Date post: | 28-Jan-2016 |
Category: |
Documents |
Upload: | lope-romero |
View: | 229 times |
Download: | 1 times |
Fuente: Information Security Risk Analysis. Okinawa International Centre. Japan International Cooperation Agency. MAGER. ISO/IEC 27005
Objetivos
Explicar el procedimiento de análisis de riesgos.
Valoración de los activos la información.
Evaluación de riesgos y selección de
salvaguardas/controles/medidas de seguridad.
Contenido
1. Procedimiento de análisis de riesgos.
2. Evaluación de los activos de la información.
3. Evaluación de amenazas y vulnerabilidades
alrededor de los activos de la información.
4. Identificación de Riesgos
1. Procedimiento de análisis de riesgos
1.1 ¿Qué es riesgo?
1.2 Procedimiento de análisis de riesgos
1.1 ¿Qué es riesgo?
Riesgo: es la posibilidad que una amenaza explote una vulnerabilidad en los activos causando daños o pérdidas.
Amenaza: algo que puede potencialmente causar daño a la red o a los sistemas computacionales. Ej: virus
Vulnerabilidad: son las debilidades de la organización, sistemas computacionales, o la red que pueden ser explotados por una amenaza. Ej: no tener software antivirus instalado.
Relaciones entre riesgos, amenazas y vulnerabilidades
*Controles: una práctica, procedimiento o mecanismo que reduce el riesgo
Riesgos
Vulnerabilidades
Amenaza
Activos de informació
n
Controles *
Protecciones
Requeridas
Valor del activo
explotar
exponer
tener
aumentar au
men
tar
indica
r aumentar
reducir
proteger contra
se cumple
Tres Factores de Seguridad de la Información
Seguridad de la Información: consiste en asegurar y mantener la confidencialidad, integridad y disponibilidad de la información.
Confidencialidad de la informaciónLa información de la organización nunca debería ser accesible a los usuarios sin la autorización correspondiente.
Integridad de las aplicaciones y de la informaciónConsiste en preservar la información completa y exacta.
Disponibilidad del sistemaLa información está disponible a los usuarios autorizados cuandoestos la requieran.
Normas para la Seguridad de la Información
Existen muchas normas disponibles…
ISO (Organización Internacional de Estandarización)
ISO/IEC 17799: Código de buenas prácticas para la gestión de seguridad de la información
Originalmente establecida como Estándar Británico (BS) 7799, 17799 que proporciona recomendaciones para desarrollar estándares de seguridad en las organizaciones y prácticas efectivas de gestión de la seguridad.
ISO/IEC 27005: Gestión de Riesgos de seguridad de la InformaciónOriginalmente establecida como ISO/IEC TR 13335-3 e ISO/IEC TR 13335-4, la
cual provee lineamientos para la gestión de riesgos de seguridad de la información en la organización.
ISO/IEC 15408: Criterios de evaluación de seguridad para IT (CC: Criterios Comunes)
Criterios usados como evaluación básica de seguridad como propietarios de productos y sistemas de IT.
1.2 Procedimiento de Análisis de Riesgos
Análisis de Riesgos: Evaluación de amenazas y vulnerabilidades de los activos de información.
Evaluación de Riesgos: Todo el proceso de análisis y evaluación de riesgos
Gestión de Riesgos: Proceso de identificación, control y reducción o eliminación de riesgos de seguridad que pueden afectar los sistemas de información.
Planear H-V-A
P HV A
Análisis de Riesgos
Evaluación de Riesgos
Gestión de RiesgosDeterminacióndel alcance de
Seguridadde la
información
Creación de lapolítica
Desarrollo delmétodo sis-
temático de laevaluación de
riesgos
Procedimientode evaluación
de riesgos
Valoración deactivos de la información
Lista deactivos
Evaluación deamenazas y
vulnerabilidades
Tabla deanálisis de
riesgos
Evaluación deriesgos
Tratamientode
riesgos
Aceptación deriesgos
Reporte deEvaluación de
riesgos
¿Por qué es necesario hacer un Análisis de Riesgos?
¿Qué podría pasar si Ud. Omite el análisis? No pudiera detectar vulnerabilidades Introducir contramedidas sin una razón específica Rehacer la totalidad de los sistemas Tomar un enorme costo y tiempo
El análisis nos puede llevar a… Identificar amenazas de sus sistemas Estimar daños y posibles ocurrencias Desarrollar contramedidas para disminuir las
amenazas
2. Valoración de Activos de Información
2.1 ¿Qué son los Activos de Información?
2.2 Identificación de Activos de Información.
2.3 Valoración de Activos de Información
Procedimiento de Valoración de Activos de información
Valoración de activos de información
•Confidencialidad•Integridad•Disponibilidad
Identificación de activos de información Listad
o de activos
Valoración de activos de información
Procedimiento de
evaluación de riesgos
Desarrollo sistemático del método de evaluación de riesgos
2.1 ¿Qué son los Activos de Información?
