Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

20091024 Gestión de Riesgos

Anuncio 
Gestión de Riesgos
Mario Ureña Cuate, CISA, CISM, CGEIT, CISSP
Auditor Líder BS25999, ISO27001
[email protected]
www.mariourenacuate.com
Pag.1
www.isaca.org
1
1
Agenda
•
•
•
•
•
•
•
•
•
•
•
Introducción
Gestión de riesgos
Marcos de referencia para la gestión de riesgos
Principios de la gestión de riesgos
ISO 31000 – Gestión de Riesgos – Principios y guías (DRAFT)
BS 31100 – Gestión de Riesgos – Código de práctica
ISO 27005 – Gestión de Riesgos de Seguridad de la Información
Risk IT Framework
Ejemplos
Opciones de tratamiento de riesgos
Conclusiones
Pag.2
www.isaca.org
2
2
Introducción
Pag.3
www.isaca.org
3
3
Introducción
• En la actualidad, son cada vez más las organizaciones
que dedican recursos de personal, tiempo y dinero para
la gestión de riesgos de TI, pero con tantos modelos,
metodologías y técnicas disponibles:
•
•
•
•
•
•
¿Por dónde empezar?
¿Cuál de ellas es mejor?
¿Debo utilizar un enfoque cualitativo o cuantitativo?
¿Quién lo debe ejecutar?
¿Con qué granularidad?
¿Cómo tratar el riesgo?
Pag.4
www.isaca.org
4
4
Introducción
• … ¿Cuáles son los riesgos de los cuales me tengo que
proteger?…
• … ¿Cuál es el nivel de riesgo que debo tomar para
maximizar mis ganancias?
• … ¿Eso es un riesgo o es una amenaza?
• … ¿El control lo aplico a la vulnerabilidad, a la amenaza
o a los dos?
Pag.5
www.isaca.org
5
5
Introducción
• Diferentes tipos de riesgos:
–
–
–
–
–
–
–
–
Riesgo de TI
Riesgo de Seguridad de la Información
Riesgo Operativo
Riesgo de Continuidad del Negocio
Riesgo de Proyecto
Riesgo Financiero
Riesgo de Auditoría
Etc.
Pag.6
www.isaca.org
6
6
Introducción
Nivel de granularidad:
• Empresa A: Total de escenarios de riesgos: 50
• Empresa B: Total de escenarios de riesgos: >5,000,000
Pag.7
www.isaca.org
7
7
Introducción
Hay de escenarios a ESCENARIOS:
escenario:
Epidemia de influenza - Abril 2009
Pag.8
www.isaca.org
8
8
Introducción
Hay de escenarios a ESCENARIOS:
ESCENARIO:
Epidemia de influenza + Sismo 5.7 grados 27 de abril 2009
Pag.9
www.isaca.org
9
9
Introducción
Posible Contagio
Escenario:
Sismo
Estrategia:
Escenario:
Epidemia
Parte del personal
laborando
en oficinas
Desalojo y
concentración en
puntos de reunión
Estrategia:
Parte del personal
laborando desde casa
comunicándose
vía Internet
y teléfono
Pag.10
www.isaca.org
Estrategia:
Escenario:
Perdida de
comunicaciones
Escenario:
Saturación de líneas
telefónicas
Interrupción de la
continuidad del
negocio
10
10
Introducción
El caso de mi amigo.
Proveedor de servicios de hospedaje y respaldo.
Pag.11
www.isaca.org
11
11
Introducción
ESCENARIO-TOTE (Por ponerle un nombre)
Hackeo de página web + Pérdida de respaldos+
Epidemia de Influenza + Sismo 5.7 grados +
Pérdida de comunicaciones + Fallas de Energía = ?
Pag.12
www.isaca.org
12
12
Introducción
“… Solamente miré hacia
el cielo, esperando ver
pasar a los cuatro
jinetes...”
Mi amigo
Abril 27, 2009
Pag.13
www.isaca.org
13
13
Introducción
¿Cómo evitar que ocurran eventos no
deseados?
Y en caso de que ocurran…
¿Cómo disminuir su impacto en la
organización?
