Академический Документы
Профессиональный Документы
Культура Документы
MEDIO AMBIENTE
TECNOLOGIA
CLIMA
EMPRESA - CONTEXTO
CLIENTES
COMERCIALIZACION PRODUCCION
CONTABILIDAD E IMPUESTOS
POSTULANTES
FINANZAS
ACCIONISTAS
ADMINISTRACION
PERSONAL
SINDICATOS OBRAS SOCIALES BANCOS
SISTEMAS SEGURIDAD
INVERSORES COMPETENCIA
EMPRESA - SUBSISTEMAS
Red de Comunicaciones
PRODUCCION
Qu se debe proteger?
COMERCIALIZACION
PERSONAL
FINANZAS
ADMINISTRACION
SISTEMAS
Flujo de Informacin
Riesgo
Toda Actividad implica un Riesgo, tomndose como tal: cualquier Inconveniente, Desgracia, Contratiempo, Peligro, Accidente o Imprevisto posible. El Anlisis de Riesgos es una Estimacin de los riesgos mencionados implcitos antes de encarar una actividad, realizar una operacin o efectuar una toma de decisin de determinado tipo. El Anlisis de Riesgos consiste sobre todo en un Clculo de Probabilidades de ocurrencia de Sucesos de Valoracin diversa. La Toma de Decisiones al enfrentarnos con Estados Naturales o con Oponentes Racionales, implica cierto grado de Certeza, Riesgo o Incertidumbre. Considerando Riesgo cuando existen varios futuros posibles con probabilidades conocidas e incertidumbre cuando las mismas no se conocen. La Decisin Final depender siempre del Grado de Aversin al Riesgo del Tomador de Decisiones.
Anlisis de Riesgos
Amenaza
El potencial de que una fuente de peligro explote una vulnerabilidad especfica Naturales: Inundaciones, Terremotos, Tornados, Derrumbes, Avalanchas, Tormentas Elctricas, Volcanes, Maremotos. Humanas: actos no intencionales (Ingreso de datos errneos) o acciones deliberadas (Ataque a una Red, carga de Software malicioso, acceso no autorizado a informacin confidencial). Ambientales: Falla en el sistema elctrico, contaminacin ambiental, qumicos, derrame de lquidos.
Anlisis de Riesgos
Vulnerabilidad
Es una Falla o Debilidad en los Procedimientos, Diseo, Implementacin o Controles Internos de un Sistema de Seguridad que puede ser explotada (Accidental o Intencionalmente) y desembocar en una rotura o violacin de las Polticas de Seguridad.
Anlisis de Riesgos
Identificar Amenazas
Analizar Controles
Analizar Impacto
Informar Resultados
Metodologa
Analizar el Sistema
Topologa de Red (Estrella, Anillo, Bus, etc.)
Tomar Conocimiento
Almacenamiento de Informacin protegida a efectos de resguardar la Disponibilidad, Integridad y Confidencialidad Administracin del Sistema IT (Normas de Comportamiento, Confidencialidad y Plan de Seguridad) Controles Operativos utilizados en el Sistema IT (Seguridad del Personal, Copias de Resguardo y Recuperacin de Datos e Informacin, Mantenimiento del Sistema, Almacenamiento en Sitio Alternativo, Procedimiento de Alta y Baja de Usuarios, Controles Internos, Privilegios de Acceso de Usuarios) Configuracin de la Seguridad Fsica del Sistema IT (Ambiente - Polticas Centro de Cmputos) Equipamiento implementado para dar Seguridad al Ambiente del Sistema IT (Control de Humedad, Agua, Energa, Contaminacin Ambiental, Variacin de Temperatura y Contaminantes Qumicos) Primer Paso
Lmites del Sistema Funciones del Sistema Sistema y Datos Crticos Sistema y Datos Sensibles
Primer Paso
Historial de Ataques al Sistema Datos o Informacin obtenida de Instituciones u Organizaciones afines (ArCERT - Productores de Sistemas Operativos, Programas de Aplicacin, Utilitarios, Antivirus)
Segundo Paso
Identificar Amenazas
Recabar Informacin
Hacking (Acceso no autorizado, Intrusin, Rotura o Interrupcin del Sistema) Ingeniera Social Delitos Informticos (Fraude, Estafa, Soborno, Cohecho) Spoofing, Tampering, Sniffing Terrorismo (Sabotaje al Sistema) Espionaje (Intercepcin de datos de carcter Internacional, Comercial, Industrial) Denegacin del Servicio (DoS) Cdigo malicioso (Virus, Troyanos, Gusanos) Venta de datos personales
Segundo Paso
Tipo de Amenazas
Segundo Paso
Identificar Vulnerabilidades
Herramientas de deteccin automtica de vulnerabilidades Test y Evaluacin de la Seguridad Test de Penetracin
Informes de la Evaluacin de Riesgos efectuada Comentarios de Auditora Requerimientos de Seguridad Resultados del test de Seguridad
Tercer Paso
Dividir en Areas
Continuidad de Soporte Capacidad de respuesta a incidentes Revisin peridica de controles de seguridad Personal Evaluacin de riesgos Entrenamiento tcnico para la Seguridad Separacin de funciones Autorizaciones para ingreso y uso del sistema Plan de Seguridad
Tercer Paso
Dividir en Areas
Control de contaminantes de ambiente (Humo, polvo, qumicos) Controles para asegurar la calidad de provisin de energa Acceso a los medios de almacenamiento y disposicin final Etiquetado y distribucin externa de datos Proteccin de ambiente (Data Center, Oficinas) Control de temperatura Estaciones de trabajo, laptops, notebooks y computadoras personales
Tercer Paso
Dividir en Areas
Comunicaciones (Discado, interconexiones del sistema, routers) Criptografa Control de acceso discreto Identificacin y autorizacin Deteccin de intrusiones Reutilizacin de objetos Auditora de sistema
Tercer Paso
Identificar Vulnerabilidades
Resultado
Tercer Paso
Analizar Controles
Los controles tcnicos estn incorporados al hardware, software o firmware (Mecanismos de Control de accesos, Mecanismos de identificacin y autenticacin, mtodos de encriptacin, software para detectar intrusiones) Los dems controles administrativos y operativos son las polticas de seguridad, procedimientos operativos y proteccin fsica, del personal y del ambiente.
