memorias webcast introduccion al analisis y gestión de riesgos
DESCRIPTION
Conozca la metodología para que las organizaciones definan una estrategia de gestión del riesgo, basados en los resultados de las mediciones de su impacto y de su probabilidad de ocurrencia.TRANSCRIPT
![Page 1: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/1.jpg)
Luis Carlos Arbesú Consultor de Preventa Especialista en Seguridad
![Page 2: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/2.jpg)
Agenda
• Introducción • Riesgo • Análisis de Riesgos • Metodologías para el Análisis y Gestión de
Riesgos • Metodología NIST 800-30 • Manejo de Riesgos • Resumen • Riesgo Residual
![Page 3: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/3.jpg)
EL PROBLEMA: • Darse cuenta que pasa, hasta que pasa. • Cuantificarlos económicamente, por ejemplo: ¿cuánto le cuesta a la compañía su base de datos? • Vincular directamente sus efectos sobre los resultados de la compañía LA SOLUCIÓN: • No es invertir gran cantidad de dinero. • Buenas prácticas administración y control. • Medición – auditoria – informática
Introducción
![Page 4: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/4.jpg)
Es el potencial que dada una amenaza, esta explote una vulnerabilidad de un activo o de un grupo de activos y de esta forma cause daño en la organización
Riesgo
![Page 5: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/5.jpg)
Es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.
Análisis de Riesgos
![Page 6: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/6.jpg)
Metodologías para el Análisis y Gestión de Riesgos
Citicus One
CRAMM: “CCTA Risk Assessment and
Management Methodology”
ISO/IEC 27005
MAGERIT
OCTAVE (Operationally Critical Threat, Asset,
and Vulnerability Evaluation)
NIST SP 800-39
NIST SP 800-26/30 Mehari AS/NZS
![Page 7: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/7.jpg)
Metodologías para el Análisis y gestión de Riesgos
Estas metodologías de análisis y gestión del riesgo hacen parte del ciclo de mejor continua PHVA dentro del SGSI
![Page 8: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/8.jpg)
El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU. La misión del NIST consiste en elaborar y promover patrones de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida. NIST 800-30 Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información
NIST 800
![Page 9: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/9.jpg)
NIST 800-30
![Page 10: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/10.jpg)
Caracterización del sistema EN
TRA
DA
S • Activos de la organización
• Hardware
• Software
• Interfaces del sistema
• Información
• Personas
• Misión del sistema
SALI
DA
S • Caracterización de los sistemas de IT evaluados
• Definir el alcance del análisis de riesgos
Toda esta información se puede obtener a partir de cuestionarios, reuniones en sitio, herramientas automáticas de escaneo, etc.
![Page 11: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/11.jpg)
Identificación de Amenazas
• Potencial de que una fuente de amenazas se aproveche o explote una vulnerabilidad especifica accidental o intencionalmente Amenaza
• Intención o método que puede explotar una vulnerabilidad. Estas pueden ser naturales, humanas, del ambiente, etc.
Fuente de Amenazas
• Falla o debilidad en los sistemas de seguridad de un sistema, diseño, implementación, control interno, etc., que puede ser aprovechada y resultar en una violación de la política de seguridad del sistema
Vulnerabilidad
![Page 12: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/12.jpg)
Identificación de Amenazas
Hacker, Cracker
Criminales Terroristas
Espionage Industrial o
Intereses Extrangeros
Interno (Empleados enojados,
descuidados)
Desastres Naturales
![Page 13: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/13.jpg)
Identificación de Vulnerabilidades
Evaluaciones previas de riesgos
Reportes de auditoria, reportes de revisión de la seguridad y reportes de evaluación y pruebas de sistemas
Listas de vulnerabilidades (NIST I-CAT)
Advertencias de seguridad (Federal Computer Incident Response Capability FedCIRC)
Advertencias de vendedores
Análisis de Vulnerabilidades y Pentesting
Reportes de anomalias del sistema
![Page 14: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/14.jpg)
Análisis de Controles
Los controles pueden ser extrapolados de: - Políticas y guías de seguridad - Procedimientos de operación de los sistemas - Especificaciones de seguridad del sistema - Estándares y buenas practicas
Controles Técnicos
- Preventivos - Control de acceso - Antivirus - Mecanismos de identificación y autenticación - Firewalls - Encripción - Detectivos - Logs - IDS
![Page 15: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/15.jpg)
Análisis de Controles
Controles Operacionales (personal, seguridad física, etc.) - Preventivos Entrenamiento y conciencia de la seguridad
Planes de contingencia, recuperación y emergencias - Detectivos
Revisiones de seguridad y auditorias Investigaciones
Controles administrativos - Revisiones de auditorias - Evaluaciones de riesgos - Reglas de comportamiento
![Page 16: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/16.jpg)
Probabilidad de Ocurrencia
• La fuente esta altamente motivada y es lo suficientemente capaz y los controles no son efectivos Alta
• La fuente esta altamente motivada y es lo suficientemente capaz y los controles son efectivos. Media
• La fuente no tiene motivación o capacidad o existen controles para prevenir, impedir significativamente
Baja
![Page 17: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/17.jpg)
Análisis de Impactos
• La integridad se pierde si cambios no autorizados son realizados al sistema o a los datos accidental o intencionalmente. Puede causar impacto similar a la perdida de disponibilidad. Puede ser el primer paso hacia una perdida de disponibilidad o confidencialidad
Integridad
• SI el sistema esta parcial o completamente no disponible para los usuarios autorizados puede afectarse la misión de la organización
Disponibilidad
• Protección de la información contra divulgaciones no autorizadas.
Confidencialidad
![Page 18: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/18.jpg)
Análisis de Impactos
![Page 19: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/19.jpg)
Determinación del Riesgo
Riesgo = Probabilidad X Impacto Probabilidad: Probabilidad de ocurrencia de un incidente o fallo en un periodo de tiempo determinado. Impacto: Impacto asociado a la ocurrencia de un incidente o fallo. Incluye pérdidas económicas, en productividad, en desempeño, en imagen organizacional, etc. y usualmente se expresa en dinero.
![Page 20: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/20.jpg)
Determinación del Riesgo
Matriz de Riesgos
![Page 21: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/21.jpg)
- Implementación de controles
- Documentación de amenazas, vulnerabilidades, riesgos
![Page 22: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/22.jpg)
Manejo de Riesgos
• Eliminar la amenaza quitando la falla o vulnerabilidad
Eliminarlo
• Implementar controles que restringen el impacto de una amenaza
Reducirlo
• Pagándole a un tercero para que el asuma el riesgo por mi
Transferirlo
• El nivel de riesgo es muy bajo y cuesta mas la implementación del control que las repercusiones económicas.
Aceptarlo
![Page 23: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/23.jpg)
Diseno
sistema
Activo
Falla o
debilidad? Explotable?
Existe
vulnerabilidad?
&
No hay
riesgo
No hay
riesgo
Existe
amenaza Motivacion?
Perdida
considerable?
Riesgo
inaceptable
Acepta
riesgo
Acepta
riesgo
Si
No No
No No
Si
Si Si Controles
Riesgo
Residual
Resumen
![Page 24: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/24.jpg)
Es el riesgo latente luego de aplicar los controles apropiados
Riesgo Residual
![Page 25: Memorias webCast Introduccion al analisis y gestión de riesgos](https://reader033.vdocuments.site/reader033/viewer/2022042518/549a1607ac79591d2e8b5a87/html5/thumbnails/25.jpg)