Un activo es algo que tiene valor para la organización y por lo tanto tiene que protegerse. Los activos incluyen toda la información y soporte que la organización requiera para conducir el negocio.
Ejemplos de activos de informaciónTIPO DE ACTIVO EJEMPLOS
Hardware Comprende todos los elementos físicos (equipos, accesorios, periféricos, etc.) que soportan el procesamiento de datos de la institución.
Documentos físicos (en papel), Servidores, Workstations, laptops, Tablet PC, asistente personal digital (PDA), Impresores, unidad de disco removibles, Disquetes, CD, DVD, cartucho de respaldo, discos duros removibles, memorias USB, cintas, documentación, fax, otros.
Software Comprende todos los programas de computadora (desarrollados internamente o adquiridos) que se utilizan para realizar las diferentes actividades informáticas dentro de la institución tanto para personal técnico como usuarios.
Sistemas Operativos. Software para tareas administrativas, de mantenimiento, monitoreo, de red, de seguridad, etc. Herramienta de diseño, desarrollo, mantenimiento y control de aplicaciones informáticas. Aplicaciones de negocio ya sean adquiridas o desarrolladas internamente (SITEP, SIDUNEA, SAFI, SIGADE, SIIT, SIIP, SIRH etc.). Servidor y cliente de Correo electrónico, Antivirus, Antispam, filtrado de contenido web, software de telefonía. Otros.
Redes Son todos los dispositivos físicos (y sus protocolos) de telecomunicaciones utilizados para interconectar varias computadoras remotas o elementos de un sistema de información.
Puentes (bridge), enrutadores (router), hubs, switches, firewall, IDS, IPS, balanceador de carga, aceleradores de contenido (servidor de caché), adaptadores de red (tarjeta de red).Medios o equipos de comunicaciones y telecomunicaciones de: redes telefónicas, Ethernet, GigabitEthernet, TenGigabitEthernet ADSL. Protocolos de redes inalámbricas (WiFi), bluetooth. Equipos GPRS (General Packet Radio Service). Hardware antispam. Otros.
2.1 ¿Qué son los Activos de Información?
TIPO DE ACTIVO EJEMPLOS
Personal Comprende a todos los grupos de personas involucradas en el uso, mantenimiento, administración y toma de decisiones en los sistemas de información.
Usuarios. Desarrolladores de aplicaciones del negocio. Administrador de bases de datos, Administrador de sistemas, administrador de datos o aplicaciones, personal de back-up y restauraciones, personal de Help Desk. Administradores de servidores de aplicaciones, portales, directorios de usuarios.Desplegadores de aplicaciones.Oficiales de seguridad. Gerente de alto nivel, líder de proyectos. Otros.
Localidad Comprende todos los lugares, servicios básicos y suministros para que las distintas instalaciones funcionen adecuadamente, con el objeto de que los sistemas de información operen en condiciones normales.
Edificios, instalaciones, parqueos, recintos, bodegas, oficinas, centros de procesamiento de datos, oficinas periféricas, establecimientos, locales, zonas de acceso reservado, zonas de seguridad. Suministro eléctrico,Líneas telefónicas, PBX, PABX, suministro de agua, servicios y medios (equipo, control) de enfriamiento y purificación del aire, tuberías de agua para enfriamiento, aires acondicionados. Otros.
Organización Comprende a todos los grupos de personas que realizan actividades de soporte para la organización así como también terceros que le prestan servicios ya sea en forma contractual o no.
Departamentos que prestan servicios de soporte en la organización: recursos humanos, compras, administración, seguridad a oficinas y edificios, servicio contra incendios, auditoria, Finanzas, Servicios generales y de mantenimiento. Proveedores de servicios y contratistas vinculados mediante contrato: consultorías, outsourcing, servicios informáticos, limpieza, vigilancia. Personal de servicio social.
2.2 Identificación de los Activos de Información
Identificación de los activos de información: identifica el contenido de los activos de información que incluya el alcance de la seguridad de la información, y crear una lista de activos.
El listado de activos de información deben incluir la siguiente información:
La identificación individual de los activos de información y el entendimiento de estas características son importantes para las dos tareas subsecuentes: valoración de activos de información y la identificación de las amenazas y las vulnerabilidades.
Listado de activos
•Servicio critico•Nombre del activo de información.•Tipo de activo•Intención del uso•Usuario y Administrador.•Medios de almacenamientos (ej. discos duros, documentos en papel).•Ubicación lógica y física (ej. Servidor ss3t-fsdinafi-01 en el salón de servidores).•Valoración del impacto en términos de la pérdida de confidencialidad, integridad y disponibilidad
2.3 Valoración de los Activos de Información
Valoración de los activos por análisis cualitativoLa valoración de los activos de la información en términos de impacto para el negocio en caso de la
pérdida de la confidencialidad, integridad y disponibilidad.
Valoración del Impacto en términos de la perdida de confidencialidad
Criterio
Alto (3) La divulgación no autorizada de la información tiene un efecto crítico para la organización. Ej.: divulgación de información Confidencial o sensible.
