Gestión de Riesgos Mario Ureña Cuate, CISA, CISM, CGEIT, CISSP Auditor Líder BS25999, ISO27001 [email protected] www.mariourenacuate.com Pag.1 www.isaca.org 1 1 Agenda • • • • • • • • • • • Introducción Gestión de riesgos Marcos de referencia para la gestión de riesgos Principios de la gestión de riesgos ISO 31000 – Gestión de Riesgos – Principios y guías (DRAFT) BS 31100 – Gestión de Riesgos – Código de práctica ISO 27005 – Gestión de Riesgos de Seguridad de la Información Risk IT Framework Ejemplos Opciones de tratamiento de riesgos Conclusiones Pag.2 www.isaca.org 2 2 Introducción Pag.3 www.isaca.org 3 3 Introducción • En la actualidad, son cada vez más las organizaciones que dedican recursos de personal, tiempo y dinero para la gestión de riesgos de TI, pero con tantos modelos, metodologías y técnicas disponibles: • • • • • • ¿Por dónde empezar? ¿Cuál de ellas es mejor? ¿Debo utilizar un enfoque cualitativo o cuantitativo? ¿Quién lo debe ejecutar? ¿Con qué granularidad? ¿Cómo tratar el riesgo? Pag.4 www.isaca.org 4 4 Introducción • … ¿Cuáles son los riesgos de los cuales me tengo que proteger?… • … ¿Cuál es el nivel de riesgo que debo tomar para maximizar mis ganancias? • … ¿Eso es un riesgo o es una amenaza? • … ¿El control lo aplico a la vulnerabilidad, a la amenaza o a los dos? Pag.5 www.isaca.org 5 5 Introducción • Diferentes tipos de riesgos: – – – – – – – – Riesgo de TI Riesgo de Seguridad de la Información Riesgo Operativo Riesgo de Continuidad del Negocio Riesgo de Proyecto Riesgo Financiero Riesgo de Auditoría Etc. Pag.6 www.isaca.org 6 6 Introducción Nivel de granularidad: • Empresa A: Total de escenarios de riesgos: 50 • Empresa B: Total de escenarios de riesgos: >5,000,000 Pag.7 www.isaca.org 7 7 Introducción Hay de escenarios a ESCENARIOS: escenario: Epidemia de influenza - Abril 2009 Pag.8 www.isaca.org 8 8 Introducción Hay de escenarios a ESCENARIOS: ESCENARIO: Epidemia de influenza + Sismo 5.7 grados 27 de abril 2009 Pag.9 www.isaca.org 9 9 Introducción Posible Contagio Escenario: Sismo Estrategia: Escenario: Epidemia Parte del personal laborando en oficinas Desalojo y concentración en puntos de reunión Estrategia: Parte del personal laborando desde casa comunicándose vía Internet y teléfono Pag.10 www.isaca.org Estrategia: Escenario: Perdida de comunicaciones Escenario: Saturación de líneas telefónicas Interrupción de la continuidad del negocio 10 10 Introducción El caso de mi amigo. Proveedor de servicios de hospedaje y respaldo. Pag.11 www.isaca.org 11 11 Introducción ESCENARIO-TOTE (Por ponerle un nombre) Hackeo de página web + Pérdida de respaldos+ Epidemia de Influenza + Sismo 5.7 grados + Pérdida de comunicaciones + Fallas de Energía = ? Pag.12 www.isaca.org 12 12 Introducción “… Solamente miré hacia el cielo, esperando ver pasar a los cuatro jinetes...” Mi amigo Abril 27, 2009 Pag.13 www.isaca.org 13 13 Introducción ¿Cómo evitar que ocurran eventos no deseados? Y en caso de que ocurran… ¿Cómo disminuir su impacto en la organización? Pag.14 www.isaca.org 14 14 Gestión de riesgos Pag.15 www.isaca.org 15 15 Marcos de referencia • • • • • • • • • • • ISO/DIS 31000 (DRAFT) IEC/DIS 31010 ISO/D Guide 73 BS 31100 ISO/IEC 27005 ITGI - The Risk IT Framework Basilea II OCTAVE NIST SP800-30 AS/NZS 4360 M_o_R • • • • • • CRAMM MAGERIT TRA Working Guide Microsoft – SRMG BS 7799-3 AIRMIC, ALARM, IRM – ARMS • UNE 71504 Pag.16 www.isaca.org 16 16 Marcos de referencia • • • • • • • • • • • ISO/DIS 31000 (DRAFT) IEC/DIS 31010 ISO/D Guide 73 BS 31100 