Download - Gestión de Riesgos Informacion
Gestión de Riesgos de la Información
Eric Donders O.
Septiembre 2010
Eric José Donders Orellana
Magister en Seguridad Informática y Protección de la Información, Universidad Central, 2009
Postítulo en Seguridad de la Información, Universidad Central, 2007
Diplomado en Criptografía, Universidad Central, 2007
Ingeniero Civil en Computación, Universidad de Chile, 1989
CISSP, desde el 2002
Lead Auditor BS7799-2, 2003
Oficial de Seguridad TI desde el 2002
Miembro de ISACA
Comprender los amplios requerimientos para la
gestión adecuada en la Organización del proceso de
riesgos de la información, así como los elementos y
las acciones que se requieren para desarrollar dicho
proceso para implementarlo basado en estándares.
Problemática de Riesgo de Información en la Organización
Definición de Roles y Responsabilidades
Activos de Información y su Valorización
Amenazas y Vulnerabilidades
Proceso de Gestión de Riesgos
Norma ISO 27005
Ejemplo de Matriz
2010
La aplicación sistemática de políticas, prácticas y procedimientos de Gestión a las tareas de identificar, analizar, evaluar, tratar y monitorear el Riesgo
Gestión
•Proceso
•Mejora
Riesgo
•Medir
Información
•Valor
Objetivo Fundamental Identificar, cuantificar y administrar los riesgos
relacionados con la seguridad de información para alcanzar los objetivos de negocio mediante una serie de tareas
Requieren del conocimiento del gerente de seguridad de la información sobre técnicas clave para la Gestión de riesgos La gestión de los riesgos de seguridad de la información involucran riesgos tecnológicos, humanos, ambientales, operativos y físicos, entre otros.
Conocer los Procesos
Clasificar y Valorizar los activos de información y sus propietarios
Evaluar amenazas y vulnerabilidades
Valorar los riesgos en base a impacto y probabilidad
Hacer una gestión continua de riesgos y valorizaciones
Establecer controles y contramedidas
Reportar a niveles de gestión apropiados
Fase1 A Fase2 B Fase3 C
Para que la información cumpla su objetivo, debe satisfacer cinco características
Actualizada La información debe ser capturada cuando
se genera.
Exacta Ante tanta información disponible, debe
buscarse la relevante, ni más ni menos.
Oportuna Velocidad de acceso a la información y
disponibilidad de alto nivel.
Confiable La información debe ser creíble y de
calidad.
Explicable Se debe poder ver, a todos los niveles de
detalle, el origen de la información.
La información adopta diversas formas
Impresa o escrita en papel
Almacenada electrónicamente
Transmitida por medios electrónicos
Transmitida por medios no electrónicos
Mostrada en video
Hablada en conversaciones
ISO 17799, 2000
“La información es un bien, que como cualquier otro bien importante del negocio, tiene valor para la empresa y requiere en consecuencia una protección adecuada”
La preservación de la confidencialidad, integridad y disponibilidad.
Confidencialidad
Asegurar que la información sea accesible sólo
para usuarios autorizados, protegiendo al
sistema de intrusiones o accesos a personas o
programas no autorizados.
Integridad
Salvaguardar que la información y los métodos
de procesamiento sean exactos y completos.
Disponibilidad
Asegurar que los usuarios autorizados tengan
acceso a la información y bienes asociados
cuando lo requieran.
Riesgo es la probabilidad de estar expuesto a un peligro. En término de seguridad, el riesgo es la probabilidad que una amenaza aproveche una vulnerabilidad
Riesgo = Impacto * Probabilidad
AMENAZA: Es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
VULNERABILIDAD: Es la probabilidad de éxito de una categoría de amenaza particular en contra de la organización. Son las inseguridades que posee el activo tanto por problemas tecnológicos, como problemas de procedimientos.
PROBABILIDAD: Es una medida porcentual para estimar la posibilidad de ocurrencia de una amenaza
IMPACTO: Consecuencias que puede ocasionar a la organización la materialización de una amenaza. Es el daño al negocio como resultado de un incumplimiento de seguridad de información, considerando las potenciales consecuencias de pérdidas o fallas de la información.
En un análisis de riesgos cuantitativo, las métricas asociadas con el impacto causado por la materialización de las amenazas se valoran en cifras concretas de forma objetiva, en función del costo económico que suponen para la organización. Emplea dos elementos, la probabilidad de que se produzca un hecho y la probable pérdida en caso que ocurra. Se centra en el uso de una sola cifra producida a partir de estos elementos, a esto se le denomina comúnmente “ALE” Annual Loss Expectancy Este análisis se basa en obtener medidas cuantitativas de los riesgos en base a mediciones o estimaciones. Para esto, se asigna un valor económico al impacto (I), que debe asumirse en el caso de que ocurra el riesgo, y una probabilidad (P) de ocurrencia (por ejemplo, porcentual), con lo que se obtiene el valor estimado del riesgo VE=P*I
Asignar valor a los activos de información Estimar la pérdida potencial por riesgo. Calcular la Expectativa de pérdida unitaria (SLE: Single
Loss Expectancy), que es el costo del activo por el factor de exposición.
