Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
SEGURIDAD DE LA INFORMACION Es el proceso de planear, organizar, coordinar, dirigir y controlar las actividades relacionadas a asegurar la integridad, confidencialidad y disponibilidad de la información de un SEGURIDAD DE LA INFORMACION Julio de 2011 Lic Fabiana María Riva 2 disponibilidad de la información de un sistema y sus usuarios y resguardar los activos de la organización Sostener la Continuidad Segura de los Negocios por medio de una estructura que mantenga la: – Integridad – Confidencialidad • Control de accesos • Autenticación• Autenticación • No repudio (de emisión y recepción) –Disponibilidad Y prepararse para las contingencias que puedan ocurrir en un grado acorde a la criticidad de la Misión de Negocio Julio de 2011 Lic Fabiana María Riva 3 SEGURIDAD DE LA INFORMACION vs. SEGURIDAD INFORMÁTICA SEGURIDAD DE LA INFORMACIÓN Seguridad Julio de 2011 Lic Fabiana María Riva 4 Informática RIESGOS FALTA DE POLITICAS DE TRATAMIENTO DE LA INFORMACIÓN ERRORES, ACTOS DELIBERADOS DEL PERSONAL NO REALIZACIÓN DE LA GESTION CORRECTA DE CAMBIOS CONTROLES INSUFICIENTES RIESGOS ATAQUES UTILIZANDO TECNOLOGÍAS, MALWARE, FALTA DE POLÍTICAS DE RESGUARDO DESCONOCIMIENTO DE POSIBLES RIESGOS SEGURIDAD DE LA INFORMACION Marco conceptual de la Gestión de Riesgos Un riesgo NO es un PROBLEMA…. El PROBLEMA es un RIESGO que ha acontecido Robert Charette Definiciones de riesgos Robert Charette Julio de 2011 Lic Fabiana María Riva 6 Definiciones de riesgos Según el diccionario de la Real Academia Española (Del it. risico o rischio, y este del ár. clás. rizq, (Del it. risico o rischio, y este del ár. clás. rizq, lo que depara la providencia). 1. m. Contingencia o proximidad de un daño. 2. m. Cada una de las contingencias que pueden ser objeto de un contrato de seguro Julio de 2011 Lic Fabiana María Riva 7 Un riesgo también es… Una variación de los resultados esperados, donde esa variación genera el problema de la incertidumbreincertidumbre Julio de 2011 Lic Fabiana María Riva 8 Marco Conceptual Análisis de los riesgos: herramienta básica para ♦La toma de decisiones acerca de los recursos a ser invertidosde los recursos a ser invertidos y el rango de riesgo deseado ♦La elaboración del plan de auditoría Julio de 2011 Lic Fabiana María Riva 9 Marco Conceptual. Referencias Proyectos y Procesos: � PMBOK 2004. PMI: Project Management Institute. Area Gestión de Riesgos � SEI Software Engineering Institute CMMI V.1.3. Seguridad de la Información: � MAGERIT V.2: Metodología Automatizada de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas. Ministerio de Administración Pública de España. �Serie ISO/IEC 27000 Julio de 2011 Lic Fabiana María Riva 10 Marco Conceptual. Referencias Auditorías � COBIT V.4.1. Control OBjectives for Information and related Technology. Provisión de servicios en Areas de TI:Provisión de servicios en Areas de TI: �ITIL V.3. : Information Technology Infrastructure Library Julio de 2011 Lic Fabiana María Riva 11 PMBOK - PMI Relaciona al riesgo con OPORTUNIDADES: resultados positivos AMENAZAS: resultados negativos Los objetivos de la Gestión de los Los objetivos de la Gestión de los Riesgos del Proyecto: – aumentar la probabilidad y el impacto de los eventos positivos – disminuir la probabilidad y el impacto de los eventos adversos Julio de 2011 Lic Fabiana María Riva 12 SEI Posibilidad de pérdida y precursor de un problema definido en función de: ♦ Probabilidad de que ocurra un evento adverso. ♦ Impacto, manifestado en una ♦ Impacto, manifestado en una combinación de pérdida económica, retraso temporal y pérdida de rendimiento Provee un método sistemático de Identificación de riesgos basados en Taxonomías. Julio de 2011 Lic Fabiana María Riva 13 SEI - CMMi Para alcanzar el Nivel 2: Administrado: Categoría de Administración de Proyectos: Área: Planificación de Proyectos Meta Específica 2: Especificar el Plan del Proyecto Práctica Especifica 2.2.: Identificar Práctica Especifica 2.2.: Identificar riesgos del Proyecto Área: Control y Seguimiento de Proyectos Meta Específica 1: Realizar el seguimiento del proyecto contra el Plan Práctica Especifica 1.3.: Monitorizar los riesgos del Proyecto Julio de 2011 Lic Fabiana María Riva 14 SEI - CMMi