Pag.14
www.isaca.org
14
14
Gestión de riesgos
Pag.15
www.isaca.org
15
15
Marcos de referencia
•
•
•
•
•
•
•
•
•
•
•
ISO/DIS 31000 (DRAFT)
IEC/DIS 31010
ISO/D Guide 73
BS 31100
ISO/IEC 27005
ITGI - The Risk IT Framework
Basilea II
OCTAVE
NIST SP800-30
AS/NZS 4360
M_o_R
•
•
•
•
•
•
CRAMM
MAGERIT
TRA Working Guide
Microsoft – SRMG
BS 7799-3
AIRMIC, ALARM, IRM –
ARMS
• UNE 71504
Pag.16
www.isaca.org
16
16
Marcos de referencia
•
•
•
•
•
•
•
•
•
•
•
ISO/DIS 31000 (DRAFT)
IEC/DIS 31010
ISO/D Guide 73
BS 31100
ISO/IEC 27005
ITGI - The Risk IT Framework
Basilea II
OCTAVE
NIST SP800-30
AS/NZS 4360
M_o_R
•
•
•
•
•
•
CRAMM
MAGERIT
TRA Working Guide
Microsoft – SRMG
BS 7799-3
AIRMIC, ALARM, IRM –
ARMS
• UNE 71504
Pag.17
www.isaca.org
17
17
ISACA - Guías relacionadas
– COBIT 4.1 – Process PO9
– Assurance Guide
– Control Objectives for Basel II
– IT Governance Series – IT Risk Management
– Security Baseline
– Control Objectives for Sarbanes Oxley
Pag.18
www.isaca.org
18
18
Principios de la gestión de riesgos
ISO/DIS 31000. La gestión de riesgos:
a) crea valor
b) es una parte integral de los procesos de la organización
c) forma parte de la toma de decisiones
d) explícitamente atiende la incertidumbre
e) es sistemática, estructurada y oportuna
f) está basada en la mejor información disponible
g) está adaptada a la organización
h) toma en cuenta factores humanos y culturales
i) es transparente e inclusiva
j) es dinámica, iterativa y responde al cambio
k) facilita la mejora continua
Pag.19
www.isaca.org
19
19
Principios de la gestión de riesgos
BS 31100. La gestión de riesgos:
i) debe ser adaptada a la organización
ii) debe tomar en cuenta la cultura organizacional, factores humanos
y comportamiento
iii) debe ser sistemática y estructurada
iv) debe operar en un lenguaje común
v) debe basarse en la mejor información disponible
vi) debe atender explícitamente la incertidumbre
vii) debe ser parte de la toma de decisiones
viii) debe proteger todo lo que sea valioso
ix) debe ser transparente e inclusiva
x) debe ser dinámica, iterativa y responder a cambios
xi) debe considerar la revisión en la aplicación de los principios
Pag.20
www.isaca.org
20
20
Principios de la gestión de riesgos
Risk IT. La gestión de riesgos de TI:
• siempre está conectada a los objetivos del negocio
• alinea la gestión de riesgos del negocio relacionados con TI con la
gestión de riesgos de toda la organización
• balancea los costos y beneficios de gestionar riesgos
• promueve una comunicación de riesgos de TI justa y abierta
• establece el tono adecuado desde arriba, mientras define y refuerza
la responsabilidad personal para operar con niveles de tolerancia
aceptables y bien definidos
• es un proceso continuo y forma parte de las actividades diarias
Pag.21
www.isaca.org
21
21
ISO DIS / 31000
• Propósito:
• Proveer los principios y guías generales para la
implementación de la gestión de riesgos.
• No es utilizado con propósitos de certificación.
Pag.22
www.isaca.org
22
22
ISO DIS / 31000
• Es genérico y no es específico de alguna industria o sector.
• Aún cuando el estándar provee guías generales no es su intención
imponer uniformidad en las organizaciones, respecto a la gestión de
riesgos.
• El diseño e implementación de la gestión de riesgos depende de las
necesidades específicas de la organización, objetivos particulares,
contexto, estructura, productos, servicios, proyectos, procesos
operativos y prácticas específicas empleadas.
