Anlisis de Riesgos

EMPRESA - AMBIENTE UBICACIN GEOGRAFICA Factores que Influyen

POLITICA NACIONAL POLITICA INTERNACIONAL ECONOMIA COMERCIO EXTERIOR JUSTICIA CULTURA

LEGISLACION NACIONAL E INTERNACIONAL EDUCACION SALUD

MEDIO AMBIENTE

TECNOLOGIA

CLIMA

EMPRESA - CONTEXTO
CLIENTES

ENTES RECAUDADORES DE IMPUESTOS

COMERCIALIZACION PRODUCCION

Terceros que influyen

PROVEEDORES

CONTABILIDAD E IMPUESTOS
POSTULANTES

FINANZAS
ACCIONISTAS

ADMINISTRACION

PERSONAL
SINDICATOS OBRAS SOCIALES BANCOS

SISTEMAS SEGURIDAD
INVERSORES COMPETENCIA

EMPRESA - SUBSISTEMAS

Red de Comunicaciones
PRODUCCION

Qu se debe proteger?

COMERCIALIZACION

PERSONAL

FINANZAS

ADMINISTRACION

SISTEMAS

Integridad Disponibilidad Confidencialidad No Repudio

CONTABILIDAD / IMPUESTOS SEGURIDAD

Flujo de Informacin

Riesgo
Toda Actividad implica un Riesgo, tomndose como tal: cualquier Inconveniente, Desgracia, Contratiempo, Peligro, Accidente o Imprevisto posible. El Anlisis de Riesgos es una Estimacin de los riesgos mencionados implcitos antes de encarar una actividad, realizar una operacin o efectuar una toma de decisin de determinado tipo. El Anlisis de Riesgos consiste sobre todo en un Clculo de Probabilidades de ocurrencia de Sucesos de Valoracin diversa. La Toma de Decisiones al enfrentarnos con Estados Naturales o con Oponentes Racionales, implica cierto grado de Certeza, Riesgo o Incertidumbre. Considerando Riesgo cuando existen varios futuros posibles con probabilidades conocidas e incertidumbre cuando las mismas no se conocen. La Decisin Final depender siempre del Grado de Aversin al Riesgo del Tomador de Decisiones.

Anlisis de Riesgos

Amenaza
El potencial de que una fuente de peligro explote una vulnerabilidad especfica Naturales: Inundaciones, Terremotos, Tornados, Derrumbes, Avalanchas, Tormentas Elctricas, Volcanes, Maremotos. Humanas: actos no intencionales (Ingreso de datos errneos) o acciones deliberadas (Ataque a una Red, carga de Software malicioso, acceso no autorizado a informacin confidencial). Ambientales: Falla en el sistema elctrico, contaminacin ambiental, qumicos, derrame de lquidos.

Anlisis de Riesgos

Vulnerabilidad

Es una Falla o Debilidad en los Procedimientos, Diseo, Implementacin o Controles Internos de un Sistema de Seguridad que puede ser explotada (Accidental o Intencionalmente) y desembocar en una rotura o violacin de las Polticas de Seguridad.

Anlisis de Riesgos

Analizar el Sistema Identificar Vulnerabilidades Determinar Probabilidades Determinar Riesgos

Identificar Amenazas

Analizar Controles

Analizar Impacto

Recomendar Controles Anlisis de Riesgo

Informar Resultados

Metodologa

Analizar el Sistema Tomar Conocimiento

Hardware (Inventario de Equipamiento) Software (Software de Base, de Aplicacin, Utilitarios, Antivirus) Interfaces del Sistema (Conectividad Interna y Externa) Flujo de Datos e Informacin (Diseo Detallado) Usuarios del Sistema (Soporte Tcnico, Clientes Internos y Externos) Misin del Sistema Aspectos Crticos del Sistema y de Datos (Valor y grado de importancia en la Organizacin) Sensibilidad del Sistema y de Datos (Nivel de Proteccin requerido para mantener la Integridad, Confidencialidad y Disponibilidad de los Datos) Requerimientos Funcionales del Sistema IT Polticas de seguridad (Polticas de la Organizacin, Requerimientos Legales, Marco Normativo vigente, Leyes) Arquitectura del Sistema Primer Paso

Analizar el Sistema
Topologa de Red (Estrella, Anillo, Bus, etc.)

