y efectos de una amenaza en relación del activo.

� Este tipo de procesos, conjuga: juicio, experiencia e intuición.


75

Análisis Cualitativo de Riesgos (Cont.)

� Técnicas y Métodos del Análisis de Riesgos Cualitativo:� Brainstorming

� Técnicas Delphi� Cuestionarios� Checklist

� Entrevistas� Etc.


26


76


� Métodos Delphi� Feedback Anónimo� A cada participante se le requiere comentarios anónimos

respecto de cada uno de los puntos a tratar.� Los resultados son compilados y presentados al grupo

para su evaluación.� El proceso es repetido hasta lograr el consenso.


77


� Pasos del Análisis Cualitativo de Riesgos:1. Definición de:

- Niveles de probabilidad de ocurrencia de las amenazas

- Niveles de impacto de las amenazas

- Niveles de riesgo (en función a las anteriores)

2. Clasificación de las amenazas en cuanto a su probabilidad de ocurrencia e impacto

3. Estimación del riesgo


78


Ejemplo de criterio de ponderación

� Probabilidad de ocurrencia: ALTO – MEDIO – BAJO

� Impacto: ALTO – MEDIO - BAJO

� Riesgo:

BAJOBAJOMEDIOBAJO

BAJOMEDIOALTOMEDIO

MEDIOALTOALTOALTO

BAJOMEDIOALTO

ImpactoProbabilidad de ocurrencia


27


79


Ejemplo de criterio de ponderación

� Probabilidad de ocurrencia: 0 - 5

� Impacto: 0 - 5

� Riesgo:

ALTOALTOALTOMEDIOMEDIO[4 ; 5]

ALTOALTOMEDIOMEDIOMEDIO[3 ; 4)

ALTOMEDIOMEDIOMEDIOBAJO[2 ; 3)

MEDIOMEDIOMEDIOBAJOBAJO[1 ; 2)

[0 ; 1)

Probabilidad de ocurrencia

BAJO

[0 ; 1)

Impacto

MEDIOMEDIOBAJOBAJO

[4 ; 5][3 ; 4)[2 ; 3)[1 ; 2)


80


Ejemplo de Análisis Cualitativo � Amenaza: Acceso físico no autorizado al equipamiento

crítico

2.54.251.254.52.75Promedio

24154Responsable de Seg. Info.

34142Jefe de Seguridad

25152Jefe del Centro de Cómputos

34243Gerente de TI

CCTVControl biométrico

Guardia

Efectividad de la contramedidaImpactoProbabilidad de ocurrencia

Personal consultado

RIESGO ALTO


81

Incertidumbre en el Análisis de Riesgos

� Incertidumbre� En análisis de riesgos, la incertidumbre se refiere al nivel

de falta de certidumbre en una estimación. Se expresa con un porcentaje de 0% a 100%. Tener 20% de confianza en una estimación implica tener el 80% de incertidumbre.

� Es vital tener en cuenta el nivel de incertidumbre existente en el proceso de análisis de riesgos ya que esto indicarála confianza que la gerencia podrá depositar luego en los resultados de dicho análisis.


28


82

Cuantitativo vs Cualitativo

� Cada método posee sus ventajas y desventajas.

� La aplicación de análisis puramente cuantitativo sencillamente NO es posible. Principalmente debido a que parte de los ítems que se deberán evaluar como parte del análisis, son cualitativos y por tanto no son certeros en cuanto a valores cuantitativos.

� La aplicación de análisis puramente cualitativo es posible.


83

Cuantitativo vs Cualitativo (Cont.)

SíNoUtiliza métricas claras

AplicableNo aplicableHerramientas automatizadas

MásMenosComprensible por la dirección

AltaBaja Objetividad

ConcretoSubjetivoAnálisis de costo/beneficio

No siempreSiempreAplicable

ComplejosSimplesCálculos

CuantitativoCualitativoCaracterística


84

Herramientas Automatizadas

� Permiten documentar la información recolectada.� Establece criterios homogéneos de valoración.� Generan gráficos e informes en forma automática.� Centraliza la información relativa al análisis de

riesgos.� Facilita el control de las tareas de análisis de riesgos.� Reducen el esfuerzo manual en cada una de las

tareas agilizando los resultados.� Permite simular distintos escenarios con facilidad, de

modo tal de analizar supuestos.� Facilita la mejora continua del proceso de análisis de

riesgos.