ISO/IEC 27005 ITGI - The Risk IT Framework Basilea II OCTAVE NIST SP800-30 AS/NZS 4360 M_o_R • • • • • • CRAMM MAGERIT TRA Working Guide Microsoft – SRMG BS 7799-3 AIRMIC, ALARM, IRM – ARMS • UNE 71504 Pag.17 www.isaca.org 17 17 ISACA - Guías relacionadas – COBIT 4.1 – Process PO9 – Assurance Guide – Control Objectives for Basel II – IT Governance Series – IT Risk Management – Security Baseline – Control Objectives for Sarbanes Oxley Pag.18 www.isaca.org 18 18 Principios de la gestión de riesgos ISO/DIS 31000. La gestión de riesgos: a) crea valor b) es una parte integral de los procesos de la organización c) forma parte de la toma de decisiones d) explícitamente atiende la incertidumbre e) es sistemática, estructurada y oportuna f) está basada en la mejor información disponible g) está adaptada a la organización h) toma en cuenta factores humanos y culturales i) es transparente e inclusiva j) es dinámica, iterativa y responde al cambio k) facilita la mejora continua Pag.19 www.isaca.org 19 19 Principios de la gestión de riesgos BS 31100. La gestión de riesgos: i) debe ser adaptada a la organización ii) debe tomar en cuenta la cultura organizacional, factores humanos y comportamiento iii) debe ser sistemática y estructurada iv) debe operar en un lenguaje común v) debe basarse en la mejor información disponible vi) debe atender explícitamente la incertidumbre vii) debe ser parte de la toma de decisiones viii) debe proteger todo lo que sea valioso ix) debe ser transparente e inclusiva x) debe ser dinámica, iterativa y responder a cambios xi) debe considerar la revisión en la aplicación de los principios Pag.20 www.isaca.org 20 20 Principios de la gestión de riesgos Risk IT. La gestión de riesgos de TI: • siempre está conectada a los objetivos del negocio • alinea la gestión de riesgos del negocio relacionados con TI con la gestión de riesgos de toda la organización • balancea los costos y beneficios de gestionar riesgos • promueve una comunicación de riesgos de TI justa y abierta • establece el tono adecuado desde arriba, mientras define y refuerza la responsabilidad personal para operar con niveles de tolerancia aceptables y bien definidos • es un proceso continuo y forma parte de las actividades diarias Pag.21 www.isaca.org 21 21 ISO DIS / 31000 • Propósito: • Proveer los principios y guías generales para la implementación de la gestión de riesgos. • No es utilizado con propósitos de certificación. Pag.22 www.isaca.org 22 22 ISO DIS / 31000 • Es genérico y no es específico de alguna industria o sector. • Aún cuando el estándar provee guías generales no es su intención imponer uniformidad en las organizaciones, respecto a la gestión de riesgos. • El diseño e implementación de la gestión de riesgos depende de las necesidades específicas de la organización, objetivos particulares, contexto, estructura, productos, servicios, proyectos, procesos operativos y prácticas específicas empleadas. Pag.23 www.isaca.org 23 23 ISO DIS / 31000 • Éste estándar intenta armonizar los procesos de gestión de riesgos en estándares existentes y futuros. • Provee un enfoque común soportando estándares orientados a riesgos o sectores específicos. • El ISO 31000 no pretende reemplazar los estándares ya existentes. Pag.24 www.isaca.org 24 24 ISO DIS / 31000 • Componentes Compromiso de la gerencia Diseño del marco de referencia Implementar la gestión de riesgos Mejora continua Monitorear y revisar Pag.25 www.isaca.org 25 25 ISO DIS / 31000 • Componentes Compromiso de la gerencia Diseño