Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Datos del Profesor:                                        Ing. Jesús Vílchez Sandoval                                    ...
Ing. Jesús Vílchez SandovalSistemas deSEGURIDAD EN REDES                Basado en la presentación del Mg. Jean del Carpio
ContenidoGestión del RiesgoDeterminación del Nivel RiesgoDeterminación de la ProbabilidadDeterminación del ImpactoEva...
Gestión del Riesgo
Enfoque para la Gestión del Riesgo   En la cláusula 4.2.1 (c) se requiere que la organización identifique y    adopte un ...
Consideraciones para la Gestión del Riesgo   Se debe determinar el criterio para la aceptación del riesgo,    documentand...
Ciclo del Análisis y Evaluación del Riesgo
Proceso del Análisis y Evaluación del Riesgo
Determinación del nivel deriesgo                 Basado en MAGERIT
Identificación de Riesgos• Probabilidad de que una  amenaza se materialice,  explotando alguna  vulnerabilidad.•   Identif...
Amenazas y Vulnerabilidades                             [A] Amenazas que pueden comprometer las dimensiones de un activoId...
Determinación de Riesgos                                MAPA DE RIESGOSProbabilidad / Frecuencia     5                    ...
Determinación del Riesgo   Medición del Riesgo
Determinación de laProbabilidad                Basado en MAGERIT
Determinación de la ProbabilidadEnfoque cualitativo, basado en juicio experto.
Determinación del Impacto           Basado en el Método Australiano
Determinación del Impacto• El Impacto de los procesos en la empresa debido a la no  disponibilidad de servicios TI (BIA-Bu...
Determinación del Impacto                                               5                                                 ...
ImpactoLos servicios TI heredan el impacto del principalproceso al que asisten.
Evaluación del Riesgo             Basado en ISO 27001 – Anexo A
Evaluación del Riesgo    • Si el riesgo es aceptable, finaliza el proceso.    • Caso contrario:           – Transferir (to...
A5 - Política de S.I.Ejemplo:• Los sistemas de información son activos de vital importancia para el   Banco, y sus debilid...
A6 - Organización de la S.I.                  Dominio ISO 27001                        Unidad Organizacional      1 Políti...
A7 - Gestión Activos de Información                   Clasificación de Recursos / Activos TI*        Categoría            ...
1 Ej. Servidor de BD    Servicio LBTR                                              2      Medio       N°                 A...
A8 - Seguridad de los RR.HH. Cuidados 1. Antes 2. Durante, y 3. Después de la incorporación de talentos.  Normativa / Pro...
?   Preguntas
Laboratorio              Análisis de Riesgos
EjercicioAnálisis de Riesgos
SEGURIDAD EN REDESFIN DE SESION
Upcoming SlideShare
Loading in …5
×