Pag.23
www.isaca.org
23
23
ISO DIS / 31000
• Éste estándar intenta armonizar los procesos de gestión de riesgos
en estándares existentes y futuros.
• Provee un enfoque común soportando estándares orientados a
riesgos o sectores específicos.
• El ISO 31000 no pretende reemplazar los estándares ya existentes.
Pag.24
www.isaca.org
24
24
ISO DIS / 31000
• Componentes
Compromiso de la
gerencia
Diseño del marco de
referencia
Implementar la
gestión de riesgos
Mejora continua
Monitorear y revisar
Pag.25
www.isaca.org
25
25
ISO DIS / 31000
• Componentes
Compromiso de la
gerencia
Diseño del marco de referencia
- Entender a la organización y su contexto
- Política de gestión de riesgos
- Integración dentro de los procesos de la organización
- Responsabilidad
- Recursos
- Establecer mecanismos de comunicación y reporte interno
- Establecer mecanismos de comunicación y reporte externo
Implementar la gestión de riesgos
Mejora continua
- Implementar el marco de referencia
- Implementar el proceso de gestión de riesgos
Monitorear y revisar
Pag.26
www.isaca.org
26
26
ISO DIS / 31000
Inicio
• Proceso
Establecer el contexto
Análisis de riesgos
Evaluación de riesgos
Monitoreo y revisión
Comunicación y consulta
Identificación riesgos
Tratamiento de riesgos
Pag.27
www.isaca.org
27
27
BS 31100
• Publicado en Octubre 2008.
• Propósito:
• Provee las bases para el entendimiento, desarrollo,
implementación y mantenimiento de la gestión de
riesgos.
Pag.28
www.isaca.org
28
28
BS 31100
• Ha sido preparado para ser consistente con el ISO
31000 y también considera los siguientes documentos:
–
–
–
–
HM Treasury’s Orange Book
OGC - M_o_R: Guidance for Practitioners
COSO – Enterprise Risk Management – Integrated Framework
IRM/AIRMIC/ALARM - Risk Management Standard
Pag.29
www.isaca.org
29
29
BS 31100
• Componentes
Mandato y
compromiso
Diseño del
marco de
referencia
Mantenimiento
y mejora
Implementar la
gestión de
riesgos
Monitorear y
revisar
Pag.30
www.isaca.org
30
30
BS 31100
• Proceso
Pag.31
www.isaca.org
31
31
ISO 27005
• Publicado en Junio 2008.
• Propósito:
• Provee guías para la gestión de riesgos de seguridad de la
información.
• Soporta los principales conceptos especificados en ISO/IEC 27001
y ha sido diseñado para asistir en la implementación satisfactoria de
seguridad de la información basada en un enfoque de gestión de
riesgos.
Pag.32
www.isaca.org
32
32
ISO 27005
• Para un entendimiento completo de éste estándar, se
requiere el conocimiento de los conceptos, modelos,
procesos y terminologías descritas en ISO/IEC 27001.
• Aplica a todo tipo de organización que intente gestionar
riesgos que pudieran comprometer la seguridad de la
información de la organización.
Pag.33
www.isaca.org
33
33
ISO 27005
ISO 31000
• Integración de ISO 27005 con otros estándares
ISO
27005
ISO
27001
Otros
estándares y
prácticas de
gestión de
riesgos
Pag.34
www.isaca.org
34
34
Inicio
www.isaca.org
Pag.35
Evitar
Retener
Reducir
Aceptación de riesgos
Transf.
Tratamiento de riesgos
Evaluación de riesgos
Estimación de riesgos
Identificación riesgos
• Proceso
Establecer el contexto
ISO 27005
Consecuencias
Controles
Vulnerabilidades
Activos Amenazas
Comunicación de riesgos
Monitoreo y revisión de riesgos
35
35
The Risk IT Framework
• Desarrollado por el IT
Governance Institute
• Iniciativa de Risk IT
• Complementa a COBIT y
Val IT
Pag.36
www.isaca.org
36
36
The Risk IT Framework
• Propósito:
• El marco de referencia de “Risk IT” explica el riesgo de
TI y permitirá a los usuarios:
– Integrar la gestión de riesgos de TI con la gestión de riesgos
empresarial.
