metodologías de riesgos ti
TRANSCRIPT
José Ángel Peña [email protected]
Metodologías y Normas Metodologías y Normas para el Análisis de para el Análisis de
RiesgosRiesgosMetodologías y Normas Metodologías y Normas
para el Análisis de para el Análisis de Riesgos:Riesgos:
¿Cuál debo aplicar?¿Cuál debo aplicar?
José Ángel Peña IbarraVicepresidente Internacional ISACA
José Ángel Peña [email protected]
1. Fundamentos del Análisis de Riesgos
2. OCTAVE3. MAGERIT4. ISO 270055. Risk IT de ISACA
Contenido
Los productos aquí mencionados pertenecen a sus respectivos propietarios.La presentación no tiene fines de lucro, es solo de carácter académico, y representa solamente la opinión del expositor
José Ángel Peña [email protected]
4
• El Riesgo Tecnológico implica la probabilidad de pérdidasante fallas de los sistemas de información.
• También considera la probabilidad de fraudes internos yexternos a través de los sistemas de información.
• Involucra al riesgo legal y al riesgo de pérdida dereputación por fallas en la seguridad y por la nodisponibilidad de los sistemas de información.
Riesgo Tecnológico
José Ángel Peña [email protected]
Elementos del análisis de riesgos
Valor de activos(impacto potencial)
Requisitos deSeguridad
RiesgosSalvaguardas
Amenazas Vulnerabilidades
Activos
explota
protege contra incrementa incrementa afecta
satisfecho por tieneindica incrementa
José Ángel Peña [email protected]
Identificación y valuación de
activos
Evaluación de amenazas
Evaluación de vulnerabilidad
Evaluación de riesgos
Contramedidas
Evaluación de control
Riesgos residualesPlan de acción
Proceso de análisis de riesgos
Fuente: IT Governance Institute
José Ángel Peña [email protected]
La administración de los riesgos es parte fundamental del Modelo conceptual de Gobierno de seguridad de TI
Fuente: Information Security Governance, 2nd Edition, ITGI
José Ángel Peña [email protected]
• Fases del Análisis de riesgos– Identificación de activos
• Todo elemento necesario para mantener las actividades de la organización
– Datos, hardware, personal, imagen de la organización
– Evaluación de las amenazas• Evento que puede afectar a los activos de la organización,
poniendo en peligro su integridad• Las amenazas dependen de
– negocio de la organización, ubicación de la organización, tipo de sistema a proteger
Análisis de riesgos
José Ángel Peña [email protected]
• Fases del Análisis de riesgos– Evaluación de las amenazas (continuación)
• Tipos de amenazas– Naturaleza, errores o accidentes, intencionadas (locales o remotas)
• Identificar la causa de la amenaza• Identificar el activo afectado por la amenaza• Calcular la probabilidad de que ocurra la amenaza• Resultados
– Lista de Amenazas– Activos afectados– Probabilidad de que ocurra
Análisis de riesgos
José Ángel Peña [email protected]
Con
secu
en
cia
Seve
rid
ad
Probabilidad de Ocurrencia
Muy BajaMuy Baja BajaBaja MediaMedia AltaAlta Muy AltaMuy Alta
Probabilidad y Consecuencia deProbabilidad y Consecuencia de AmenazasAmenazas
Violencia enLugar de Trabajo
Fuego
Terrorismo
Inundación
Falla deProveedores
Falla SistemaEnergía
Negligencia o Desconocimiento
Volumen deTransacciones
Fallas en eq.y sist. computo
Falla en conmutador
Fallas en tele-comunicaciones
Robo de ActivosInformáticosVandalismo
Terremotos
Incidentes deSeguridad
Computacional
José Ángel Peña [email protected]
• Fases del Análisis de riesgos– Tratamiento del riesgo
• Encontrar un equilibrio:– Nivel de seguridad VS Costo de la seguridad– Costo Protección VS costo de exposición
• Decisiones– Aceptar el riesgo– Transferir el riesgo– Reducir el riesgo a un nivel aceptable (Seleccionar controles)
• Niveles de Riesgo determinan las Decisiones– Los niveles de riesgo se determinan con base en diversos
enfoques.
Análisis de riesgos
José Ángel Peña [email protected]
Comparación de Rango de Riesgo
Objetivo: Asignar un valor de rango a un riesgo en comparación con otro, para establecer un criterio o grupo de criterios para dar prioridad.