del marco de referencia - Entender a la organización y su contexto - Política de gestión de riesgos - Integración dentro de los procesos de la organización - Responsabilidad - Recursos - Establecer mecanismos de comunicación y reporte interno - Establecer mecanismos de comunicación y reporte externo Implementar la gestión de riesgos Mejora continua - Implementar el marco de referencia - Implementar el proceso de gestión de riesgos Monitorear y revisar Pag.26 www.isaca.org 26 26 ISO DIS / 31000 Inicio • Proceso Establecer el contexto Análisis de riesgos Evaluación de riesgos Monitoreo y revisión Comunicación y consulta Identificación riesgos Tratamiento de riesgos Pag.27 www.isaca.org 27 27 BS 31100 • Publicado en Octubre 2008. • Propósito: • Provee las bases para el entendimiento, desarrollo, implementación y mantenimiento de la gestión de riesgos. Pag.28 www.isaca.org 28 28 BS 31100 • Ha sido preparado para ser consistente con el ISO 31000 y también considera los siguientes documentos: – – – – HM Treasury’s Orange Book OGC - M_o_R: Guidance for Practitioners COSO – Enterprise Risk Management – Integrated Framework IRM/AIRMIC/ALARM - Risk Management Standard Pag.29 www.isaca.org 29 29 BS 31100 • Componentes Mandato y compromiso Diseño del marco de referencia Mantenimiento y mejora Implementar la gestión de riesgos Monitorear y revisar Pag.30 www.isaca.org 30 30 BS 31100 • Proceso Pag.31 www.isaca.org 31 31 ISO 27005 • Publicado en Junio 2008. • Propósito: • Provee guías para la gestión de riesgos de seguridad de la información. • Soporta los principales conceptos especificados en ISO/IEC 27001 y ha sido diseñado para asistir en la implementación satisfactoria de seguridad de la información basada en un enfoque de gestión de riesgos. Pag.32 www.isaca.org 32 32 ISO 27005 • Para un entendimiento completo de éste estándar, se requiere el conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC 27001. • Aplica a todo tipo de organización que intente gestionar riesgos que pudieran comprometer la seguridad de la información de la organización. Pag.33 www.isaca.org 33 33 ISO 27005 ISO 31000 • Integración de ISO 27005 con otros estándares ISO 27005 ISO 27001 Otros estándares y prácticas de gestión de riesgos Pag.34 www.isaca.org 34 34 Inicio www.isaca.org Pag.35 Evitar Retener Reducir Aceptación de riesgos Transf. Tratamiento de riesgos Evaluación de riesgos Estimación de riesgos Identificación riesgos • Proceso Establecer el contexto ISO 27005 Consecuencias Controles Vulnerabilidades Activos Amenazas Comunicación de riesgos Monitoreo y revisión de riesgos 35 35 The Risk IT Framework • Desarrollado por el IT Governance Institute • Iniciativa de Risk IT • Complementa a COBIT y Val IT Pag.36 www.isaca.org 36 36 The Risk IT Framework • Propósito: • El marco de referencia de “Risk IT” explica el riesgo de TI y permitirá a los usuarios: – Integrar la gestión de riesgos de TI con la gestión de riesgos empresarial. – Tomar decisiones bien informadas respecto a la extensión del riesgo, el apetito de riesgo y la tolerancia al riesgo de la organización. – Entender como responder al riesgo Pag.37 www.isaca.org 37 37 The Risk IT Framework • Definición de riesgo de TI: • El riesgo de TI es riesgo del negocio – específicamente, el riesgo del negocio asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de TI en la organización. Consiste de eventos relacionados con TI que potencialmente podrían impactar al negocio. Incluye frecuencia y magnitud, y crea retos para el cumplimiento