Tomar Conocimiento

Almacenamiento de Informacin protegida a efectos de resguardar la Disponibilidad, Integridad y Confidencialidad Administracin del Sistema IT (Normas de Comportamiento, Confidencialidad y Plan de Seguridad) Controles Operativos utilizados en el Sistema IT (Seguridad del Personal, Copias de Resguardo y Recuperacin de Datos e Informacin, Mantenimiento del Sistema, Almacenamiento en Sitio Alternativo, Procedimiento de Alta y Baja de Usuarios, Controles Internos, Privilegios de Acceso de Usuarios) Configuracin de la Seguridad Fsica del Sistema IT (Ambiente - Polticas Centro de Cmputos) Equipamiento implementado para dar Seguridad al Ambiente del Sistema IT (Control de Humedad, Agua, Energa, Contaminacin Ambiental, Variacin de Temperatura y Contaminantes Qumicos) Primer Paso

Analizar el Sistema Resultado del Anlisis

Lmites del Sistema Funciones del Sistema Sistema y Datos Crticos Sistema y Datos Sensibles

Primer Paso

Identificar Amenazas Recabar Informacin

Historial de Ataques al Sistema Datos o Informacin obtenida de Instituciones u Organizaciones afines (ArCERT - Productores de Sistemas Operativos, Programas de Aplicacin, Utilitarios, Antivirus)

Segundo Paso

Identificar Amenazas

Recabar Informacin

Hacking (Acceso no autorizado, Intrusin, Rotura o Interrupcin del Sistema) Ingeniera Social Delitos Informticos (Fraude, Estafa, Soborno, Cohecho) Spoofing, Tampering, Sniffing Terrorismo (Sabotaje al Sistema) Espionaje (Intercepcin de datos de carcter Internacional, Comercial, Industrial) Denegacin del Servicio (DoS) Cdigo malicioso (Virus, Troyanos, Gusanos) Venta de datos personales
Segundo Paso

Tipo de Amenazas

Identificar Amenazas Resultado

Situacin ante amenazas

Segundo Paso

Identificar Vulnerabilidades
Herramientas de deteccin automtica de vulnerabilidades Test y Evaluacin de la Seguridad Test de Penetracin

Determinar Posibles Fallas o Debilidades

Informes de la Evaluacin de Riesgos efectuada Comentarios de Auditora Requerimientos de Seguridad Resultados del test de Seguridad

Tercer Paso

Identificar Vulnerabilidades Areas

Asignar Responsabilidades
Administracin

Dividir en Areas

Continuidad de Soporte Capacidad de respuesta a incidentes Revisin peridica de controles de seguridad Personal Evaluacin de riesgos Entrenamiento tcnico para la Seguridad Separacin de funciones Autorizaciones para ingreso y uso del sistema Plan de Seguridad
Tercer Paso

Identificar Vulnerabilidades Areas

Operaciones

Dividir en Areas

Control de contaminantes de ambiente (Humo, polvo, qumicos) Controles para asegurar la calidad de provisin de energa Acceso a los medios de almacenamiento y disposicin final Etiquetado y distribucin externa de datos Proteccin de ambiente (Data Center, Oficinas) Control de temperatura Estaciones de trabajo, laptops, notebooks y computadoras personales
Tercer Paso

Identificar Vulnerabilidades Areas

Tcnica

Dividir en Areas

Comunicaciones (Discado, interconexiones del sistema, routers) Criptografa Control de acceso discreto Identificacin y autorizacin Deteccin de intrusiones Reutilizacin de objetos Auditora de sistema
Tercer Paso

Identificar Vulnerabilidades

Resultado

Listado de Vulnerabilidades potenciales

Tercer Paso

Analizar Controles

Establecer Adecuacin de Controles

Los controles tcnicos estn incorporados al hardware, software o firmware (Mecanismos de Control de accesos, Mecanismos de identificacin y autenticacin, mtodos de encriptacin, software para detectar intrusiones) Los dems controles administrativos y operativos son las polticas de seguridad, procedimientos operativos y proteccin fsica, del personal y del ambiente.
Controles preventivos: control de accesos, encriptacin y autenticacin Controles detectivos: trazas de auditora (Archivos LOG, mtodos de deteccin de intrusiones y sumas de chequeo

Cuarto Paso

Analizar Controles Resultado

Listado de Controles Actuales y Planeados

Cuarto Paso

Determinar Probabilidades Cuantificar

Naturaleza de la vulnerabilidad Motivacin de la fuente de amenaza Capacidad de la amenaza Controles actuales Evaluacin de Probabilidades

Quinto Paso

Determinar Probabilidades

Resultado

Nivel de Probabilidad Alta Media Baja

Quinto Paso

Analizar Impacto Qu pasa si ...

Anlisis del impacto en la Misin del Sistema Evaluacin de Activos crticos Datos Crticos Datos Sensibles Prdida de Integridad Disponibilidad Confidencialidad Estimacin de la frecuencia en que se ejercita la amenaza en un tiempo determinado Costo aproximado de cada ocurrencia Factor de peso de la incidencia basado en el anlisis subjetivo
Sexto Paso

Analizar Impacto Resultado de la Evaluacin

Magnitud del Impacto Alta Media Baja

Sexto Paso

Determinar Riesgos Qu pasa si ...