Factor de exposición (EF: Exposure Factor): Es el porcentaje estimado de pérdida del activo por una amenaza en particular.
SLE = Valor del Activo * EF Calcular la probabilidad de ocurrencia (ARO: Annualized Rate of Ocurrence): Es el número de veces al año que se espera que se materialice una amenaza. Calcular la Expectativa de pérdida (ALE: Annualized Loss Expectancy) ALE = SLE * ARO
VA = US$ 5.000
FE = 90%
SLE = US$ 4.500
ARO = 5 eventos por
año
ALE = 4.500 * (5/1)
ALE = US$20.000
VA = US$ 1.000.000
FE = 90%
SLE = US$ 900.000
ARO = 1 evento por 10
años
ALE = 900.000 * (1/10)
ALE = US$90.000
La activación de Virus en el interior de las compañías afecta su operación, lo cual trae consigo un costo operacional al no contar con los controles que prevenga el ingreso de Virus, y si al Virus se propaga tiene un costo operacional mas alto. Se estima la perdida anual por no tener el control (ALE: Annual Loss Exposure) y se multiplica por su nivel de exposicion (eficiencia del control) Luego el retorno de la inversión del control de seguridad (ROSI) será (ALE* %Riesgo Mitigado - Costo Control) / Costo
Control.
Se estima un costo por perdida por Virus (Gran Progagación y Daño) en US$ 5000, y por la gran cantidad de estaciones +1500 se estima 5 eventos anuales, luego el ALE es US$25000, suponiendo una eficiencia de 80% (ingreso uno de cinco relevantes) y el costo directo del control anual es de 45000/3 = 15000, entonces tenemos el: ROSI = ( [25000*80% - (15000] ) / (15000) = 33,3% anual Son cálculos conservadores, lo que varia el retorno del control es su impacto.
Análisis
Cuantitativo
Ventajas Desventajas – Se asignan prioridades a los
riesgos según las repercusiones
financieras; se asignan prioridades
de los activos según los valores
financieros.
– Los resultados facilitan la
administración del riesgo por el
rendimiento de la inversión en
seguridad.
– Los resultados se pueden
expresar en terminología
específica de administración (por
ejemplo, los valores monetarios y
la probabilidad como un
porcentaje específico).
– La precisión tiende a ser mayor
con el tiempo a medida que la
organización crea un registro de
historial de los datos mientras gana
experiencia.
– Los valores de repercusión
asignados a los riesgos se basan en
las opiniones subjetivas de los
participantes.
– El proceso para lograr resultados
creíbles y el consenso es muy
lento.
– Los cálculos pueden ser
complejos y lentos.
– Los resultados sólo se presentan
en términos monetarios y pueden
ser difíciles de interpretar por parte
de personas sin conocimientos
técnicos.
– El proceso requiere experiencia,
por lo que los participantes no
pueden recibir cursos fácilmente
durante el mismo.
En el análisis de riesgos cualitativo, las métricas asociadas con el impacto causado por la materialización de las amenazas se valoran en términos subjetivos. Este enfoque no asigna números ni valores monetarios, califica dentro de una escala el riesgo, por ejemplo, Alto-Medio-Bajo Es mucho más sencillo e intuitivo que el anterior, ya que ahora no entran en juego probabilidades exactas sino simplemente una estimación de pérdidas potenciales. Para ello se interrelacionan cuatro elementos principales: las amenazas, presentes en cualquier sistema; las vulnerabilidades, que potencian el efecto de las amenazas; el impacto asociado a una amenaza, que indica los daños sobre un activo por la materialización de dicha amenaza y los controles o contramedidas, para minimizar las vulnerabilidades o el impacto
Análisis
Cualitativo
Ventajas Desventajas
– Permite la visibilidad y la
comprensión de la
clasificación de riesgos.
– Resulta más fácil lograr
el consenso.
– No es necesario
cuantificar la frecuencia de
las amenazas.
– No es necesario
determinar los valores
financieros de los activos.
– Resulta más fácil
involucrar a personas que
no sean expertas en
seguridad o en informática.
– No hay una distinción
suficiente entre los riesgos
importantes.
– Resulta difícil invertir en
la implementación de
controles porque no existe
una base para un análisis de
costo-beneficio.
– Los resultados dependen
de la calidad del equipo de
administración de riesgos
que los hayan creado.
Se puede encontrar una gran cantidad de normas para el análisis y gestión de riesgos de seguridad de la información.
Todos los países cuentan con entidades que establecen dichas directrices de acuerdo a parámetros internos, políticas de gobierno, de inversión y la manera cómo perciben la importancia de la información.
Risk Management En 1999 australianos y neozelandeses publicaron en forma conjunta un estándar para la caracterización de un proceso de gestión de riesgos, AS/NZS 4360:1999.
Tras su primer ciclo de revisión, la versión más reciente data de 2004 y conforma un paquete completo que incluye el manual de apoyo HB 436:2004.