de metas y objetivos estratégicos, así como incertidumbre en la búsqueda de oportunidades. Pag.38 www.isaca.org 38 38 The Risk IT Framework • El riesgo de TI puede categorizarse en: • Riesgo en la entrega de servicios de TI, asociado con el desempeño y disponibilidad de servicios de TI, y que puede provocar la destrucción o reducción del valor para la organización. • Riesgo en la entrega de soluciones de TI / realización de beneficios, asociado con la contribución de TI a soluciones del negocio nuevas o mejoradas usualmente en la forma de proyectos y programas. • Riesgo de realización de beneficios de TI, asociado con la perdida de oportunidades para usar la tecnología en la mejora de la eficiencia o efectividad de los procesos del negocio. Pag.39 www.isaca.org 39 39 The Risk IT Framework Valor del negocio No Ganar Ganar Perder Preservar Habilitar beneficios / valor de TI Entrega de programas y proyectos de TI Entrega de operaciones y servicios de TI Valor del negocio Pag.40 www.isaca.org 40 40 The Risk IT Framework • Componentes Pag.41 www.isaca.org 41 41 The Risk IT Framework • Escenarios / Componentes Pag.42 www.isaca.org 42 42 The Risk IT Framework • Impacto al negocio “4A” (Westerman / Hunter) Agility - Agilidad Accuracy - Precisión Access - Acceso Availability - Disponibilidad Pag.43 www.isaca.org 43 43 The Risk IT Framework • Impacto al negocio COBIT – Criterios de información Efectividad Eficiencia Confiabilidad Integridad Confidencialidad Disponibilidad Cumplimiento Pag.44 www.isaca.org 44 44 The Risk IT Framework • Impacto al negocio BSC (COBIT – Objetivos del negocio) Perspectiva Financiera Perspectiva del Cliente Perspectiva Interna Perspectiva de Aprendizaje y Crecimiento Pag.45 www.isaca.org 45 45 The Risk IT Framework • Impacto al negocio BSC (Criterios de impacto extendidos) Valor de acciones Cuota de mercado Ingresos / Ganancias Costo de capital Satisfacción del cliente Impacto regulatorio Recursos Ventaja competitiva Reputación Pag.46 www.isaca.org 46 46 The Risk IT Framework Pag.47 www.isaca.org 47 47 The Risk IT Framework Pag.48 www.isaca.org 48 48 The Risk IT Framework COBIT + Val IT + Risk IT Pag.49 www.isaca.org 49 49 Ejemplos Pag.50 www.isaca.org 50 50 Ejemplo 1 - Identificación IDENTIFICADOR RIESGO 1 Uso no autorizado de equipos 2 Falla en equipos de telecomunicación 3 Fallas de energía eléctrica 4 Saturación de Sistemas de Información 5 Infección por virus informático … … N Riesgo N Pag.51 www.isaca.org 51 51 Ejemplo 1 - Identificación 1. Fuego 2. Daño por agua 3. Contaminación 4. Accidentes graves 5. Destrucción de equipo o medios 6. Terremoto /sismo /temblor 7. Deslave 8. Derrame químico 9. Explosión 10. Incendio 11. Epidemia 12. Lluvias intensas 13. Tormenta de Granizo 14. Ciclón tropical 15. Inundación 16. Tormenta eléctrica 17. Fallas en aire acondicionado 18. Fallas en provisión de agua 19. Fallas en equipos de telecomunicación 20. Fallas de energía eléctrica 21. Intercepción de información 22. Espionaje remoto 23. Espionaje 24. Robo de documentos 25. Robo de medios de información 26. Robo de equipo 27. Recuperación de medios reciclados 28. Divulgación de información 29. Recepción de datos de fuentes no confiables 30. Manipulación no autorizada de información 31. Detección de ubicación física 32. Falla de equipos 33. Malfuncionamiento de equipos 34. Saturación de sistemas de información 35. Malfuncionamiento de software 36. Uso no autorizado de equipo 37. Copia fraudulenta de software 38. Uso de software fraudulento 39. Corrupción