Para alcanzar el Nivel 3: Definido: Categoría de Administración de Proyectos: Área: Gestión de Riesgos: Identificar problemas potenciales antes de que Identificar problemas potenciales antes de que ocurran… para mitigar los impactos adversos sobre los objetivos a alcanzar Julio de 2011 Lic Fabiana María Riva 15 SEI - CMMi Área: Gestión de Riesgos: Meta específica 1 Prepararse para la administración de riesgos PE 1.1 Determinar las fuentes y categorías de riesgos PE 1.2 Definir los parámetros de riesgos PE 1.3 Establecer estrategias de administración de riesgos Meta específica 2 Identificar y analizar riesgos PE 2.1 Identificar riesgos PE 2.2 Evaluar, clasificar y priorizar riesgos Meta específica 3 Mitigar Riesgos PE 3.1 Desarrollar planes de mitigación de riesgos PE 3.2. Implementar planes de mitigación de riesgos Julio de 2011 Lic Fabiana María Riva 16 MAGERIT – Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. – Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está estimar la magnitud de los riesgos a que está expuesta una Organización. – Gestión de riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Julio de 2011 Lic Fabiana María Riva 17 Serie ISO/IEC 27000 ISO 27001: Norma certificable de Seguridad de la Información ISO 27002: Guía de Buenas Lista de controlesISO 27002: Guía de Buenas Lista de controles de seguridad recomendados y que en la práctica se seleccionan en base a una valorización de riesgos Julio de 2011 Lic Fabiana María Riva 18 COBIT Objetivos de control en Dominios. Control sobre el proceso de TI: 9. Evaluación de Riesgos Requisitos del Negocio: asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI. Posibilitado por: la participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas para mitigar los riesgos Julio de 2011 Lic Fabiana María Riva 19 COBIT…. Objetivos de control sobre los siguientes procesos: ♦ 9.1 Evaluación de Riesgos del Negocio ♦ 9.2 Enfoque de Evaluación de Riesgos♦ 9.2 Enfoque de Evaluación de Riesgos ♦ 9.3 Identificación de Riesgos ♦ 9.4 Medición de Riesgos ♦ 9.5 Plan de Acción contra Riesgos ♦ 9.6 Aceptación de Riesgos Julio de 2011 Lic Fabiana María Riva 20 ITIL V.3. Diseño del Servicio Proceso: Gestión de la Continuidad del Servicio ♦ Evaluación de riesgos: Enumerar y evaluar, dependiendo de su probabilidad e impacto, los diferentes riesgos y factores de riesgo (amenazas, vulnerabilidades, etc.)(amenazas, vulnerabilidades, etc.) ♦ Establecimiento de Estrategias: medidas preventivas o medidas reactivas ♦ Organización y Planificación: – Plan de prevención de riesgos – Plan de gestión de emergencias – Plan de recuperación Julio de 2011 Lic Fabiana María Riva 21 Factores del Riesgo El NIVEL DE RIESGO SE ESTABLECE CON UNA CONJUGACION DE: Incertidumbre Pérdidas Julio de 2011 Lic Fabiana María Riva 22 Componentes del Riesgo Identificación de un evento que tiene ♦ una probabilidad de ocurrencia y y ♦ un impacto, la dimensión de la pérdida, cuantificada en términos monetarios Julio de 2011 Lic Fabiana María Riva 23 Estado de Riesgo de un evento Estado de Riesgo, Severidad o EXPOSICIÓN = PROBABILIDADPROBABILIDAD de ocurrencia del riesgo x IMPACTO que causa si sucede Julio de 2011 Lic Fabiana María Riva24 SEGURIDAD DE LA INFORMACION El Proceso de Gestión de Riesgos Julio de 2011 Lic Fabiana María Riva 26 El proceso de Gestión de Riesgos 1. PLANIFICACIÓN 2. IDENTIFICACIÓN 3. CUALIFICACIÓN Julio de 2011 Lic Fabiana María Riva 27 3. CUALIFICACIÓN 4. CUANTIFICACION 5. PLANEAMIENTO DE LA RESPUESTA 6.MONITOREO Y CONTROL IDENTIFICACIÓN DE RIESGOS Julio de 2011 Lic Fabiana María Riva 28 Planificación de la Gestión de Riesgos Objetivo: � Determinar cómo serán abordadas y planeadas las actividades de riesgos Resultado a obtener: Julio de 2011 Lic Fabiana María Riva 29 Resultado a obtener: � El Plan de Gestión de Riesgos El Plan de Gestión de riesgos La empresa debe tener estandarizado el proceso para acumular experiencia. ¿Qué debería incluir? � Enfoque, herramientas y fuentes de datos. � Los roles y las responsabilidades. � El presupuesto. El calendario de manejo de riesgos. Julio de 2011 Lic Fabiana María Riva 30 � El calendario de manejo de riesgos. � Métodos de evaluación e interpretación. � Los criterios de umbrales de riesgos sobre los cuales se