Fuente: Information Security Risk Analysis. Okinawa International Centre. Japan International...

Fuente: Information Security Risk Analysis. Okinawa International Centre. Japan International Cooperation Agency. MAGER. ISO/IEC 27005

Objetivos

Explicar el procedimiento de análisis de riesgos.

Valoración de los activos la información.

Evaluación de riesgos y selección de

salvaguardas/controles/medidas de seguridad.

Contenido

1. Procedimiento de análisis de riesgos.

2. Evaluación de los activos de la información.

3. Evaluación de amenazas y vulnerabilidades

alrededor de los activos de la información.

4. Identificación de Riesgos

1. Procedimiento de análisis de riesgos

1.1 ¿Qué es riesgo?

1.2 Procedimiento de análisis de riesgos

1.1 ¿Qué es riesgo?

Riesgo: es la posibilidad que una amenaza explote una vulnerabilidad en los activos causando daños o pérdidas.

Amenaza: algo que puede potencialmente causar daño a la red o a los sistemas computacionales. Ej: virus

Vulnerabilidad: son las debilidades de la organización, sistemas computacionales, o la red que pueden ser explotados por una amenaza. Ej: no tener software antivirus instalado.

Relaciones entre riesgos, amenazas y vulnerabilidades

*Controles: una práctica, procedimiento o mecanismo que reduce el riesgo

Riesgos

Vulnerabilidades

Amenaza

Activos de informació

n

Controles *

Protecciones

Requeridas

Valor del activo

explotar

exponer

tener

aumentar au

men

tar

indica

r aumentar

reducir

proteger contra

se cumple

Tres Factores de Seguridad de la Información

Seguridad de la Información: consiste en asegurar y mantener la confidencialidad, integridad y disponibilidad de la información.

Confidencialidad de la informaciónLa información de la organización nunca debería ser accesible a los usuarios sin la autorización correspondiente.

Integridad de las aplicaciones y de la informaciónConsiste en preservar la información completa y exacta.

Disponibilidad del sistemaLa información está disponible a los usuarios autorizados cuandoestos la requieran.

Normas para la Seguridad de la Información

Existen muchas normas disponibles…

ISO (Organización Internacional de Estandarización)

ISO/IEC 17799: Código de buenas prácticas para la gestión de seguridad de la información

Originalmente establecida como Estándar Británico (BS) 7799, 17799 que proporciona recomendaciones para desarrollar estándares de seguridad en las organizaciones y prácticas efectivas de gestión de la seguridad.

ISO/IEC 27005: Gestión de Riesgos de seguridad de la InformaciónOriginalmente establecida como ISO/IEC TR 13335-3 e ISO/IEC TR 13335-4, la

cual provee lineamientos para la gestión de riesgos de seguridad de la información en la organización.

ISO/IEC 15408: Criterios de evaluación de seguridad para IT (CC: Criterios Comunes)

Criterios usados como evaluación básica de seguridad como propietarios de productos y sistemas de IT.

1.2 Procedimiento de Análisis de Riesgos

Análisis de Riesgos: Evaluación de amenazas y vulnerabilidades de los activos de información.

Evaluación de Riesgos: Todo el proceso de análisis y evaluación de riesgos

Gestión de Riesgos: Proceso de identificación, control y reducción o eliminación de riesgos de seguridad que pueden afectar los sistemas de información.

Planear H-V-A

P HV A

Análisis de Riesgos

Evaluación de Riesgos

Gestión de RiesgosDeterminacióndel alcance de

Seguridadde la

información

Creación de lapolítica

Desarrollo delmétodo sis-

temático de laevaluación de

riesgos

Procedimientode evaluación

de riesgos

Valoración deactivos de la información

Lista deactivos

Evaluación deamenazas y

vulnerabilidades

Tabla deanálisis de

riesgos

Evaluación deriesgos

Tratamientode

riesgos

Aceptación deriesgos

Reporte deEvaluación de

riesgos

¿Por qué es necesario hacer un Análisis de Riesgos?

¿Qué podría pasar si Ud. Omite el análisis? No pudiera detectar vulnerabilidades Introducir contramedidas sin una razón específica Rehacer la totalidad de los sistemas Tomar un enorme costo y tiempo

El análisis nos puede llevar a… Identificar amenazas de sus sistemas Estimar daños y posibles ocurrencias Desarrollar contramedidas para disminuir las

amenazas

2. Valoración de Activos de Información

2.1 ¿Qué son los Activos de Información?

2.2 Identificación de Activos de Información.

2.3 Valoración de Activos de Información

Procedimiento de Valoración de Activos de información

Valoración de activos de información

•Confidencialidad•Integridad•Disponibilidad

Identificación de activos de información Listad

o de activos


Procedimiento de

evaluación de riesgos

Desarrollo sistemático del método de evaluación de riesgos


Un activo es algo que tiene valor para la organización y por lo tanto tiene que protegerse. Los activos incluyen toda la información y soporte que la organización requiera para conducir el negocio.