Medio (2) La divulgación no autorizada de la información tiene un efecto limitado para la organización. Ej.: divulgación de información de uso interno.
Bajo (1) La divulgación de la información no tiene ningún efecto para la organización. Ej.: divulgación de información pública.
Valoración del Impacto en términos de la perdida de integridad
Criterio
Alto (3) La destrucción o modificación no autorizada de la información tiene un efecto severo para la organización.
Medio (2) La destrucción o modificación no autorizada de la información tiene un efecto considerable para la organización.
Bajo (1) La destrucción o modificación de la información tiene efecto leve para la organización.
2.3 Valoración de los Activos de Información
Valoración del Impacto en términos de la perdida de disponibilidad
Criterio
Alto (3) La interrupción en el acceso a la información o los sistemas tiene un efecto severo para la organización.
Medio (2) La interrupción en el acceso a la información o los sistemas tiene un efecto considerable para la organización.
Bajo (1) La interrupción en el acceso a la información o los sistemas tiene un efecto mínimo para la organización.
Consideraciones de la identificación y valoración de los activos de información
Se debe de tomar en cuenta dos consideraciones cuando este implementando la identificación y valoración de los activos de información.
Agrupación de activos de informaciónClasificar los activos de información que tengan los mismos valores y atributos (tipo
de activo, intensión de uso, etc.) y métodos de control dentro de un mismo grupo. Es efectivo para reducir la cantidad de trabajo y mejorar la eficiencia del análisis de riesgos subsecuente. Ej: las PCs del depto. de desarrollo de la misma marca compradas en la misma fecha al mismo proveedor, con el mismo contrato de mantenimiento y destinadas al mismo uso se toman como un solo grupo: PCs de Desarrollo DGT.
Separación de activos de informaciónDiferenciar los mismos activos de información en términos de aplicaciones o
características. Posibilidad de implementar mas medidas efectivas, ej. servidores con el mismo desempeño instalado en diferentes lugares unos en el centro de computo de las 3 torres y otros en Aduanas; se toman como 2 grupos: Servidores xyz Aduanas, Servidores xyz CPD3T.
Ejemplos de Lista de Activos
Ejemplo de lista de activosNombre del activo de información
Intensión del uso
Usuario / Administrador
Medio de almacenamiento
Lugar Nivel de activos de informaciónC. ConfidencialidadI: integridadD: disponibilidad
Lista de clientes
Dirección de correos para avisos
Personal de ventas / Departamento de sistemas de información
Disco duro Servidor
Sala de servidores
C 3 Pérdida de clientes debido a la fuga de información
I 2 No puede ser enviado debido a la alteración o destrucción
D 2 Disminución en las ventas debido a la indisponibilidad del envío causado por la pérdida de la lista de clientes
Contrato de mantenimiento de servicios
Mostrar el contrato
Personal de ventas / Departamento de sistemas de información
Papel Gabinete
Oficina
C 3 Pérdida de clientes debido a la fuga de información
I 2 Pérdida de credibilidad debido a la alteración o destrucción
D 1 Generalmente no es utilizada
3. Estimación de Amenazas y Vulnerabilidades relacionadas a los Activos de Información
3.1 Amenazas y Vulnerabilidades.
3.2 Estimación de Amenazas.
3.3 Estimación de Vulnerabilidades
Procedimiento de Estimación de Amenazas y Vulnerabilidades
Estimación de amenazas
Estimación de vulnerabilidades
Identificación de amenazas
Identificación de vulnerabilidades Tabla
de análisis
de riesgos
Estimación de Amenazas y Vulnerabilidades
Lista de activos
Valoración de activos de información
3.1 Amenazas y Vulnerabilidades
Relación entre amenazas, vulnerabilidades y pérdida
(Amenaza) X (Vulnerabilidad) = (Pérdida)
Virus X no tener instalado = destrucción de datos
software antivirus
Amenaza VulnerabilidadPérdida
3.1 Amenazas y Vulnerabilidades
3.1 Amenazas y Vulnerabilidades
3.1 Amenazas y Vulnerabilidades
3.1 Amenazas y Vulnerabilidades
3.1 Amenazas y Vulnerabilidades
Clasificación de la Pérdida
Cuando la seguridad falla, se tiene:
Total de costos por pérdidas = pérdidas directas + pérdidas indirectas
Pérdida directa
Pérdida indirecta
Daño directo para los
activos (ej. pérdida de información
1) Pérdida de beneficio (desde la alteración del servicio y pérdida de credibilidad)
2) Incurrir en la responsabilidad (ej. Compensaciones por pérdidas)
3.1.1 Identificación de las Amenazas
Amenaza: Algo que puede potencialmente causar dañoa la red o a los sistemasComputacionales
Acceso no autorizado desde la internet
Fallo dehardware
Interrumpiro entrar
Acceso no autorizadopara la internet
Robo, alteración, o eliminararchivos confidenciales
Robo de dispositivos dehardware
Infección de virus
Errores de operación
Significado y Probabilidad de las Amenazas (Cuándo y Cómo)
Tipos de amenazas
Amenazas ambientalesTerremotos, inundación, huracanes, tormentas
Amenazas humanas•Intencionales / amenazas deliberadas
Alteración de datos o robo, destrucción de datos, robo de hardware, accesos no autorizados, intervenciones.
