Taller de Gestin de Riesgos de Seguridad de la Informacin

Ing. Lorena B. Ferreyro

Octubre de 2010

Temario
Objetivos del taller - Por qu se crea el taller? - Qu se espera de los asistentes? Repaso de conceptos clave - Activo de informacin - Amenaza - Vulnerabilidad - Exposicin - Probabilidad de ocurrencia - Impacto - Riesgo - Incidente de seguridad - Control - Relacin entre los conceptos

Temario
Proceso de gestin de riesgos Caso de estudio -Identificacin de activos -Dependencia entre activos -Valoracin de activos -Identificacin de amenazas -Caracterizacin de amenazas -Identificacin de controles -Determinacin del impacto -Clculo de riesgos -Tratamiento de riesgos

Objetivos del taller Por qu se crea el taller?

Demostrar mediante casos de estudio la aplicacin de la metodologa de gestin de riesgos presentada en el curso de Gestin de Riesgos de Seguridad de la informacin.

Objetivos del taller Qu se espera de los asistentes?

Que comprendan un caso real de anlisis de riesgos de seguridad de la informacin. Que pongan en prctica la metodologa de anlisis de riesgos presentada en el curso de Gestin de Riesgos. Que transmitan lo aprendido en el curso a sus colegas. Que creen conciencia en sus organismos sobre la importancia de gestionar los riesgos de seguridad de la informacin.

Repaso de conceptos clave Activo de informacin

ACTIVO ACTIVO DE INFORMACION
Todo bien tangible o intangible que la organizacin posee que puede producir un beneficio. Aquellos activos de una organizacin que procesan, contienen, almacenan o transmiten informacin. Funciones de la organizacin Informacin Sistemas Equipamiento Instalaciones RRHH

Relacionados

Repaso de conceptos clave Amenaza

AMENAZA
Evento cuya ocurrencia podra impactar en forma negativa en la organizacin. Las amenazas se aprovechan de (toman ventaja de) las vulnerabilidades. Entidad que toma ventaja de una vulnerabilidad

Agente o Fuente de Amenaza

Eventos naturales: huracanes, terremotos, tormentas de nieve, erupciones volcnicas, inundaciones, etc. Eventos terroristas, sabotajes o actos de guerra: bombas, secuestros, ataques qumicos, etc. Accidentes: explosiones, incendios, cortes de energa u otros suministros, rotura de tuberas, desastres nucleares, choques de vehculos, etc. Otros eventos: errores en dispositivos, prdida de comunicacin, errores en los sistemas, errores humanos, vandalismo, etc.

Repaso de conceptos clave Vulnerabilidad Exposicin

Ausencia o debilidad de un control. Condicin que podra permitir que una amenaza se materialice con mayor frecuencia, mayor impacto o ambas. Instancia en la cual la informacin o un activo de informacin es susceptible a daarse o perderse por el accionar de un agente de amenaza.

VULNERABILIDAD

EXPOSICIN

Repaso de conceptos clave Probabilidad de ocurrencia - Impacto

PROBABILIDAD DE OCURRENCIA

Frecuencia con la cual una amenaza puede ocurrir.

IMPACTO

Consecuencias que produce un incidente de seguridad sobre la organizacin.

Repaso de conceptos clave Riesgo

Probabilidad de que un agente de amenaza explote una vulnerabilidad, en combinacin con el impacto que esto ocasiona.

RIESGO

Se conoce por riesgo como la funcin que combina la probabilidad de ocurrencia y el impacto de un incidente de seguridad.
PROBABILIDAD DE OCURENCIA

IMPACTO

Repaso de conceptos clave Incidente de seguridad

Evento adverso (evento con consecuencias negativas), que puede comprometer o compromete la confidencialidad, integridad o disponibilidad de la informacin. Un incidente de seguridad se produce cuento una amenaza explota una vulnerabilidad.

INCIDENTE DE SEGURIDAD

Repaso de conceptos clave Control / Contramedida / Salvaguarda

CONTROL CONTRAMEDIDA SALVAGUARDA
Cualquier tipo de medida, que permita detectar, prevenir o minimizar el riesgo asociado con la ocurrencia de una amenaza especfica.