de datos 40. Procesamiento ilegal de datos 41. Errores humanos 42. Abuso de privilegios 43. Denegación de acciones 44. Repudio de transacciones 45. Indisponibilidad del personal 46. Secuestro de funcionarios 47. Chantaje 48. Terrorismo Pag.52 www.isaca.org 49. Amenaza de bomba 50. Bloqueo de instalaciones por manifestaciones públicas 51. Huelga 52. Impacto de aeronave 53. Acciones de empleados descontentos contra la organización 54. Infecciones por virus informático y código malicioso 55. Sabotaje 56. Hackers y otros agresores externos 57. Desconocimiento del usuario 58. Agresores internos 59. Phishing / Engaños intencionales 60. Spyware / Adware 61. Insuficiencia de infraestructura de seguridad 62. Software Deficiente 63. Negligencia del usuario 64. Spam 65. Hardware Deficiente 66. Interrupción del negocio de proveedores 67. Cambios significativos en el entorno económico 52 52 Ejemplo 1 - Análisis Posibilidad de Ocurrencia Casi cierto Muy posible Posible Raro Casi imposible Valor 5 4 3 2 1 Impacto Catastrófico Mayor Medio Menor Insignificante Pag.53 www.isaca.org Valor 5 4 3 2 1 53 53 Mayor Catastrófico 4 5 Medio Menor 2 3 Insignificante Casi cierto 5 1 Muy posible 4 IMPACTO Posible 3 Pag.54 www.isaca.org Raro Evento de amenaza (riesgo) Uso no autorizado de equipos Falla en equipos de telecomunicación Fallas de energía eléctrica Saturación de sistemas de información Infección por virus informático … Riesgo N 2 ID 1 2 3 4 5 … N 1 Casi imposible POSIBILIDAD Ejemplo 1 - Análisis 54 54 Ejemplo 1 - Evaluación ID RIESGO P I R (P x I) 1 Uso no autorizado de equipos 2 3 6 2 Falla en equipos de telecomunicación 4 4 16 3 Fallas de energía eléctrica 4 3 12 4 Saturación de Sistemas de Información 3 2 6 5 Infección por virus informático 4 3 12 … … … … … N 1 1 1 Riesgo N Pag.55 www.isaca.org 55 55 Ejemplo 1 - Evaluación ID RIESGO P I R (P x I) Prioridad 1 Uso no autorizado de equipos 2 3 6 3 2 Falla en equipos de telecomunicación 4 4 16 1 3 Fallas de energía eléctrica 4 3 12 2 4 Saturación de Sistemas de Información 3 2 6 3 5 Infección por virus informático 4 3 12 2 … … … … … … N Riesgo N 1 1 1 N Pag.56 www.isaca.org 56 56 Control de operaciones 5 6 7 8 9 4 5 6 7 8 6 7 4 5 6 3 4 5 2 Medio 3 4 5 1 2 5 3 3 Menor 4 1 Insignificante IMPACTO Mayor Catastrófico EMPRESA ABC 2 N Casi Imposible Raro Posible Pag.57 www.isaca.org POSIBILIDAD Muy Posible Casi Cierto 57 57 Ejemplo 2 - Identificación RIESGO Impactos Eventos Activo Amenazas Vulnerabilidades Pag.58 www.isaca.org 58 58 Ejemplo 2 - Identificación ACTIVO Pag.59 www.isaca.org 59 59 Ejemplo 2 - Identificación VULNERABILIDADES Pag.60 www.isaca.org 60 60 Ejemplo 2 - Identificación AMENAZAS AGENTE Pag.61 www.isaca.org 61 61 Ejemplo 2 - Identificación AMENAZAS EVENTO Pag.62 www.isaca.org 62 62 Ejemplo 2 - Identificación IMPACTO Pag.63 www.isaca.org 63 63 Ejemplo 2 - Identificación Ejemplos de activos: Sistemas Aplicaciones Personas Mobiliario Equipos de cómputo Instalaciones Documentos Registros Manuales Directorios Servicios Otros Teléfono Fax Pag.64 www.isaca.org 64 64 Ejemplo 2 - Identificación Gente / Entidades Tecnología de Información Procesos Sistemas / Aplicaciones Información / Datos / Documentos Plataformas / S.O. Red / Comunicaciones Física / Instalaciones Pag.65 www.isaca.org 65 65 Ejemplo 2 - Identificación • Identificar vulnerabilidades – Inherentes al activo. – Relacionadas con la falta, insuficiencia, inefectividad o fallas de los controles sobre el activo. Pag.66 www.isaca.org 66 66 Ejemplo 2 - Identificación