Administración de riesgos en informatica

Administración de Riesgos en Seguridad

Informática

Qué es Administración de Riesgos?

Herramienta gerencial que apoya la toma de decisiones organizacionales facilitando con ello el cumplimiento de los objetivos del negocio.

RIESGOSRIESGOS

• Proceso iterativo basado en el conocimiento, valoración, tratamiento y monitoreo de los riesgos y sus impactos en el negocio

• Aplicable a cualquier situación donde un resultado no deseado o inesperado podría ser significativo en el logro de los objetivos o donde se identifiquen oportunidades de negocio.

UbicaciónUbicaciónGeográficaGeográfica

UnidadUnidadOrganizacionalOrganizacional

Sistema de Sistema de InformaciónInformación

ProyectoProyectoProcesoProceso

OportunidadOportunidad

1. Establecer Marco General

2. Identificar Riesgos

3. Análisis de Riesgos

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

Monitorear y Revisar

Monitorear y Revisar

Proceso de Administración de Riesgos

1.3. Identificar Criterios de Calificación

1.1. Entender el Entorno

1.2. Entender la Oganización

Administración de Riesgos1. Establecer Marco General

1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos











Objeto 1Objeto 1

Objeto 2Objeto 2

Objeto 3Objeto 3

Objeto nObjeto n

Cri

teri

o 1

Cri

teri

o 1

Cri

teri

o 2

Cri

teri

o 2

Cri

teri

o 3

Cri

teri

o 3

Cri

teri

o 4

Cri

teri

o 4

Cri

teri

o 5

Cri

teri

o 5

Cri

teri

o n

Cri

teri

o n

Cri

teri

o 6

Cri

teri

o 6

Cri

teri

o 8

Cri

teri

o 8

Cri

teri

o 7

Cri

teri

o 7

Administración de RiesgosQué y Cómo calificar - priorizar?

Interés de la Dirección

Procesos – Subprocesos

Proyectos

Unidades Orgánicas

Sistemas - Aplicaciones

Geográficamente

Lista de Objetos a los cuáles se les puede realizar Administración de Riesgos

Administración de RiesgosQué calificar - Objetos?

Cómo dividir la organización?

Administración de RiesgosCómo calificar – Criterios?

• Calidad del Control Interno• Competencia de la Dirección (entrenamiento, experiencia,

compromiso y juicio)• Integridad de la Dirección (códigos de ética)• Cambios recientes en procesos (políticas, sistemas, o

dirección)• Tamaño de la Unidad (Utilidades, Ingresos, Activos)• Liquidez de activos• Cambio en personal clave• Complejidad de operaciones• Crecimiento rápido• Regulación gubernamental• Condición económica deteriorada de una unidad• Presión de la Dirección en cumplir objetivos• Nivel de moral de los empleados• Exposición política / Publicidad adversa• Distancia de la oficina principal

De Negocio

IIA

• Exposición financiera• Pérdida y riesgo potencial• Requerimientos de la dirección• Cambios importantes en operaciones,

programas, sistemas y controles• Oportunidades de alcanzar beneficios

operativos• Capacidades del persona

• Pérdida financiera• Pérdida de imagen• Discontinuidad del negocio• Incumplimiento de la misión

Confidencialidad

Integridad Disponibilidad

Administración de RiesgosCómo calificar – Criterios Seguridad Informática

2.1. Establecer el Contexto de Administración de Riesgos

2.2. Desarrollar Criterios de Valoración de Riesgos

2.3. Definir la Estructura

2.4. Identificar riesgos

2.5. Identificar causas

Administración de Riesgos2. Identificar Riesgos

Hardware

Software Datos

Medios de almacenamientoRedesAcceso

Gente clave

Administración de RiesgosSeguridad Informática - Activos

Hardware

Servidores, estaciones cliente, dispositivos de comunicación (router, bridge, hub, gateway, modem), dispositivos periférico, cables, fibras

Software (o Servicios)

Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones, herramientas (administrativas, mantenimiento, backup), software bajo desarrollo

Datos

De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-mail

De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria, configuración y parámetros de la red

De los usuarios: datos procesados personal, archivos de propiedad del usuario.