Esta norma provee una guía genérica para el establecimiento e implementación del proceso de administración de riesgos en seguridad de la información.
Risk Management Guidelines La norma británica BS 7799-3:2006, “Sistemas de Gestión de Seguridad de la Información-Parte 3: Guías para la gestión de riesgos de seguridad de la información”, proporciona una guía para soportar los requisitos establecidos por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en la construcción de un SGSI.
Estas tareas incluyen la identificación y evaluación del riesgo, implementación de controles para reducirlos, monitorización y revisión de los riesgos, y mantenimiento y mejora continua del sistema basado en el control del riesgo
Information technology-Security techniques-Information security risk management La norma ISO/IEC 27005:2008, “Tecnologías de la información-Técnicas de Seguridad-Gestión del riesgo de seguridad de la información”, forma parte de la familia ISO 27000, conjunto de estándares desarrollados por ISO e IEC, que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. [ISO 27005, 2008]. ISO 27005 soporta los conceptos definidos en la ISO 27001. Para su entendimiento se recomienda conocer los conceptos, modelos, procesos y terminología de esta norma y de la ISO 27002.
La norma 27005 ha sido diseñada para ayudar a la puesta en práctica satisfactoria del análisis y gestión del riesgo, fase principal del diseño de todo buen sistema de gestión de la seguridad de la información (SGSI). Esta norma actualiza a la antigua ISO/IEC TR 13335-3 y 13335-4 El proceso de Gestión de Riesgos se describe en seis fases
Establecimiento del contexto: se definen los objetivos, alcance y la organización para todo el proceso Valoración de riesgos: se obtiene la información necesaria para conocer, valorar y priorizar los riesgos. Se divide en tres partes: Análisis de Riesgos
• Identificación de riesgos: consiste en determinar qué puede provocar pérdidas en la organización.
• Estimación de riesgos: utilizar métodos cuantitativos o cualitativos para obtener una cuantificación de los riesgos identificados, teniendo en cuenta los activos, amenazas y salvaguardas.
Evaluación de riesgos: se comparan los riesgos estimados con los criterios de evaluación y aceptación de riesgos definidos en el establecimiento del contexto.
Tratamiento de riesgos: se define la estrategia para tratar cada uno de los riesgos valorados; reducción, aceptación, evitación o transferencia. Aceptación de riesgos: se determinan los riesgos que se decide aceptar y su justificación correspondiente Comunicación de riesgos: todos los grupos de interés intercambian información sobre los riesgos. Monitorización y revisión de riesgos: el análisis de riesgos se actualiza con todos los cambios internos o externos que afectan a la valoración de los riesgos.
El proceso de gestión de riesgos de seguridad de la información, se basa en el ciclo de mejoramiento continuo de Deming (PDCA).
Este ciclo contempla cuatro etapas
Ciclo de Deming Proceso de Gestión de riesgos de
seguridad de la información
Planificar (Plan)
Establecimiento del contexto
Valoración de riesgos
Desarrollo del plan de tratamiento de riesgos
Aceptación de riesgos
Ejecutar (Do) Implantación del plan de tratamiento de riesgos
Verificar (Check) Monitorización y revisión continua de riesgos
Actuar (Act) Mantenimiento y mejora del proceso de gestión
de riesgos de seguridad de la información
Nombre País Año Organización Conformidad
Regulatoria Herramienta
ISO/IEC
27005:2008 Internacional (Suiza) 2008
ISO-International Organization
for Standardization
ISO/IEC 27001/2005
ISO/IEC 13335/2004
ISO/IEC
27002/2005
No
BS 7799-3:2006 Reino Unido 2006 BSI-British Standards Institution ISO/IEC
27001/2005 No
AS/NZS
4360:2004 Australia/Nueva Zelanda 2004
AS/ZNS-Australian
Standards/New Zealand
Standards
N/A No
MAGERIT España 2006 Consejo Superior de
Administración Electrónica
ISO/IEC
27001/2005
ISO/IEC
15408/2005
ISO/IEC
17799/2005
ISO/IEC 13335/2004
LOPD 15/1999
Sí, (EAR/
Pilar)
CRAMM Reino Unido 2003 CCTA-Central Computing and
Telecommunications Agency
ISO/IEC17799
GLBA
HIPPA
Sí , CRAMM expert
OCTAVE Estados Unidos 2001-
2007
Carnegie Mellon University
CERT
(Computer Emergency
Response Team)
N/A Sí
NIST SP 800-30 Estados Unidos 2002 NIST-National Institute of
Standards and Technology N/A No
Nombre
Alcance
Análisis de Riesgos Gestión de Riesgos
ISO/IEC 27005:2008 • • BS 7799-3:2006 • •
AS/NZS 4360:2004 • • MAGERIT • • CRAMM • • OCTAVE • •
NIST SP 800-30 • •
Confidencialidad: aseguramiento de que la información es accesible solo para aquellos autorizados a tener acceso. Integridad: garantía de la exactitud y completitud de la información de la información y los métodos de su procesamiento. Disponibilidad: aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. Autenticidad: Aseguramiento de la identidad u origen. La información que se almacena o circula, debe permanecer protegida ante falsificaciones. Trazabilidad: Aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento. Fiabilidad: Aseguramiento de que la información está en buen estado y es confiable.