actúa. � Los formatos de Reportes � La información a registrar � Los planes de tratamiento y contingencias La Identificación de Riesgos Es un criterio proactivo que busca identificar posibles factores de riesgo y tomar medidas de aseguramiento o planes de aseguramiento o planes de contingencia para contrarrestarlos a ellos y a sus efectos. Julio de 2011 Lic Fabiana María Riva 31 Identificación de riesgos ♦ Objetivo: – Determinar qué riesgos pueden afectar al proyecto u organización y documentar sus características. ♦ Resultados a obtener:♦ Resultados a obtener: – Definición de riesgos – Disparadores: señales de advertencia – Retroalimentación de entrada a otros procesos Julio de 2011 Lic Fabiana María Riva 32 Cuándo realizar la Identificación de Riesgos No es un proceso que se debe hacer por una sola vezpor una sola vez debe realizarse en forma regular Julio de 2011 Lic Fabiana María Riva 33 Fuentes de Identificación de Riesgos ♦ Documentos de la organización o del proyecto (Documentación de Procesos - Acta de Proyecto – Estructura de desglose de trabajo, etc.) ♦ Organigramas♦ Organigramas ♦ Políticas ♦ Reportes financieros y contables Julio de 2011 Lic Fabiana María Riva 34 Herramientas y Técnicas ♦ Revisiones de Documentación ♦ Técnicas de Recopilación de Información – Brainstorming – Técnica Delphi – Discusiones de grupo, entrevistas y cuestionarios – Análisis FODA ♦ Análisis mediante Check Lists – De inspecciones físicas y auditorias anteriores.– De inspecciones físicas y auditorias anteriores. ♦ Análisis de asunciones o escenarios ♦ Técnicas de Diagramación – Diagramas Causa-Efecto – Diagramas de Sistemas – Diagramas de influencias ♦ Experiencia personal de los involucrados Julio de 2011 Lic Fabiana María Riva 35 Entrevista con Expertos Identificar ExpertosIdentificar Expertos SolicitarSolicitar opinión eopinión e Cuantificar Cuantificar lala Julio de 2011 Lic Fabiana María Riva 36 Prepararse para la Prepararse para la entrevistaentrevista opinión eopinión e informacióninformación informacióninformación Brainstorming Establecer una PreguntaEtapa IEtapa I Etapa IIEtapa II Las ideas fluyen � Escuchar � Anotar las ideas a medida que se van formulando � Nunca criticar las ideas, todas tienen valor � Usar las ideas de otros como punto de partida Julio de 2011 Lic Fabiana María Riva 37 Etapa IIEtapa II � Usar las ideas de otros como punto de partida para construir las propias � Suspender la formulación de soluciones hasta haber completado el proceso � No se prioriza en esta etapa Etapa IIIEtapa III Las ideas se priorizan � Se eliminan las repetidas � Son el resultado del grupo (no hay resultados particulares) � Debata, no domine � Muy importante el rol del moderador o facilitador Técnica de Delphi Exploración del Tema de DiscusiónExploración del Tema de Discusión Cuestionario desestructurado El moderador realiza una síntesis de las respuestas Comprensión del TemaComprensión del Tema Segundo cuestionario en base a acuerdos y desacuerdos El moderador realiza un análisis estadístico de las respuestas Fase 1Fase 1 Fase 2Fase 2 Julio de 2011 Lic Fabiana María Riva 38 Exploración de los desacuerdosExploración de los desacuerdos Tercer cuestionario en base a las razones de los desacuerdos El moderador realiza un análisis estadístico y un resumen de argumentos de las respuestas Evaluación FinalEvaluación Final Fase 3Fase 3 Fase 4Fase 4 ANÁLISIS CUALITATIVO Julio de 2011 Lic Fabiana María Riva 39 Objetivo y Resultado a Obtener ♦ Objetivo: – Realizar un análisis cualitativo y condiciones de los riesgos para priorizar sus efectos sobre los objetivos del proyecto/proceso/sistema/recurso ♦ Resultado a Obtener:♦ Resultado a Obtener: Actualizar el registro de riesgos realizado en la etapa de identificación de riesgos con: – Lista priorizada de riesgos en función del impacto y probabilidad estimados – Riesgos agrupados en categorías – Causas de riesgos o áreas que requieran mayor atención Julio de 2011 Lic Fabiana María Riva 40 Efectos Casi cualquier riesgo puede tener los siguientes efectos: ♦ Costos-Los costos del proyecto pueden crecer. ♦ Cronograma-Obtener los entregables del ♦ Cronograma-Obtener los entregables del proyecto tardíamente. ♦ Funcionalidad-El nivel de desempeño o la capacidad prevista por los entregables del proyecto sea reducida. ♦ Calidad-El nivel de excelencia de los entregables sea reducido. Julio de 2011 Lic Fabiana María Riva 41 Análisis cualitativo del Impacto Se propone una escala de cinco niveles (balance entre una escala de poca discriminación y demasiado grande) 1-Muy bajo. 2-Bajo. 3-Medio. 