Probabilidad de ocurrencia

y/o

Impacto

Repaso de conceptos clave Relacin entre los conceptos

ACTIVO DE INFORMACIN AMENAZA EXPOSICION VULNERABILIDAD

RIESGO

PROBABILIDAD DE OCURRENCIA IMPACTO

INCIDENTE DE SEGURIDAD

CONTROLES

Proceso de Gestin de Riesgos

1. EVALUACIN DE RIESGOS

1.1. IDENTIFICACIN DE RIESGOS 1.2. ANLISIS DE RIESGOS

2. TRATAMIENTO DE RIESGOS

2.1. SELECCIN E IMPLANTACIN 2.2. SEGUIMIENTO Y MEDICIN

Caso de estudio
Identificacin de activos
FUNCIONES DE LA ORGANIZACION Administracin de RRHH Administracin contable ENTORNO Centro de cmputos Oficina de RRHH Oficina de contadura Edificio BASES DE DATOS Base de datos de RRHH Base de datos contable INFORMACIN Datos de RRHH Datos contables Datos impositivos EQUIPAMIENTO Srv1-Aplic Srv2-BD Srv3-Aplic 4 PCs de RRHH 10 PCs de contadura Red LAN Enlace de Internet RRHH Usuarios finales de RRHH Usuarios finales de contadura Administradores de red Administradores de servidores Administrador de sistema DBA SISTEMAS Sistema RRHH Sistema contable

Caso de estudio
Dependencia entre activos
Administracin de RRHH Datos de RRHH BD de RRHH Sistema de RRHH 4 PCs de RRHH Srv2-BD Administracin contable Datos contables BD contable Datos impositivos Sistema contable 10 PCs de contadura

Funcin Informacin Sistemas BD Equipamiento

Srv1-Aplic

Srv3-Aplic

Red LAN Usuarios finales de RRHH Administradores de red Centro de cmputos Administradores de servidores Oficina de RRHH

Enlace de Internet Usuarios finales de contadura Oficina de Contadura DBA Administradores de sistema

RRHH

Edificio

Entorno

Caso de estudio
Valoracin de activos Criterio para datos
INFORMACION CONFIDENCIALIDAD 1 2 3 4 Puede ser conocida y utilizada sin autorizacin por cualquier persona. Puede ser conocida y utilizada por todos los empleados y algunas entidades externas autorizadas, y cuya divulgacin o uso no autorizados podra ocasionar riesgos o prdidas leves para el Organismo, el Sector Pblico Nacional o terceros. Puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgacin o uso no autorizados podra ocasionar prdidas significativas al Organismo, al Sector Pblico Nacional o a terceros. Puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente de la alta direccin del Organismo, y cuya divulgacin o uso no autorizados podra ocasionar prdidas graves al mismo, al Sector Pblico Nacional o a terceros.

Caso de estudio
Valoracin de activos Criterio para datos
INFORMACION INTEGRIDAD 1 2 3 4 Su modificacin no autorizada puede repararse fcilmente, o no afecta la operatoria. Su modificacin no autorizada puede repararse aunque podra ocasionar prdidas leves para el Organismo, el Sector Pblico Nacional o terceros. Su modificacin no autorizada es de difcil reparacin y podra ocasionar prdidas significativas para el Organismo, el Sector Pblico Nacional o terceros. Su modificacin no autorizada no podra repararse, ocasionando prdidas graves al Organismo, al Sector Pblico Nacional o a terceros. Su inaccesibilidad no afecta la operatoria del Organismo. Su inaccesibilidad permanente durante 5 das podra ocasionar prdidas significativas para el Organismo, el Sector Pblico Nacional o terceros. Su inaccesibilidad permanente durante 2 das podra ocasionar prdidas significativas al Organismo, al Sector Pblico Nacional o a terceros. Su inaccesibilidad permanente durante 8 hs. podra ocasionar prdidas significativas al Organismo, al Sector Pblico Nacional o a terceros.

DISPONIBILIDAD 1 2 3 4

Caso de estudio
Valoracin de activos - Datos
Informacin Datos de RRHH Datos contables Datos impositivos
CONFIDENCIALI DAD INTEGRIDAD DISPONIBILIDAD CRITICIDAD

4 2 2

3 4 4

3 3 2

4 3 3

Caso de estudio
Valoracin de activos Herencia de valoracin
Activos Sistema RH Sistema contable BD de RRHH BD contable Srv1-Aplic Srv2-BD DBA Centro Cmputos
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CRITICIDAD

4 2 4 2 4 4 4 4

3 4 3 4 3 3 3 3

3 3 3 3 3 3 3 3

4 3 4 3 4 4 4 4

Caso de estudio
Identificacin de amenazas
Activo Entorno Amenaza Desastres naturales Incendio Activo Informacin Amenaza Robo Alteracin Divulgacin Destruccin Funciones de la Interrupcin organizacin RRHH Desastres naturales Incendio Enfermedades Huelgas Ingeniera social

Equipamiento Desastres naturales Incendio Fallas de hardware Fallas de administracin Robo Sistemas Cdigo malicioso Fallas de administracin Intrusin

Caso de estudio
Caracterizacin de amenazas
FRECUENCIA Cantidad de veces que se estima puede ocurrir la amenaza en un ao. Ej.: 5 5 veces en un ao 0,1 1 vez en 2 aos DEGRADACION Porcentaje de afectacin de la amenaza sobre la Confidencialidad, Integridad y Disponibilidad respectivamente.

