Analisis de riego segunda parte
-
Upload
jesus-vilchez -
Category
Documents
-
view
417 -
download
0
Transcript of Analisis de riego segunda parte
Datos del Profesor: Ing. Jesús Vílchez Sandoval
CIP 129615 email:[email protected]
http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094
Coordinador de la Oficina de Calidad y Acreditación - FIEM
Ing. Jesús Vílchez Sandoval
Sistemas de
SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
Gestión del Riesgo Determinación del Nivel Riesgo Determinación de la Probabilidad Determinación del Impacto Evaluación del Riesgo Tratamiento del Riesgo
Contenido
© Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
Gestión del Riesgo
En la cláusula 4.2.1 (c) se requiere que la organización identifique y adopte un método y un enfoque sistémico para el cálculo del riesgo de sus activos de información.
La gestión de los riesgos puede utilizar diferentes enfoques gerenciales y métodos de cálculo del riesgo que satisfagan a la organización.
El enfoque que la empresa escoja y su nivel de detalle y complejidad afectará proporcionalmente en el esfuerzo y cantidad de recursos requeridos durante el proceso de cálculo y posterior tratamiento de los riesgos.
El cálculo del riesgo debe ser tan detallado y complejo como sea necesario para poder atender eficazmente los requerimientos de la organización y lo que se requiera según el alcance establecido por el SGSI.
Enfoque para la Gestión del Riesgo
Se debe determinar el criterio para la aceptación del riesgo, documentando las circunstancias bajo las cuales la organización está dispuesta a aceptar los riesgos.
Identificación de los niveles de riesgo que la organización considere aceptables.
Cobertura de todos los aspectos del alcance del SGSI. El enfoque escogido por la empresa, para el cálculo del riesgo debe contemplar un análisis exhaustivo de todos los controles presentados en el Anexo A de ISO 27001:2005.
El cálculo del riesgo debe lograr un claro entendimiento sobre que factores deben controlarse , en la medida en que estos factores afecten el correcto funcionamiento de los sistemas, servicios y procesos que sean críticos para la organización.
Consideraciones para la Gestión del Riesgo
Ciclo del Análisis y Evaluación del Riesgo
Proceso del Análisis y Evaluación del Riesgo
Determinación del nivel de
riesgo
Basado en MAGERIT
Identificación de Riesgos
• Probabilidad de que una amenaza se materialice, explotando alguna vulnerabilidad.
• Identificar activos TI, • Identificar amenazas y vulnerabilidades, • Determinar frecuencia e impacto, • Determinar el riesgo.
(*) Revisar catálogo MAGERIT.
Iden
tific
ació
n de
l Rie
sgo
Amenazas y Vulnerabilidades
• A cargo de especialistas en seguridad, riesgos y administradores de activos.
[A] Amenazas que pueden comprometer las dimensiones de un activo[N] Desastres naturales[I] De origen industrial[E] Errores y fallos no intencionados[A] Ataques intencionados
D I C A T[SW] Software / Aplicaciones
I.5 Avería de origen físico o lógico 1 1E.1 Errores de los usuarios 1 1E.2 Errores de los administradores 1 1 1 1 1E.3 Errores de monitoreo (logs) 1E.4 Error en el establecimiento de datos de configuración 1 1 1 1 1E.8 Difusión casual de software dañino (malware) 1 1 1 1 1E.9 Errores de encaminamiento (de información) 1 1 1 1E.10 Errores de secuencia (orden) de mensajes transmitidos 1E.14 Escape de información 1E.20 Vulnearbilidades en el código (programa) 1 1 1E.21 Errores en el mantenimiento del código (programa) 1 1A.4 Manipulación de la configuración 1 1 1 1 1A.5 Suplantación de identidad de usuario 1 1 1A.6 Abuso de privilegios de acceso 1 1A.7 Utilización del recurso para uso no previsto 1A.8 Difusión intencionada de software dañino (malware) 1 1 1 1 1A.9 Encaminamiento de mensajes 1 1 1 1A.10 Alteración de secuencia (de mensajes) 1A.11 Acceso no autorizado (aprovechando una debilidad) 1 1A.14 Interceptación de información (escucha) 1A.22 Manipulación de programas 1 1 1 1
Dimensiones
D DisponibilidadI IntegridadC ConfidencialidadA AutenticidadT Trazabilidad
Dimensiones
Determinación de Riesgos
1
1
2
3
4
5
2 3 5 8
Impacto
Probabilidad / Frecuencia
Extremo
Intolerable
Tolerable
Aceptable
MAPA DE RIESGOS
Dete
rmin
ació
n de
l Rie
sgo
Medición del Riesgo
Determinación de la
Probabilidad
Basado en MAGERIT
Determinación de la Probabilidad
Enfoque cualitativo, basado en juicio experto.
Determinación del Impacto
Basado en el Método Australiano
Determinación del Impacto
• El Impacto de los procesos en la empresa debido a la no disponibilidad de servicios TI (BIA-Business Impact Analysis).
• Se puede determinar a partir de:
– Factor de impacto del macro proceso en el cumplimiento de la misión y objetivos (Fp)
– Nivel de soporte del servicio TI (NS) – RTO-Recovery Time Objective.