– Tomar decisiones bien informadas respecto a la extensión del
riesgo, el apetito de riesgo y la tolerancia al riesgo de la
organización.
– Entender como responder al riesgo
Pag.37
www.isaca.org
37
37
The Risk IT Framework
• Definición de riesgo de TI:
• El riesgo de TI es riesgo del negocio – específicamente,
el riesgo del negocio asociado con el uso, propiedad,
operación, involucramiento, influencia y adopción de TI
en la organización. Consiste de eventos relacionados
con TI que potencialmente podrían impactar al negocio.
Incluye frecuencia y magnitud, y crea retos para el
cumplimiento de metas y objetivos estratégicos, así
como incertidumbre en la búsqueda de oportunidades.
Pag.38
www.isaca.org
38
38
The Risk IT Framework
• El riesgo de TI puede categorizarse en:
• Riesgo en la entrega de servicios de TI, asociado con el
desempeño y disponibilidad de servicios de TI, y que puede
provocar la destrucción o reducción del valor para la organización.
• Riesgo en la entrega de soluciones de TI / realización de beneficios,
asociado con la contribución de TI a soluciones del negocio nuevas
o mejoradas usualmente en la forma de proyectos y programas.
• Riesgo de realización de beneficios de TI, asociado con la perdida
de oportunidades para usar la tecnología en la mejora de la
eficiencia o efectividad de los procesos del negocio.
Pag.39
www.isaca.org
39
39
The Risk IT Framework
Valor del negocio
No Ganar
Ganar
Perder
Preservar
Habilitar beneficios / valor de TI
Entrega de programas y
proyectos de TI
Entrega de operaciones y
servicios de TI
Valor del negocio
Pag.40
www.isaca.org
40
40
The Risk IT Framework
• Componentes
Pag.41
www.isaca.org
41
41
The Risk IT Framework
• Escenarios / Componentes
Pag.42
www.isaca.org
42
42
The Risk IT Framework
• Impacto al negocio
“4A” (Westerman / Hunter)
Agility - Agilidad
Accuracy - Precisión
Access - Acceso
Availability - Disponibilidad
Pag.43
www.isaca.org
43
43
The Risk IT Framework
• Impacto al negocio
COBIT – Criterios de información
Efectividad
Eficiencia
Confiabilidad
Integridad
Confidencialidad
Disponibilidad
Cumplimiento
Pag.44
www.isaca.org
44
44
The Risk IT Framework
• Impacto al negocio
BSC (COBIT – Objetivos del negocio)
Perspectiva Financiera
Perspectiva del Cliente
Perspectiva Interna
Perspectiva de Aprendizaje y Crecimiento
Pag.45
www.isaca.org
45
45
The Risk IT Framework
• Impacto al negocio
BSC (Criterios de impacto extendidos)
Valor de acciones
Cuota de mercado
Ingresos / Ganancias
Costo de capital
Satisfacción del cliente
Impacto regulatorio
Recursos
Ventaja competitiva
Reputación
Pag.46
www.isaca.org
46
46
The Risk IT Framework
Pag.47
www.isaca.org
47
47
The Risk IT Framework
Pag.48
www.isaca.org
48
48
The Risk IT Framework
COBIT + Val IT + Risk IT
Pag.49
www.isaca.org
49
49
Ejemplos
Pag.50
www.isaca.org
50
50
Ejemplo 1 - Identificación
IDENTIFICADOR
RIESGO
1
Uso no autorizado de equipos
2
Falla en equipos de telecomunicación
3
Fallas de energía eléctrica
4
Saturación de Sistemas de Información
5
Infección por virus informático
…
…
N
Riesgo N
Pag.51
www.isaca.org
51
51
Ejemplo 1 - Identificación
1. Fuego
2. Daño por agua
3. Contaminación
4. Accidentes graves
5. Destrucción de equipo o medios