Caso de estudio
Caracterizacin de amenazas
Activo Amenaza F 0,25 1 0,25 1 2 4 1 10 4 2 D(C) 100% 100% 75% 100% 100% D(I) 25% 100% 75% 100% 75% D(D) 100% 75% 100% 75% 100% 25% 100% 75% 25% 50%

Centro de Desastres naturales Cmputos Incendio Srv1-Aplic Desastres naturales Incendio Fallas de hardware Fallas de administracin Robo Cdigo malicioso Fallas de administracin Intrusin

Sistema RH

Caso de estudio
Identificacin de controles
IMPACTO CONTROL
Influye en

PROBABILIDAD DE OCURRENCIA
Debe presentar

VIGENCIA EFECTIVIDAD

Caso de estudio
Identificacin de controles
Controles Construccin antissmica Sistemas de deteccin y extincin de incendios Equipamiento Mantenimiento preventivo Capacitacin de los administradores Monitoreo de funcionamiento Control de acceso fsico Sistemas Antivirus Sistemas de deteccin/prevencin de intrusiones Control de acceso lgico Informacin Cifrado Copias de respaldo Funciones de la Procedimientos alternativos organizacin RRHH Concientizacin Segregacin de funciones Activo Entorno

Caso de estudio
Determinacin del impacto
Activo Amenaza I(C) 4 4 3 4 4 I(I) 1 3 2 3 2 I(D) 3 2 3 2 3 1 3 2 1 2

V(D) * D(D)
I(total) 3 2 3 2 4 8 7 7 8 8

Centro de Desastres naturales Cmputos Incendio Srv1-Aplic Desastres naturales Incendio Fallas de hardware Fallas de administracin Robo Cdigo malicioso Fallas de administracin Intrusin

Sistema RH

I(C) + I(I) + I(D)

Caso de estudio
Clculo del riesgo
Activo Amenaza Riesgo (amenaza) 1 2 1 2 8 32 7 70 32 16

I(total) * F
Riesgo 2 10 Nivel de riesgo MUY BAJO BAJO

Centro de Desastres naturales Cmputos Incendio Srv1-Aplic Desastres naturales Incendio Fallas de hardware Fallas de administracin Robo Sistema RH Cdigo malicioso Fallas de administracin Intrusin

39

MUY ALTO

PROM(Riesgo(amenaza))

Escala 1:5 6 : 10 11: 14 15: 20 > 20

MUY BAJO BAJO MEDIO ALTO MUY ALTO

Caso de estudio
Tcnicas de tratamiento de riesgos
MITIGAR ACEPTAR TRANSFERIR EVITAR

20 15 10 5
NIVEL DE RIESGO ACEPTABLE

Caso de estudio
Tcnicas de tratamiento de riesgos

ACEPTAR
MUY BAJO Centro de Cmputos BAJO
Srv1-Aplic

MITIGAR
MUY ALTO
Sistema de RH

Cdigo malicioso Fallas de administracin Intrusin

Caso de estudio
Mitigacin de riesgos
MUY ALTO
Sistema de RH

AMENAZA Cdigo malicioso

RIESGO MUY ALTO

CONTROL Gestin de parches de seguridad Gestin de antivirus Control de malware Capacitacin de administradores Registro de actividades Alarmas Control de actividades IPS / IDS Monitoreo Tests de penetracin

Fallas de administracin

MUY ALTO

Intrusin

ALTO

Caso de estudio
Evaluacin de las medidas de tratamiento:
Establecimiento de puntos de control y mtricas Registro de mediciones Evaluacin de cumplimiento con los objetivos previstos Identificacin de desvos: incumplimiento de objetivos, falta de reduccin de riesgos, generacin de costos no previstos, etc. Correcciones

Bibliografa

NORMA ISO/IEC 27005 - Tecnologa de la informacin - Tcnicas de seguridad - Gestin del riesgo de seguridad de la informacin NORMA IRAM - ISO/IEC 27001 - Tecnologa de la informacin Sistemas de gestin de seguridad de la informacin (SGSI) - Requisitos NORMA IRAM - ISO/IEC 27002 - Tecnologa de la informacin Tcnicas de Seguridad - Cdigo de prctica para la gestin de la seguridad de la informacin MAGERIT versin 2 Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin Metodologa de Anlisis de Riesgos de ArCERT NIST SP 800-30 - Risk Management Guide for Information Technology Systems