4-Alto. 5-Muy alto Julio de 2011 Lic Fabiana María Riva 42 Evaluación del Impacto de Riesgo en los Objetivos del Proyecto (PMI) Objetivo del Proyecto Muy Bajo Bajo Medio Alto Muy Alto Costos Incremento insignificant e Incremento < 5% Incremento entre 5 y 10% Incremento entre 10 y 20% Incremento > 20% Cronogra ma Incremento insignificant Retraso global < Retraso global entre Retraso global Retraso global > Julio de 2011 Lic Fabiana María Riva 43 ma insignificant e global < 5% global entre 5 y 10% global entre 10 y 20% global > 20% Alcance Reducción escasament e apreciable Areas menores de alcance afectadas Areas mayores de alcance afectadas Reducción de alcance inaceptable a la empresa Fin del proyecto. El producto es inutilizable Calidad Degradació n escasament e apreciable Solo aplicaciones muy exigentes se afectan Reduccion de calidad que requiere aprobación Reducción de calidad inaceptable a la empresa Fin del proyecto. El producto es efectivamen te inutilizable Probabilidad La extensión a la cual el riesgo es posible que ocurra. ♦También se define en escala –1 = muy improbable (< 3%),–1 = muy improbable (< 3%), –2 = poco probable (< 10%), –3 = probable (< 30%), –4 = altamente probable (<60%), –5 = casi cierto (>60%) Julio de 2011 Lic Fabiana María Riva 44 Cómo medir la probabilidad de ocurrencia de un riesgo La posibilidad de un evento frecuentemente depende no sólo de la estadística sino también de la intervención humana: ♦ Probabilidad de ocurrencia: la probabilidad que ocurra si no tomamos ninguna acción y ♦ Probabilidad de ocurrencia: la probabilidad que ocurra si no tomamos ninguna acción y ♦ Dificultad de intervención: el nivel de dificultad que experimentaríamos en prevenir que ocurra el riesgo. Julio de 2011 Lic Fabiana María Riva 45 Escalas de Probabilidad de Ocurrencia y Dificultad de Intervención Ni vel Probabilidad de Ocurrencia Dificultad de Intervención 1 Me sorprende si ocurre Seguir los procesos normales de administración fácilmente permiten un resultado aceptable 2 Más probable que no ocurra a que si ocurra Un cuidadososeguimiento de los procesos de administración probablemente darán un resultado aceptable Julio de 2011 Lic Fabiana María Riva 46 resultado aceptable 3 Tan probable que ocurra como que no ocurra Se requieren esfuerzos y tiempos adicionales para obtener un resultado aceptable 4 Más probable que ocurra a que no ocurra Los recursos y autoridad son solo suficientes para permitir un efecto menor en el resultado 5 Me sorprendería si no ocurriese La habilidad para afectar el resultado es cero. Matriz de Probabilidad e impacto Julio de 2011 Lic Fabiana María Riva 47 Lista Priorizada de Riesgos Id.WBSId.WBS CategoríaCategoría RiesgoRiesgo ProbabProbab ilidadilidad ImpactoImpacto SeveridSeverid adad Julio de 2011 Lic Fabiana María Riva 48 Ley de WILFREDO PARETO Para un proyecto grande se pueden identificar hasta unos 40 riesgos. El Plan de gestión de riesgo, entonces, puede convertirse en un proyecto en sí mismo. Por este motivo, adaptamos la regla de Pareto Por este motivo, adaptamos la regla de Pareto 80-20 al riesgo La experiencia dice que el 80 por ciento del riesgo total de un proyecto se debe solamente al 20 por ciento de los riesgos identificados. La lista Priorizada de riesgos ayudará al jefe de proyecto a determinar qué riesgos pertenecen a ese 20 por ciento. Julio de 2011 Lic Fabiana María Riva 49 ANÁLISIS CUANTITATIVO Julio de 2011 Lic Fabiana María Riva 50 Objetivo y Resultados a Obtener ♦Objetivo: – Medir la probabilidad y consecuencias de riesgos y estimar sus efectos ♦Resultados a Obtener:♦Resultados a Obtener: – Análisis probabilístico. – Probabilidad de alcanzar los objetivos de tiempo y costos. – Lista priorizada de riesgos cuantificada. Julio de 2011 Lic Fabiana María Riva 51 Herramientas y Técnicas ♦ Técnicas de Recopilación y Representación de Datos: – Entrevistas – Distribuciones de Probabilidad ♦ Técnicas de Análisis