6. Terremoto /sismo /temblor
7. Deslave
8. Derrame químico
9. Explosión
10. Incendio
11. Epidemia
12. Lluvias intensas
13. Tormenta de Granizo
14. Ciclón tropical
15. Inundación
16. Tormenta eléctrica
17. Fallas en aire acondicionado
18. Fallas en provisión de agua
19. Fallas en equipos de
telecomunicación
20. Fallas de energía eléctrica
21. Intercepción de información
22. Espionaje remoto
23. Espionaje
24. Robo de documentos
25. Robo de medios de información
26. Robo de equipo
27. Recuperación de medios reciclados
28. Divulgación de información
29. Recepción de datos de fuentes no
confiables
30. Manipulación no autorizada de
información
31. Detección de ubicación física
32. Falla de equipos
33. Malfuncionamiento de equipos
34. Saturación de sistemas de
información
35. Malfuncionamiento de software
36. Uso no autorizado de equipo
37. Copia fraudulenta de software
38. Uso de software fraudulento
39. Corrupción de datos
40. Procesamiento ilegal de datos
41. Errores humanos
42. Abuso de privilegios
43. Denegación de acciones
44. Repudio de transacciones
45. Indisponibilidad del personal
46. Secuestro de funcionarios
47. Chantaje
48. Terrorismo
Pag.52
www.isaca.org
49. Amenaza de bomba
50. Bloqueo de instalaciones por
manifestaciones públicas
51. Huelga
52. Impacto de aeronave
53. Acciones de empleados
descontentos contra la organización
54. Infecciones por virus informático y
código malicioso
55. Sabotaje
56. Hackers y otros agresores externos
57. Desconocimiento del usuario
58. Agresores internos
59. Phishing / Engaños intencionales
60. Spyware / Adware
61. Insuficiencia de infraestructura de
seguridad
62. Software Deficiente
63. Negligencia del usuario
64. Spam
65. Hardware Deficiente
66. Interrupción del negocio de
proveedores
67. Cambios significativos en el entorno
económico
52
52
Ejemplo 1 - Análisis
Posibilidad de Ocurrencia
Casi cierto
Muy posible
Posible
Raro
Casi imposible
Valor
5
4
3
2
1
Impacto
Catastrófico
Mayor
Medio
Menor
Insignificante
Pag.53
www.isaca.org
Valor
5
4
3
2
1
53
53
Mayor
Catastrófico
4
5
Medio
Menor
2
3
Insignificante
Casi cierto
5
1
Muy posible
4
IMPACTO
Posible
3
Pag.54
www.isaca.org
Raro
Evento de amenaza (riesgo)
Uso no autorizado de equipos
Falla en equipos de telecomunicación
Fallas de energía eléctrica
Saturación de sistemas de información
Infección por virus informático
…
Riesgo N
2
ID
1
2
3
4
5
…
N
1 Casi imposible
POSIBILIDAD
Ejemplo 1 - Análisis
54
54
Ejemplo 1 - Evaluación
ID RIESGO
P
I
R (P x I)
1
Uso no autorizado de equipos
2
3
6
2
Falla en equipos de telecomunicación
4
4
16
3
Fallas de energía eléctrica
4
3
12
4
Saturación de Sistemas de Información
3
2
6
5
Infección por virus informático
4
3
12
… …
…
…
…
N
1
1
1
Riesgo N
Pag.55
www.isaca.org
55
55
Ejemplo 1 - Evaluación
ID RIESGO
P
I
R (P x I)
Prioridad
1
Uso no autorizado de equipos
2
3
6
3
2
Falla en equipos de telecomunicación
4
4
16
1
3
Fallas de energía eléctrica
4
3
12
2
4
Saturación de Sistemas de Información
3
2
6
3
5
Infección por virus informático
4
3
12
2
… …
…
…
…
…
N Riesgo N
1
1
1
N
Pag.56
www.isaca.org
56
56
Control de operaciones
5
6
7
8
9
4
5
6
7
8
6
7
4
5
6
3
4
5
2
Medio
3
4
5
1
2
5
3
3
Menor
4
1