29


85

Tratamiento de Riesgos

� Análisis de las contramedidas o controles

Análisis Costo / Beneficio

� Costo Control < Valor del Activo

� Valor del control = (ALE antes del control) – (ALE después del control) – (costo anual del control)


86

Tratamiento de Riesgos (Cont.)

� Análisis de las contramedidas o controlesEjemplo: Web server

Valor del activo: u$s 25.000 ARO: 0.50 SLE: u$s 6.250EF (antes de la contramedida): 0.25 ALE: u$s 3.125Costo anual de la UPS: u$s 1.000EF (luego de la contramedida) = 0.05 En caso de que el corte de energía sea más

prolongado que la autonomía de la UPS.

ARO (luego de la contramedida) = 0.20ALE (luego de la contramedida) = 25.000 x 0.05 x 0.20 = u$s 250

Valor de la contramedida = u$s 3.125 – u$s 250 – u$s 1.000 = u$s1.875

Beneficio de la organización:u$s 1.875 – u$s 1.000 = u$s 875 por año de la contramedida


87


� Análisis de las contramedidas o controles

Aspectos a tener en cuenta en la estimación del costo anual de un control:� Costo de adquisición� Costo de diseño y planeamiento� Costo de implementación� Impacto en el entorno (compatibilidad)� Mantenimiento� Pruebas� Reparación, reemplazo, actualización� Nivel de operación manual requerida� Efectos sobre la productividad� Habilidad de Recupero


30


88


� Conceptos generales

Riesgo Total: Es el riesgo que una organización asume, en caso de no implementar contramedidas.

Amenaza * Vulnerabilidades * Valor del recurso = Riesgo Total

Riesgo Residual: Es el riesgo remanente una vez implementadas las contramedidas.

Riesgo Total – Control Gap = Riesgo Residual


89


� Conceptos generales

Control Gap: Es la cantidad de riesgo que se ha logrado reducir por medio de la implementación de una contramedida. Es la reducción del riesgo. No se utiliza para el cálculo del riesgo.

Control Gap = Riesgo Total – Riesgo Residual


90


Aceptar

Mitigar

Transferir

Rechazar o Ignorar

RIESGO ACEPTABLE !!!


31


Políticas, Procedimientos, Estándares, Baselines y Guidelines


92

Estructura normativa

NIVEL ESTRATÉGICO

NIVEL TÁCTICO

NIVEL OPERATIVO

Políticas

Normas(Guidelines)

BaselinesEstándares

Procedimientos


93

Objetivos de las normativas

� Definir y clasificar las metas y objetivos

� Definir roles, responsabilidades y escala de autoridad� Establecer criterios aceptables y uniformes de

conducta� Informar al personal sobre sus obligaciones y medidas

a tomar por incumplimiento� Informar a terceros sobre las definiciones establecidas

por la organización

� Garantizar el cumplimiento de normativas externas


32


94

Políticas

� Presentan directivas de la Alta Gerencia.

� Define la filosofía organizacional de seguridad de la información.

� Define cómo se desarrollará el Programa de Seguridad.

� Independiente de la tecnología y las soluciones.� Define responsabilidades y autoridades para la

implantación de la seguridad informática.

� De carácter abreviado y de alto nivel.� Se alinean con la Política General de la organización.� Determinan las normativas que deben cumplirse


95

Políticas (Cont.)

Consideraciones:� Debe ser dictada por un Comité de Seguridad.� Debe ser aprobada por las máximas autoridades.� Debe ser comunicada a todo el personal y terceros.� El personal y los terceros debe aceptar formalmente la

Política.� Debe integrarse con la Política de Gestión de Riesgos. � Debe ser escrita en lenguaje claro sin ambigüedades.� Debe ser consistente con las normativas legales y

corporativas existentes.


96

Otros documentos

� Estándares� Especifican la forma de poner en práctica un objetivo de la

Política. � Define actividades, acciones, reglas o regulaciones

obligatorias.� Definen el uso de una determinada tecnología o la

aplicación de una determinada solución de manera uniforme.

