tratamiento de riesgo cf
TRANSCRIPT
![Page 1: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/1.jpg)
Tratamiento de Riesgo
de Seguridad
Equipo Nº 11
UNFV – FIIS -2011
Universidad Nacional Federico Villarreal
![Page 2: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/2.jpg)
Introducción
La información es un activo para las organizaciones y en consecuencia requiere una protección adecuada, y debido al actual ambiente creciente esta expuesta a un mayor rango de amenazas sin contar con las debilidades inherentes de la misma.
![Page 3: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/3.jpg)
Tratamiento del Riesgo
«Proceso de selección e implementación de medidas
para modificar el riesgo.»
ISO/IEC Guide 73:2002
![Page 4: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/4.jpg)
Caso
Universidad Nacional de Colombia
![Page 5: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/5.jpg)
![Page 6: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/6.jpg)
![Page 7: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/7.jpg)
GESTIÓN DE CONTINUIDAD Y RECUPERACIÓN
Asegurar el oportuno reestablecimiento y la disponibilidad de los servicios informáticos en la Universidad.
Objetivo
![Page 8: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/8.jpg)
![Page 9: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/9.jpg)
![Page 10: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/10.jpg)
![Page 11: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/11.jpg)
Evaluación del Análisis del Controles ExistentesRiesgo N. Probabil. N. Impacto Riesgo Riesgo Descripción
Daño o pérdidad total de equipos de Computo
Baja Catastrófico ModeradoSe debe realizar un análisis del costo beneficio con el que se pueda decidir
entre,asumirlo o compartirlo.
Procedmientos einstructivos de
manejo de equipos
Demora en el restablecimiento de los
serviciosBaja Moderado Tolerable
Se debe realizar un análisis del costo beneficio con el que se pueda decidir
entre,asumirlo o compartirlo.
Monitoreo deservicios
Daño en los sistemas de información y pérdida de
los datos.Baja Leve Aceptable
El riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de
tomar otrasmedidas de control diferentes a las que se poseen.
Bacukp de la información Monitoreo de s is temas de
información.
Demanda de nuevos servicios en tiempos muy
cortos de implementación.Baja Moderado Tolerable
Se debe realizar un análisis del costo beneficio con el que se pueda decidir
entre, asumirlo o compartirlo.
•Herramientas de gestión, control y monitoreo.
• Plan de administración de los recursos
No ejecutar la planeación planteada.
Media Catastrófico ImportanteSe debe realizar un análisis del costo beneficio con el que se pueda decidir
entre, asumirlo o compartirlo.
• Cronograma de trabajo del cambio
• Planeación del cambio relacionada en el formato de
solicitud y control de cambios.
Calificación del Riesgo
![Page 12: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/12.jpg)
ValoraciónN. Probabil. N. Impacto Final Opciones de Manejo Acciones Responsables
Baja Catastrófico Moderado EvitarDefinición de politicas
adecuadas de contingencia y de tenencia de copias de seguridad
Jefe de centro de Computo
Baja Moderado Tolerable Asumir
Realizar un plan decontingencia pararecuperación de
servicios
Oficina depersonal - Jefe
centro de computo
Baja Leve Aceptable AsumirDefinición de politicas
adecuadas de contingencia y de tenencia de copias de seguridad
Jefe de centro de Computo
Baja Moderado Tolerable Asumir
Realizar estudios y diagnostico sobre las necesidades de
modernización, priorizacion y gestión del proyecto de
infraestrutura de informatica ycomunicaciones.
Jefe de centro de Computo
Media Catastrófico Importante Asumir
• Definición del plan(es) alterno(s) y lista de verificación• Capacitación permanente en tecnología y planeación.• Identificación de riesgos y planes de contingencia para la realización del cambio.
Jefe de centro de Computo
Valoración del Riesgo Tratamiento de Riesgos
![Page 13: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/13.jpg)
Administración del Sistema de Información Personal
Garantizar la infraestructura adecuada para el procesamiento, almacenamiento y
presentación de la información de los procesos de administración de los RRHH,
así como la implementación de estrategias para garantizar la calidad de
la información.