Nombre Requerimientos de seguridad
Confidencialidad Integridad Disponibilidad Autenticidad Trazabilidad Fiabilidad
ISO/IEC
27005:2008
BS 7799-
3:2006
AS/NZS
4360:2004
MAGERIT
CRAMM
OCTAVE
NIST SP 800-
30
Nombre Elementos del modelo
Procesos Activos Dependencias Vulnerabilidades Amenazas Controles
ISO/IEC
27005:2008
BS 7799-
3:2006
AS/NZS
4360:2004
MAGERIT
CRAMM
OCTAVE
NIST SP 800-
30
Amenazas
Externalidades al activo de información que son capaces de explortar vulnerabilidades
Amenazas contra la integridad:
Modificación indebida de datos (fallo de permisos)
Falta de integridad (borrado o modificación) de datos
Imposibilidad de identificar fuente de datos
Fallo en la integridad de bases de datos (corrupción)
Modificación en archivos de sistema (configuraciones, logs)
Destrucción o corrupción de backups
Virus
Amenazas contra la confidencialidad:
Accesos no autorizados a información confidencial
Accesos públicos a información confidencial por error
Mala configuración o descuido
Suplantación de usuarios
Acceso a servicios confidenciales (correo, BBDD, servidores de acceso)
Instalación de caballos de troya.
Acceso físico a material restringido
Amenazas contra la disponibilidad:
Caída de servicios externos. (DoS)
Agotamiento de recursos, ancho de banda, disco, socket. (DoS o mala configuración)
Fallo de infraestructuras generales de red, por ejemplo, routing, switches, otros. (DoS, fallo, mala configuración o sabotaje)
Destrucción de configuraciones o servicios. (DoS o Sabotaje)
Acceso físico a infraestructura básica. (Sabotaje)
Nº Amenazas 1 Acción/juicio Industrial (interna / externa)
2 Actos o ataques terroristas
3 Ataque por denegación de servicios
4 Cambio de personal a posiciones claves
5 Cambios no exitosos/fallidos
6 Canales secretos/encubiertos
7 Carencia de staff / proveedores y/o terceras partes
8 Contaminación
9 Contaminación ambiental (natural o provocado por el hombre)
10 Crackeo/quiebre de password
11 Daño deliberado
12 Desastre ambiental
13 Desastre de mercado (por ejemplo, una crisis)
14 Desastre de la naturaleza o ambiental
15 Descuido fortuito/eventual
16 Destrucción maliciosa
17 Discado/marcación errónea (teléfono /fax)
18 Emisión de información incorrecta/inexacta
19 Enmascaramiento /spoofing
20 Error de mantención (mala programación de mantención)
21 Errores de operación de aplicación por parte de usuarios
22 Errores de proceso
23 Errores de software
24 Errores/atrasos de transmisión de datos y/o archivos
25 Errores Humanos
26 Errores operacionales del staff
27 Escucha secreta
28 Espionaje
29 Explosión de bomba
30 Falla de Aire Acondicionado
Las vulnerabilidades son de naturaleza variada, pero intrísicas al activo de información, como por ejemplo: Falta de conocimiento del usuario Tecnología inadecuadamente probada o testeada. Transmisión por redes públicas. Antivirus no actualizado.
Por cada amenaza, se identifican las vulnerabilidades que pueden provocar que la amenaza se materialice y se convierta en un riesgo para los activos de información de la organización. Calcular la probabilidad de explotación de las vulnerabilidades sobre cada amenaza,
Vulnerabilidades 1 Acceso de tipo público a instalaciones (total o parcial)