Ej.: Política: Se protegerá la red de la organización de accesos no autorizados desde redes externas.

Estándar: Se implementarán equipos firewall para el control de accesos a cada DMZ y a la LAN de la organización


33


97

Otros documentos (Cont.)

� BaselinesDeterminan cómo deben ser configurados los aspectos de seguridad de las diferentes tecnologías.


Estándar: Se implementarán equipos firewall para el control de accesos a cada DMZ y a la LAN de la organización

Baseline: Permitir en el puerto XX el tráfico YY, etc.


98


� Procedimientos

Descripción detallada de tareas a realizar para cumplimentar los Estándares y Baselines.Constituyen el nivel más bajo en la escala de normativas.

Ej.: Política: Se protegerá la red de la organización de accesos no autorizados desde redes externas.Estándar: Se implementarán equipos firewall para el control de accesos a cada DMZ y a la LAN de la organizaciónBaseline: Permitir en el puerto XX el tráfico YY, etc.Procedimiento: Loguearse al equipo firewall con el usuario NN, ingresar en la consola de administración, seleccionar la opción para crear ACLs, etc.


99


� Normas (Guidelines)Definiciones generales establecidas para colaborar con el cumplimiento de los objetivos de las Políticas, proporcionando un marco en el cual implementar controles adicionales.Tienen carácter de recomendación (no son obligatorias).


Estándar: Se implementarán equipos firewall para el control de accesos a cada DMZ y a la LAN de la organización.

Norma: Los administradores de red serán capacitados sobre la implementación y configuración de firewalls.


34


100

Consideraciones

Para todo el marco normativo se debe tener en cuenta:

� Vigencia – actualizaciones� Acceso� Propietarios� Responsabilidades: revisión, actualización, cumplimiento� Control de versiones


101

Responsabilidad

� Due Diligence (Diligencia Debida)� Este te termino se refiere al acto de investigar y entender los riesgos a los

que se expone la organización.� Actuar de buena fe y cumplir con el concepto de Hombre Prudente (En lo

que refiere a la protección de la informacion)

� Due Care (Cuidado Debido)� Se entiende que una organización se encuentra alineada con la premisa

de “Cuidado Debido”, cuando en ella se desarrollan políticas de seguridad, procedimientos y estándares. El “Cuidado Debido” demuestra que una organización asume su responsabilidad por las actividades que en ella se llevan a cabo, y ha tomado las medidas adecuadas para proteger la organización, sus recursos y empleados de las posibles amenazas.

� Si alguien practica “due care” entonces actúa en forma responsable y tendrá menos posibilidades de ser acusado de negligencia o ser halladoresponsable si algo malo ocurre.

Ej.: si el Propietario de la info no protege su información esta violando el principio de Due Care


Clasificación de la Información


35


103

Clasificación de la Información

Justificación:� No todos los datos / información tienen el mismo valor.� No todo el mundo debe acceder a todos los datos /

información.� El valor de la información influye directamente en la

definición de los controles para protegerla.� Se deben cumplir aspectos legales / regulatorios.


104

Clasificación de la Información (Cont.)

Beneficios:� Demuestra el compromiso de una organización hacia la

seguridad de la información.� Permite identificar que información / datos son los más

críticos para la organización.� Optimiza la inversión en controles.� Podría ser requerido por aspectos legales, regulatorios u

otros.


105

Política de Clasificación de Información

Contempla lo siguiente:� Define la información como un activo de la organización.� Define los propietarios de la información.� Define a los custodios de la información.� Define el proceso de clasificación de la información.� Establece las responsabilidades en el proceso de

clasificación de la información.� Determina el criterio de clasificación de la información.� Establece los controles mínimos sobre la información para

cada nivel establecido, en cumplimiento con normativas existentes.


36


106

Política de Clasificación de Información (Cont.)

� Como norma general, toda información que no sea de naturaleza publica, debe clasificarse.