Ejemplos de activos de informaciónTIPO DE ACTIVO EJEMPLOS

Hardware Comprende todos los elementos físicos (equipos, accesorios, periféricos, etc.) que soportan el procesamiento de datos de la institución.

Documentos físicos (en papel), Servidores, Workstations, laptops, Tablet PC, asistente personal digital (PDA), Impresores, unidad de disco removibles, Disquetes, CD, DVD, cartucho de respaldo, discos duros removibles, memorias USB, cintas, documentación, fax, otros.

Software Comprende todos los programas de computadora (desarrollados internamente o adquiridos) que se utilizan para realizar las diferentes actividades informáticas dentro de la institución tanto para personal técnico como usuarios.

Sistemas Operativos. Software para tareas administrativas, de mantenimiento, monitoreo, de red, de seguridad, etc. Herramienta de diseño, desarrollo, mantenimiento y control de aplicaciones informáticas. Aplicaciones de negocio ya sean adquiridas o desarrolladas internamente (SITEP, SIDUNEA, SAFI, SIGADE, SIIT, SIIP, SIRH etc.). Servidor y cliente de Correo electrónico, Antivirus, Antispam, filtrado de contenido web, software de telefonía. Otros.

Redes Son todos los dispositivos físicos (y sus protocolos) de telecomunicaciones utilizados para interconectar varias computadoras remotas o elementos de un sistema de información.

Puentes (bridge), enrutadores (router), hubs, switches, firewall, IDS, IPS, balanceador de carga, aceleradores de contenido (servidor de caché), adaptadores de red (tarjeta de red).Medios o equipos de comunicaciones y telecomunicaciones de: redes telefónicas, Ethernet, GigabitEthernet, TenGigabitEthernet ADSL. Protocolos de redes inalámbricas (WiFi), bluetooth. Equipos GPRS (General Packet Radio Service). Hardware antispam. Otros.


TIPO DE ACTIVO EJEMPLOS

Personal Comprende a todos los grupos de personas involucradas en el uso, mantenimiento, administración y toma de decisiones en los sistemas de información.

Usuarios. Desarrolladores de aplicaciones del negocio. Administrador de bases de datos, Administrador de sistemas, administrador de datos o aplicaciones, personal de back-up y restauraciones, personal de Help Desk. Administradores de servidores de aplicaciones, portales, directorios de usuarios.Desplegadores de aplicaciones.Oficiales de seguridad. Gerente de alto nivel, líder de proyectos. Otros.

Localidad Comprende todos los lugares, servicios básicos y suministros para que las distintas instalaciones funcionen adecuadamente, con el objeto de que los sistemas de información operen en condiciones normales.

Edificios, instalaciones, parqueos, recintos, bodegas, oficinas, centros de procesamiento de datos, oficinas periféricas, establecimientos, locales, zonas de acceso reservado, zonas de seguridad. Suministro eléctrico,Líneas telefónicas, PBX, PABX, suministro de agua, servicios y medios (equipo, control) de enfriamiento y purificación del aire, tuberías de agua para enfriamiento, aires acondicionados. Otros.

Organización Comprende a todos los grupos de personas que realizan actividades de soporte para la organización así como también terceros que le prestan servicios ya sea en forma contractual o no.

Departamentos que prestan servicios de soporte en la organización: recursos humanos, compras, administración, seguridad a oficinas y edificios, servicio contra incendios, auditoria, Finanzas, Servicios generales y de mantenimiento. Proveedores de servicios y contratistas vinculados mediante contrato: consultorías, outsourcing, servicios informáticos, limpieza, vigilancia. Personal de servicio social.

2.2 Identificación de los Activos de Información

Identificación de los activos de información: identifica el contenido de los activos de información que incluya el alcance de la seguridad de la información, y crear una lista de activos.

El listado de activos de información deben incluir la siguiente información:

La identificación individual de los activos de información y el entendimiento de estas características son importantes para las dos tareas subsecuentes: valoración de activos de información y la identificación de las amenazas y las vulnerabilidades.

Listado de activos

•Servicio critico•Nombre del activo de información.•Tipo de activo•Intención del uso•Usuario y Administrador.•Medios de almacenamientos (ej. discos duros, documentos en papel).•Ubicación lógica y física (ej. Servidor ss3t-fsdinafi-01 en el salón de servidores).•Valoración del impacto en términos de la pérdida de confidencialidad, integridad y disponibilidad

2.3 Valoración de los Activos de Información

Valoración de los activos por análisis cualitativoLa valoración de los activos de la información en términos de impacto para el negocio en caso de la

pérdida de la confidencialidad, integridad y disponibilidad.

Valoración del Impacto en términos de la perdida de confidencialidad

Criterio

Alto (3) La divulgación no autorizada de la información tiene un efecto crítico para la organización. Ej.: divulgación de información Confidencial o sensible.