No intencionales / amenazas accidentales
Errores de operación, errores de diseño, errores de software o programación, errores de usuarios, tropezar con cables eléctricos, fallas de hardware
¿Cuándo ocurren las amenazas?• En autenticación• En transferencia de datos• En procesos de mantenimiento
¿Cuáles son las oportunidades paraque ocurran las amenazas?•Todos los días•Una vez a la semana•Una vez al mes•Una vez al año
La probabilidad depende de las característicasdel sistema
• ¿Cómo es valorado el ataque en el sistema?• ¿Tiene la red muchos puntos de entrada? (ej.: WAN, modem, internet)• Tipos de usuarios (ej.: con o sin limitantes)• Ubicación de los sistemas
Probables Fuentes de Amenazas (Quién)
¿Cuáles son las fuentes de amenaza para los sistemas de información?
Las principales amenazas para los activos de información pueden ser categorizadas de la siguiente manera:
Internos y no intencionalesTrabajadores desinformados: errores pueden ser hechos, la información puede ser destruida, datos confidenciales pueden ser expuestos.
Internos e intencionalesEmpleados descontentos: dejar errores en los sistemas a propósito.Trabajadores Contratados: que se quieran volver indispensable mediante la realización de su trabajo de modo tal que ningún otro lo pueda sustituir. Ej: desarrollador de software que no sigue ningún estándar de la organización.
Externos y no intencionalesDesastres naturales – causando interrupción en los servicios.Externos e intencionalesHackers – accesando a servidores y robando información personal.Crackers – destruyendo los sistemas.
Lugar de las Amenazas (Dónde)
¿Dónde ocurren las amenazas?¿De dónde vienen las amenazas?
Red Externa
Acceso no autorizado desde la internet
Fallo dehardware
Interrumpiro entrar
Acceso no autorizadopara la internet
Terminal / Servidor
Robo, alteración, o eliminararchivos confidenciales
Robo de dispositivos dehardware
Infección de virus
Errores de operación
Red Local
Entrada a los edificios
Dispositivos de red
Motivos de las Amenazas (Por qué)
¿Por qué ocurren las amenazas?
•Dinero, beneficio•Ventajas competitivas•Queja, venganza•Curiosidad•Travesura•Llamar la atención•Ignorancia
3.1.2 Identificación de Vulnerabilidades
Vulnerabilidad: una debilidad en la organización, sistemas de computación, o la red.
Ejemplos:Políticas de seguridad no están implementadasLos roles y responsabilidades no son precisas
OrganizaciónEl entrenamiento de seguridad a los empleados es inadecuadoLa entrada a los edificios no es revisada adecuadamente
No se tiene protección contra los virus de computadorasExisten fallas en el software de los servidores de SO
SistemasNo se han aplicado políticas de contraseñas.
Datos confidenciales sin protección son enviados por la red Red
Agujero de Seguridad
Agujero de seguridad: un problema de seguridad de los sistemas o un lugar en donde los problemas de seguridad pueden ocurrir.
Ejemplo:
Telecomunicaciones desde fuerasin control de administrador
Errores de configuraciónen los firewalls o routerSO o aplicaciones de bugs
Carencia de administración dedocumentos
Datos sin protección enla transmisión
3.1.3 ejemplos de Amenazas y Vulnerabilidades
Identifique las amenazas y vulnerabilidades que existen en su organización.
Ejemplos de amenazas y vulnerabilidades que podrían existir en las organizaciones.
Edificio
Dentro de la oficina
Sistema
Red
Amenazas y Vulnerabilidades Ambientales
Amenazas Vulnerabilidades
Desastres naturales(terremotos, inundaciones,tormentas)
•La organización está en un área susceptible a desastres naturales.•No se tiene un plan de continuidad del negocio o procedimientos que protejan la información y los activos de información.•Los respaldos de expedientes y sistemas no están disponibles.
•Carencia de dispositivos de detección de fuego•Carencia de sistema automático de supresión de fuego• Disponibilidad de materiales inflamables como papel o cajas•Los respaldos de expedientes y sistemas no están disponibles
Fuego en edificios
Falla del suministroeléctrico
•No se tiene UPS o planta eléctrica para cuando se interrumpe el suministro de energía eléctrica.•No se tiene un plan de continuidad del negocio o procedimientos que protejan la información y los activos de información•Los respaldos de expedientes y sistemas no están disponibles
Amenazas y Vulnerabilidades Intencionales/Deliberadas (1/4)
Amenazas Vulnerabilidades
Código malicioso (virus, gusanos, caballos troyanos)
•No se tiene software anti-virus•El software anti-virus no se actualiza regularmente.•Falta de entrenamiento al personal de apoyo en virus de software•Descargas y usos de software de internet no controladas.•Carencia de políticas respecto a la apertura de correos con archivos adjuntados.•Carencia de políticas en el uso de disquete, cds, usb memory sin ser escaneadas con un software de antivirus previamente.