107

Proceso de Clasificación de Información

1. Definición de los niveles de clasificación 2. Definición del criterio de clasificación3. Clasificación de la información por parte de los propietarios4. Identificación de custodios de la información5. Definir los controles de seguridad de la información para cada

nivel6. Documentar excepciones a la clasificación7. Definir métodos de reasignación de la custodia de la

información.8. Desarrollar un procedimiento de revisión periódica de la

clasificación de la información y la definición de propietarios.9. Desarrollar un procedimiento para la desclasificación de la

información.10. Introducir el proceso de clasificación de información en la

concientización del personal.


108

Tips para la clasificación

Qué tener en cuenta a la hora de clasificar información?

� Valor la información� Validez� Vida útil� Impacto por divulgación� Impacto por alteración� Impacto por no disponibilidad� Implicancias legales


37


109

Criterios de clasificación - Confidencialidad

Comercial - Privado� Confidencial� Privado

� Sensitivo� Publico

Modelo Habitual� Confidencial� Interno� Publico

Militar - Gubernamental� Top Secret� Secret

� Confidencial� Sensitivo pero sin

Clasificar� Sin Clasificar

*DoD


110

Modelo Habitual� De uso público

Información cuyo conocimiento fuera de la organización no causaría daño a la misma. Ejemplo: web site.

� Solo para uso internoInformación cuya sensibilidad permite ser divulgada dentro de la organización, pero su conocimiento fuera de la misma podría ocasionar daños. Ejemplo: lista de clientes, costos de productos/ servicios, etc.

� ConfidencialEl acceso a esta información se logra solo si existe la necesidad de conocer (need-to-know). Ejemplo: planes de marketing, Desarrollo e Investigación, información de adquisiciones y ventas a nivel corporativo, etc.

Criterios de clasificación – Confidencialidad (Cont.)


111

Modelo Comercial - Privado� Publico

Puede ser publica, su conocimiento no causa impacto negativo o adverso a la organización o el personal.

� SensitivoRequiere precauciones especiales. Ej.: información sobre proyectos.

� PrivadoInformación para uso interno de la compañía. Su conocimiento podría afectar negativamente al personal o la compañía. Ej.: información de RRHH.

� ConfidencialSumamente Sensible, su conocimiento podría impactar fuertemente en la compañía. Ej.: estrategia comercial.



38


112

Modelo militar - Gubernamental� Sin Clasificar

No Clasificada, Información que puede ser Publica.� Sensitivo pero sin Clasificar

De Baja Sensibilidad. Si se hace publica, puede causar serios daños. Ej.: respuesta a tests.

� ConfidencialDe conocerse, podría causar serios daños. Sólo para uso interno. Ej.: información de salud, código de programación.

� SecretDe conocerse, podría causar serios daños a la Seguridad Nacional. Ej.: desplazamiento de tropas.

� Top SecretEl grado más alto. De conocerse podría causar daño extremo en relación a la Seguridad Nacional. Ej.: planos de nuevo armamento, información de espionaje.



113

Roles

Propietario de la informaciónQuién debe ser?

� Nivel gerencial.� Conocimiento del valor de la información.

Qué debe hacer?

� Definir el nivel de clasificación que le corresponde a la información que le pertenece.

� Definir los controles que requiere la información.� Revisar la existencia de los controles.� Revisar los niveles de clasificación periódicamente y

realiza los cambios que sean necesarios a la información.


114

Roles (Cont.)

Propietario de la informaciónQué debe hacer?

� Definir los perfiles de acceso a la información. Aprobar su asignación. Revisarlos periódicamente.

� Asignar tareas protección de datos al custodio.� Aprobar la recuperación de información.


39


115

Roles (Cont.)

CustodioQuién debe ser?

� Generalmente esta función se asigna a personal de TI.

Qué debe hacer?

� Ejecutar backups en forma regular de la información que custodia.

� Proteger la información almacenada.� Restaurar la información cuando se necesita.� Mantener el rótulo de la información.� Cumplimentar las disposiciones de seguridad

definidas para cada nivel de clasificación.


116

Usuario� Seguir los procedimientos definidos para el manejo

de información.� Proteger la información clasificada.

� Utilizar los recursos asignados solo para fines de negocio.

Roles (Cont.)


