Gestión de los Riesgos Informáticos · Amenazas y riesgos tecnológicos Amenazas y riesgos en...

Jorge Alfredo Hernández

Septiembre de 2012

Gestión de los

Riesgos

Informáticos Fundamentos para la protección de

información

© 2010 Deloitte Touche Tohmatsu

Agenda

• Seguridad de la información vs privacidad de los datos

• ¿Dónde está la información?

• ¿Cuáles son las amenazas?

1


Internet Clientes

Proveedores

Gobierno

Otros

Wifi

Porque es importante?

Seguridad de la información

vs privacidad de los datos


Seguridad de la información vs privacidad de los datos

Seguridad de la información

• La información es un activo de la empresa, es

fundamental para su éxito y proyección futura. Mejor

información y mejor gestión de la misma genera ventaja

competitiva.

• Por ello es importante asegurar que la información:

• Refleja la realidad, permitiendo tomar decisiones

sobre bases ciertas.

• Propiedad de la empresa (propiedad intelectual,

secreto industrial, conocimiento interno) es conocida

solo por las personas que la empresa quiere, y no

por personas no autorizadas.

• Es accesada por los usuarios legítimos cuando lo

requieren y por el medio que lo requieren.


Seguridad de la información vs privacidad de los datos

Privacidad

• Las empresas tienen acceso a información

de personas, que es propiedad de las

personas mismas (p. e. estado civil, historia

clínica, antecedentes, salario) . Esta

información es privada y debe protegerse

para evitar afectar la vida de las personas

(Constitución Nacional artículo 15).

• Por ello es importante asegurar que la

información privada:

• Es conocida solo por las personas de la

empresa que lo requieren.

• Es protegida por las personas que la

acceden y estas reconocen la sensibilidad

de dicha información.

• No se revela sin consentimiento del

dueño.


Ciclo de vida de la información

Obtención

Distribuye

Usa

Almacena

Destruye

Archiva

Destruye


¿Riesgos de la información?

Confidencialidad

Disponibilidad

Integridad



• Exactitud y legitimidad o validez

• Autorización y exactitud de la información de las

transacciones

• La información refleja la realidad

Objetivo: Proteger los datos críticos de modificación o

eliminación no autorizada

8



Acceso legítimo oportuno a la información por parte de

las personas o entidades debidamente autorizadas para

accederla de acuerdo con su sensibilidad para la entidad

o para las personas (privacidad)

Objetivo: Proteger la información sensible de la

compañía y de sus grupos de interés (empleados,

clientes, socios, proveedores) de ser conocida de

manera no autorizada

9



Acceso a la información cuando sus usuarios lo

requieran y por el medio que la requieran.

Objetivo: Prevenir la negación no autorizada de

servicios de información, privando a los usuarios

legítimos de acceder a los datos cuando lo requieran.

10


¿Qué es la seguridad de la información?

11

Medidas de Seguridad Tipos de Información Accesos

Niveles de tomas de

decisiones

estratégicas

Comunidad en General

Niveles operativos

Custodios de la información

Quien? Que?

Propietario de datos

Como?

Pública

Restringida

Confidencial

Estrictas

Suficientes

Mínimas

¿Dónde está

la información?


¿Dónde está la información?

The Cloud


Uso del Internet

14

COLOMBIA

Población 44,725,543

Usuarios de internet 25,000,000 56%

Suscriptores celulares 43,405,330 97%

Usuarios de Facebook 16,258,980 36%

Crecimiento 5 años 3,731%

Usuarios totales 2,267,233,742


Tendencias

Los Nuevos riesgos que genera Web 2.0 -Social Media-

Information & Technology Risk | Global Capabilities 15

Virus

(gusanos)

Privacidad de

riesgos

Control de

acceso

Retencion

de datos de

crecimiento

Acosos

Robo de identidad

Robo de

propiedad intelectual

Fuga de

información

Riesgo de reputación

(manejo de marca)

Legal

Calumnias Derechos de autor

Violaciones o vulneraciones

de marcas

Blasfemias

Amenazas y riesgos

tecnológicos

Amenazas y riesgos en

aplicaciones Amenazas y riesgos de

conducta

XML

Injection

Vulnerabilidades

Crisis

Licenciamiento

Malware

Falta de conocimiento o

conciencia ante

diversas situaciones Riesgos

indirectos

Suplantación de

Identidad

El ambiente Web 2.0 cambia a un ritmo extremadamente rápido. La seguridad de las tecnologías no necesariamente permanece actualizada con el paso del tiempo


Tendencias

Los Nuevos riesgos que genera Web 2.0 -Social Media-

Information & Technology Risk | Global Capabilities 16

Las redes sociales se han convertido en las paginas más importantes de pérdida de datos y el robo de identidad

Fuente: Sophos “Security Threat Report: 2010”

Una encuesta realizada en 2008 por parte de Forrester a 262 ejecutivos de TI reveló que cerca del 80% de los ejecutivos estaban preocupados por los riesgos que genera el uso no

autorizado de las herramientas Web 2.0 y las tecnologías por parte de los empleados.