Controles preventivos: control de accesos, encriptacin y autenticacin Controles detectivos: trazas de auditora (Archivos LOG, mtodos de deteccin de intrusiones y sumas de chequeo
Cuarto Paso
Cuarto Paso
Naturaleza de la vulnerabilidad Motivacin de la fuente de amenaza Capacidad de la amenaza Controles actuales Evaluacin de Probabilidades
Quinto Paso
Determinar Probabilidades
Resultado
Quinto Paso
Sexto Paso
Probabilidad de amenaza VALOR ALTA 1,0 MEDIA 0,5 BAJA 0,1 Escala de Riesgo ALTO MEDIO BAJO
Matrz de Nivel de Riesgo BAJA MEDIA ALTA 10 50 100 10,00 50,00 100,00 5,00 25,00 50,00 1,00 5,00 10,00 >50 y <=100 >10 y <=50 >=1 y <=10
Sptimo Paso
Sptimo Paso
Recomendar Controles
Efectividad de las opciones recomendadas (Compatibilidad con el Sistema) Marco legal vigente y normas Polticas de la Organizacin Impacto Operativo Seguridad y Confiabilidad
Octavo Paso
Controles Recomendados
Octavo Paso
Debe servir de ayuda a la funcin Administrativa, contemplar la Misin de la Organizacin, ayudar a la Toma de Decisiones Polticas, de Procedimientos, Presupuestos, Sistema Operacional y Cambios.
Noveno Paso
Noveno Paso
Medidas a tomar Investigacin y toma de Conocimiento Evitar los Riesgos Planificar los Riesgos Limitar los Riesgos Asumir el Riesgo Transferir o Compartir el Riesgo
S
Vulnerable? Explotable?
Existe Vulnerabilidad
Y adems
No
No hay Riesgo
No
Fuente de Amenaza
Y adems
S
Riesgo No Aceptado
S
Existe Riesgo
No
Asignar Prioridad a las Acciones Evaluar Opciones de Controles Recomendados Realizar Anlisis Costo- Beneficio Seleccionar Controles Asignar Responsabilidades
Metodologa
Niveles de Riesgo obtenidos del Informe Ranking de Acciones de Mayor a Menor Grado de Importancia
Primer Paso
Segundo Paso
Realizar Anlisis Costo- Beneficio Impacto de la Implementacin Impacto por la No Implementacin Costos Asociados
Tercer Paso
Controles Seleccionados
Cuarto Paso
Asignar Responsabilidades
Asignacin de Responsabilidades
Quinto Paso
Desarrollar el Plan de Seguridad Niveles de Riesgo y Riesgo Asociado Prioridad de Acciones Controles Recomendados Controles Planeados Seleccionados Personas Responsables Fecha de Inicio Fecha de Finalizacin Requerimientos de Mantenimiento Plan de Seguridad
Sexto Paso
A pesar de todo siempre queda un Riesgo Residual que debe ser controlado
Riesgo Residual
Sptimo Paso
Nuevos Controles
Riesgo Residual
Soporte
Identificacin Manejo de Claves (Criptografa) Administracin de la Seguridad Proteccin del Sistema Controles Tcnicos
Seguridad
Prevencin Autenticacin Autorizacin Control de Accesos No Repudio Comunicaciones Protegidas Transacciones Seguras (Privacidad) Controles Tcnicos
Seguridad
Deteccin y Recuperacin
Auditora Deteccin y contencin de Intrusiones Prueba de Integridad Recuperacin del Sistema Asegurada Deteccin y eliminacin de Virus Controles Tcnicos
Seguridad
Risk Management Guide for Information Technology Systems - NIST - National Institute of Standards and Technology - SP 800-30
An Introduction to Computer Security: The NIST Handbook - NIST - National Institute of Standards and Technology - SP 800-12
Bibliografa