Medio (2) La divulgación no autorizada de la información tiene un efecto limitado para la organización. Ej.: divulgación de información de uso interno.

Bajo (1) La divulgación de la información no tiene ningún efecto para la organización. Ej.: divulgación de información pública.

Valoración del Impacto en términos de la perdida de integridad

Criterio

Alto (3) La destrucción o modificación no autorizada de la información tiene un efecto severo para la organización.

Medio (2) La destrucción o modificación no autorizada de la información tiene un efecto considerable para la organización.

Bajo (1) La destrucción o modificación de la información tiene efecto leve para la organización.

2.3 Valoración de los Activos de Información

Valoración del Impacto en términos de la perdida de disponibilidad

Criterio

Alto (3) La interrupción en el acceso a la información o los sistemas tiene un efecto severo para la organización.

Medio (2) La interrupción en el acceso a la información o los sistemas tiene un efecto considerable para la organización.

Bajo (1) La interrupción en el acceso a la información o los sistemas tiene un efecto mínimo para la organización.

Consideraciones de la identificación y valoración de los activos de información

Se debe de tomar en cuenta dos consideraciones cuando este implementando la identificación y valoración de los activos de información.

Agrupación de activos de informaciónClasificar los activos de información que tengan los mismos valores y atributos (tipo

de activo, intensión de uso, etc.) y métodos de control dentro de un mismo grupo. Es efectivo para reducir la cantidad de trabajo y mejorar la eficiencia del análisis de riesgos subsecuente. Ej: las PCs del depto. de desarrollo de la misma marca compradas en la misma fecha al mismo proveedor, con el mismo contrato de mantenimiento y destinadas al mismo uso se toman como un solo grupo: PCs de Desarrollo DGT.

Separación de activos de informaciónDiferenciar los mismos activos de información en términos de aplicaciones o

características. Posibilidad de implementar mas medidas efectivas, ej. servidores con el mismo desempeño instalado en diferentes lugares unos en el centro de computo de las 3 torres y otros en Aduanas; se toman como 2 grupos: Servidores xyz Aduanas, Servidores xyz CPD3T.

Ejemplos de Lista de Activos

Ejemplo de lista de activosNombre del activo de información

Intensión del uso

Usuario / Administrador

Medio de almacenamiento

Lugar Nivel de activos de informaciónC. ConfidencialidadI: integridadD: disponibilidad

Lista de clientes

Dirección de correos para avisos

Personal de ventas / Departamento de sistemas de información

Disco duro Servidor

Sala de servidores

C 3 Pérdida de clientes debido a la fuga de información

I 2 No puede ser enviado debido a la alteración o destrucción

D 2 Disminución en las ventas debido a la indisponibilidad del envío causado por la pérdida de la lista de clientes

Contrato de mantenimiento de servicios

Mostrar el contrato

Personal de ventas / Departamento de sistemas de información

Papel Gabinete

Oficina

C 3 Pérdida de clientes debido a la fuga de información

I 2 Pérdida de credibilidad debido a la alteración o destrucción

D 1 Generalmente no es utilizada

3. Estimación de Amenazas y Vulnerabilidades relacionadas a los Activos de Información

3.1 Amenazas y Vulnerabilidades.

3.2 Estimación de Amenazas.

3.3 Estimación de Vulnerabilidades

Procedimiento de Estimación de Amenazas y Vulnerabilidades

Estimación de amenazas

Estimación de vulnerabilidades

Identificación de amenazas

Identificación de vulnerabilidades Tabla

de análisis

de riesgos

Estimación de Amenazas y Vulnerabilidades

Lista de activos


3.1 Amenazas y Vulnerabilidades

Relación entre amenazas, vulnerabilidades y pérdida

(Amenaza) X (Vulnerabilidad) = (Pérdida)

Virus X no tener instalado = destrucción de datos

software antivirus

Amenaza VulnerabilidadPérdida






Clasificación de la Pérdida

Cuando la seguridad falla, se tiene:

Total de costos por pérdidas = pérdidas directas + pérdidas indirectas

Pérdida directa

Pérdida indirecta

Daño directo para los

activos (ej. pérdida de información

1) Pérdida de beneficio (desde la alteración del servicio y pérdida de credibilidad)

2) Incurrir en la responsabilidad (ej. Compensaciones por pérdidas)

3.1.1 Identificación de las Amenazas

Amenaza: Algo que puede potencialmente causar dañoa la red o a los sistemasComputacionales

Acceso no autorizado desde la internet

Fallo dehardware

Interrumpiro entrar

Acceso no autorizadopara la internet

Robo, alteración, o eliminararchivos confidenciales

Robo de dispositivos dehardware

Infección de virus

Errores de operación

Significado y Probabilidad de las Amenazas (Cuándo y Cómo)

Tipos de amenazas

Amenazas ambientalesTerremotos, inundación, huracanes, tormentas

Amenazas humanas•Intencionales / amenazas deliberadas

Alteración de datos o robo, destrucción de datos, robo de hardware, accesos no autorizados, intervenciones.