Insignificante
IMPACTO
Mayor
Catastrófico
EMPRESA ABC
2
N
Casi Imposible
Raro
Posible
Pag.57
www.isaca.org
POSIBILIDAD
Muy Posible
Casi Cierto
57
57
Ejemplo 2 - Identificación
RIESGO
Impactos
Eventos
Activo
Amenazas
Vulnerabilidades
Pag.58
www.isaca.org
58
58
Ejemplo 2 - Identificación
ACTIVO
Pag.59
www.isaca.org
59
59
Ejemplo 2 - Identificación
VULNERABILIDADES
Pag.60
www.isaca.org
60
60
Ejemplo 2 - Identificación
AMENAZAS
AGENTE
Pag.61
www.isaca.org
61
61
Ejemplo 2 - Identificación
AMENAZAS
EVENTO
Pag.62
www.isaca.org
62
62
Ejemplo 2 - Identificación
IMPACTO
Pag.63
www.isaca.org
63
63
Ejemplo 2 - Identificación
Ejemplos de activos:
Sistemas
Aplicaciones
Personas
Mobiliario
Equipos de cómputo
Instalaciones
Documentos
Registros
Manuales
Directorios
Servicios
Otros
Teléfono
Fax
Pag.64
www.isaca.org
64
64
Ejemplo 2 - Identificación
Gente / Entidades
Tecnología de Información
Procesos
Sistemas / Aplicaciones
Información / Datos / Documentos
Plataformas / S.O.
Red / Comunicaciones
Física / Instalaciones
Pag.65
www.isaca.org
65
65
Ejemplo 2 - Identificación
• Identificar vulnerabilidades
– Inherentes al activo.
– Relacionadas con la falta, insuficiencia,
inefectividad o fallas de los controles sobre el
activo.
Pag.66
www.isaca.org
66
66
Ejemplo 2 - Identificación
V=Se encuentra en un área
que se puede inundar.
V=Inflamable.
A=Facturas
V=No se encuentran concentradas
en un mismo lugar.
V=Almacenamiento desprotegido.
V=Consumible.
V=Puede sufrir daños físicos.
Pag.67
www.isaca.org
67
67
Ejemplo 2 - Identificación
• Identificar amenazas:
– Naturales.
– No intencionales.
– Intencionales físicas.
– Intencionales no físicas.
Pag.68
www.isaca.org
68
68
Ejemplo 2 - Identificación
• Ejemplos de amenazas:
– Naturales: Terremotos, lluvia, inundaciones, incendios, ciclones,
tsunamis, deslaves, nevadas, temperaturas extremas, polvo, erupción
volcánica, granizo, tornado, lluvia acida, plagas, etc.
– No intencionales: Incendios, fugas, derrames, explosiones, apagones,
falla de equipos, ruido, etc.
– Intencionales físicas: Explosiones, incendios, robo, manifestaciones,
plantones, terrorismo, etc.
– Intencionales no físicas: Infección por virus, SPAM, hackeo, robo de
información, espionaje industrial, ingeniería social, fraude, etc.
Pag.69
www.isaca.org
69
69
Ejemplo 2 - Identificación
• El CENAPRED* (México) clasifica las amenazas naturales en las
siguientes categorías:
•
–
–
–
–
•
•
Derrame
Fuga
Explosión
Fuego / Incendio
Sanitarias
–
–
–
Contaminación
Desertificación
Epidemias
Otras
–
Partículas de polvo
* CENAPRED = Centro Nacional de Prevención de Desastres.
www.cenapred.gob.mx
www.isaca.org
Hidrometeorológicas
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
Terremoto / sismo / temblor
Maremoto / tsunami
Volcán
Deslave
Químicas
–
–
–
–
•
•
Geológicas
Pag.70
Precipitación pluvial
Tormenta de granizo
Tormenta de nieve
Heladas
Ciclón tropical
Escurrimiento
Inundación
Sequía
Erosión
Viento
Marea de tormenta
Temperatura extrema
Humedad extrema
Huracán / Tifón
Tormenta eléctrica
Tormenta de arena
Tornado
Lluvia acida
70
70
Ejemplo 2 - Identificación
Pag.71
www.isaca.org
71
71
Ejemplo 2 - Identificación
V=Se encuentra en un área
que se puede inundar.