Cuantitativo y ♦ Técnicas de Análisis Cuantitativo y Modelado: – Análisis de sensibilidad – Análisis del Valor Comercial Esperado (Árboles de decisión) – Modelado y Simulación ♦ Juicio de expertos Julio de 2011 Lic Fabiana María Riva 52 Herramientas y Técnicas para… ♦ Determinar la probabilidad de alcanzar un objetivo. ♦ Cuantificar la exposición al riesgo y determinar el valor de reservas de contingencias de costo y cronograma contingencias de costo y cronograma que puedan ser necesarias. ♦ Identificar los riesgos que requieren mayor atención cuantificando su relativa contribución al riesgo. Julio de 2011 Lic Fabiana María Riva 53 Riesgo de Programación de Tiempos Julio de 2011 Lic Fabiana María Riva 54 Simulación de MonteCarlo ♦ La simulación es un método matemático que aplicado al cronograma explora todas las combinaciones de eventos ciertos e inciertos de duración de las actividades. ♦ Las duraciones se escogen al azar de funciones de distribución probabilística de entrada. ♦ El proyecto es entonces recalculado ♦ El proyecto es entonces recalculado ♦ Se recalculan las fechas de terminación muchas veces ♦ Se elabora una distribución de fechas de completitud ♦ La curva de probabilidad acumulada otorga los resultados. Julio de 2011 Lic Fabiana María Riva 55 Resultados de la Simulación Julio de 2011 Lic Fabiana María Riva 56 Resultados de la Simulación Julio de 2011 Lic Fabiana María Riva 57 Árboles de Decisión Julio de 2011 Lic Fabiana María Riva 58 PLANIFICACIÓN DE LAS RESPUESTAS A LOS RIESGOSRIESGOS Julio de 2011 Lic Fabiana María Riva 59 Objetivo y Resultados a Obtener ♦Objetivo: – Desarrollar opciones y determinar acciones que reduzcan las amenazas y aumenten las oportunidades para lograr los objetivos del proyecto. Resultados a Obtener:♦Resultados a Obtener: – Plan de Respuestas a Riesgos. – Determinación de reservas de contingencia. – Riesgos Residuales y secundarios. Julio de 2011 Lic Fabiana María Riva 60 Plan de Respuestas ♦ Incluye la identificación y asignación de personas o grupos responsables por las respuestas a cada riesgo. ♦ El plan de respuestas debe ser : – Apropiado a la severidad en cada riesgo. – Efectivo en costos.– Efectivo en costos. – Oportuno para ser exitoso. – Realista en el contexto. – Acordado por las partes involucradas. – Asignado a la persona responsable por ejecutar la respuesta. Julio de 2011 Lic Fabiana María Riva 61 Estrategia de Respuestas a Riesgos Negativos ♦ Evitar: No lo acepto de esa forma ♦ Transferir: Estoy dispuesto a transferir a un tercero el riesgo y la gestión del mismo, soy consciente de que no puedo eliminar todo el riesgo (Subcontratar, Asegurar) ♦ Mitigar: Estoy consciente del riesgo y haré lo posible para minimizar su ocurrencia ♦ Mitigar: Estoy consciente del riesgo y haré lo posible para minimizar su ocurrencia (probabilidad) y consecuencias (impacto) ♦ Aceptar: Estoy consciente del riesgo y estoy dispuesto a aceptar las consecuencias de su posible ocurrencia ♦ Contingencia: Tendré respuestas preparadas por si ocurre el evento (necesidad de señales tempranas de advertencia) Julio de 2011 Lic Fabiana María Riva 62 Plan de Respuestas a Riesgos Negativos Riesgo Nro. Desarrollo de Estrategias de respuesta a amenazas Evitar Aceptar Contingenci a o Reserva Mitigación TransferirMinimizar Probabilidad Minimizar Impacto Julio de 2011 Lic Fabiana María Riva 63 a o Reserva Probabilidad Impacto Estrategia Ventajas Desventajas Estrategia de Respuestas a Riesgos Positivos ♦ Explotar: Haré lo posible para asegurarme que la oportunidad sea una realidad ♦ Compart¡r: Estoy dispuesto a transferir a un tercero que está mejor capacitado para capturar la oportunidad ♦ Mejorar: Hará lo posible por maximizar su ocurrencia (probabilidad) y consecuencias ♦ Mejorar: Hará lo posible por maximizar su ocurrencia (probabilidad) y consecuencias (impacto) ♦ Aceptar: Estoy dispuesto a aceptar las consecuencias de su posible ocurrencia ♦ Contingencia: Tendré respuestas preparadas por si ocurre el evento (necesidad de señales tempranas de advertencia) Julio de 2011 Lic Fabiana María Riva 64 Plan de Respuestas a Riesgos Positivos Riesgo Nro. Desarrollo de Estrategias de respuesta a Oportunidades Explotar Aceptar Mejorar CompartirMaximizar Probabilidad Maximizar