Determinación del Impacto
)()(***
10
1
5
1ik A
kRTO
ippp PRINSFI
= ∑∑
==
Tabla de Impacto (x Área)
8 Desastroso Pérdida total del servicio
5 Mayor Pérdida permanente de la información o sistemas
3 Moderado Pérdida temporal de la información o sistemas
2 Menor Pérdida de información parcial
1 Insignificante Sin pérdida de información
Los servicios TI heredan el impacto del principal
proceso al que asisten.
Impacto
Evaluación del Riesgo
Basado en ISO 27001 – Anexo A
Evaluación del Riesgo
• Si el riesgo es aceptable, finaliza el proceso. • Caso contrario:
– Transferir (tomar un seguro), – Evitar (retirar activo), o – Mitigar el riesgo, a través de:
• Controles1 preventivos, o • Correctivos.
--- [1] Salvaguardas o medidas de mitigación.
Probabilidad
Impa
cto
Transferir Evitar
Aceptar Mitigar
A5 - Política de S.I.
Ejemplo: • Los sistemas de información son activos de vital importancia para el
Banco, y sus debilidades de seguridad afectarían el normal desarrollo de las actividades y operaciones.
• La gestión del riesgo operativo y tecnológico forma parte de la gestión institucional (vía políticas y controles de sus sistemas de información). El Banco acata los requerimientos de seguridad de las entidades competentes nacionales e internacionales.
• Los colaboradores asumen una responsabilidad individual respecto a la seguridad de los sistemas de información, así como del uso de información privilegiada en la Institución.
22
A6 - Organización de la S.I.
Participación integral de los responsables del proceso.
23
Unidad Organizacional1 Política de Seguridad Gerencias Centrales
2 Organización de la Seguridad Gerencia de Riesgos
3 Control y Clasificación de la Información Secretaria General
4 Seguridad del Personal Gerencia de Recursos Humanos
5 Seguridad Física y Ambiental Gerencia de Compras y Servicios
6 Gestión de Comunicaciones y Operaciones
7 Control de Acceso
8 Desarrollo y Mantenimiento de Sistemas
9 Gestión de Incidentes Gerencia de Riesgos
10 Gestión de la Continuidad Gerencias Centrales
11 Cumplimiento regulatorio Gerencia Jurídica
Dominio ISO 27001
Gerencia de Tecnologías de Información
A7 - Gestión Activos de Información
24
EjemplosSW Software / Aplicaciones Aplicaciones, sistemas operativos, herramientas de desarrollo y utilitarios
HW Hardware / equipos Servidores (S.O.), PCs, routers, hubs, firewalls, medio magnético, gabinetes, cajas fuertes, salas, mobiliario, sistema de alarma, etc.
SI Soportes de información SAN, discos, cintas, USB, CD, DVDCOM Redes de comunicaciones Medios de transporte que llevan datos de un sitio a otro
DAT Datos / Información
BD, archivos de datos, contratos y acuerdos, documentación del sistema, información de investigación, manuales de usuario, material de entrenamiento, de operación, procedimientos de soporte, planes de continuidad y contingencia, acuerdos
AUX Equipamiento auxiliar Equipamiento de soporte a los sistemas de información (UPS, Generados, Aire acondicionado, cableado, etc.)
INS Locales / Instalaciones Lugares donde se hospedan los sistemas de Información, registros vitales y comunicaciones
PER Personal / RR.HH. Personas, calificaciones, experiencia y capacidades (usuarios, proveedores, personal de TI)
SRV Servicios generales Vigilancia, servicios de impresión, computación, telecomunicaciones, eléctrica, agua, etc.
Clasificación de Recursos / Activos TI*Categoría
BDs
Ej. Servidor de BD1
2 Medio
N° Activo TI Valor1 Aplicación LBTR Web (Java EE - BD) 5 2 Medio
2 Servidor de BD (DBS) 5 1 Bajo
3 Servidor de Aplicaciones 5 2 Medio
4 Servidor Web (SUN Web Server) 5 1 Bajo
5 Seguridad de datos (Six/Security, HSM) 4 2 Medio
6 Red de Bancos (Extranet) 4 1 Bajo
7 Red Of. Principal (Intranet) 3 2 Medio
8 Seguridad Perimétrica (Firewall) 3 1 Bajo
9 Administración TI (Resp. servicio) 4 2 Medio
10 Normativa (Procedimientos / guías) 2 1 Bajo
11 Estación de trabajo 2 1 Bajo
RiesgoServicio LBTR
Base de DatosPlataforma Sun Solaris Administración TI (DBA)Normativa (Procedimiento / Guía)
Servidor de BD
Servidor y Sistema OperativoSistema de almacenamientoCentro de Datos Institucional (CDI)Centro Externo de Respaldo (CER)Servicio de respaldo (Back-up)Administrador TI (Plataforma)Normativa (Procedimiento / Guía)
Plataforma SUN Solaris
1] Los valores son de ejemplo.
BDs
A8 - Seguridad de los RR.HH.
Cuidados 1. Antes 2. Durante, y 3. Después de la incorporación de talentos. Normativa / Procedimientos, buenas prácticas.
? Preguntas
Laboratorio
Análisis de Riesgos
Ejercicio
Análisis de Riesgos
SEGURIDAD EN REDES FIN DE SESION