Source: Forrester Research

El ambiente Web 2.0 cambia a un ritmo extremadamente rápido. La seguridad de las tecnologías no necesariamente permanece actualizada con el paso del tiempo

http://www.theregister.co.uk/2010/06/01/facebook_clickjacking_worm/


Noticias recientes

Gestión de riesgos de seguridad


La gestión de riesgos puede basarse en ISO31000 o ISO27005

Establecer el contexto

Identificar riesgos

Analizar riesgos

Evaluar riesgos

Tratar riesgos

Co

mu

nic

ar

y c

on

su

lta

r

Mo

nito

rea

r y r

evis

ar

Evaluación de riesgos


La gestión de riesgos es un proceso continuo

Identificación

de activos de

información

Clasificación

(atributos de

negocio)

Identificación de

riesgos

Análisis de

riesgos

Evaluación de

riesgos

Activos de Información

Tratamiento de riesgos

Establecer el contexto Evaluación de riesgos


Identificación de activos de información

• La identificación de los activos de información consiste en determinar qué

información es utilizada o producida durante la ejecución del proceso de negocio.

Para ello es fundamental la participación activa de los dueños de los procesos.

• Los activos de información son aquellos recursos que generan, procesan y/o

resguardan datos necesarios para la operación y el cumplimiento de los objetivos del

negocio, algunos de ellos tecnológicos, otros no.

• ¿Qué información se necesita para el desarrollo del proceso?

• ¿Qué información se genera producto del desarrollo del proceso?

• ¿Cuáles son los activos de información donde está almacenada la información que

necesita o la que genera durante el desarrollo del proceso?

23 Business Risk Management Seminar Series


Identificación de activos de información

• Toda la información de un proceso es generada, procesada o resguardada en uno o

varios activos de información.


24

Contabilidad Tesorería Gestión de

costos Compras Mantenimiento


Clasificación de activos de información

• Los activos de información son clasificados de acuerdo con la importancia que tengan

para el negocio.

• El valor asignado a cada activo de información (impacto) sirve posteriormente como

insumo para evaluar las alternativas de tratamiento del riesgo.


Impacto de 1 a 3 Impacto

1 ≤ Impacto < 1,67 Bajo

1,67 ≤ Impacto < 2,34 Medio

2,34 ≤ Impacto ≤ 3 Alto



• La evaluación de riesgos usualmente ocurre sobre los activos de información cuyo

valor de clasificación es más alto (principio de Pareto) por un principio de priorización

de recursos requeridos para establecer controles.


Activos de información

identificados

Activos de información críticos



• Un riesgo consiste en la probabilidad de que una amenaza explote una vulnerabilidad y

genere un impacto negativo al negocio.

Amenaza: condición que existe en el entorno del activo de información

Vulnerabilidad: debilidad o ausencia de control

• Cada dupla amenaza / vulnerabilidad está asociada a uno o varios controles

probables que podrían reducir dicha probabilidad de que el riesgo ocurra.

• Hay que determinar si existen los controles de seguridad requeridos para reducir la

probabilidad de que una amenaza explote una vulnerabilidad en un activo de información

dado.




• El nivel de riesgo es la combinación de:

• La magnitud de impacto producido si el activo es afectado en su confidencialidad,

integridad o disponibilidad

• La probabilidad de que una fuente de amenaza procure aprovechar una

vulnerabilidad

• En función de si los controles existen o no se establece la probabilidad de

que una amenaza explote una vulnerabilidad potencial.

• El impacto corresponde al impacto de cada activo de información


Fuente: NIST 800-30


Tratamiento de riesgos

• El ciclo concluye con el tratamiento de los riesgos más relevantes:

• Implementación de controles

• Fortalecimiento de controles existentes

• Trasferencia de riesgos

• Eliminar el riesgo, que implica eliminar el activo de información o transformarlo (p. e.

convertir un activo de información de papel en un medio electrónico eliminaría el

riesgo de que la tinta del papel se deteriore con el tiempo)


0

1

2

3

0 1 2 3 Probabilidad

Mapa de riesgos de Activos de Información

Alto

Medio

Bajo

Imp

ac

to

Baja Media Alta

¿Cuáles son las amenazas?


¿Cuales son las amenazas?

31

Dejar laptops o equipos

móviles sin seguridad (sin

password)

Inadecuado manejo de

papeles que contienen

información confidencial

Instalación de software

poco conocido



32

Problemas de

comunicaciones

Ataques

Virus/ software

malicioso

Obsolescencia

Errores de hardware

y software

Corrupción de datos

Terremotos

Inundaciones

Contaminación

Pandemias

Incendio

Tormentas

Robo de información

Sabotajes

Fraude

Riesgos

Operacionales

Errores no

intencionales

Espionaje Industrial

Terrorismo

Ingeniería social

Eventos

técnicos

Eventos

naturales

Eventos

humanos Información



Phising

33



Sniffing (wired and wireless)

34


Amenazas en la computación móvil


Malware


Ingeniería social


Preguntas / Comentarios

Jorge A. Hernández O. Tel. +57 (1) 5461842

[email protected] 1-5461810

mailto:[email protected]

Gestión de los Riesgos Informáticos · Amenazas y riesgos tecnológicos Amenazas y riesgos en...

Documents

Transcript of Gestión de los Riesgos Informáticos · Amenazas y riesgos tecnológicos Amenazas y riesgos en...