V=Se encuentra en un área que se puede inundar. V=Inflamable. A=Facturas V=No se encuentran concentradas en un mismo lugar. V=Almacenamiento desprotegido. V=Consumible. V=Puede sufrir daños físicos. Pag.67 www.isaca.org 67 67 Ejemplo 2 - Identificación • Identificar amenazas: – Naturales. – No intencionales. – Intencionales físicas. – Intencionales no físicas. Pag.68 www.isaca.org 68 68 Ejemplo 2 - Identificación • Ejemplos de amenazas: – Naturales: Terremotos, lluvia, inundaciones, incendios, ciclones, tsunamis, deslaves, nevadas, temperaturas extremas, polvo, erupción volcánica, granizo, tornado, lluvia acida, plagas, etc. – No intencionales: Incendios, fugas, derrames, explosiones, apagones, falla de equipos, ruido, etc. – Intencionales físicas: Explosiones, incendios, robo, manifestaciones, plantones, terrorismo, etc. – Intencionales no físicas: Infección por virus, SPAM, hackeo, robo de información, espionaje industrial, ingeniería social, fraude, etc. Pag.69 www.isaca.org 69 69 Ejemplo 2 - Identificación • El CENAPRED* (México) clasifica las amenazas naturales en las siguientes categorías: • – – – – • • Derrame Fuga Explosión Fuego / Incendio Sanitarias – – – Contaminación Desertificación Epidemias Otras – Partículas de polvo * CENAPRED = Centro Nacional de Prevención de Desastres. www.cenapred.gob.mx www.isaca.org Hidrometeorológicas – – – – – – – – – – – – – – – – – – Terremoto / sismo / temblor Maremoto / tsunami Volcán Deslave Químicas – – – – • • Geológicas Pag.70 Precipitación pluvial Tormenta de granizo Tormenta de nieve Heladas Ciclón tropical Escurrimiento Inundación Sequía Erosión Viento Marea de tormenta Temperatura extrema Humedad extrema Huracán / Tifón Tormenta eléctrica Tormenta de arena Tornado Lluvia acida 70 70 Ejemplo 2 - Identificación Pag.71 www.isaca.org 71 71 Ejemplo 2 - Identificación V=Se encuentra en un área que se puede inundar. V=Inflamable. E=Inundación A=Fuego E=Incendio V=No se encuentran concentradas en un mismo lugar. A=Facturas V=Almacenamiento desprotegido. V=Consumible. E=Uso V=Puede sufrir daños físicos. Pag.72 www.isaca.org A=Agua E=Pérdida E=Robo A=Empleado A=Empleado A=Visitantes A=Personal E=Daño A=Personal A=Impresora 72 72 Ejemplo 2 - Análisis • Valor de activo • Vulnerabilidad • Severidad • Exposición • Amenaza (Agente y Evento) • Motivación • Capacidad • Impacto • Posibilidad de Ocurrencia Pag.73 www.isaca.org 73 73 Ejemplo 2 – Análisis (Vulnerabilidades) Valor 1 2 3 Severidad Exposición Severidad Menor: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene poco potencial de pérdida o daño en el activo. Exposición Menor: Los efectos de la vulnerabilidad son mínimos. No incrementa la probabilidad de que vulnerabilidades adicionales sean explotadas. Severidad Moderada: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño en el activo; o se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial moderado de pérdida o daño en el activo. Exposición Moderada: La vulnerabilidad puede afectar a más de un elemento o componente del sistema. La explotación de la vulnerabilidad aumenta la probabilidad de explotar vulnerabilidades adicionales. Severidad Alta: Se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño en el activo. Exposición Alta: La vulnerabilidad afecta a la mayoría de los componentes del sistema. La explotación de la vulnerabilidad aumenta significativamente la probabilidad de explotar vulnerabilidades adicionales. Severidad Exposición 1 2 3 1 1 2 3 2 2 3 4 3 3 4 5 Pag.74 www.isaca.org 74 74 