2 Alto valor de la propiedad intelectual mantenida (ej. Atractiva para competidores, espionaje industrial.)
3 Alto valor de las acciones, tecnologías, etc. (ej. Atractivos para ladrones)
4 Área susceptible a fluctuaciones o cortes temporales de energía
5 Aspectos de Seguridad no incluidos en las descripciones de cargos, roles y responsabilidades
6 cableado defectuoso/equivocado/indebido
7 Cableado expuesto para la infraestructura de red (p. ej.. afuera del edificio, en áreas de trabajo manual)
8 Carencia de entendimiento/educación en el Acta de Copyrights, diseño y patentes
9 Carencia de entendimiento/educación en el Acta de Derechos Humanos
10 Carencia de entendimiento/educación en el Acta de Mal uso de la Computadora
11 Carencia de entendimiento/educación en el Acta Libertad de Información
12 Carencia de entendimiento/educación en los requerimientos del Acta de Protección de la Información
13 Clientes con acceso físico o lógico no sujetos al mismo control de los empleados internos
14 Compromiso de activos
15 Compromiso de la seguridad
16 Conexión no autorizada de equipos a la red (Ej. PDA, modem, home systems)
17 Conexiones a la red pública sin protección
18 Configuración incorrecta de aspectos relevantes y controles de seguridad
19 Configuración insegura de servicios RAS (Remote Access Services) con clientes
20 Política y procedimientos de configuración, mantención y análisis del firewall no adecuada o insuficientes
21 Corrupción de información a causa de fallas de sistema (p. ej.. corrupción de un disco)
22 Defectos conocidos del software
23 Desarrollo/construcción de contratos no adecuados con terceras partes, socios, proveedores.
24 Desecho o reutilización de medios de almacenamiento sin el borrado apropiado
25 Documentación del software insuficiente o en forma inadecuada
26 Empleados descontentos o trastornados
27 Equipos computacionales ubicados en áreas públicas sin una supervisión constante
28 Equipos de computación portátil en lugares no seguros (ej. Laptops en áreas públicas)
29 Exceso de confianza en personal clave / falta de delegación, planes de sucesión, etc.
30 Existencia de material combustible
Evaluar los RiesgosDefinir los requerimientos
de seguridad
Operar y Soportar las
Soluciones de
Seguridad
Medir las soluciones
De Seguridad
Determinar los
Riesgos Aceptables
Diseñar y Crear
Soluciones de
Seguridad
Ejecutivo
Patrocinador
¿Qué es lo importante?
Grupo de Seguridad de
Información
Priorizar los Riesgos
Grupo de Informática
La mejor solución de
Control
Tasación o
Valorización de
Activos
Posibilidad de
Ocurrencias de
Amenazas
Posibilidad de
Ocurrencias de
Vulnerabilidades
Posibilidad de
Ocurrencia del
Riesgo
Score del Riesgo de
los Activos
Identificación de
Vulnerabilidades
Activos
Amenazas y
Vulnerabilidades
Evaluación de
Riegos
Identificación de
Activos
Identificación
de Amenazas
Estimado del Valor
de los Activos en
Riesgos
PROCESOS CADENA DE VALOR
SATISFACCIÓN
CLIENTE
INTERNO
Y EXTERNO
REQUISITOS
CLIENTE
INTERNO
Y EXTERNO
PROCESOS CLAVES
PROCESOS DE CADENA DE VALOR
MAPA DE PROCESOS
PROCESOS DE APOYO
PROCESOS DE GESTIÓN
PROCESOS MEDICIÓN, ANÁLISIS Y MEJORA
Servicio al
Cliente
Análisis
Informátic
a
Comercial Suministro
s Comité de
Crédito Imprenta
de
Chequeras
Evaluación Aprobación Emisión Solicitud
Superintendencia de Bancos
Tipo Activos Ejemplos
• Activos de información (Datos de Gestión, Transacción Electrónica, etc.)
• Documentos de papel (Contratos, decretos, reglamentos, etc.)
• Activos de software (Aplicación, software de sistemas, ERP, BD, etc.)
• Activos físicos (Computadoras, medios magnéticos, data center, etc.)
• Personal (Clientes, personal, proveedores, etc.)
• Servicios (Comunicaciones, servidores, diferentes sistema de
apoyo, etc.)
Ranking 1 a 5
Integridad Criterio Valor
Básico
Procedimientos y
chequeos de integridad
dependientes del usuario
I-1
Estándar
Acceso basado en
funciones
I-2
Individual
Evaluación de las
versiones de software y
parches antes del
despliegue
I-3
Doble Intervención
Requiere una revisión
doble para cualquier
cambio o eliminación
(acceso de escritura)
I-4
Disponibilidad Criterio Valor
Recuperable
Respaldo y recuperación
de la información
D-1
Recuperación en frío
Hardware o sistemas de
cómputo en modo “Cold
Stand by”
D-2
Recuperación en caliente
Transmisión, sistemas o
hardware de cómputo en
modo “Hot Stand by”
D-3
Tolerante a fallas
Hardware en modo “A
prueba de fallo” con
funciones completamente
redundantes
D-4
Confidencialidad Criterio Valor
Público
Sin restricciones de
acceso
C-1
Reservado
Restricciones de acceso