Comparación de Rango de Riesgo
Riesgo A B C D Resultado
Se comparan los riesgos: A es más importante que B, se asigna 1;Riesgo A es menos importante que C, se asigna 0; Riesgo A es igual de importante que Riesgo D, se asigna .5.
A 1 0 .5 1.5
B 0 0 1 1
C 1 1 .5 2.5
D .5 0 .5 1
José Ángel Peña [email protected]
Análisis cuantitativo:Análisis cuantitativo:
• El impacto tiene más peso que la probabilidad,por lo que el orden de los factores si altera elproducto. Identificación de prioridades
6 8 9
3 5 7
1 2 4
Probabilidad
Impacto
1 2
1
2
3
3
Imp. Prob. NR. 1 X 2 = 22 X 1 = 3
Método Joan Peib
José Ángel Peña [email protected]
Notas sobre el Análisis cuantitativo:Notas sobre el Análisis cuantitativo:
6 8 9
3 5 7
1 2 4
Probabilidad
Impacto
1 2
1
2
3
3
Imp.x Prob. NRiesgo. 1 X 2 = 22 X 1 = 3
IxP=NR1x1=11x2=21x3=32x1=22x2=42x3=63x1=33x2=63x3=9
Falta
n ni
vele
s de
ries
go 5
,7 y
8
Método Joan Peib
José Ángel Peña [email protected]
Metodologías, normas, estándares..
OCTAVECarnegie Mellon SEI
MAGERIT 2
ISO 27005
Risk IT de ISACA
27005
MINISTERIO DEADMINISTRACIÓN PÚBLICA
José Ángel Peña [email protected]
• OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)– Metodología de Análisis de Riesgos (seguridad de TI)– Enfocado a que la organización sea capaz de:
• Dirigir y gestionar sus evaluaciones de riesgos• Tomar decisiones basándose en sus riesgos• Proteger los activos claves de información• Comunicar de forma efectiva la información clave de seguridad
– Coadyuvante en el Aseguramiento de la continuidad del negocio– Definición del riesgo y amenazas basadas en los activos críticos– Estrategias de protección y mitigación de riesgos basada en
prácticas– Recopilación de datos en función de los objetivos– Base para la mejora de la seguridad
OCTAVE
José Ángel Peña [email protected]
• OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)– Beneficios
• Identifica los riesgos de la seguridad que pueden impedir la consecución del objetivo de la organización
• Enseña a evaluar los riegos de la seguridad de la información• Crea una estrategia de protección con el objetivo de reducir los riesgos
de seguridad de la información prioritaria• Ayuda a la organización cumplir regulaciones de la seguridad de la
información.
OCTAVE
José Ángel Peña [email protected]
• OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)
ActivosAmenazasPrácticas actualesVulnerabilidades de laorganizaciónCumplimiento
RiesgosEstrategia de protecciónPlanes de atenuación
VulnerabilidadesTecnológicas
Planificación
Fase 1
Vista de la Organización
Fase 2
VistaTecnológica
Fase 3
Desarrollo del Plan y de la Estrategia
OCTAVE
José Ángel Peña [email protected]
MAGERIT: Metodología de análisis y gestión de riesgos de TI
MAGERIT 2
MINISTERIO DEADMINISTRACIÓN PÚBLICA
José Ángel Peña [email protected]
• MAGERIT inició con enfoque a las entidades públicas en España, pero se recomienda para todo tipo de organizaciones
• Tiene varios documentos:– Método– Cátalogo– Técnicas
• Se cuenta con una herramienta computarizada:– PILAR
MAGERIT
José Ángel Peña [email protected]
El Framework de Risk ITTiene 3 dominios:
Fuente: Risk IT publicado por ISACA / ITGI
José Ángel Peña [email protected]
Factores de Riesgo
Análisis de Riesgo
Respuestaal Riesgo
Fuente: Risk IT publicado por ISACA / ITGI
José Ángel Peña [email protected]
• Entonces, ¿Qué uso para el análisis de riesgos?......
• ¿Qué le dará más valor a mi organización?
José Ángel Peña [email protected]
¡Gracias!¡Gracias!José Ángel Peña Ibarra
Vicepresidente Internacional [email protected]