Ejemplo 2 – Análisis (Amenazas) Valor 1 2 3 Capacidad Motivación Poca o nula capacidad de realizar el ataque. Poca o nula motivación. No se está inclinado a actuar. Capacidad moderada. Se tiene el conocimiento y habilidades para realizar el ataque, pero pocos recursos. O, tiene suficientes recursos, pero conocimiento y habilidades limitadas Nivel moderado de motivación. Se actuará si se le pide o provoca. Altamente capaz. Se tienen los conocimientos, habilidades y recursos necesarios para realizar un ataque Altamente motivado. Casi seguro que intentará el ataque. Capacidad Motivación 1 2 3 1 1 2 3 2 2 3 4 3 3 4 5 Pag.75 www.isaca.org 75 75 Ejemplo 2 – Análisis (Impacto) Valor Descripción 1 La brecha puede resultar en poca o nula pérdida o daño. 2 La brecha puede resultar en una pérdida o daño menor. 3 La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden verse afectados negativamente. 4 La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden fallar o interrumpirse. 5 La brecha puede resultar en altas pérdidas. Rango (suma de valores por pérdida de confidencialidad, integridad y disponibilidad) Valor Impacto 3-5 Bajo (1) 6-10 Medio (2) 11-15 Alto (3) Integridad Disponibilidad Pag.76 www.isaca.org Confidencialidad 76 76 Ejemplo 2 - Análisis Proceso Proceso 01 Proceso 28 Facturación Activo SISTEMA X RED FACTURAS … Confidencialidad 5 4 4 Pag.77 www.isaca.org Sensibilidad de los activos Integridad Disponibilidad 3 3 3 4 5 4 Total1 Valor1 11 Alto 11 Alto 13 Alto 77 Valor2 3 3 3 77 Ejemplo 2 - Análisis Proceso Proceso 01 Proceso 28 Facturación Activo SISTEMA X RED FACTURAS … Análisis de vulnerabilidades Vulnerabilidades Severidad V1-EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO 3 V57-SUSCEPTIBILIDAD A FALLAS 2 V10 - ALMACENAMIENTO DESPROTEGIDO 2 Pag.78 www.isaca.org Exposición 3 3 3 78 Valor3 5 4 4 78 Ejemplo 2 - Análisis Proceso Proceso 01 Proceso 28 Facturación Activo SISTEMA X RED FACTURAS … Agentes de amenaza A1-VIRUS INFORMÁTICO A53-DISPERSORES DE AGUA A3-VISITANTES Análisis de amenazas Eventos de amenaza E1-INFECCIÓN POR VIRUS INFORMÁTICO E34-FALLA EN COMPONENTE DE TECNOLOGÍA E14 - ROBO Pag.79 www.isaca.org Capacidad 3 2 3 Motivación 3 1 2 79 Valor4 5 2 4 79 Ejemplo 2 - Análisis Proceso Proceso 01 Proceso 28 Facturación Activo SISTEMA X RED FACTURAS … Posibilidad 3 1 3 Pag.80 www.isaca.org 80 80 Ejemplo 2 - Evaluación Riesgo = Amenaza x Vulnerabilidad x Probabilidad Posibilidad x Impacto Posibilidad Amenaza Vulnerabilidad Probabilidad Impacto Riesgo Total 5 5 3 11 825 2 4 1 11 88 4 4 3 13 624 Pag.81 www.isaca.org 81 81 Ejemplo 2 - Evaluación UMBRALES DE RIESGO LIMITE INFERIOR LÍMITE SUPERIOR ALTO 751 1125 MEDIO 376 750 BAJO 1 375 Pag.82 www.isaca.org 82 82 Opciones de tratamiento Fuente Opciones de tratamiento de riesgos de TI Transferir Risk IT Evitar Mitigar Aceptar --- Compartir ISO 27005 Evitar Transferir Reducir Retener --- BS 31100 Evitar Transferir Modificar Retener Buscar Compartir Cambiar la naturaleza y magnitud de posibilidad Retener por decisión Buscar una oportunidad Evitar ISO 31000 Remover la fuente del riesgo Cambiar las consecuencias Pag.83 www.isaca.org 83 83 Preguntas? 2008 Santiago Chile Pag.84 www.isaca.org 84 84 Gracias Mario Ureña Cuate CISA, CISM, CGEIT, CISSP Auditor Líder BS25999, ISO27001 [email protected] www.mariourenacuate.com Pag.85 www.isaca.org 85 85 Bogotá, Colombia Marzo, 2010 Te esperamos! www.isaca.org 86 86 International Conference 2010 Cancún, México 6 al 9 de Junio de 2010 Te esperamos! www.isaca.org 87 87