Analisis de riego segunda parte

875 views

Published on

  • Be the first to comment

Analisis de riego segunda parte

  1. 1. Datos del Profesor: Ing. Jesús Vílchez Sandoval CIP 129615 email:jvilchez@utp.edu.pe http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094Coordinador de la Oficina de Calidad y Acreditación - FIEM
  2. 2. Ing. Jesús Vílchez SandovalSistemas deSEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
  3. 3. ContenidoGestión del RiesgoDeterminación del Nivel RiesgoDeterminación de la ProbabilidadDeterminación del ImpactoEvaluación del RiesgoTratamiento del Riesgo © Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
  4. 4. Gestión del Riesgo
  5. 5. Enfoque para la Gestión del Riesgo  En la cláusula 4.2.1 (c) se requiere que la organización identifique y adopte un método y un enfoque sistémico para el cálculo del riesgo de sus activos de información.  La gestión de los riesgos puede utilizar diferentes enfoques gerenciales y métodos de cálculo del riesgo que satisfagan a la organización.  El enfoque que la empresa escoja y su nivel de detalle y complejidad afectará proporcionalmente en el esfuerzo y cantidad de recursos requeridos durante el proceso de cálculo y posterior tratamiento de los riesgos.  El cálculo del riesgo debe ser tan detallado y complejo como sea necesario para poder atender eficazmente los requerimientos de la organización y lo que se requiera según el alcance establecido por el SGSI.
  6. 6. Consideraciones para la Gestión del Riesgo  Se debe determinar el criterio para la aceptación del riesgo, documentando las circunstancias bajo las cuales la organización está dispuesta a aceptar los riesgos.  Identificación de los niveles de riesgo que la organización considere aceptables.  Cobertura de todos los aspectos del alcance del SGSI. El enfoque escogido por la empresa, para el cálculo del riesgo debe contemplar un análisis exhaustivo de todos los controles presentados en el Anexo A de ISO 27001:2005.  El cálculo del riesgo debe lograr un claro entendimiento sobre que factores deben controlarse , en la medida en que estos factores afecten el correcto funcionamiento de los sistemas, servicios y procesos que sean críticos para la organización.
  7. 7. Ciclo del Análisis y Evaluación del Riesgo
  8. 8. Proceso del Análisis y Evaluación del Riesgo
  9. 9. Determinación del nivel deriesgo Basado en MAGERIT
  10. 10. Identificación de Riesgos• Probabilidad de que una amenaza se materialice, explotando alguna vulnerabilidad.• Identificar activos TI,• Identificar amenazas y vulnerabilidades,• Determinar frecuencia e impacto,• Determinar el riesgo.(*) Revisar catálogo MAGERIT.
  11. 11. Amenazas y Vulnerabilidades [A] Amenazas que pueden comprometer las dimensiones de un activoIdentificación del Riesgo [N] Desastres naturales [I] De origen industrial [E] Errores y fallos no intencionados [A] Ataques intencionados Dimensiones D I C A T [SW] Software / Aplicaciones I.5 Avería de origen físico o lógico 1 1 Dimensiones E.1 Errores de los usuarios 1 1 E.2 Errores de los administradores 1 1 1 1 1 D Disponibilidad E.3 Errores de monitoreo (logs) 1 I Integridad E.4 Error en el establecimiento de datos de configuración 1 1 1 1 1 C Confidencialidad E.8 Difusión casual de software dañino (malware) 1 1 1 1 1 E.9 Errores de encaminamiento (de información) 1 1 1 1 A Autenticidad E.10 Errores de secuencia (orden) de mensajes transmitidos 1 T Trazabilidad E.14 Escape de información 1 E.20 Vulnearbilidades en el código (programa) 1 1 1 E.21 Errores en el mantenimiento del código (programa) 1 1 A.4 Manipulación de la configuración 1 1 1 1 1 A.5 Suplantación de identidad de usuario 1 1 1 A.6 Abuso de privilegios de acceso 1 1 A.7 Utilización del recurso para uso no previsto 1 A.8 Difusión intencionada de software dañino (malware) 1 1 1 1 1 A.9 Encaminamiento de mensajes 1 1 1 1 A.10 Alteración de secuencia (de mensajes) 1 A.11 Acceso no autorizado (aprovechando una debilidad) 1 1 A.14 Interceptación de información (escucha) 1 A.22 Manipulación de programas 1 1 1 1 • A cargo de especialistas en seguridad, riesgos y administradores de activos.
  12. 12. Determinación de Riesgos MAPA DE RIESGOSProbabilidad / Frecuencia 5 Extremo Intolerable 4 Tolerable Aceptable 3 2 1 Impacto 1 2 3 5 8
  13. 13. Determinación del Riesgo Medición del Riesgo
  14. 14. Determinación de laProbabilidad Basado en MAGERIT
  15. 15. Determinación de la ProbabilidadEnfoque cualitativo, basado en juicio experto.
  16. 16. Determinación del Impacto Basado en el Método Australiano
  17. 17. Determinación del Impacto• El Impacto de los procesos en la empresa debido a la no disponibilidad de servicios TI (BIA-Business Impact Analysis).• Se puede determinar a partir de: – Factor de impacto del macro proceso en el cumplimiento de la misión y objetivos (Fp) – Nivel de soporte del servicio TI (NS) – RTO-Recovery Time Objective.