basadas en las funciones
C-2
Secreto
Nombres de las personas
con acceso que cuentan
con seguridad reforzada
en un ambiente a prueba
de intrusiones con
protección de controles
criptográficos
C-3
Activo Descripción Proceso
Area
Organizac
ional
Tipo de
Activo
Ubicación
Fisica
Confidenc
ialidad
Integrid
ad
Disponi
bilidadValor
Sitio WEB del
Banco para el
publico
Sitio WEB del
Banco para
clientes
Intranet del
Banco
Web Master
Riesgo
Impacto Probabilidad
Activo
Amenaza
Vulnerabilidad
Mitigación
IMPACTO
Valor # Valor Descripción
1 Insignificante Sin perjuicios, perdida financiera muy baja
2 Menor
Tratamiento de Soporte 1er nivel, se contuvo
inmediatamente, perdida financiera baja
3 Moderado
Tratamiento de Soporte 2do nivel, se contuvo con
asistencia externa, perdida financiera media
4 Mayor
Perdida de capacidad de producción, perdida financiera
mayor
5 Muy alto
Perdida de capacidad de producción prolongada, perdida
financiera enorme
PROBABILIDAD
Valor # Valor Descripción
1 Muy Baja Raro, puede ocurrir solo en circunstancia excepcionales
2 Baja Es poco probable, pudo ocurrir en algún momento
3 Moderada Es posible, podría ocurrir en algún momento
4 Alta Es probable que ocurra
5 Muy Alta Es muy probable que ocurra
RIESGOS
Valor # Valor Descripción
5 Alto
Riesgo extremo, requiere apoyo de la alta gerencia y acción
inmediata para implantación de controles de seguridad
4 Medio Alto
Riesgo Alto, requiere atención de la alta gerencia y requiere
implantación de controles de seguridad
3 Medio
Debe especificarse responsabilidad gerencial y requiere
implantación de controles de seguridad
2 Medio Bajo
Debe administrarse bajo un adecuado manejo de incidentes
y/o evaluar implantar controles de seguridad
1 Bajo Debe administrarse bajo procedimientos de rutinas
PROBABILIDAD
Muy Alta 5 5 6 7 8 9
Alta 4 4 5 6 7 8
Moderada 3 3 4 5 6 7
Baja 2 2 3 4 5 6
Muy Baja 1 1 2 3 4 5
1 2 3 4 5
Insignificante Menor Moderado Mayor Muy Alto
IMPACTO
(1)
Opción de
Reducción
del Riesgo
Implantar los
Controles
¿Los
Controles son
Económicamente
Factibles de
Implantar?
¿Los
Controles
permiten
Reducir el Riesgo a
Niveles
Aceptables?
¿Las
Consecuencias
son económicamente
Devastadoras para
Organización?
(2)
Opción de
Evitar
el Riesgo
(3)
Opción de
Transferencia
del Riesgo
(4)
Opción de
Aceptación
del Riesgo
SI
NO
SI
SI
NO
NO
Revisar los controles actuales
Recalcular Impacto y Probabilidad
Reevaluar riesgo dado el o los controles existente
Equipo de
Gestión de
Riesgo
Comité de
Seguridad de la
Informacióm
Seleccionar
estrategia de
mitigación de
riesgos
6
Propetario
de la
mitigación
Identificar
solución de
controles o
mejoras
2
Definir
Requerimientos
Funcionales
1
Estimar costo
de cada
solución
5
Estimar grado
de reducción
de riesgos
4 Revisar
Soluciones
contra
requerimientos
3
Controles Preventivos
Detectivos
Correctivos
Controles Manual
Semiautomático
Automático
Control Elemento que permite mantener y/o mitigar un
riesgo asociado a un activo de información
Evaluación de controles Riesgo Inherente es el riesgo del activo sin
controles asociados
El uso de control actual permite mitigar el riesgo inherente del activo y evaluar el riesgo actual del activo
Reducir el nivel de riesgo significa
• Mejorar el control
• Implantar control que mitigue dicho riesgo
Cláusula Objetivo de Control Control ISO
17799:2005
5 Política de Seguridad
5.1 Política de Seguridad de la
Información
5.1.1 Documento de política de seguridad de la Información
5.1.2 Análisis, Revisión y Evaluación de la Política de seguridad de la
Información
6 Organización de la Seguridad de la Información
6.1 Organización Interna 6.1.1 Compromiso de la Dirección con la seguridad de Información
6.1.2 Coordinación de la Seguridad de la Información
6.1.3 Reasignación de las Responsabilidades con la Seguridad de la
Información
6.1.4 Proceso de autorización para los recursos de procesamiento de la
información
6.1.5 Acuerdo de Confidencialidad
6.1.6 Contacto con Autoridades
6.1.7 Contacto con grupos de interés especial
6.1.8 Análisis, Revisión y Evaluación Independiente de la Seguridad de la
Información
6.2 Organizaciones externas 6.2.1 Identificación de los riesgos relacionados con las Organizaciones externas
6.2.2 Tratamiento de la seguridad cuando se esta tratando con Clientes
6.2.3 Tratamiento de la seguridad en contratos de Terceros
7 Gestión de Activos
7.1 Responsabilidad de Activos 7.1.1 Inventario de Activos
7.1.2 Propietario de Activos
7.1.3 Uso aceptable de Activos
7.2 Clasificación de la Información 7.2.1 Recomendaciones para la clasificación