No intencionales / amenazas accidentales

Errores de operación, errores de diseño, errores de software o programación, errores de usuarios, tropezar con cables eléctricos, fallas de hardware

¿Cuándo ocurren las amenazas?• En autenticación• En transferencia de datos• En procesos de mantenimiento

¿Cuáles son las oportunidades paraque ocurran las amenazas?•Todos los días•Una vez a la semana•Una vez al mes•Una vez al año

La probabilidad depende de las característicasdel sistema

• ¿Cómo es valorado el ataque en el sistema?• ¿Tiene la red muchos puntos de entrada? (ej.: WAN, modem, internet)• Tipos de usuarios (ej.: con o sin limitantes)• Ubicación de los sistemas

Probables Fuentes de Amenazas (Quién)

¿Cuáles son las fuentes de amenaza para los sistemas de información?

Las principales amenazas para los activos de información pueden ser categorizadas de la siguiente manera:

Internos y no intencionalesTrabajadores desinformados: errores pueden ser hechos, la información puede ser destruida, datos confidenciales pueden ser expuestos.

Internos e intencionalesEmpleados descontentos: dejar errores en los sistemas a propósito.Trabajadores Contratados: que se quieran volver indispensable mediante la realización de su trabajo de modo tal que ningún otro lo pueda sustituir. Ej: desarrollador de software que no sigue ningún estándar de la organización.

Externos y no intencionalesDesastres naturales – causando interrupción en los servicios.Externos e intencionalesHackers – accesando a servidores y robando información personal.Crackers – destruyendo los sistemas.

Lugar de las Amenazas (Dónde)

¿Dónde ocurren las amenazas?¿De dónde vienen las amenazas?

Red Externa

Acceso no autorizado desde la internet

Fallo dehardware

Interrumpiro entrar

Acceso no autorizadopara la internet

Terminal / Servidor

Robo, alteración, o eliminararchivos confidenciales

Robo de dispositivos dehardware

Infección de virus

Errores de operación

Red Local

Entrada a los edificios

Dispositivos de red

Motivos de las Amenazas (Por qué)

¿Por qué ocurren las amenazas?

•Dinero, beneficio•Ventajas competitivas•Queja, venganza•Curiosidad•Travesura•Llamar la atención•Ignorancia

3.1.2 Identificación de Vulnerabilidades

Vulnerabilidad: una debilidad en la organización, sistemas de computación, o la red.

Ejemplos:Políticas de seguridad no están implementadasLos roles y responsabilidades no son precisas

OrganizaciónEl entrenamiento de seguridad a los empleados es inadecuadoLa entrada a los edificios no es revisada adecuadamente

No se tiene protección contra los virus de computadorasExisten fallas en el software de los servidores de SO

SistemasNo se han aplicado políticas de contraseñas.

Datos confidenciales sin protección son enviados por la red Red

Agujero de Seguridad

Agujero de seguridad: un problema de seguridad de los sistemas o un lugar en donde los problemas de seguridad pueden ocurrir.

Ejemplo:

Telecomunicaciones desde fuerasin control de administrador

Errores de configuraciónen los firewalls o routerSO o aplicaciones de bugs

Carencia de administración dedocumentos

Datos sin protección enla transmisión

3.1.3 ejemplos de Amenazas y Vulnerabilidades

Identifique las amenazas y vulnerabilidades que existen en su organización.

Ejemplos de amenazas y vulnerabilidades que podrían existir en las organizaciones.

Edificio

Dentro de la oficina

Sistema

Red

Amenazas y Vulnerabilidades Ambientales

Amenazas Vulnerabilidades

Desastres naturales(terremotos, inundaciones,tormentas)

•La organización está en un área susceptible a desastres naturales.•No se tiene un plan de continuidad del negocio o procedimientos que protejan la información y los activos de información.•Los respaldos de expedientes y sistemas no están disponibles.

•Carencia de dispositivos de detección de fuego•Carencia de sistema automático de supresión de fuego• Disponibilidad de materiales inflamables como papel o cajas•Los respaldos de expedientes y sistemas no están disponibles

Fuego en edificios

Falla del suministroeléctrico

•No se tiene UPS o planta eléctrica para cuando se interrumpe el suministro de energía eléctrica.•No se tiene un plan de continuidad del negocio o procedimientos que protejan la información y los activos de información•Los respaldos de expedientes y sistemas no están disponibles

Amenazas y Vulnerabilidades Intencionales/Deliberadas (1/4)


Código malicioso (virus, gusanos, caballos troyanos)

•No se tiene software anti-virus•El software anti-virus no se actualiza regularmente.•Falta de entrenamiento al personal de apoyo en virus de software•Descargas y usos de software de internet no controladas.•Carencia de políticas respecto a la apertura de correos con archivos adjuntados.•Carencia de políticas en el uso de disquete, cds, usb memory sin ser escaneadas con un software de antivirus previamente.