Probabilidad de Amenaza Magnitud del Impacto Adecuacin de controles planeados y actuales

Probabilidad de amenaza VALOR ALTA 1,0 MEDIA 0,5 BAJA 0,1 Escala de Riesgo ALTO MEDIO BAJO

Matrz de Nivel de Riesgo BAJA MEDIA ALTA 10 50 100 10,00 50,00 100,00 5,00 25,00 50,00 1,00 5,00 10,00 >50 y <=100 >10 y <=50 >=1 y <=10

Sptimo Paso

Determinar Riesgos Resultado

Niveles de Riesgo y Riesgo Asociado

Sptimo Paso

Recomendar Controles

Cmo respondo a los Factores de Riesgo?

Efectividad de las opciones recomendadas (Compatibilidad con el Sistema) Marco legal vigente y normas Polticas de la Organizacin Impacto Operativo Seguridad y Confiabilidad

Octavo Paso

Recomendar Controles Resultado

Controles Recomendados

Octavo Paso

Informar Resultados Elaborar Informe Final

Debe servir de ayuda a la funcin Administrativa, contemplar la Misin de la Organizacin, ayudar a la Toma de Decisiones Polticas, de Procedimientos, Presupuestos, Sistema Operacional y Cambios.

Noveno Paso

Informar Resultados Resultado

Informe de Anlisis de Riesgos

Noveno Paso

Medidas a tomar Investigacin y toma de Conocimiento Evitar los Riesgos Planificar los Riesgos Limitar los Riesgos Asumir el Riesgo Transferir o Compartir el Riesgo

Opciones para enfrentar Riesgos

Diseo del Sistema

S
Vulnerable? Explotable?

Existe Vulnerabilidad
Y adems

No
No hay Riesgo

No

Fuente de Amenaza
Y adems

S
Riesgo No Aceptado

S
Existe Riesgo

Prdida anticipada Costo del Atacante > lmite? < Ganancia?

No Cualidad del Riesgo

Riesgo Aceptado

No

Asignar Prioridad a las Acciones Evaluar Opciones de Controles Recomendados Realizar Anlisis Costo- Beneficio Seleccionar Controles Asignar Responsabilidades

Desarrollar el Plan de Seguridad Implementar Controles Seleccionados Reducir el Riesgo

Metodologa

Asignar Prioridad a las Acciones

Niveles de Riesgo obtenidos del Informe Ranking de Acciones de Mayor a Menor Grado de Importancia

Primer Paso

Evaluar Opciones de Controles Recomendados Informe de Evaluacin de Riesgos Factibilidad Efectividad

Listado de Controles Posibles

Segundo Paso

Realizar Anlisis Costo- Beneficio Impacto de la Implementacin Impacto por la No Implementacin Costos Asociados

Anlisis Costo - Beneficio

Tercer Paso

Seleccionar Controles Administrativos Tcnicos Operativos

Controles Seleccionados

Cuarto Paso

Asignar Responsabilidades

Asignacin de Responsabilidades

Listado de Personas Responsables

Quinto Paso

Desarrollar el Plan de Seguridad Niveles de Riesgo y Riesgo Asociado Prioridad de Acciones Controles Recomendados Controles Planeados Seleccionados Personas Responsables Fecha de Inicio Fecha de Finalizacin Requerimientos de Mantenimiento Plan de Seguridad

Sexto Paso

Implementar Controles Seleccionados

A pesar de todo siempre queda un Riesgo Residual que debe ser controlado

Riesgo Residual

Sptimo Paso

Riesgo Residual Reduccin de Fallas o Errores

Nuevos Controles

Reducir Magnitud del Impacto

Riesgo Residual

Controles Especficos Agregados

Soporte

Identificacin Manejo de Claves (Criptografa) Administracin de la Seguridad Proteccin del Sistema Controles Tcnicos

Seguridad

Prevencin Autenticacin Autorizacin Control de Accesos No Repudio Comunicaciones Protegidas Transacciones Seguras (Privacidad) Controles Tcnicos

Seguridad

Deteccin y Recuperacin

Auditora Deteccin y contencin de Intrusiones Prueba de Integridad Recuperacin del Sistema Asegurada Deteccin y eliminacin de Virus Controles Tcnicos

Seguridad

Risk Management Guide for Information Technology Systems - NIST - National Institute of Standards and Technology - SP 800-30

An Introduction to Computer Security: The NIST Handbook - NIST - National Institute of Standards and Technology - SP 800-12

Bibliografa