Memorias webCast Introduccion al analisis y gestión de riesgos

25
Luis Carlos Arbesú Consultor de Preventa Especialista en Seguridad

description

Conozca la metodología para que las organizaciones definan una estrategia de gestión del riesgo, basados en los resultados de las mediciones de su impacto y de su probabilidad de ocurrencia.

Transcript of Memorias webCast Introduccion al analisis y gestión de riesgos

Page 1: Memorias webCast Introduccion al analisis y gestión de riesgos

Luis Carlos Arbesú Consultor de Preventa Especialista en Seguridad

Page 2: Memorias webCast Introduccion al analisis y gestión de riesgos

Agenda

• Introducción • Riesgo • Análisis de Riesgos • Metodologías para el Análisis y Gestión de

Riesgos • Metodología NIST 800-30 • Manejo de Riesgos • Resumen • Riesgo Residual

Page 3: Memorias webCast Introduccion al analisis y gestión de riesgos

EL PROBLEMA: • Darse cuenta que pasa, hasta que pasa. • Cuantificarlos económicamente, por ejemplo: ¿cuánto le cuesta a la compañía su base de datos? • Vincular directamente sus efectos sobre los resultados de la compañía LA SOLUCIÓN: • No es invertir gran cantidad de dinero. • Buenas prácticas administración y control. • Medición – auditoria – informática

Introducción

Page 4: Memorias webCast Introduccion al analisis y gestión de riesgos

Es el potencial que dada una amenaza, esta explote una vulnerabilidad de un activo o de un grupo de activos y de esta forma cause daño en la organización

Riesgo

Page 5: Memorias webCast Introduccion al analisis y gestión de riesgos

Es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.

Análisis de Riesgos

Page 6: Memorias webCast Introduccion al analisis y gestión de riesgos

Metodologías para el Análisis y Gestión de Riesgos

Citicus One

CRAMM: “CCTA Risk Assessment and

Management Methodology”

ISO/IEC 27005

MAGERIT

OCTAVE (Operationally Critical Threat, Asset,

and Vulnerability Evaluation)

NIST SP 800-39

NIST SP 800-26/30 Mehari AS/NZS

Page 7: Memorias webCast Introduccion al analisis y gestión de riesgos

Metodologías para el Análisis y gestión de Riesgos

Estas metodologías de análisis y gestión del riesgo hacen parte del ciclo de mejor continua PHVA dentro del SGSI

Page 8: Memorias webCast Introduccion al analisis y gestión de riesgos

El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU. La misión del NIST consiste en elaborar y promover patrones de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida. NIST 800-30 Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información

NIST 800

Page 9: Memorias webCast Introduccion al analisis y gestión de riesgos

NIST 800-30

Page 10: Memorias webCast Introduccion al analisis y gestión de riesgos

Caracterización del sistema EN

TRA

DA

S • Activos de la organización

• Hardware

• Software

• Interfaces del sistema

• Información

• Personas

• Misión del sistema

SALI

DA

S • Caracterización de los sistemas de IT evaluados

• Definir el alcance del análisis de riesgos

Toda esta información se puede obtener a partir de cuestionarios, reuniones en sitio, herramientas automáticas de escaneo, etc.

Page 11: Memorias webCast Introduccion al analisis y gestión de riesgos

Identificación de Amenazas

• Potencial de que una fuente de amenazas se aproveche o explote una vulnerabilidad especifica accidental o intencionalmente Amenaza

• Intención o método que puede explotar una vulnerabilidad. Estas pueden ser naturales, humanas, del ambiente, etc.

Fuente de Amenazas

• Falla o debilidad en los sistemas de seguridad de un sistema, diseño, implementación, control interno, etc., que puede ser aprovechada y resultar en una violación de la política de seguridad del sistema

Vulnerabilidad

Page 12: Memorias webCast Introduccion al analisis y gestión de riesgos

Identificación de Amenazas

Hacker, Cracker

Criminales Terroristas

Espionage Industrial o

Intereses Extrangeros

Interno (Empleados enojados,

descuidados)

Desastres Naturales

Page 13: Memorias webCast Introduccion al analisis y gestión de riesgos

Identificación de Vulnerabilidades

Evaluaciones previas de riesgos

Reportes de auditoria, reportes de revisión de la seguridad y reportes de evaluación y pruebas de sistemas