  18. 18. Determinación del Impacto 5  10  I p = Fp * NS p * ∑ ∑ I RTO( k )  * PRA( i ) i =1  k =1  Tabla de Impacto (x Área) 8 Desastroso Pérdida total del servicio 5 Mayor Pérdida permanente de la información o sistemas 3 Moderado Pérdida temporal de la información o sistemas 2 Menor Pérdida de información parcial 1 Insignificante Sin pérdida de información
  19. 19. ImpactoLos servicios TI heredan el impacto del principalproceso al que asisten.
  20. 20. Evaluación del Riesgo Basado en ISO 27001 – Anexo A
  21. 21. Evaluación del Riesgo • Si el riesgo es aceptable, finaliza el proceso. • Caso contrario: – Transferir (tomar un seguro), Impacto – Evitar (retirar activo), o Transferir Evitar – Mitigar el riesgo, a través de: Aceptar Mitigar • Controles1 preventivos, o • Correctivos. Probabilidad --- [1] Salvaguardas o medidas de mitigación.
  22. 22. A5 - Política de S.I.Ejemplo:• Los sistemas de información son activos de vital importancia para el Banco, y sus debilidades de seguridad afectarían el normal desarrollo de las actividades y operaciones.• La gestión del riesgo operativo y tecnológico forma parte de la gestión institucional (vía políticas y controles de sus sistemas de información). El Banco acata los requerimientos de seguridad de las entidades competentes nacionales e internacionales.• Los colaboradores asumen una responsabilidad individual respecto a la seguridad de los sistemas de información, así como del uso de información privilegiada en la Institución. 22
  23. 23. A6 - Organización de la S.I. Dominio ISO 27001 Unidad Organizacional 1 Política de Seguridad Gerencias Centrales 2 Organización de la Seguridad Gerencia de Riesgos 3 Control y Clasificación de la Información Secretaria General 4 Seguridad del Personal Gerencia de Recursos Humanos 5 Seguridad Física y Ambiental Gerencia de Compras y Servicios 6 Gestión de Comunicaciones y Operaciones 7 Control de Acceso Gerencia de Tecnologías de Información 8 Desarrollo y Mantenimiento de Sistemas 9 Gestión de Incidentes Gerencia de Riesgos 10 Gestión de la Continuidad Gerencias Centrales 11 Cumplimiento regulatorio Gerencia Jurídica Participación integral de los responsables del proceso. 23
  24. 24. A7 - Gestión Activos de Información Clasificación de Recursos / Activos TI* Categoría EjemplosSW Software / Aplicaciones Aplicaciones, sistemas operativos, herramientas de desarrollo y utilitarios Servidores (S.O.), PCs, routers, hubs, firewalls, medio magnético,HW Hardware / equipos gabinetes, cajas fuertes, salas, mobiliario, sistema de alarma, etc. SI Soportes de información SAN, discos, cintas, USB, CD, DVD BDsCOM Redes de comunicaciones Medios de transporte que llevan datos de un sitio a otro BD, archivos de datos, contratos y acuerdos, documentación del sistema, información de investigación, manuales de usuario, material deDAT Datos / Información entrenamiento, de operación, procedimientos de soporte, planes de continuidad y contingencia, acuerdos Equipamiento de soporte a los sistemas de información (UPS,AUX Equipamiento auxiliar Generados, Aire acondicionado, cableado, etc.) Lugares donde se hospedan los sistemas de Información, registrosINS Locales / Instalaciones vitales y comunicaciones Personas, calificaciones, experiencia y capacidades (usuarios,PER Personal / RR.HH. proveedores, personal de TI) Vigilancia, servicios de impresión, computación, telecomunicaciones,SRV Servicios generales eléctrica, agua, etc. 24
  25. 25. 1 Ej. Servidor de BD Servicio LBTR 2 Medio N° Activo TI Valor Riesgo BDs 1 Aplicación LBTR Web (Java EE - BD) 5 2 Medio 2 Servidor de BD (DBS) 5 1 Bajo 3 Servidor de Aplicaciones 5 2 Medio 4 Servidor Web (SUN Web Server) 5 1 Bajo 5 Seguridad de datos (Six/Security, HSM) 4 2 Medio 6 Red de Bancos (Extranet) 4 1 Bajo 7 Red Of. Principal (Intranet) 3 2 Medio 8 Seguridad Perimétrica (Firewall) 3 1 Bajo 9 Administración TI (Resp. servicio) 4 2 Medio 10 Normativa (Procedimientos / guías) 2 1 Bajo 11 Estación de trabajo 2 1 Bajo Servidor de BD Base de Datos Plataforma SUN Solaris Plataforma Sun Solaris Servidor y Sistema Operativo Administración TI (DBA) Normativa (Procedimiento / Guía) Sistema de almacenamiento Centro de Datos Institucional (CDI) Centro Externo de Respaldo (CER) Servicio de respaldo (Back-up) Administrador TI (Plataforma)1] Los valores son de ejemplo. Normativa (Procedimiento / Guía)
  26. 26. A8 - Seguridad de los RR.HH. Cuidados 1. Antes 2. Durante, y 3. Después de la incorporación de talentos.  Normativa / Procedimientos, buenas prácticas.
  27. 27. ? Preguntas
  28. 28. Laboratorio Análisis de Riesgos
  29. 29. EjercicioAnálisis de Riesgos
  30. 30. SEGURIDAD EN REDESFIN DE SESION

×