Objetivo
![Page 14: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/14.jpg)
![Page 15: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/15.jpg)
Evaluación del Análisis del Controles ExistentesRiesgo N. Probabil. N. Impacto Riesgo Riesgo Descripción
Modificación de la información
que se ingresa al sistema SARA
Media Moderado ModeradoSe debe realizar un análisis del costo beneficio con el que se pueda decidir
entre,asumirlo o compartirlo.Control de la Información
Pérdida de confidencialidad de la
InformaciónMedia Moderado Moderado
Se debe realizar un análisis del costo beneficio con el que se pueda decidir
entre,asumirlo o compartirlo.Control de la Información
Calificación del Riesgo
ValoraciónN. Probabil. N. Impacto Final Opciones de Manejo Acciones Responsables
Baja Moderado Tolerable Evitar
Control muy estricto delos usuarios al sistemapara evitar las perdidas
de la información
Jefe de Oficina de Personal
Baja Moderado Tolerable Evitar
Control muy estricto delos usuarios al sistemapara evitar las perdidas
de la información
Jefe de Oficina de Personal de Sede
Valoración del Riesgo Tratamiento de Riesgos
Administración del Sistema de Información Personal
![Page 16: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/16.jpg)
![Page 17: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/17.jpg)
Caso:
Consultora CMS
![Page 18: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/18.jpg)
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS
![Page 19: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/19.jpg)
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS
![Page 20: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/20.jpg)
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS
![Page 21: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/21.jpg)
![Page 22: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/22.jpg)
![Page 23: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/23.jpg)
RIESGOS LOGICOSRiesgo Probabilidad Impacto
Caída de la red Media Alto
Caída de servicios de producción
Media Bajo
Extracción, modificación y destrucción de información confidencial
Baja Alto
Uso inadecuado de las instalaciones
Alta Media
Ataques de virus informáticos
Alta Alto
Fuga de información Media Alto
Inadecuados controles de acceso lógicos
Baja Alto
Pérdida de información
Baja Medio
Falta de disponibilidad de aplicaciones críticas
Baja Alto
Descontrol del personal
Medio Bajo
![Page 24: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/24.jpg)
RIESGOS FISICOS
Riesgo Probabilidad Impacto
Inadecuados controles de acceso físico
Alta Bajo
Vulnerabilidad Media Alto
Incendio Baja Bajo
Robo Media Alto
Desastres naturales Baja Alto
![Page 25: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/25.jpg)
Otros Aspectos
![Page 26: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/26.jpg)
IMPLEMENTACIÓN DE LOS CONTROLES
SELECCIONADOS ACORDE AL MANUAL DE PROCEDIMIENTOS
Política de Seguridad de la Información
![Page 27: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/27.jpg)
Teniendo en cuenta que una de las principales causas de los problemas dentro del área de sistemas, es la inadecuada administración de riesgos informáticos, se debe hacer una buena administración de riesgos, basándose en los siguientes aspectos:
La evaluación de los riesgos inherentes a los procesos informáticos.
La evaluación de las amenazas ó causas de los riesgos.
Los controles utilizados para minimizar las amenazas a riesgos.
La asignación de responsables a los procesos informáticos.
La evaluación de los elementos del análisis de riesgos.
![Page 28: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/28.jpg)
![Page 29: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/29.jpg)
![Page 30: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/30.jpg)
CASO
![Page 31: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/31.jpg)
Comisión Central Seguridad Informática
Comité deInformática
Oficina deSeguridad Informática
Equipos Interfuncionales
EspecialistasDe Informática
Personal en General
Oficina de ControlInterno
RESP. EJECUTIVA
RESP.TÉCNICA
RESP.CUMPLIMIENTO
RESP.CONTROL
![Page 32: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/32.jpg)
EsquemaSSI SUNAT
Relación de Procedimientos de Seguridad Informática
Organización para la
seguridad
Metodología de análisis de riesgos
Reportes de incidentes de
seguridad
Circular Nº 039-2005
![Page 33: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/33.jpg)
Relación de Procedimientos más Importantes - SUNAT
N°
PROCEDIMIENTO DESCRIPCION ESTATUS
01
Metodología de análisis de riesgos
Determina las acciones a seguir para la identificación y calificación de riesgo de los activos críticos, así como la
frecuencia de ejecución del mismo.
En desarrollo
02 Asignación y control de equipos
informáticos
Establece las políticas, procedimientos y responsabilidades para el control de los equipos y accesorios informáticos, tales como
asignación, codificación, entrega, traslado, reasignación, devolución y bajas por obsolescencia técnica
En desarrollo
03 Clasificación, marcado y
tratamiento de la información
Define los lineamientos y procedimientos para la clasificación, marcado y tratamiento de la información física y lógica de la
Superintendencia Nacional de Administración Tributaria.
En desarrollo
04 Reportes de incidentes de
seguridad
Establece los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática, los mismos
que permitirán identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso.
Aprobado
05 Procedimiento para la revisión de la
seguridad y monitoreo a
usuarios
Define el procedimiento para verificar el cumplimiento de las políticas, procedimientos y normas de seguridad que deben
efectuarse, así como la normatividad para las intervenciones en los recursos informáticos de los usuarios.
En desarrollo
06 Seguridad física y del entorno de la
SUNAT
Define los lugares restringidos y establece las normas y control para los accesos, así como los mecanismos de seguridad
(ambiental) a ser considerados.
En desarrollo
![Page 34: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/34.jpg)
CIRCULAR N° 039-2005
Materia:Incidentes y vulnerabilidades de seguridad informática que deben ser reportados para identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso, permitiéndonos minimizar los riesgos y/o dar respuesta oportuna frente a posibles ataques.
Finalidad:Establecer los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática.
Alcance:A todo el personal de la Superintendencia Nacional de Administración Tributaría.