Administración de RiesgosSeguridad en Redes – Activos (Componentes)

R1 = Acceso no autorizado a la red o sus recursos

R2 = Divulgación no autorizada de información

R3 = Modificación no autorizada a datos y/o software

R4 = Interrupción de las funciones de la red (no disponibilidad de datos o servicios)R4a = incluyendo perdida o degradación de las comunicacionesR4b = incluyendo destrucción de equipos y/o datosR4c = incluyendo negación del servicio

R5 = Acciones engañosas en la red (no saber quien)

Administración de RiesgosSeguridad en Redes - Riesgos

Information Security Risks

Physical Damage: Fire, water, power loss, vandalism

Human Error: Accidental or intentional action

Equipment malfunction: Failure of system

Inside and outside attacks: Hacking , cracking

Misuse of data: Sharing trade secrets

Loss od data: Intentional or unintentional loss

Application error: Computation errors, input errors

CausaCausaEvento primario fundamento u Evento primario fundamento u

orígen orígen de una consecuencia una consecuencia

RiesgoConcepto usado para expresar incertidumbre sobre "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"

ConsecuenciaResultado de un evento o

situación expresado cualitativa o

cuantitativamente

EventoSituación que podría llegar a

ocurrir en un lugar determinado en un momento

dado

Administración de Riesgos2. Cómo escribir Riesgos?

Causa,Evento primario

o Situación

RiesgoRiesgoConcepto usado para expresar incertidumbre sobre Concepto usado para expresar incertidumbre sobre

"consecuencias y/o eventos que podrían llegar a impactar el logro "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"de los objetivos"

Evento,AmenazaConsecuencia,

Impacto,Exposicióno Resultado

++

Administración de Riesgos2. Cómo escribir Riesgos?

Violación de la privacidad

Demandas legales

Perdida de tecnología propietaria

Multas

Perdida de vidas humanas

Desconcierto en la organización

Perdida de confianza

Administración de RiesgosSeguridad en redes – Impactos Significativos

Naturales

Accidentales

Deliberadas

Administración de RiesgosSeguridad Informática - Amenazas

Origen Amenaza directa Impacto inmediato

Terremotos, tormentas eléctricas

Fenómenos astrofísicos

Fenómenos biológicos

Interrupción de potencia, temperatura extrema debido a daños en construcciones,

Perturbaciones electromagnéticas

Muerte de personal crítico

R4, R4a, R4b

R4, R4a

R4, R4c

Administración de RiesgosSeguridad Informática – Amenazas Naturales

Origen Amenaza directa Impacto inmediato

Error del Usuario

Error del Administrador

Fallas de equipos

Borrado de archivos, Formateo de drive, mal empleo de equipos, errores de entrada

Configuración inapropiada de parámetros, borrado de información

Problemas técnicos con servidores de archivos, servidores de impresión, dispositivos de comunicación, estaciones cliente, equipo de soporte (cintas de back-up, control de acceso, derrame de café)

R3, R4

R1: R2, R3, R4, R5

R3, R4, R4b

Administración de RiesgosSeguridad Informática – Amenazas Accidentales

•Amateurs•Hackers• Empleados maliciosos• Rateros•Crackers• Vándalos•Criminales•Espías (gobiernos foráneos)• Terroristas

Administración de RiesgosSeguridad Informática – Involucrados

Características o debilidades en el sistema de seguridad que pueden ser explotadas para causar daños o perdidas (facilitan la ocurrencia de una amenaza)

• Interrupción: un activo se pierde, no está disponible, o no se puede utilizar

• Intercepción: alguna parte (persona, programa o sistema de computo) no autorizada accede un activo

• Modificación: una parte no autorizada accede y manipula indebidamente un activo

• Fabricación: Fabricar e insertar objetos falsos en un sistema computacional

Administración de RiesgosSeguridad Informática – Vulnerabilidades

Hardware

Software Datos

Interrupción (Negación del Servicio) Intercepción (Robo)

Administración de RiesgosSeguridad Informática – Vulnerabilidades

Documents

Administración de riesgos en informatica