V=Inflamable.
E=Inundación
A=Fuego
E=Incendio
V=No se encuentran concentradas
en un mismo lugar.
A=Facturas
V=Almacenamiento desprotegido.
V=Consumible.
E=Uso
V=Puede sufrir daños físicos.
Pag.72
www.isaca.org
A=Agua
E=Pérdida
E=Robo
A=Empleado
A=Empleado
A=Visitantes
A=Personal
E=Daño
A=Personal
A=Impresora
72
72
Ejemplo 2 - Análisis
• Valor de activo
• Vulnerabilidad
• Severidad
• Exposición
• Amenaza (Agente y Evento)
• Motivación
• Capacidad
• Impacto
• Posibilidad de Ocurrencia
Pag.73
www.isaca.org
73
73
Ejemplo 2 – Análisis (Vulnerabilidades)
Valor
1
2
3
Severidad
Exposición
Severidad Menor: Se requiere una cantidad
significativa de recursos para explotar la
vulnerabilidad y tiene poco potencial de pérdida o
daño en el activo.
Exposición Menor: Los efectos de la vulnerabilidad
son mínimos. No incrementa la probabilidad de que
vulnerabilidades adicionales sean explotadas.
Severidad Moderada: Se requiere una cantidad
significativa de recursos para explotar la
vulnerabilidad y tiene un potencial significativo de
pérdida o daño en el activo; o se requieren pocos
recursos para explotar la vulnerabilidad y tiene un
potencial moderado de pérdida o daño en el activo.
Exposición Moderada: La vulnerabilidad puede
afectar a más de un elemento o componente del
sistema. La explotación de la vulnerabilidad aumenta
la probabilidad de explotar vulnerabilidades
adicionales.
Severidad Alta: Se requieren pocos recursos para
explotar la vulnerabilidad y tiene un potencial
significativo de pérdida o daño en el activo.
Exposición Alta: La vulnerabilidad afecta a la
mayoría de los componentes del sistema. La
explotación de la vulnerabilidad aumenta
significativamente la probabilidad de explotar
vulnerabilidades adicionales.
Severidad
Exposición
1
2
3
1
1
2
3
2
2
3
4
3
3
4
5
Pag.74
www.isaca.org
74
74
Ejemplo 2 – Análisis (Amenazas)
Valor
1
2
3
Capacidad
Motivación
Poca o nula capacidad de realizar el
ataque.
Poca o nula motivación. No se está
inclinado a actuar.
Capacidad moderada. Se tiene el
conocimiento y habilidades para realizar el
ataque, pero pocos recursos. O, tiene
suficientes recursos, pero conocimiento y
habilidades limitadas
Nivel moderado de motivación. Se actuará
si se le pide o provoca.
Altamente capaz. Se tienen los
conocimientos, habilidades y recursos
necesarios para realizar un ataque
Altamente motivado. Casi seguro que
intentará el ataque.
Capacidad
Motivación
1
2
3
1
1
2
3
2
2
3
4
3
3
4
5
Pag.75
www.isaca.org
75
75
Ejemplo 2 – Análisis (Impacto)
Valor
Descripción
1
La brecha puede resultar en poca o nula pérdida o daño.
2
La brecha puede resultar en una pérdida o daño menor.
3
La brecha puede resultar en una pérdida o daño serio, y los procesos del
negocio pueden verse afectados negativamente.
4
La brecha puede resultar en una pérdida o daño serio, y los procesos del
negocio pueden fallar o interrumpirse.
5
La brecha puede resultar en altas pérdidas.