![Page 35: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/35.jpg)
Base Legal
Resolución de Superintendencia Adjunta Nº 059-2002/SUNAT - "Aprueban Políticas de Seguridad Informática".
Reglamento Interno de Trabajo de la SUNAT, aprobado mediante Resolución de Superintendencia 235-2003/SUNAT
Circular 036-2004 - "Atención de solicitudes de servicios informáticos-SIGESA"
NTP ISO/IEC 17799:2004 EDI. "Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información"
![Page 36: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/36.jpg)
Responsabilidades
Recibir, evaluar y dar respuesta a los incidentes y/o vulnerabilidades de seguridad informática reportados por la División de Atención a Usuarios.
Implantar mecanismos para el monitoreo, registro y verificación de incidentes y vulnerabilidades de seguridad informática.
Oficina deSeguridad Informática
![Page 37: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/37.jpg)
División de Atención a Usuarios
![Page 38: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/38.jpg)
Lineamientos generales
Durante el proceso de verificación del incidente y/o vulnerabilidad reportada, el acceso del/los usuario(s) al servicio ó sistema informático involucrado podrá ser suspendido en forma preventiva de acuerdo a su criticidad.
Guardar Reserva y confidencialidad
No debe ser Intencional
![Page 39: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/39.jpg)
CASOS DE INCIDENTES Y VULNERABILIDADES QUE DEBEN
REPORTARSE
![Page 40: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/40.jpg)
Acciones o respuestas no programadas en los sistemas informáticos.
INCIDENTES
Personal General
![Page 41: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/41.jpg)
Instalaciones no autorizadas tanto de hardware como de software.
Accesos no Autorizados
INCIDENTES
Personal General
![Page 42: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/42.jpg)
Servicios o puertos de acceso disponibles en equipos informáticos, sin autorización
Equipos servidores y equipos de telecomunicaciones sin clave de acceso ó con clave por defecto ó clave simple
VULNERABILIDADES
Por personal de la INSI, personal de los centros de cómputo de provincias y de los Departamentos de Soporte Informático.
![Page 43: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/43.jpg)
Conexiones con otras entidades sin la protección del muro de seguridad(firewall).
Modem instalados sin autorización en servidores o computadoras de la SUNAT
VULNERABILIDADES
Por personal de la INSI, personal de los centros de cómputo de provincias y de los Departamentos de Soporte Informático.
![Page 44: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/44.jpg)
PROCEDIMIENTO PARA REPORTAR LOS INCIDENTES Y VULNERABILIDADES
![Page 45: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/45.jpg)
El reporte se enviará directamente a la Oficina de Seguridad Informática a través del Sistema electrónico de gestión documentaria (SIGED) en la opción de registro/otros documentos/reportes de incidentes y/o vulnerabilidades.
Si el servicio del SIGED no estuviera disponible, se reportará a través del correo electrónico Institucional, al usuario Seguridad Informática.
![Page 46: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/46.jpg)
TIVOLITivoli Storage Manager
![Page 47: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/47.jpg)
¿Qué es y para que sirve?
Este software de cumplimiento de seguridad de Tivoli ofrece monitoreo
automatizado de la actividad del usuario con el panel de control y presentación de informes para ayudar a
controlar su cumplimiento de la seguridad.
![Page 48: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/48.jpg)
![Page 49: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/49.jpg)
![Page 50: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/50.jpg)
![Page 51: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/51.jpg)
![Page 52: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/52.jpg)
![Page 53: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/53.jpg)
![Page 54: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/54.jpg)
![Page 55: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/55.jpg)
![Page 56: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/56.jpg)
![Page 57: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/57.jpg)
Conclusiones El tratamiento de riesgos deriva de la evaluación de riesgos.
La evaluación de riesgos identifica, cuantifica y prioriza riesgos, determinando con el tratamiento los controles necesarios.
La seguridad de información se consigue implantando un conjunto adecuado de controles.
Los controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario en la organización.
Es imposible introducir cambios, si no aseguramos que ellos se producirán. Ello ocurre conformando una relación entre los procesos y las personas. No hay respuesta cuando las personas no tienen interés en participar y tampoco hay resultados, cuando los procesos aseguran que los problemas subsistan.
![Page 58: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/58.jpg)
Recomendaciones Antes de considerar el tratamiento de riesgos, la organización
debe decidir el criterio para determinar si es que los riesgos son aceptados o no.
Para cada uno de los riesgos identificados, se necesita realizar una decisión de tratamiento de riesgo.
Para los riesgos identificados, donde la decisión del tratamiento de riesgo ha sido aplicado a controles, estos deben de ser seleccionados e implementados.
La gerencia deberá aprobar, publicar y comunicar a todos los empleados, un documento de política de seguridad de información.
![Page 59: Tratamiento de riesgo cf](https://reader031.vdocuments.site/reader031/viewer/2022013003/5585770cd8b42a4c2c8b4f8d/html5/thumbnails/59.jpg)
Fin de la presentación