El documento presenta una introducción a los conceptos de riesgo, análisis de riesgos y metodologías como NIST 800-30. Explica que el riesgo es el potencial de que una amenaza explote una vulnerabilidad y cause daño, y que el análisis de riesgos identifica amenazas, vulnerabilidades y sus impactos. También resume los pasos de la metodología NIST 800-30 como la caracterización del sistema, identificación de amenazas, análisis de vulnerabilidades, controles y determinación del riesgo.
2. Agenda
• Introducción
• Riesgo
• Análisis de Riesgos
• Metodologías para el Análisis y Gestión de
Riesgos
• Metodología NIST 800-30
• Manejo de Riesgos
• Resumen
• Riesgo Residual
3. EL PROBLEMA:
• Darse cuenta que pasa, hasta que pasa.
• Cuantificarlos económicamente, por
ejemplo: ¿cuánto le cuesta a la compañía
su base de datos?
• Vincular directamente sus efectos sobre
los resultados de la compañía
LA SOLUCIÓN:
• No es invertir gran cantidad de dinero.
• Buenas prácticas administración y control.
• Medición – auditoria – informática
Introducción
4. Es el potencial que dada una amenaza, esta
explote una vulnerabilidad de un activo o de un
grupo de activos y de esta forma cause daño en la
organización
Riesgo
5. Es el estudio de las causas de las posibles
amenazas y probables eventos no deseados y
los daños y consecuencias que éstas puedan
producir.
Análisis de Riesgos
6. Metodologías para el
Análisis y Gestión de Riesgos
Citicus One
CRAMM: “CCTA Risk
Assessment and
Management
Methodology”
ISO/IEC 27005
MAGERIT
OCTAVE (Operationally
Critical Threat, Asset,
and Vulnerability
Evaluation)
NIST SP 800-39
NIST SP 800-26/30 Mehari AS/NZS
7. Metodologías para el
Análisis y gestión de Riesgos
Estas metodologías de análisis y gestión del riesgo hacen parte del ciclo de mejor continua PHVA
dentro del SGSI
8. El National Institute of Standards and Technology (NIST),
fundado en 1901, es un organismo federal no regulador
que forma parte de la Administración de Tecnología
(Technology Administration) del Departamento de
Comercio (Department of Commerce) de los EE.UU.
La misión del NIST consiste en elaborar y promover
patrones de medición, normas y tecnología con el fin de
incrementar la productividad, facilitar el comercio y
mejorar la calidad de vida.
NIST 800-30 Guía de Gestión de Riesgos de los Sistemas de
Tecnología de la Información
NIST 800
10. Caracterización del sistema
ENTRADAS
• Activos de la
organización
• Hardware
• Software
• Interfaces del sistema
• Información
• Personas
• Misión del sistema
SALIDAS
• Caracterización de los
sistemas de IT evaluados
• Definir el alcance del
análisis de riesgos
Toda esta información se puede obtener a partir de cuestionarios, reuniones en sitio,
herramientas automáticas de escaneo, etc.
11. Identificación de Amenazas
• Potencial de que una fuente de amenazas se
aproveche o explote una vulnerabilidad
especifica accidental o intencionalmenteAmenaza
• Intención o método que puede explotar una
vulnerabilidad. Estas pueden ser naturales,
humanas, del ambiente, etc.
Fuente de
Amenazas
• Falla o debilidad en los sistemas de seguridad
de un sistema, diseño, implementación, control
interno, etc., que puede ser aprovechada y
resultar en una violación de la política de
seguridad del sistema
Vulnerabilidad
13. Identificación de Vulnerabilidades
Evaluaciones previas de riesgos
Reportes de auditoria, reportes de revisión de la seguridad y reportes de evaluación y
pruebas de sistemas
Listas de vulnerabilidades (NIST I-CAT)
Advertencias de seguridad (Federal Computer Incident Response Capability
FedCIRC)
Advertencias de vendedores
Análisis de Vulnerabilidades y Pentesting
Reportes de anomalias del sistema
14. Análisis de Controles
Los controles pueden ser extrapolados de:
- Políticas y guías de seguridad
- Procedimientos de operación de los sistemas
- Especificaciones de seguridad del sistema
- Estándares y buenas practicas
Controles Técnicos
- Preventivos
- Control de acceso
- Antivirus
- Mecanismos de identificación y autenticación
- Firewalls
- Encripción
- Detectivos
- Logs
- IDS
15. Análisis de Controles
Controles Operacionales (personal, seguridad física, etc.)
- Preventivos
Entrenamiento y conciencia de la seguridad
Planes de contingencia, recuperación y emergencias
- Detectivos
Revisiones de seguridad y auditorias
Investigaciones
Controles administrativos
- Revisiones de auditorias
- Evaluaciones de riesgos
- Reglas de comportamiento
16. Probabilidad de Ocurrencia
• La fuente esta altamente motivada y es lo
suficientemente capaz y los controles no son
efectivosAlta
• La fuente esta altamente motivada y es lo
suficientemente capaz y los controles son
efectivos.Media
• La fuente no tiene motivación o capacidad o
existen controles para prevenir, impedir
significativamenteBaja
17. Análisis de Impactos
• La integridad se pierde si cambios no autorizados son realizados al
sistema o a los datos accidental o intencionalmente. Puede causar
impacto similar a la perdida de disponibilidad. Puede ser el primer
paso hacia una perdida de disponibilidad o confidencialidad
Integridad
• SI el sistema esta parcial o completamente no disponible para los
usuarios autorizados puede afectarse la misión de la organización
Disponibilidad
• Protección de la información contra divulgaciones no autorizadas.
Confidencialidad
19. Determinación del Riesgo
Riesgo = Probabilidad X Impacto
Probabilidad: Probabilidad de ocurrencia de
un incidente o fallo en un periodo de tiempo
determinado.
Impacto: Impacto asociado a la ocurrencia de
un incidente o fallo. Incluye pérdidas
económicas, en productividad, en
desempeño, en imagen organizacional, etc. y
usualmente se expresa en dinero.
21. - Implementación de controles
- Documentación de amenazas,
vulnerabilidades, riesgos
22. Manejo de Riesgos
• Eliminar la amenaza quitando la falla o vulnerabilidad
Eliminarlo
• Implementar controles que restringen el impacto de una amenaza
Reducirlo
• Pagándole a un tercero para que el asuma el riesgo por mi
Transferirlo
• El nivel de riesgo es muy bajo y cuesta mas la implementación del
control que las repercusiones económicas.
Aceptarlo