Roles y Responsabilidades


40


118

Roles y Responsabilidades

� Gerencia GeneralResponsable final por la seguridad de la información de la organización.

� Responsable de Seguridad de la InformaciónResponsable de la gestión de la seguridad de la información de la organización.

� Analista de Seguridad de la InformaciónEncargado de evaluar las amenazas y vulnerabilidades y definir los estándares, normas y baselines necesarios. Diseñar esquemas seguros.

� Administrador de SeguridadEncargado de implementar las definiciones de seguridad en los entornos informáticos.


119

Roles y Responsabilidades (Cont.)

� Dueño de aplicaciónDefine los requisitos de seguridad funcional necesarios. Define y aprueba los perfiles de acceso a la aplicación.

� DBADefine y administra la seguridad de las bases de datos.

� Change Control AnalystEvalúa el impacto en la seguridad de los cambios informáticos. Aprueba y controla los cambios.

� Auditor

Evalúa los controles de seguridad informática y presenta recomendaciones a la alta gerencia.


Políticas y Prácticasde Empleo


41

121

Background Checks

� Tareas:� Revisión de información pública.� Verificación de información del CV.

� Beneficios:� Verificar que la información provista por el candidato es

verdadera y actualizada. � Obtener una primera idea del nivel de integridad del

candidato.� Prevenir empleados no calificados.� Evitar incorporar personas con ética y moral alterados.� Prevenir posibles conflictos con el personal existente.

122

Background Checks (Cont.)

� Beneficios:� Prevenir posibles pérdidas por acciones fraudulentas.� Prevenir acciones legales

� de parte de empleados despedidos.� de 3ra partes o clientes por negligencia a la hora

de contratación de personal.� De parte de otros empleados: por violencia, malos

tratos, etc.

123

Background Checks (Cont.)

� Quién debe ser evaluado?� Implementar una serie de controles básicos a TODO

el personal a incorporar.� Evaluar la conveniencia de implementar controles

exhaustivos al personal que vaya a desempeñar tareas críticas o a manejar información sensible.


42

124

Security Clearances

� Security Clearances� Permiso de acceso a información clasificada� Sólo requerido para puestos especiales de Gobierno y

Militar (a veces usado en ámbitos privados)� Requerido por DoD (Departamento de Defensa)� Requiere un PSI o Personal Security Investigation:

investigación personal (carácter, lealtad, confiabilidad, etc.) con el objeto de determinar si dicha persona puede recibir un permiso de acceso a información clasificada

125

Acuerdos

� Acuerdos sobre:� Confidencialidad (Non-Disclosure)� Uso de Recursos� Conocimiento, comprensión y aceptación de las

Políticas� Auditabilidad� Non-Compete

� Quiénes deben firmarlos?� Personal� Terceros

126

Contratación y Despido

� Políticas y Procedimientos definidos por RR.HH.� Deben contemplar:

� Cómo manejar la salida del empleado,

� Deshabilitación / borrado de cuentas de usuarios

� Reenvío del e-mail y del voice-mail

� Cambios en las cerraduras y códigos de acceso

� Modificación de contraseñas de sistemas relacionadas


43

127

Control de actividades

� Segregación de funciones� Nadie debe ser responsable de realizar una tarea que

involucra información sensitiva de principio a fin.� Un individuo no puede ser responsable de aprobar su

propio trabajo.� Quien controla no ejecuta.� Previene el FRAUDE

128

� Segregación de funciones:Ejemplo:� Desarrollo de Producción� Seguridad de Auditoría � Cuentas a Cobrar de Cuentas a Pagar� Administración de Claves de Encripción de Cambio de

Claves� Conocimiento distribuido

Dos o más personas se requieren para efectuar una tarea de forma que cada una posee un conocimiento que el resto no tiene. Ej.: Generación de una clave por más de una persona.

� Control dualDos o más personas se requieren para efectuar una tarea de forma que ninguna es prescindible. Ej.: para la apertura de una compuerta se requiere que dos personas en diferentes sitios presionen un botón.

Control de actividades (Cont.)

129

� Rotación de funciones� Evita que el personal permanezca demasiado tiempo en

una función, logrando un nivel elevado de control sobre las actividades.

� Favorece el backup de empleados.