Rango (suma de valores por
pérdida de confidencialidad,
integridad y disponibilidad)
Valor Impacto
3-5
Bajo (1)
6-10
Medio (2)
11-15
Alto (3)
Integridad
Disponibilidad
Pag.76
www.isaca.org
Confidencialidad
76
76
Ejemplo 2 - Análisis
Proceso
Proceso 01
Proceso 28
Facturación
Activo
SISTEMA X
RED
FACTURAS
…
Confidencialidad
5
4
4
Pag.77
www.isaca.org
Sensibilidad de los activos
Integridad
Disponibilidad
3
3
3
4
5
4
Total1 Valor1
11
Alto
11
Alto
13
Alto
77
Valor2
3
3
3
77
Ejemplo 2 - Análisis
Proceso
Proceso 01
Proceso 28
Facturación
Activo
SISTEMA X
RED
FACTURAS
…
Análisis de vulnerabilidades
Vulnerabilidades
Severidad
V1-EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO
3
V57-SUSCEPTIBILIDAD A FALLAS
2
V10 - ALMACENAMIENTO DESPROTEGIDO
2
Pag.78
www.isaca.org
Exposición
3
3
3
78
Valor3
5
4
4
78
Ejemplo 2 - Análisis
Proceso
Proceso 01
Proceso 28
Facturación
Activo
SISTEMA X
RED
FACTURAS
…
Agentes de amenaza
A1-VIRUS INFORMÁTICO
A53-DISPERSORES DE AGUA
A3-VISITANTES
Análisis de amenazas
Eventos de amenaza
E1-INFECCIÓN POR VIRUS INFORMÁTICO
E34-FALLA EN COMPONENTE DE TECNOLOGÍA
E14 - ROBO
Pag.79
www.isaca.org
Capacidad
3
2
3
Motivación
3
1
2
79
Valor4
5
2
4
79
Ejemplo 2 - Análisis
Proceso
Proceso 01
Proceso 28
Facturación
Activo
SISTEMA X
RED
FACTURAS
…
Posibilidad
3
1
3
Pag.80
www.isaca.org
80
80
Ejemplo 2 - Evaluación
Riesgo = Amenaza x Vulnerabilidad x Probabilidad
Posibilidad x Impacto
Posibilidad
Amenaza
Vulnerabilidad Probabilidad
Impacto
Riesgo Total
5
5
3
11
825
2
4
1
11
88
4
4
3
13
624
Pag.81
www.isaca.org
81
81
Ejemplo 2 - Evaluación
UMBRALES DE
RIESGO
LIMITE INFERIOR
LÍMITE SUPERIOR
ALTO
751
1125
MEDIO
376
750
BAJO
1
375
Pag.82
www.isaca.org
82
82
Opciones de tratamiento
Fuente
Opciones de tratamiento de riesgos de TI
Transferir
Risk IT
Evitar
Mitigar
Aceptar
---
Compartir
ISO 27005
Evitar
Transferir
Reducir
Retener
---
BS 31100
Evitar
Transferir
Modificar
Retener
Buscar
Compartir
Cambiar la
naturaleza y
magnitud de
posibilidad
Retener por
decisión
Buscar una
oportunidad
Evitar
ISO 31000
Remover la
fuente del
riesgo
Cambiar las
consecuencias
Pag.83
www.isaca.org
83
83
Preguntas?
2008 Santiago Chile
Pag.84
www.isaca.org
84
84
Gracias
Mario Ureña Cuate
CISA, CISM, CGEIT, CISSP
Auditor Líder BS25999, ISO27001
[email protected]
www.mariourenacuate.com
Pag.85
www.isaca.org
85
85
Bogotá, Colombia
Marzo, 2010
Te esperamos!
www.isaca.org
86
86
International Conference 2010
Cancún,
México
6 al 9 de Junio de 2010
Te esperamos!
www.isaca.org
87
87
Documentos relacionados
Código de Ética Profesional de ISACA
Código de Ética Profesional de ISACA
speakers cigras 2016
speakers cigras 2016
ISSA - Isaca
ISSA - Isaca
prevenpsicologia importante06
prevenpsicologia importante06
s Debe aclarar si presionó a la PGR o se sometió a
s Debe aclarar si presionó a la PGR o se sometió a
oro y plata en vuelo
oro y plata en vuelo
s Explica Carrillo Prieto las consignaciones por el
s Explica Carrillo Prieto las consignaciones por el
CENTENARES DE MILES REPUDIAN EL INTENTO
CENTENARES DE MILES REPUDIAN EL INTENTO
Se aferra Dick Cheney a la Casa Blanca
Se aferra Dick Cheney a la Casa Blanca
Descargar
Anuncio
Anuncio