Ataque de denegación de servicio/ataque de distribución de denegación de servicio/ataque de tope de memoria

•Carencia de firewall•Carencia de un sistema de detección y prevención de intrusos•Los sistemas operativos no se actualizan regularmente con los parches de seguridad.



Escucha a escondidas/intervenir la red

•Comunicaciones sin encriptar•Carencia de seguridad física sobre la comunicación de la data.•Uso compartido de Ethernet: todo el tráfico es transmitido a cualquier máquina en un mismo segmento.

Acceso no autorizado a través de la red

•Carencia de logs de auditoria para detectar accesos no autorizados

•Carencia de autenticación de usuarios•Carencia de un sistema de detección y prevención de intrusos

•Carencia de firewalls•Políticas inadecuadas de firewalls•Los sistemas operativos no se actualizan regularmente con los parches de seguridad.



Accesos no autorizados (intrusión en los edificios)

•Carencia de seguridad física (sin vigilantes, sin llaves)•Carencia de accesos lógicos de seguridad (número de identificación, contraseñas)

Alteración/destrucción maliciosa por personal con acceso a información confidencial

•Carencia de seguridad física (sin vigilantes, sin llaves)•Carencia de accesos lógicos de seguridad (número de identificación, contraseñas)•Carencia de gestión del control de cambios.•Derechos de acceso incorrectos

Repudiación •Carencia de pruebas de envío o recibo de mensajes•Carencia de uso de firmas digitales

Envío fraudulento de correo, usando un nombre o una dirección falsa (spoofing)

•Carencia de mecanismos de identificación y autenticación•Tablas de contraseñas sin protección•Carencia de identificación del remitente y del destinatario



Robo •Carencia de seguridad física (sin vigilantes, sin llaves)•Carencia de accesos lógicos de seguridad (número de identificación, contraseñas)•Carencia de controles de administración de hardware y software•Copiado de datos y software no controlados•Carencia de rastros de auditorias

Ingeniería social •Carencia de políticas que regulen la entrega de información por teléfono.

•Carencia de políticas que requieran que toda petición de información pueda ser suspendida has taque la identidad del solicitante pueda ser verificada.

Ingeniería Social

Ingeniería social: formas de obtener información critica, no de forma magnética sino mediante acciones sociales con el propósito de utilizar los sistemas de información sin estar autorizados para ello.

Amenazas humanas1.Buscar en los desechos2.Personal que observa a espaldas del usuario3.Engaño

Vulnerabilidades1.Descuido en la disposición final de documentos.2.Insuficiente entrenamiento en seguridad3.Carencia de políticas restrictivas para proveer información por teléfono

Hola, soy el administradorde sistemas, y para brindarlemantenimiento a su software,necesito conocer su contraseña

Atacante Usuario

Amenazas y Vulnerabilidades No Intencionales o Accidentales (1/3)


Errores de usuario o del Personal de operaciones.

•Carencia de conciencia de los usuarios•Insuficiente entrenamiento de seguridad•Carencia de documentación (ej. guía de usuarios)•Interface de usuarios complicada•Carencia de control de cambios en las configuraciones.

Errores de programación de software

•Procedimientos inadecuados en el del ciclo de vida de desarrollo de sistemas.

•Especificaciones confusas o incompletas•Carencia de un control eficiente y efectivo de los cambios en las configuración.

•Personal no cualificado / no capacitado.

Amenazas y Vulnerabilidades No Intencionales o Accidentales(2/3)


Fallas de hardware

•Falta de entrenamiento a los usuarios.•Mantenimiento inapropiado del hardware.•Carencia de procedimiento o recursos para hacer respaldos.•No se tienen planes o procedimientos de continuidad del negocio

Fallas en los servicios de comunicación

•Carencia de redundancia y respaldos•Diseño y administración inadecuada de redes•Manejo inadecuado de incidentes

Amenazas y Vulnerabilidades No Intencionales o Accidentales (3/3)


Falla de operaciones ejecutadas mediante outsourcing

•Obligaciones no claras en los contratos de servicios en outsourcing.

•No se tiene procedimientos o plan de continuidad del negocio que cubran a la información y los activos de información

Pérdida o ausencia de personal clave

•No se tiene reemplazo del personal clave.•Procedimientos no documentados

3.2 Estimación de las Amenazas

Ejemplos de los criterios de las amenazas

Nivel de amenazas

Criterio por probabilidad

Criterio por

frecuencia

Criterio por

condición de

ocurrencia

Criterio por atractivo

Ejemplos

Alto (3) La ocurrencia es muy probable (probabilidad mayor del 50%)

Más de una vez al mes

Bajo circunstancias normales

El atacante se beneficia en gran medida por el ataque, tiene la capacidad técnica para ejecutarlo y la vulnerabilidad es fácilmente explotable.

Código malicioso

Medio (2) La ocurrencia es probable (probabilidad igual al 50%)

Alrededor de una vez cada tres meses

Por errores descuidados

El atacante se beneficia de alguna manera por el ataque, tiene la capacidad técnica para ejecutarlo y la vulnerabilidad es fácilmente explotable.