Ataque de denegación de servicio/ataque de distribución de denegación de servicio/ataque de tope de memoria
•Carencia de firewall•Carencia de un sistema de detección y prevención de intrusos•Los sistemas operativos no se actualizan regularmente con los parches de seguridad.
Amenazas y Vulnerabilidades Intencionales/Deliberadas (2/4)
Amenazas Vulnerabilidades
Escucha a escondidas/intervenir la red
•Comunicaciones sin encriptar•Carencia de seguridad física sobre la comunicación de la data.•Uso compartido de Ethernet: todo el tráfico es transmitido a cualquier máquina en un mismo segmento.
Acceso no autorizado a través de la red
•Carencia de logs de auditoria para detectar accesos no autorizados
•Carencia de autenticación de usuarios•Carencia de un sistema de detección y prevención de intrusos
•Carencia de firewalls•Políticas inadecuadas de firewalls•Los sistemas operativos no se actualizan regularmente con los parches de seguridad.
Amenazas y Vulnerabilidades Intencionales/Deliberadas (3/4)
Amenazas Vulnerabilidades
Accesos no autorizados (intrusión en los edificios)
•Carencia de seguridad física (sin vigilantes, sin llaves)•Carencia de accesos lógicos de seguridad (número de identificación, contraseñas)
Alteración/destrucción maliciosa por personal con acceso a información confidencial
•Carencia de seguridad física (sin vigilantes, sin llaves)•Carencia de accesos lógicos de seguridad (número de identificación, contraseñas)•Carencia de gestión del control de cambios.•Derechos de acceso incorrectos
Repudiación •Carencia de pruebas de envío o recibo de mensajes•Carencia de uso de firmas digitales
Envío fraudulento de correo, usando un nombre o una dirección falsa (spoofing)
•Carencia de mecanismos de identificación y autenticación•Tablas de contraseñas sin protección•Carencia de identificación del remitente y del destinatario
Amenazas y Vulnerabilidades Intencionales/Deliberadas (4/4)
Amenazas Vulnerabilidades
Robo •Carencia de seguridad física (sin vigilantes, sin llaves)•Carencia de accesos lógicos de seguridad (número de identificación, contraseñas)•Carencia de controles de administración de hardware y software•Copiado de datos y software no controlados•Carencia de rastros de auditorias
Ingeniería social •Carencia de políticas que regulen la entrega de información por teléfono.
•Carencia de políticas que requieran que toda petición de información pueda ser suspendida has taque la identidad del solicitante pueda ser verificada.
Ingeniería Social
Ingeniería social: formas de obtener información critica, no de forma magnética sino mediante acciones sociales con el propósito de utilizar los sistemas de información sin estar autorizados para ello.
Amenazas humanas1.Buscar en los desechos2.Personal que observa a espaldas del usuario3.Engaño
Vulnerabilidades1.Descuido en la disposición final de documentos.2.Insuficiente entrenamiento en seguridad3.Carencia de políticas restrictivas para proveer información por teléfono
Hola, soy el administradorde sistemas, y para brindarlemantenimiento a su software,necesito conocer su contraseña
Atacante Usuario
Amenazas y Vulnerabilidades No Intencionales o Accidentales (1/3)
Amenazas Vulnerabilidades
Errores de usuario o del Personal de operaciones.
•Carencia de conciencia de los usuarios•Insuficiente entrenamiento de seguridad•Carencia de documentación (ej. guía de usuarios)•Interface de usuarios complicada•Carencia de control de cambios en las configuraciones.
Errores de programación de software
•Procedimientos inadecuados en el del ciclo de vida de desarrollo de sistemas.
•Especificaciones confusas o incompletas•Carencia de un control eficiente y efectivo de los cambios en las configuración.
•Personal no cualificado / no capacitado.
Amenazas y Vulnerabilidades No Intencionales o Accidentales(2/3)
Amenazas Vulnerabilidades
Fallas de hardware
•Falta de entrenamiento a los usuarios.•Mantenimiento inapropiado del hardware.•Carencia de procedimiento o recursos para hacer respaldos.•No se tienen planes o procedimientos de continuidad del negocio
Fallas en los servicios de comunicación
•Carencia de redundancia y respaldos•Diseño y administración inadecuada de redes•Manejo inadecuado de incidentes
Amenazas y Vulnerabilidades No Intencionales o Accidentales (3/3)
Amenazas Vulnerabilidades
Falla de operaciones ejecutadas mediante outsourcing
•Obligaciones no claras en los contratos de servicios en outsourcing.
•No se tiene procedimientos o plan de continuidad del negocio que cubran a la información y los activos de información
Pérdida o ausencia de personal clave
•No se tiene reemplazo del personal clave.•Procedimientos no documentados
3.2 Estimación de las Amenazas
Ejemplos de los criterios de las amenazas
Nivel de amenazas
Criterio por probabilidad
Criterio por
frecuencia
Criterio por
condición de
ocurrencia
Criterio por atractivo
Ejemplos
Alto (3) La ocurrencia es muy probable (probabilidad mayor del 50%)
Más de una vez al mes
Bajo circunstancias normales
El atacante se beneficia en gran medida por el ataque, tiene la capacidad técnica para ejecutarlo y la vulnerabilidad es fácilmente explotable.