Impacto Julio de 2011 Lic Fabiana María Riva 65 Probabilidad Impacto Estrategia Ventajas Desventaja s COSTO DE LA GESTION DE RIESGOS Julio de 2011 Lic Fabiana María Riva 66 Seleccionar la mejor opción Implementar medidas de reducción Usar Juicio Antieconómico Nivel Total de Riesgos Julio de 2011 Lic Fabiana María Riva 67 Costo de Gestión Antieconómico Reservas Gerenciales y de Contingencia Julio de 2011 Lic Fabiana María Riva 68 SEGUIMIENTO Y CONTROL DE RIESGOS Julio de 2011 Lic Fabiana María Riva 69 Objetivo y Resultado a Obtener Objetivo: ♦ Definir un enfoque de seguimiento para monitorear los riesgos durante el desempeño del proyecto. Resultados a Obtener: ♦ Documentación de los resultados de las actividades del plan de gestión de riesgosactividades del plan de gestión de riesgos – Riesgos con probabilidad moderada a alta •Continuar con el plan de EVITAR Y MITIGAR. – Riesgos que se hayan materializado • Iniciar el PLAN DE CONTINGENCIAS – Riesgos que se hayan evitado. •Retirar de plan (pero documentar). Julio de 2011 Lic Fabiana María Riva 70 Procedimiento ♦ Ejecutar el Plan de Gestión de Riesgos – Riesgos con probabilidad moderada a alta: Continuar con el plan de EVITAR Y MITIGAR. – Riesgos que se hayan materializado: Iniciar el PLAN DE CONTINGENCIAS – Riesgos que se hayan evitado: Retirar – Riesgos que se hayan evitado: Retirar de plan (pero documentar). ♦ Ejecutar las estrategias de respuesta a medida que los riesgos ocurran ♦ Evaluar los resultados ♦ Documentar Julio de 2011 Lic Fabiana María Riva 71 Evaluación de Resultados ♦ Evaluar el estado general ♦ Re-evaluar riesgos – Probabilidad/Impacto/Eventosreales ♦ Re-evaluar estrategias de respuesta♦ Re-evaluar estrategias de respuesta – Éxitos y fracasos/Eventos/Riesgos re-evaluados – Realizar arreglos a medida que sea necesario – Comunicar cambios y estado Julio de 2011 Lic Fabiana María Riva 72 Documentación de Resultados ♦ La documentación de resultados de la Gestión de Riesgos es un proceso continuo ♦ Esta documentación – Provee una vinculación con el inicio del proyecto – Provee un resumen de lecciones – Provee un resumen de lecciones aprendidas – Funciona como un mecanismo de comunicación ♦ La documentación debe ser: Actualizada, precisa y completa, tan simple como sea posible ♦ Usar sentido común cuando se documenta ♦ Propagar la documentación Julio de 2011 Lic Fabiana María Riva 73 GESTIÓN DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓNINFORMACIÓN Julio de 2011 Lic Fabiana María Riva 74 Gestión de Riesgos en Seguridad de la información Julio de 2011 Lic Fabiana María Riva 75 RIESGOS Julio de 2011 Lic Fabiana María Riva 76 Clasificación de los Riesgos ♦ RIESGOS GENÉRICOS : Son todos los riesgos que afectan a cualquier proyecto u organización ♦ RIESGOS ESPECÍFICOS: Son riesgos asociados a un producto o a riesgos asociados a un producto o a una organización en particular en forma única y específica. Solo son identificables por aquellos que tienen una visión clara de la tecnología, personal y entorno específico. Julio de 2011 Lic Fabiana María Riva 77 Estructura de Desglose de Riesgos (PMI) Julio de 2011 Lic Fabiana María Riva 78 Los 9 procesos del PMI Integración Alcance Tiempos Gestión de Riesgos Variables del ciclo de vida y ambientales Expectativas. Factibilidad Objetivos de Tiempo. Restricciones Objetivos de Costos. Julio de 2011 Lic Fabiana María Riva 79 Costos Calidad RRHH Comunicaciones Gestión de Riesgos del Proyecto Adquisiciones Requerimientos. Estándares Transferencia precisa de información Disponibilidad. Productividad Costos. Restricciones Servicios. Materiales, performance Taxonomía del SEI 1. Acciones de las Personas 2. Fallas de Sistemas y Tecnología 1.1 Involuntarias 2.1 Hardware 1.1.1 Equivocación (acción incorrecta) 2.1.1 Capacidad 1.1.2 Error (por desconocimiento) 2.1.2 Rendimiento 1.1.3 Omisión (por apresuramiento) 2.1.3 Mantenimiento 1.2 Deliberadas 2.1.4 Obsolescencia 1.2.1 Fraude 2.2 Software 1.2.2 Sabotaje 2.2.1 Compatibilidad 1.2.3 Robo 2.2.2 Configuración Julio de 2011 Lic Fabiana María Riva 80 1.2.3 Robo 2.2.2 Configuración 1.2.4 Vandalismo 2.2.3 Control de Cambios 1.3 Inacción 2.2.4 Parámetros de Seguridad 1.3.1 Habilidad 2.2.5 Prácticas de Codificación 1.3.2 Conocimiento 2.2.6 Testing 1.3.3 