Fallas de hardware

Bajo (1) La ocurrencia es menos probable (probabilidad es mayor que cero y menor del 50%)

Alrededor de una vez al año

En rara ocasión

El atacante no se beneficia por el ataque

Desastres naturales

No Aplica (0)

Aspectos a considerar en la Estimación de las Amenazas

Cuando se estime la posibilidad de pérdida o daño por amenazas, se deben considerar los siguientes aspectos:

Ejemplos, experiencias Frecuencia Atractividad Motivación Capacidades Recursos

3.3 Estimación de las Vulnerabilidades

Ejemplos de criterios de vulnerabilidades

Nivel de vulnerabilidades Criterio Ejemplos

Alto (3) No existe ninguna medida de seguridad implementada para prevenir la ocurrencia de la amenaza.

No se utilizan contraseña para que los usuarios ingresen a los sistemas.

Medio (2) Existen medidas de seguridad implementadas que no reducen la probabilidad de ocurrencia de la amenaza a un nivel aceptable.

Existe norma para la utilización de contraseñas pero no se aplica.

Bajo (1) La medida de seguridad es adecuada

Existe norma para la utilización de contraseñas y es aplicada.

Ejemplo de Tabla de Análisis de Riesgos

Ejemplo de tabla de análisis de riesgosNombre del activo de información

CID Nivel de amenaza

Nivel de vulnerabilidad

Amenazas esperadas

Vulnerabilidades esperadas

Controles implementados actualmente

Lista de clientes existente

C 3 2 3 •Acceso no autorizado al servidor

•La contraseña del servidor no se cambia periódicamente

•Se utiliza autenticación de usuarios (usuario, contraseña)

I 2 2 3 •Alteración de datos en el servidor

•No se han restringido los derechos sobre los archivos

•Se registran en el log todos los accesos.

D 2 3 2 •Falla de hardware•Infección de virus

•El hardware del servidor no tiene mantenimiento•El software de anti-virus no esta instalado

•Los respaldos son creados una vez por semana

4. Identificación de Riesgos

4.1 Evaluación de Riesgos

4.2 Selección de controles

4.3 Procedimientos documentados

Procedimiento de Identificación de Riesgos

Identificación de Riesgos

Aceptación de Riesgos

Evaluación de Riesgos

Reporte de

evaluación de

riesgos

Tabla de análisis

de riesgos

Evaluación de amenazas y vulnerabilidades

Tratamiento de riesgos

4.1 Evaluación de Riesgos

Evaluación de riesgos: Proceso de comparación del riesgo estimado contra un criterio de riesgos calculado dado para determinar la importancia del riesgo.

El grado del riesgo es expresado numéricamente basado en las medidas del valor de los activos de información, el impacto de la amenaza y el alcance de la vulnerabilidad.

La formula para calcular el grado del riesgo

Ejemplo de matriz con valores predefinidos

Riesgo actual = Valor del activo de la información(CID) x Amenaza x Vulnerabilidad

Nivel de Amenazas

Bajo (1) Medio (2) Alto (3)

Nivel de Vulnerabilidade

s

Bajo(1)

Medio(2)

Alto(3)

Bajo(1)

Medio(2)

Alto(3)

Bajo(1)

Medio(2)

Alto(3)

Valoración del

Impacto en

términos de la

pérdida de (CID) en los activos

Bajo(1)

1 2 3 2 4 6 3 6 9

Medio (2)

2 4 6 4 8 12 6 12 18

Alto (3) 3 6 9 6 12 18 9 18 27

CID = Confidencialidad, Integridad y Disponibilidad

4.2 Selección de Controles

4.2.1 Tratamiento de los Riesgos

4.2.2 Aceptación de los Riesgos

4.2.1 Tratamiento de los Riesgos

Tratamiento de los riesgos: proceso de selección e implementación de medidas para modificar el riesgo.

Método de control de riesgosReducir: Selección de una o varias salvaguardas o controles para

reducir el riesgo a un nivel aceptable para la organización. Ej: implementar políticas de control de acceso.

Evitar: Eliminar la actividad de alto riesgo o cambiar las condiciones bajo las cuales la actividad es operada (remover el riego).

Método de financiamiento de riesgosTransferir (desviar): trasferir el riesgo a otra entidad interna o

externa mediante :el traspaso de la gestión del activo y/o del riesgo, seguros, etc. para cambiar o compartir la responsabilidad de la pérdida.

Aceptar: Tomar la decisión de aceptar las consecuencias de un riesgo en particular, es decir, no se realiza ninguna acción respecto al riesgo.

Ejemplo de cómo Responder al Riesgo.

Considere la posibilidad de afrontar el riesgo y los costos de las perdidas, para decidir como responder al riesgo.

