Charla sobre la importancia para la gestion estrategica de Gestionar la Seguridad de la Informacion

1. Analisis y Gestión de Riesgos de TI Raul WexlerDirector contacto@raulwexler.com.ar

2. Desde 1970 hasta el 2010 G1 =Antes Host (sistemamanejable, calidad era quefuncionara, y lasamenazaserannaturales). No se dependia de los sistemasparagenerarriqueza en unaexplotacioncomercialpequeña, eranusadosparamanejargrandesvolumenes de datos.(1970-1990) G2 = cliente /Servidor (sistemacomplejo, mas o menospredecible en sucomportamiento, generador de informacionestrategicaparagestionar, aquilasamenazaseransobretodoaccidentales). Usar un sistema era masbienunaventajacompetitiva. Se podia organizar y gestionarestrategicamente. Sin embargo laspequeñasorganizacionestodaviapodiangestionar sin ellos en forma manual.(1980-2010) G3 = Red (sistemaincierto, la calidadequivale a controlar el sistema el objetivoes la productividad de los usuarios, la informaciones un recursomuyvaliosoque genera riqueza. Las amenazas son sobretodointencionales. El mundoestainterconectado a traves de Internet y casitodaslasaccionestienequever con la Red.Casitodosucede en Tiempo Real. No se puedetenerexitocomercial sin ser parte de ellos. (2000-2010)

3. Los sistemas de TI Muchas veces los usuarios se quejan que los sistemas fallan Cada falla va generando mas y mas desconfianza hacia los sistemas La gerencia muchas veces dice…“..porque justo en mi empresa se producen fallas?, algo estamos haciendo mal..” Algo de razón tienen…o no?

5. Tambien el auto falla

6. Tambien la TV falla

7. Tambien La energía eléctrica falla

9. Escucho estas frases? Son síntomas “¿Para que comprar un antivirus si con este gratuito no nos infectamos?” “Pero si compramos un antivirus…como nos vamos a infectar!!” “Necesito me informe las razones por las cuales la empresa estuvo parada 2 hs! (con cara de pocos amigos)” “No hay presupuesto, sigamos así…” Quien tiene la culpa???

10. Que muestran estos síntomas? Estrategia de seguridad informática deficiente o inexistente Desconocimiento por parte de los niveles directivos de cómo manejar los riesgos del área TI y su impacto en los objetivos del negocio.

11. Hablemos de seguridad Los usuarios necesitan confiar en los sistemas Que la informacion : Este disponible cuando se necesite No se modifique sin control. Se mantenga reservada a quienes necesitan conocerla …la seguridad aspira a dar confianza ..en que los sistemas estarán listos para usarse ..en las alteraciones son imposibles o se detectan que la informacion permanece confidencial En la medida en que la seguridad genere confianza, los usuarios querrán seguridad

12. Sistemas de información Antes: Era cosa de unos pocos profesionales Complejos y muy suyos La seguridad no era un problema Internet Cambia todo No hay equipos aislados Los malos saben lo mismo que los buenos Ahora Las amenazas incluyen la naturaleza, la industria y el hombre Los sistemas son excesivamente complejos como para que alguien en singular comprenda todos los detalles

13. Objetivos de la seguridad Mantener la disponibilidad de los datos Contra la interrupción del servicio Mantener la integridad de los datos Contra las manipulaciones Mantener la confidencialidad de los datos almacenados, procesados y transmitidos Contra las filtraciones Asegurar la identidad de origen y destino (autenticidad) Frente al engaño Trazabilidad Para poder analizar, entender y perseguir al culpable

14. Asegurar todos los niveles Información Procesos Aplicaciones Sistema operativo Hardware Comunicaciones Soporte de información Instalaciones Personal

15. Madurez del manejo de SI

16. Los jugadores

17. Diferentes visiones Los usuarios Ven la seguridad como confianza Los técnicos Ven la seguridad como dispositivos, software Los atacantes ven la seguridad como Aquello que impide sus objetivos Los gerentes ven la seguridad como Gestión de Riesgos

18. Gestión de riesgos

19. Análisis (potencial)

20. Análisis (residual)

21. El análisis de riesgos no es simple Lleva tiempo… Cuesta dinero… No vale una vez y para siempre… Muchos activos Los sistemas son complejos Muchos tipos de activos Información, servicios Equipamiento: aplicaciones, equipos, comunicaciones Locales: sucursales, edificios, aéreas, campo Personas: usuarios, operadores, desarrolladores Muchas amenazas Y muchas formas de llevarlas a cabo Muchísimas salvaguardas Gestión, técnicas, seguridad física, rrhh

22. Porque una metodología? La complejidad se ataca metódicamente Una metodología es una aproximación sistemática Para cubrir la mayor parte de lo que puede ocurrir Para olvidar lo menos posible Para explicar: A los gerentes que se necesita de ellos A los técnicos que se espera de ellos A los usuarios Que es un uso decente del sistema Que es una respuesta urgente Como se gestionan los incidentes Una metodología necesita modelos Elementos: activos, amenazas, salvaguardas Métricas: impacto y riesgo

23. Una vez realizado el análisis, que hacer con el riesgo? Evitarlo Si se puede, es lo ideal Prescindir de activos Reducirlo/Mitigarlo Ocurre menos Impacto limitado Transferirlo Se lo pasa a otra organización Ya no es “mi problema” Asumirlo/aceptarlo Pasa a contabilizarse como gasto operacional

24. Toma de decisiones

26. Aceptación del riesgo Es una opción Honrada y necesaria Pero peligrosa El análisis dirá cuan peligrosa Debe ser tomada EXPLICITAMENTE por la Dirección Nunca puede ser una decisión técnica

27. Interés de un análisis de riesgos Conciencia a los miembros de una organización Dirección y Recursos Humanos Identifica activos, amenazas y controles Modelo de valor de la organización Mapa de riesgos Estado de riesgo Base razonada para tomar decisiones Justificación del gasto en SI

28. Ejemplos

29. Análisis Riesgo Análisis de riesgos - Pasos Determinar los activos relevantes para la Organización, sus dependencias y su valor, en el sentido de qué perjuicio (costo) supondría su degradación Determinar a qué amenazas están expuestos aquellos activos Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza

30. D: Disponibilidad I: Integridad C: Continuidad A: Autenticidad T: Trazabilidad Riesgo por dimensión

31. D: Disponibilidad I: Integridad C: Continuidad A: Autenticidad T: Trazabilidad Riesgo por activo critico

32. Riesgo por activo de bajo nivel

33. Preguntas? MUCHAS GRACIAS..!