7.2.2 Rótulos y manejo de la Información
Cláusula Objetivo de Control Control ISO
17799:2005
8 Seguridad de Recursos Humanos
8.1 Antes del Empleo 8.1.1 Roles y Responsabilidades
8.1.2 Selección de Personal
8.1.3 Términos y condiciones contractuales
8.2 Durante el empleo 8.2.1 Responsabilidades de la Dirección
8.2.2 Concientización, educación y entrenamiento en la Seguridad de la
Información
8.2.3 Proceso Disciplinario
8.3 Término o cambio de empleo 8.3.1 Término de las actividades y responsabilidades
8.3.2 Devolución de Activos
8.3.3 Retiro de los derechos de acceso
9 Seguridad Física y Ambiental
9.1 Áreas Seguras 9.1.1 Perímetro Físico de Seguridad
9.1.2 Control de Ingreso Físico
9.1.3 Seguridad en oficinas, salas e instalaciones
9.1.4 Protección contra amenazas externas y ambientales
9.1.5 Trabajo en áreas Seguras
9.1.6 Acceso Público, áreas de entrega y de carga
9.2 Seguridad de equipos 9.2.1 Instalación y Protección de Equipamiento
9.2.2 Utilidades y Soporte de Servicios Públicos
9.2.3 Seguridad del cableado
9.2.4 Mantención de Equipamiento
9.2.5 Seguridad de equipamiento fuera de las dependencias de la Organización
9.2.6 Reutilización o eliminación segura de equipamiento
9.2.7 Retiro o traslado de Propiedad
Cláusula Objetivo de Control Control ISO
17799:2005
10 Gestión de las Comunicaciones y Operaciones 10.1 Procedimientos y Responsabilidades
Operacional
10.1.1 Documentación de los procedimientos operacionales
10.1.2 Gestión de los Cambios
10.1.3 Segregación de las funciones
10.1.4 Separación de los recursos de desarrollo, prueba y de producción
10.2 Gestión de Servicios Tercerizados 10.2.1 Entrega del Servicio
10.2.2 Monitoreo y análisis se servicios tercerizados
10.2.3 Gestión de Cambios para servicios Tercerizados
10.3 Planificación y aprobación de Sistemas 10.3.1 Gestión de capacidad
10.3.2 Aprobación de Sistemas
10.4 Protección contra código maliciosos y
código móvil
10.4.1 Control contra Código maliciosos
10.4.2 Protección contra código móvil
10.5 Respaldos y Recuperación de Información 10.5.1 Respaldos y Recuperación de información
10.6 Gestión de la Seguridad en la red 10.6.1 Controles de red
10.6.2 Seguridad de Servicios de Red
10.7 Manejo de medios 10.7.1 Gestión de medios removibles
10.7.2 eliminación de medios
10.7.3 Procedimientos de manejo de Información
10.7.4 Seguridad de documentación del sistema
10.8 Intercambio de Información 10.8.1 Políticas y procedimientos de intercambio de información
10.8.2 Acuerdo para intercambios
10.8.3 Medios físicos en tránsito
10.8.4 Servicios de mensaje electrónico
10.8.5 Sistemas de Información del Negocio
10.9 Servicios Comercio Electrónico 10.9.1 Comercio Electrónico
10.9.2 Transacciones en línea
10.9.3 Información Disponible públicamente
10.10 Monitoreo 10.10.1 Registros (bitácoras) de auditoria
10.10.2 Monitoreo del uso del sistema
10.10.3 Protección de registro (bitácora)
10.10.4 Registros (bitácoras) del administrador y operador
10.10.5 Registro (log) de fallas
10.10.6 Sincronización de Reloj
Cláusula Objetivo de Control Control ISO
17799:2005
11 Control de Acceso
11.1 Requisitos de negocios para el
control de acceso
11.1.1 Políticas de Control de Acceso
11.2 Gestión de Accesos a Usuarios 11.2.1 Registro e inscripción de Usuarios
11.2.2 Gestión de Privilegios
11.2.3 Gestión de contraseñas
11.2.4 Revisión y Análisis de los derechos de acceso de usuarios
11.3 Responsabilidades de los Usuarios 11.3.1 Uso de las contraseñas
11.3.2 Equipo de usuario desatendido
11.3.3 Políticas de escritorios limpios y pantalla limpia
11.4 Control de Acceso a la red 11.4.1 Política de utilización de los servicios de red
11.4.2 Autenticación para la conexión externa del usuario
11.4.3 Identificación de equipo en redes
11.4.4 Protección de puertas de diagnóstico y configuración
11.4.5 Segregación de Redes
11.4.6 Control de Conexión de Redes
11.4.7 Control de enrutamiento de redes
11.5 Control de acceso de sistema
operacional
11.5.1 Procedimientos de ingreso seguro en el sistema
11.5.2 Identificación y Autenticación de usuarios
11.5.3 Sistema de Administración de Contraseñas
11.5.4 Uso de programas Utilitarios
11.5.5 Desconexión de la sesión por inactividad
11.5.6 Limitación del tiempo de la conexión
11.6 Control de Acceso a las aplicaciones
e información
11.6.1 Restricción de acceso a la información
11.6.2 Aislamiento de sistemas sensibles
11.7 Computación móvil y trabajo remoto 11.7.1 Computación móvil comunicaciones
11.7.2 Trabajo remoto (tele-trabajo)
Cláusula Objetivo de Control Control ISO
17799:2005