Código malicioso
Medio (2) La ocurrencia es probable (probabilidad igual al 50%)
Alrededor de una vez cada tres meses
Por errores descuidados
El atacante se beneficia de alguna manera por el ataque, tiene la capacidad técnica para ejecutarlo y la vulnerabilidad es fácilmente explotable.
Fallas de hardware
Bajo (1) La ocurrencia es menos probable (probabilidad es mayor que cero y menor del 50%)
Alrededor de una vez al año
En rara ocasión
El atacante no se beneficia por el ataque
Desastres naturales
No Aplica (0)
Aspectos a considerar en la Estimación de las Amenazas
Cuando se estime la posibilidad de pérdida o daño por amenazas, se deben considerar los siguientes aspectos:
Ejemplos, experiencias Frecuencia Atractividad Motivación Capacidades Recursos
3.3 Estimación de las Vulnerabilidades
Ejemplos de criterios de vulnerabilidades
Nivel de vulnerabilidades Criterio Ejemplos
Alto (3) No existe ninguna medida de seguridad implementada para prevenir la ocurrencia de la amenaza.
No se utilizan contraseña para que los usuarios ingresen a los sistemas.
Medio (2) Existen medidas de seguridad implementadas que no reducen la probabilidad de ocurrencia de la amenaza a un nivel aceptable.
Existe norma para la utilización de contraseñas pero no se aplica.
Bajo (1) La medida de seguridad es adecuada
Existe norma para la utilización de contraseñas y es aplicada.
Ejemplo de Tabla de Análisis de Riesgos
Ejemplo de tabla de análisis de riesgosNombre del activo de información
CID Nivel de amenaza
Nivel de vulnerabilidad
Amenazas esperadas
Vulnerabilidades esperadas
Controles implementados actualmente
Lista de clientes existente
C 3 2 3 •Acceso no autorizado al servidor
•La contraseña del servidor no se cambia periódicamente
•Se utiliza autenticación de usuarios (usuario, contraseña)
I 2 2 3 •Alteración de datos en el servidor
•No se han restringido los derechos sobre los archivos
•Se registran en el log todos los accesos.
D 2 3 2 •Falla de hardware•Infección de virus
•El hardware del servidor no tiene mantenimiento•El software de anti-virus no esta instalado
•Los respaldos son creados una vez por semana
4. Identificación de Riesgos
4.1 Evaluación de Riesgos
4.2 Selección de controles
4.3 Procedimientos documentados
Procedimiento de Identificación de Riesgos
Identificación de Riesgos
Aceptación de Riesgos
Evaluación de Riesgos
Reporte de
evaluación de
riesgos
Tabla de análisis
de riesgos
Evaluación de amenazas y vulnerabilidades
Tratamiento de riesgos
4.1 Evaluación de Riesgos
Evaluación de riesgos: Proceso de comparación del riesgo estimado contra un criterio de riesgos calculado dado para determinar la importancia del riesgo.
El grado del riesgo es expresado numéricamente basado en las medidas del valor de los activos de información, el impacto de la amenaza y el alcance de la vulnerabilidad.
La formula para calcular el grado del riesgo
Ejemplo de matriz con valores predefinidos
Riesgo actual = Valor del activo de la información(CID) x Amenaza x Vulnerabilidad
Nivel de Amenazas
Bajo (1) Medio (2) Alto (3)
Nivel de Vulnerabilidade
s
Bajo(1)
Medio(2)
Alto(3)
Bajo(1)
Medio(2)
Alto(3)
Bajo(1)
Medio(2)
Alto(3)
Valoración del
Impacto en
términos de la
pérdida de (CID) en los activos
Bajo(1)
1 2 3 2 4 6 3 6 9
Medio (2)
2 4 6 4 8 12 6 12 18
Alto (3) 3 6 9 6 12 18 9 18 27
CID = Confidencialidad, Integridad y Disponibilidad
4.2 Selección de Controles
4.2.1 Tratamiento de los Riesgos
4.2.2 Aceptación de los Riesgos
4.2.1 Tratamiento de los Riesgos
Tratamiento de los riesgos: proceso de selección e implementación de medidas para modificar el riesgo.
Método de control de riesgosReducir: Selección de una o varias salvaguardas o controles para
reducir el riesgo a un nivel aceptable para la organización. Ej: implementar políticas de control de acceso.
Evitar: Eliminar la actividad de alto riesgo o cambiar las condiciones bajo las cuales la actividad es operada (remover el riego).
Método de financiamiento de riesgosTransferir (desviar): trasferir el riesgo a otra entidad interna o
externa mediante :el traspaso de la gestión del activo y/o del riesgo, seguros, etc. para cambiar o compartir la responsabilidad de la pérdida.