Reducir el riesgo Evitar el riesgo

Transferir el riesgoRetener el riesgo

(Nivel aceptable)

Alto

Bajo

Posibilidad de enfrentarel riesgo

Costo de la pérdida Alto

Clasificación de Controles de Seguridad

Para reducir los riesgos, existen 2 tipos de controles de seguridad:

1) Controles técnicos de seguridad: Redes, hardware y software relacionado con las medidas de seguridad como firewalls, IDS, IPS, Antivirus, encriptación, etc.

2) Controles operacionales de seguridad: Medidas de seguridad no técnicas las cuales pueden ser como el entrenamiento en seguridad y las respuesta a los incidentes.

Tipos de Controles de Seguridad Técnicos

Los controles de seguridad técnicos son clasificados en 3 tipos: Técnicas de prevención: Técnicas para prevenir la ocurrencia de las amenazas o

daños (ej. autenticación por contraseñas)

Técnicas de detección: Técnicas para descubrir acciones ilegales o intentos

ilegales de acceso (ej. Análisis de logs de accesos, uso de

herramientas de monitoreo)

Técnicas de recuperación: Técnicas para minimizar los daños y restaurar la

Confidencialidad, Integridad y Disponibilidad de los activos (ej. respaldos de los sistemas y las bases de datos) .

Tipos de Controles de Seguridad Operacionales

Los controles de seguridad operacionales se clasifican en 3 tipos:

Prevención: Introducir y mantener políticas de seguridad Entrenamiento periódico en seguridad (Ej: 1 vez al año) Realizar auditorias de seguridad periódicamente. Recopilar información de vulnerabilidades nuevas y aplicar los

parches cuando sea necesario

Detección: Monitorear la red y las transacciones de los sistemas para detectar

cualquier incidente de seguridad Analizar los logs.

Recuperación (respuesta a incidentes): Personas quienes violan las políticas de seguridad son penalizadas Restaurar datos/sistemas destruidos, basado en un plan de

continuidad del negocio pre determinado.

Controles Basados en las Mejores Prácticas

La ISO/IEC 17799 describe 11 aéreas de controles que pueden considerarse como una guía de buena principios para implementar seguridad de la información y reducir el riesgo.

Política de seguridad Organización de la Seguridad de la Información Gestión de activos Seguridad de Recursos Humanos Seguridad física y ambiental Gestión de las comunicaciones y operaciones Control de acceso Adquisición, desarrollo y mantenimiento de sistemas de información. Gestión de incidentes de seguridad de la información. Gestión de la continuidad del negocio. CumplimientoOtras medidas que no estén incluidas en los controles de la ISO/IEC

17799 pueden también ser adoptados.

Factores que Influyen en la Selección de los Controles

Los factores a considerar cuando se seleccionan los controles a implementación son:

Facilidad de uso de los controles Transparencia para el usuario Costos del control Compatibilidad con los controles existentes La fortaleza relativa de los controles Balance técnico y no técnico de los controles Balance de prevención, detección y recuperación

Ejemplo Posibles controlesSi se identifica un punto de alto - Instalar un firewall (técnico y prevención)Riesgo como acceso no autorizado - Instalar un IDS (técnico y detección)a cierto sistemas a través de la red - Registros de logs y monitoreo regular de logs (técnico y detección) - Realizar respaldos de expedientes (técnico y recuperación) - Realizar procedimientos de respuestas a incidentes (no técnico y recuperación)

Ejemplo de Controles

Compañíade ventaspor internet

Oficina Principal

Política de seguridad,plan de continuidaddel negocio,entrenamiento enseguridad para losempleados

Comité de seguridadde la información ycomité auditor

Equipo demantenimiento

Sala de servidores

Identificación yautenticación de usuario

Encripcióny firma digital

Guardia de seguridad Trituradora

Seguro para desastres naturales

Sala de oficinas

Sucursal

Red pública

Call back/ Contraseña de una vez

Línea arrendada Sistema bancario

Cliente

Compañía aseguradora

4.2.2 Aceptación del Riesgo

No es realista tratar de gestionar todos los riesgos existentes en una organización.

No se pueden construir sistemas de información 100% seguros. Los recursos para el tratamiento de riesgos son limitados. La organización debe de definir su propio nivel de aceptación del riesgo, y

si un riesgo es mas alto que dicho nivel, entonces se necesita implementar controles. Si un riesgo está debajo de ese nivel entonces la organización puede permitir la existencia del dicho riesgo.

La aceptación del nivel del riesgo necesita ser reconocido por la alta gerencia.

El riesgo residual debe ser registrado en el reporte de la evaluación de riesgos y además debe ser conocido por la alta gerencia.