� Vacaciones obligatorias� Permite la detección de fraude.� Previene el mal desempeño.

Control de actividades (Cont.)


44


InfoSec Awareness (Concientizaciónen Seguridad Informática)


131

InfoSec Awareness

� Normalmente una de las áreas de menor consideración.

� El “eslabón mas débil”


132

InfoSec Awareness (Cont.)

Objetivos:� Comprender el concepto de INFORMACIÓN� Comprender los principios de seguridad de la información� Conocer las amenazas a la seguridad� Asimilar las vulnerabilidades del personal� Conocer la estrategia de la organización con respecto a la

seguridad de la información


45


133


Beneficios:� Importante reducción de la cantidad de acciones no

autorizadas generadas por el personal de la organización.� Incremento significativo de la efectividad de los controles

implantados.� Prevención de amenazas que explotan vulnerabilidades del

personal.� Ayuda a evitar el fraude, desperdicio y abuso de recursos

informáticos.


134


Formas de lograr la concientización:� Presentaciones en vivo o grabadas: conferencias/

presentaciones, video, entrenamiento basado en computadoras (CBT), etc.

� Publicación / Distribución: newsletters, trípticos, boletines e intranet.

� Incentivos: premios y reconocimiento por alcanzar objetivos relacionados con la seguridad de la información.

� Recordatorios: banners de login, mails, accesorios de marketing (tazas, lapiceras, mouse pads, stickers, etc.).


135


Selección de audiencia:� Management� Staff� Empleados técnicos


46


136


Concientización al Management:� Breve� Lenguaje acorde� Focalizar en los activos críticos de la organización� Considerar el impacto financiero de la falta de seguridad� Explicar implicancias legales� Definir conceptos: políticas, estándares, procedimientos, etc.� Responsabilidades


137


Concientización al Staff:� Clara y dinámica� Derechos y obligaciones� Actividades aceptables� Ejemplos� Interacción


138


Concientización al Personal Técnico:� Lenguaje técnico� Implicancias de la seguridad en las tareas habituales� Comportamiento esperado� Estándares, procedimientos, guidelines, etc.� Manejo de incidentes� Funciones� Responsabilidades


47


139


Revisión de resultados:� Encuestas de opinión.� Encuestas de calificación de la concientización.� Medición de incidentes antes y después de la

concientización.� Observación del comportamiento del personal.� Monitoreo de uso de recursos.� Cracking de passwords.


140


Algunos Consejos:� Trabajar en conjunto con el departamento de RRHH.� Duración de los encuentros: No mas de 30’.� Resumen de Políticas del Usuario final: No mas de 5 páginas.� Material actualizado periódicamente.� Material atractivo.� Consejos / Pautas: Creíbles y Realizables.


141

Ingeniería Social

� Ingeniería social describe el tipo de intrusión no técnico basado en la interacción humana. Usualmente involucra el engañar a las personas con el propósito de quebrar procedimientos de seguridad existentes.


48


142

Ingeniería Social (Cont.)

Proceso:� Recolección de información� Selección del objetivo� Ataque

Tipos de ataque:� Ataque al Ego

� Ataques de condolencia (Sympathy)

� Ataques de intimidación


Referencias y Lecturas Complementarias


144

� CISSP All-in-One Exam Guide, Third Edition (All-in-One)By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121

� Official (ISC)2 Guide to the CISSP ExamBy Susan Hansche (AUERBACH) ISBN: 084931707X

� The CISSP Prep Guide: Gold EditionBy Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X

� CISSP Certification Training GuideBy Roberta Bragg (Que) ISBN: 078972801X

� CCCure.Org WebSite: http://www.cccure.orgBy Clement Dupuis

� Advanced CISSP Prep Guide: Exam Q&ABy Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632

� Information Security Management Handbook, Fifth EditionBy Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978

� CISSP: Certified Information Systems Security Profesional Study Guide, Third EditionBy James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438

Referencias y Lecturas Complementarias


49


Preguntas?

Date post:	07-Nov-2014
Category:	Documents
Upload:	adolfo-choquellampa
View:	7 times
Download:	0 times

01-InformationSecurityandRiskManagementv3

Documents