Aceptar: Tomar la decisión de aceptar las consecuencias de un riesgo en particular, es decir, no se realiza ninguna acción respecto al riesgo.
Ejemplo de cómo Responder al Riesgo.
Considere la posibilidad de afrontar el riesgo y los costos de las perdidas, para decidir como responder al riesgo.
Reducir el riesgo Evitar el riesgo
Transferir el riesgoRetener el riesgo
(Nivel aceptable)
Alto
Bajo
Posibilidad de enfrentarel riesgo
Costo de la pérdida Alto
Clasificación de Controles de Seguridad
Para reducir los riesgos, existen 2 tipos de controles de seguridad:
1) Controles técnicos de seguridad: Redes, hardware y software relacionado con las medidas de seguridad como firewalls, IDS, IPS, Antivirus, encriptación, etc.
2) Controles operacionales de seguridad: Medidas de seguridad no técnicas las cuales pueden ser como el entrenamiento en seguridad y las respuesta a los incidentes.
Tipos de Controles de Seguridad Técnicos
Los controles de seguridad técnicos son clasificados en 3 tipos: Técnicas de prevención: Técnicas para prevenir la ocurrencia de las amenazas o
daños (ej. autenticación por contraseñas)
Técnicas de detección: Técnicas para descubrir acciones ilegales o intentos
ilegales de acceso (ej. Análisis de logs de accesos, uso de
herramientas de monitoreo)
Técnicas de recuperación: Técnicas para minimizar los daños y restaurar la
Confidencialidad, Integridad y Disponibilidad de los activos (ej. respaldos de los sistemas y las bases de datos) .
Tipos de Controles de Seguridad Operacionales
Los controles de seguridad operacionales se clasifican en 3 tipos:
Prevención: Introducir y mantener políticas de seguridad Entrenamiento periódico en seguridad (Ej: 1 vez al año) Realizar auditorias de seguridad periódicamente. Recopilar información de vulnerabilidades nuevas y aplicar los
parches cuando sea necesario
Detección: Monitorear la red y las transacciones de los sistemas para detectar
cualquier incidente de seguridad Analizar los logs.
Recuperación (respuesta a incidentes): Personas quienes violan las políticas de seguridad son penalizadas Restaurar datos/sistemas destruidos, basado en un plan de
continuidad del negocio pre determinado.
Controles Basados en las Mejores Prácticas
La ISO/IEC 17799 describe 11 aéreas de controles que pueden considerarse como una guía de buena principios para implementar seguridad de la información y reducir el riesgo.
Política de seguridad Organización de la Seguridad de la Información Gestión de activos Seguridad de Recursos Humanos Seguridad física y ambiental Gestión de las comunicaciones y operaciones Control de acceso Adquisición, desarrollo y mantenimiento de sistemas de información. Gestión de incidentes de seguridad de la información. Gestión de la continuidad del negocio. CumplimientoOtras medidas que no estén incluidas en los controles de la ISO/IEC
17799 pueden también ser adoptados.
Factores que Influyen en la Selección de los Controles
Los factores a considerar cuando se seleccionan los controles a implementación son:
Facilidad de uso de los controles Transparencia para el usuario Costos del control Compatibilidad con los controles existentes La fortaleza relativa de los controles Balance técnico y no técnico de los controles Balance de prevención, detección y recuperación
Ejemplo Posibles controlesSi se identifica un punto de alto - Instalar un firewall (técnico y prevención)Riesgo como acceso no autorizado - Instalar un IDS (técnico y detección)a cierto sistemas a través de la red - Registros de logs y monitoreo regular de logs (técnico y detección) - Realizar respaldos de expedientes (técnico y recuperación) - Realizar procedimientos de respuestas a incidentes (no técnico y recuperación)
Ejemplo de Controles
Compañíade ventaspor internet
Oficina Principal
Política de seguridad,plan de continuidaddel negocio,entrenamiento enseguridad para losempleados
Comité de seguridadde la información ycomité auditor
Equipo demantenimiento
Sala de servidores
Identificación yautenticación de usuario
Encripcióny firma digital
Guardia de seguridad Trituradora
Seguro para desastres naturales
Sala de oficinas
Sucursal
Red pública
Call back/ Contraseña de una vez
Línea arrendada Sistema bancario
Cliente
Compañía aseguradora
4.2.2 Aceptación del Riesgo
No es realista tratar de gestionar todos los riesgos existentes en una organización.
No se pueden construir sistemas de información 100% seguros. Los recursos para el tratamiento de riesgos son limitados. La organización debe de definir su propio nivel de aceptación del riesgo, y
si un riesgo es mas alto que dicho nivel, entonces se necesita implementar controles. Si un riesgo está debajo de ese nivel entonces la organización puede permitir la existencia del dicho riesgo.
La aceptación del nivel del riesgo necesita ser reconocido por la alta gerencia.
El riesgo residual debe ser registrado en el reporte de la evaluación de riesgos y además debe ser conocido por la alta gerencia.