12 Adquisición, Desarrollo y mantenimiento de los Sistemas de Información
12.1 Requisitos de Seguridad de
Sistemas de Información
12.1.1 Análisis y especificación de los requerimientos de la seguridad
12.2 Procesamiento correcto en las
aplicaciones
12.2.1 Validación de los Datos de Entrada
12.2.2 Control de procesamiento interno
12.2.3 Integridad de mensajes
12.2.4 Validación de los Datos de Salida
12.3 Controles criptográficos 12.3.1 Política para el uso de controles de criptografía
12.3.2 Gestión de Claves criptográficas
12.4 Seguridad de los archivos de
sistemas
12.4.1 Control de software en producción
12.4.2 Protección de los datos de prueba del sistema
12.4.3 Control de Acceso al código de programa fuente
12.5 Seguridad en los procesos de
desarrollo y soporte
12.5.1 Procedimientos de control de cambio
12.5.2 Revisión Técnica de aplicaciones después de cambios en el sistema
operacional
12.5.3 Restricciones en los cambios en paquetes de software
12.5.4 Fuga de Información
12.5.5 Desarrollo de software por terceros
12.6 Gestión de Vulnerabilidades
Técnicas
12.6.1 Control de la Vulnerabilidades Técnicas
13 Gestión de Incidentes en la Seguridad de la Información
13.1 Reporte de eventos y fallas de la
seguridad de información
13.1.1 Reportando eventos de seguridad de la información
13.1.2 Reportando Debilidades de seguridad
13.2 Gestión de Incidentes de Seguridad
y mejoras
13.2.1 Responsabilidades y procedimientos
13.2.2 Aprendizaje de los incidentes de seguridad de la información
13.2.3 Recolección de evidencias
Cláusula Objetivo de Control Control ISO
17799:2005
14 Gestión de la Continuidad del Negocios
14.1 Aspectos de seguridad de la
información de Gestión de
Continuidad de la Organización
14.1.1 Inclusión de la seguridad de la Información en el Proceso de
Gestión de Continuidad de los negocios
14.1.2 Continuidad de negocios y evaluación de riesgos
14.1.3 Desarrollo e Implementación de un Plan de Continuidad incluyendo
la Seguridad de la Información
14.1.4 Estructura del Plan de Continuidad de Negocios
14.1.5 Prueba, mantención y re-evaluación de los planes de continuidad de
negocios
15 Cumplimiento
15.1 Cumplimiento con requerimientos
legales
15.1.1 Identificación de la legislación vigente
15.1.2 Derechos de Propiedad Intelectual
15.1.3 Protección de los registros Organizacionales
15.1.4 Protección de los Datos y privacidad de la información Personal
15.1.5 Prevención contra el uso indebido de los recursos de procesamiento
de la información
15.1.6 Reglamentación de los controles de criptografía
15.2 Cumplimiento con las normas y
políticas de seguridad y
conformidad técnica
15.2.1 Conformidad con normas y políticas de seguridad
15.2.2 Verificación de Conformidad Técnica
15.3 Consideraciones cuanto a
auditoria de sistemas de
información
15.3.1 Controles de auditoria de sistemas de información
15.3.2 Protección de herramientas de auditoria de sistemas de información
Se identifica Activo de la Información
Se identifican amenazas y vulnerabilidad
Se estima impacto y probabilidad
Se evalúa riesgo de acuerdo a impacto y probabilidad sin controles Riesgo Inherente
Evaluando controles actuales se recalcula impacto y/o probabilidad y se reevalúa riesgo Riesgo Residual
ID Riesgo Activo Riesgo Inherente Riesgo Mitigado
# Amenaza & Vulnerabilidad Involucrado Impacto Probabilidad Control(es) mitigante(s) Impacto Probabilidad
22
Acceso no autorizado
en terminales caja
debido a un inadecuado
control de acceso.
Terminal de
caja 4 4
Medio
Alto
* Política de
resguardo de claves
* Utilitario que
controla: Horario de
conexión, conexión
sólo a la app de
cajas; validación
terminal
4 1 Medio
45
Acceso no autorizado a
servidor/bases de datos
debido a un inadecuado
control de acceso
Transacciones
financieras 3 4 Medio
* Bloqueo de acceso
(sólo vía servicio)
* Cifrado de Base de
datos
* Activación de log
3 1 Medio
Bajo
54 Fraude por software
defectuoso
Sistema de
Cajas 5 3
Medio
Alto
* Política de
Desarrollo
* Certificación de QA
* Resguardo
versiones sistema
5 1 Medio
Nro Actividad Sub Actividad Ejecutor Estado
1 Evaluación de
Riesgos
Identificación de
Procesos
OK/Pendiente
2 Evaluación de
Riesgos
Identificación de
Activos de la
Información
3 Evaluación de
Riesgos
Evaluación de Activos
4 Evaluación de
Riesgos
Identificación de
Vulnerabilidades
5 Evaluación de
Riesgos
Identificación de
Objetivos de Control,
Controles y
Contramedidas
6 Evaluación de
Riesgos
Informe al Comité de
Seguridad
7 Evaluación de
Riesgos
Monitoreo y Revisión
Encabezado
Detalle
Detalle
Encabezado
Encabezado
Detalle
Detalle
Detalle