Listas de vulnerabilidades (NIST I-CAT)

Advertencias de seguridad (Federal Computer Incident Response Capability FedCIRC)

Advertencias de vendedores

Análisis de Vulnerabilidades y Pentesting

Reportes de anomalias del sistema

Page 14: Memorias webCast Introduccion al analisis y gestión de riesgos

Análisis de Controles

Los controles pueden ser extrapolados de: - Políticas y guías de seguridad - Procedimientos de operación de los sistemas - Especificaciones de seguridad del sistema - Estándares y buenas practicas

Controles Técnicos

- Preventivos - Control de acceso - Antivirus - Mecanismos de identificación y autenticación - Firewalls - Encripción - Detectivos - Logs - IDS

Page 15: Memorias webCast Introduccion al analisis y gestión de riesgos

Análisis de Controles

Controles Operacionales (personal, seguridad física, etc.) - Preventivos Entrenamiento y conciencia de la seguridad

Planes de contingencia, recuperación y emergencias - Detectivos

Revisiones de seguridad y auditorias Investigaciones

Controles administrativos - Revisiones de auditorias - Evaluaciones de riesgos - Reglas de comportamiento

Page 16: Memorias webCast Introduccion al analisis y gestión de riesgos

Probabilidad de Ocurrencia

• La fuente esta altamente motivada y es lo suficientemente capaz y los controles no son efectivos Alta

• La fuente esta altamente motivada y es lo suficientemente capaz y los controles son efectivos. Media

• La fuente no tiene motivación o capacidad o existen controles para prevenir, impedir significativamente

Baja

Page 17: Memorias webCast Introduccion al analisis y gestión de riesgos

Análisis de Impactos

• La integridad se pierde si cambios no autorizados son realizados al sistema o a los datos accidental o intencionalmente. Puede causar impacto similar a la perdida de disponibilidad. Puede ser el primer paso hacia una perdida de disponibilidad o confidencialidad

Integridad

• SI el sistema esta parcial o completamente no disponible para los usuarios autorizados puede afectarse la misión de la organización

Disponibilidad

• Protección de la información contra divulgaciones no autorizadas.

Confidencialidad

Page 18: Memorias webCast Introduccion al analisis y gestión de riesgos

Análisis de Impactos

Page 19: Memorias webCast Introduccion al analisis y gestión de riesgos

Determinación del Riesgo

Riesgo = Probabilidad X Impacto Probabilidad: Probabilidad de ocurrencia de un incidente o fallo en un periodo de tiempo determinado. Impacto: Impacto asociado a la ocurrencia de un incidente o fallo. Incluye pérdidas económicas, en productividad, en desempeño, en imagen organizacional, etc. y usualmente se expresa en dinero.

Page 20: Memorias webCast Introduccion al analisis y gestión de riesgos

Determinación del Riesgo

Matriz de Riesgos

Page 21: Memorias webCast Introduccion al analisis y gestión de riesgos

- Implementación de controles

- Documentación de amenazas, vulnerabilidades, riesgos

Page 22: Memorias webCast Introduccion al analisis y gestión de riesgos

Manejo de Riesgos

• Eliminar la amenaza quitando la falla o vulnerabilidad

Eliminarlo

• Implementar controles que restringen el impacto de una amenaza

Reducirlo

• Pagándole a un tercero para que el asuma el riesgo por mi

Transferirlo

• El nivel de riesgo es muy bajo y cuesta mas la implementación del control que las repercusiones económicas.

Aceptarlo

Page 23: Memorias webCast Introduccion al analisis y gestión de riesgos

Diseno

sistema

Activo

Falla o

debilidad? Explotable?

Existe

vulnerabilidad?

&

No hay

riesgo

No hay

riesgo

Existe

amenaza Motivacion?

Perdida

considerable?

Riesgo

inaceptable

Acepta

riesgo

Acepta

riesgo

Si

No No

No No

Si

Si Si Controles

Riesgo

Residual

Resumen

Page 24: Memorias webCast Introduccion al analisis y gestión de riesgos

Es el riesgo latente luego de aplicar los controles apropiados

Riesgo Residual

Page 25: Memorias webCast Introduccion al analisis y gestión de riesgos