Aceptación del riesgo: Decisión para aceptar un riesgo
Aceptación del nivel del riesgo: Punto de referencia para la reducción del riesgo
Riesgo residual: Es el riesgo que queda después de la aplicación de los controles
Nivel Aceptación de Riesgo
El nivel de riesgos aceptable en este ejemplo es 8.Si el punto de riesgo es 9 o más, entonces el riesgo es demasiado
alto. Analizar como el riesgo puede ser disminuido (reducir, evitar,
trasferir)Riesgo = Valoración del Impacto en términos de la perdida de (CID) x Amenaza (A) x Vulnerabilidad (V)
Nivel de Amenazas (A) Bajo (1) Medio (2) Alto (3)
Nivel de Vulnerabilidades (V)
Bajo (1)
Medio (2)
Alto (3)
Bajo (1)
Medio (2)
Alto (3)
Bajo (1)
Medio (2)
Alto (3)
Valoración del Impacto en
términos de la perdida de
(CID) en los Activos
Bajo (1) 1 2 3 2 4 6 3 6 9
Medio (2) 2 4 6 4 8 12 6 12 18
Alto (3) 3 6 9 6 12 18 9 18 27
Consideración de la Aceptación del Riesgo
Existen 2 consideraciones cuando se aceptan los riesgos.
1) Después de haber implementado los controles, el riesgo necesita ser reevaluado y confirmado que el riesgo satisface el nivel de riesgo aceptable.
2) Si el riesgo no puede ser disminuido a un nivel de riesgo aceptable debido a aspectos del negocio o restricciones presupuestarias,
La alta dirección decide aceptar el riesgo a pesar de que ha sido reconocido la existencia del riesgo alto.
Estos riesgos son también incluidos en los riesgos residuales.
Estos riesgos necesitan ser monitoreados continuamente.
Ejemplo del Reporte de Evaluación de Riesgos
Los resultados de la evaluación de riesgos, tratamientos de los riesgos y la aceptación de los riesgos necesita ser descrita en un reporte de evaluación de riesgos y ser conocido por la alta gerencia.
• Riesgo (actual y residual) = Valor del activo de la Información (CID) x Amenaza x Vulnerabilidad.• El nivel aceptable del riesgo es 8.
Nombre del Activo de la Información
CID Nivel de Amenaza
Nivel de Vulnerab.
Riesgo Actual
Método del Tratamiento del Riesgo
Controles a Implementar
Después de la Aplicación de los Controles
Evaluación
Comentario en el Riesgo ResidualNivel de
Amenaza
Nivel de Vulnerab.
Riesgo Residual
Lista de Clientes
C 3 2 3 18 Reducir • Hacer contraseñas difíciles de adivinar en los servidores
2 2 12 No Aceptable
Cambiar periódicamente las contraseñas a los servidores
I 2 2 2 8 Retener - - - - Aceptable No hay problema porque las acciones tomadas son adecuadas
D 2 3 2 12 Reducir •Mantenimiento periódico del hardware del servidor•Instalación de software de antivirus
3 1 6 Aceptable No hay problema porque las acciones tomadas son adecuadas
4.3 Documentos de Seg. De la Inform.
Estructura típica de documentos de la política de seguridad
Para implementar los controles,Haga los procedimientosy aplíquelos a la organización.
Especificaciones de cómo lapolítica y los estándares serán implementados en el ambiente actual.
Política de Seg. Inf.
Estándares (MAS)
Procedimientosy
Lineamientos Específicosde Seguridad de la Información
Declaración de la alta gerencia sobre las creencias, metasy objetivos de la organización.
Reglas o regulaciones mandatoriasque los usuarios deben seguir.
Estándares y Procedimientos (Caso 1)
Hay diferentes estilos para escribir estándares y procedimientos de seguridad.
Caso 1
EstándaresReglas y regulaciones generales.
ProcedimientosReglas y regulaciones acorde adepartamentos, y descripción deltrabajo (detalles específicos decada estándar son descritos en documentos diferentes).
Ejemplos
EstándaresLas contraseñas debende ser fáciles de recordar,pero no deben ser fáciles de adivinar por una tercera persona.
Procedimientos(Para usuarios)
Las contraseñasdeben ser comomínimo de 8caracteres delargo.
Procedimientos(Para admtres.)
Las contraseñasdeben ser comomínimo de 14caracteres delargo.
Estándares y Procedimientos (Caso 2)
Caso 2
EstándaresReglas y regulaciones comunespara todos los usuarios en laorganización.
ProcedimientosDetalles específicos de cada estándar(manuales como información de losprocedimientos de administración decontraseñas, configuración deFirewalls, etc.).
Ejemplos
EstándaresLas contraseñas debende ser fáciles de recordar… para usuarios en general las contraseñas deben ser como mínimo de 8 caracteres de largo, para administradores las contraseñas deben ser como mínimo de 14 caracteres de largo.
ProcedimientoDe acuerdo con el formulario del sistema XYZ enviado por el usuario, el administrador podrá crear una cuenta y le asigna una nueva contraseña. El administrador es responsable de …