Guía 2.3 Sistemas 1.3.4 Disponibilidad 2.3.1 Diseño 2.3.2 Especificaciones 2.3.3 Integración 2.3.4 Complejidad 3. Fallas de Procesos Internos 4. Eventos externos 3.1. Diseño de Procesos y Ejecución 4.1 Desastres 3.1.1 Flujo de Procesos 4.1.1 Climatológicos 3.1.2 Documentación de Procesos 4.1.2 Incendios 3.1.3 Roles y responsabilidades 4.1.3 Inundaciones 3.1.4 Notificaciones y alertas 4.1.4 Terremotos 3.1.5 Flujo de Información 4.1.5 Disturbios 3.1.6 Escalado de problemas 4.1.6 Pandemias 3.1.7 Acuerdo de Nivel de Servicio 4.2 Cuestiones Legales 3.1.8 Tarea fuera de control 4.2.1 Regulaciones 3.2 Control de Procesos 4.2.2 Legislación Taxonomía del SEI…. Julio de 2011 Lic Fabiana María Riva 81 3.2 Control de Procesos 4.2.2 Legislación 3.2.1 Monitorización del estado 4.2.3 Litigios 3.2.2 Métricas 4.3 Cuestiones del Negocio 3.2.3 Revisiones Periódicas 4.3.1 Fallas del Suministro 3.2.4 Dueño del Proceso 4.3.2 Condiciones del Mercado 3.3 Procesos de Soporte 4.3.3 Condiciones Económicas 3.3.1 Dotación del Personal 4.4 Dependencias con Servicios 3.3.2 Recursos 4.4.1 Servicios Públicos 3.3.3 Entrenamiento y desarrollo 4.4.2 Servicios de Emergencia 3.3.4 Adquisición 4.4.3 Combustible 4.4.4 Transporte AMENAZAS Y VULNERABILIDADES Julio de 2011 Lic Fabiana María Riva 82 La “protección física” Julio de 2011 Lic Fabiana María Riva 83 La violación al “acceso restringido” Julio de 2011 Lic Fabiana María Riva 84 El “desconocimiento tecnológico” y la falta de prevención en el resguardo Julio de 2011 Lic Fabiana María Riva 85 ¿Para qué quieren nuestros datos? Julio de 2011 Lic Fabiana María Riva 86 La Ingeniería Social Julio de 2011 Lic Fabiana María Riva 87 Los “hackers” Julio de 2011 Lic Fabiana María Riva 88 El Malware Julio de 2011 Lic Fabiana María Riva 89 El Malware Julio de 2011 Lic Fabiana María Riva 90 Contraseñas (in)seguras Julio de 2011 Lic Fabiana María Riva 91 ALGUNOS MITOS ♦ ¿Quién va a querer mis datos? ♦Compré un paquete de seguridad. ♦ La culpa la tiene Windows Los virus son parte de la informática Julio de 2011 Lic Fabiana María Riva 92 ♦ Los virus son parte de la informática ♦ Los hackers son malos ERRORES MAS COMUNES ♦Ya tenemos un firewall.. ya tenemos seguridad ¿no? ♦No estoy en internet no necesito seguridad. Julio de 2011 Lic Fabiana María Riva 93 seguridad. ♦Mis empleados son gente de confianza!! ♦Nunca ha pasado nada…. ♦Ver el problema de seguridad como un problema exclusivamente tecnológico ATAQUE INFORMÁTICO Julio de 2011 Lic Fabiana María Riva 94 ACTIVOS Julio de 2011 Lic Fabiana María Riva 95 CLASIFICACIÓN DE ACTIVOS ♦ Identificación de activos y componentes críticos ♦ Clasificación a partir de criterios basados en su confidencialidad, integridad y disponibilidad. Julio de 2011 Lic Fabiana María Riva 96 disponibilidad. ♦ Utilizado para la identificación de amenazas potenciales y controles apropiados a la naturaleza del activo. ♦ Obtener Inventario o Catálogo de Activos. CATEGORÍAS DE ACTIVOS ♦ Activos de información ♦ Activos de software ♦ Activos físicos ♦ Servicios ♦ Otros activos: imagen de la organización, Julio de 2011 Lic Fabiana María Riva 97 ♦ Otros activos: imagen de la organización, objetivos, servicios producidos, credibilidad, etc. Subclasificación dependiendo del acceso: ♦ Desclasificado ♦ Compartido ♦ Sólo para la organización ♦ Confidencial RESPONSABILIDAD La responsabilidad de cada activo deberá estar asignada Julio de 2011 Lic Fabiana María Riva 98 activo deberá estar asignada sobre cada propietario VALOR DE LOS ACTIVOS Julio de 2011 Lic Fabiana María Riva 99 DIMENSIONES DE VALORACIÓN Se utilizan para medir las consecuencias de la materialización de una amenaza ♦ Necesidad de disponibilidad del activo Julio de 2011 Lic Fabiana María Riva 100 ♦ Nivel de pérdida de integridad del activo ♦ Nivel de confidencialidad – Aseguramiento de la identidad del origen – trazabilidad del Servicio y trazabilidad de Datos. CRITERIOS DE VALORACIÓN Impacto, valoración económica derivada de la inversión económica de reposición ante la pérdida o escala Julio de 2011 Lic Fabiana María Riva 101 ante la pérdida o escala cualitativa REQUERIMIENTOS DE SEGURIDAD Y CONTROLES Julio de 2011 Lic Fabiana María Riva 102 CONTROLES O SALVAGUARDAS Permiten hacer frente a las amenazas. Aspectos: ♦ Seguridad física ♦ Procedimientos♦ Procedimientos ♦ Política de personal ♦ Soluciones técnicas La protección integral de un sistema de información requerirá una combinación de controles Julio de 2011 Lic Fabiana María Riva 103 SEGURIDAD FÍSICA Consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y como medidas de prevención y contramedidas ante amenazas a los recursos informáticos y a la información Julio de 2011 Lic Fabiana María Riva 104 SEGURIDAD FÍSICA ♦ Prevención de amenazas climatológicas e incendios ♦ Restringir el acceso físico a las instalaciones ♦ Instalar mecanismos de control de la seguridad (cámaras de seguridad, alarmas, guardias, sistemas biométricos, etc.)guardias, sistemas biométricos, etc.) A nivel de: ♦ Infraestructura física de las instalaciones ♦ Infraestructura tecnológica Julio de 2011 Lic Fabiana MaríaRiva 105 SEGURIDAD LÓGICA Consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo lo permitan a las datos y sólo lo permitan a las personas autorizadas. Julio de 2011 Lic Fabiana María Riva 106 SEGURIDAD LÓGICA ♦ Restringir el acceso ♦ Asignar privilegios y limitaciones ♦ Asegurarse del correcto uso de archivos y programas ♦ Controlar el flujo de entrada/salida de la información (transferencia segura, seguridad información (transferencia segura, seguridad perimetral) A nivel de: ♦ Sistema Operativo ♦ Aplicación ♦ Base de Datos ♦ Archivos Julio de 2011 Lic Fabiana María Riva 107 ESTRUCTURA DE SEGURIDAD HOY…. Seguridad de la InformaciónSeguridad de la InformaciónSeguridad de la InformaciónSeguridad de la Información Seguridad FísicaSeguridad FísicaSeguridad FísicaSeguridad FísicaSeguridad LógicaSeguridad LógicaSeguridad LógicaSeguridad Lógica Julio de 2011 Lic Fabiana María Riva Seguridad FísicaSeguridad FísicaSeguridad FísicaSeguridad FísicaSeguridad LógicaSeguridad LógicaSeguridad LógicaSeguridad Lógica Planes de Continuidad del Negocio Planes de Continuidad del Negocio Planes de Continuidad del Negocio Planes de Continuidad del Negocio Planes de Contingencia Planes de Contingencia Planes de Contingencia Planes de Contingencia Planes de Recuperación ante desastres Planes de Recuperación ante desastres Planes de Recuperación ante desastres Planes de Recuperación ante desastres CONTINGENCIAS DEL NEGOCIOCONTINGENCIAS DEL NEGOCIOCONTINGENCIAS DEL NEGOCIOCONTINGENCIAS DEL NEGOCIO 108 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNINFORMACIÓN Julio de 2011 Lic Fabiana María Riva 109 SGSI Propósito: garantizar que los riesgos a la seguridad de la información sean asumidos, gestionados y minimizados por la organización de una forma organización de una forma sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. Julio de 2011 Lic Fabiana María Riva 110 LEYES Y REGULACIONES Argentina: ♦ Ley 25.326 de Protección de datos modificada por Ley 26343 (incorpora artículo 47) y artículo 43 de la Constitución Nacional ♦ Ley 11.723 sobre Propiedad Intelectual ♦ Comunicación “A” 4609 del BCRA para ♦ Comunicación “A” 4609 del BCRA para entidades Financieras. ♦ Ley 25506 de Firma Digital Internacionales: ♦ Basilea II ♦ Ley Sarbanes-Oxley (SOX). Julio de 2011 Lic Fabiana María Riva 111 CICLO DE CALIDAD PARA EL SGSI Julio de 2011 Lic Fabiana María Riva 112 CICLO DE CALIDAD PARA EL SGSI Julio de 2011 Lic Fabiana María Riva 113 ES MUY IMPORTANTE ESTABLECER POLITICA DE SEGURIDAD “una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas de información y que proporciona las bases para definir y proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán”. Julio de 2011 Lic Fabiana María Riva 114 Autorización Protección Física Confidencialidad Confiabilidad POLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDADPOLÍTICA DE SEGURIDAD Julio de 2011 Lic Fabiana María Riva Exactitud Política de Seguridad Propiedad Eficacia Eficiencia Integridad Legalidad Disponibilidad 115 CICLO DE CALIDAD PARA EL SGSI Julio de 2011 Lic Fabiana María Riva 116 CICLO DE CALIDAD PARA EL SGSI Julio de 2011 Lic Fabiana María Riva 117 CICLO DE CALIDAD PARA EL SGSI Julio de 2011 Lic Fabiana María Riva 118 PLANES ♦ Plan de Continuidad de Negocio ♦ Plan de Contingencia ♦ Plan de Recuperación ante desastres Julio de 2011 Lic Fabiana María Riva ♦ Plan de Recuperación ante desastres 119 FIN…?
Compartir