Aceptación del riesgo: Decisión para aceptar un riesgo

Aceptación del nivel del riesgo: Punto de referencia para la reducción del riesgo

Riesgo residual: Es el riesgo que queda después de la aplicación de los controles

Nivel Aceptación de Riesgo

El nivel de riesgos aceptable en este ejemplo es 8.Si el punto de riesgo es 9 o más, entonces el riesgo es demasiado

alto. Analizar como el riesgo puede ser disminuido (reducir, evitar,

trasferir)Riesgo = Valoración del Impacto en términos de la perdida de (CID) x Amenaza (A) x Vulnerabilidad (V)

Nivel de Amenazas (A) Bajo (1) Medio (2) Alto (3)

Nivel de Vulnerabilidades (V)

Bajo (1)

Medio (2)

Alto (3)

Bajo (1)

Medio (2)

Alto (3)

Bajo (1)

Medio (2)

Alto (3)

Valoración del Impacto en

términos de la perdida de

(CID) en los Activos

Bajo (1) 1 2 3 2 4 6 3 6 9

Medio (2) 2 4 6 4 8 12 6 12 18

Alto (3) 3 6 9 6 12 18 9 18 27

Consideración de la Aceptación del Riesgo

Existen 2 consideraciones cuando se aceptan los riesgos.

1) Después de haber implementado los controles, el riesgo necesita ser reevaluado y confirmado que el riesgo satisface el nivel de riesgo aceptable.

2) Si el riesgo no puede ser disminuido a un nivel de riesgo aceptable debido a aspectos del negocio o restricciones presupuestarias,

La alta dirección decide aceptar el riesgo a pesar de que ha sido reconocido la existencia del riesgo alto.

Estos riesgos son también incluidos en los riesgos residuales.

Estos riesgos necesitan ser monitoreados continuamente.

Ejemplo del Reporte de Evaluación de Riesgos

Los resultados de la evaluación de riesgos, tratamientos de los riesgos y la aceptación de los riesgos necesita ser descrita en un reporte de evaluación de riesgos y ser conocido por la alta gerencia.

• Riesgo (actual y residual) = Valor del activo de la Información (CID) x Amenaza x Vulnerabilidad.• El nivel aceptable del riesgo es 8.

Nombre del Activo de la Información

CID Nivel de Amenaza

Nivel de Vulnerab.

Riesgo Actual

Método del Tratamiento del Riesgo

Controles a Implementar

Después de la Aplicación de los Controles

Evaluación

Comentario en el Riesgo ResidualNivel de

Amenaza

Nivel de Vulnerab.

Riesgo Residual

Lista de Clientes

C 3 2 3 18 Reducir • Hacer contraseñas difíciles de adivinar en los servidores

2 2 12 No Aceptable

Cambiar periódicamente las contraseñas a los servidores

I 2 2 2 8 Retener - - - - Aceptable No hay problema porque las acciones tomadas son adecuadas

D 2 3 2 12 Reducir •Mantenimiento periódico del hardware del servidor•Instalación de software de antivirus

3 1 6 Aceptable No hay problema porque las acciones tomadas son adecuadas

4.3 Documentos de Seg. De la Inform.

Estructura típica de documentos de la política de seguridad

Para implementar los controles,Haga los procedimientosy aplíquelos a la organización.

Especificaciones de cómo lapolítica y los estándares serán implementados en el ambiente actual.

Política de Seg. Inf.

Estándares (MAS)

Procedimientosy

Lineamientos Específicosde Seguridad de la Información

Declaración de la alta gerencia sobre las creencias, metasy objetivos de la organización.

Reglas o regulaciones mandatoriasque los usuarios deben seguir.

Estándares y Procedimientos (Caso 1)

Hay diferentes estilos para escribir estándares y procedimientos de seguridad.

Caso 1

EstándaresReglas y regulaciones generales.

ProcedimientosReglas y regulaciones acorde adepartamentos, y descripción deltrabajo (detalles específicos decada estándar son descritos en documentos diferentes).

Ejemplos

EstándaresLas contraseñas debende ser fáciles de recordar,pero no deben ser fáciles de adivinar por una tercera persona.

Procedimientos(Para usuarios)

Las contraseñasdeben ser comomínimo de 8caracteres delargo.

Procedimientos(Para admtres.)

Las contraseñasdeben ser comomínimo de 14caracteres delargo.

Estándares y Procedimientos (Caso 2)

Caso 2

EstándaresReglas y regulaciones comunespara todos los usuarios en laorganización.

ProcedimientosDetalles específicos de cada estándar(manuales como información de losprocedimientos de administración decontraseñas, configuración deFirewalls, etc.).

Ejemplos

EstándaresLas contraseñas debende ser fáciles de recordar… para usuarios en general las contraseñas deben ser como mínimo de 8 caracteres de largo, para administradores las contraseñas deben ser como mínimo de 14 caracteres de largo.

ProcedimientoDe acuerdo con el formulario del sistema XYZ enviado por el usuario, el administrador podrá crear una cuenta y le asigna una nueva contraseña. El administrador es responsable de …

Date post:	28-Jan-2016
Category:	Documents
Upload:	lope-romero
View:	229 times
Download:	1 times

Fuente: Information Security Risk Analysis. Okinawa International Centre. Japan International...

Documents