Upload
marco-garcia
View
5
Download
0
Embed Size (px)
DESCRIPTION
metodologia de riesgos definida por Adrian Palma
Citation preview
1. Introduccin a Risk 1. Introduccin a Risk ManagementManagement
Factores en la Determinacin del Valor del Riesgo
u Impacto Financiero (Costo de Prdida Dao)
u Probabilidad de Ocurrencia
u Costo /Unidad de Tiempo
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
1. Introduccin a Risk 1. Introduccin a Risk ManagementManagement
Cuantificacin del Riesgog
Costo de Prdida Costo de Prdida
RIESGO = X
Probabilidad de Ocurrencia
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
1. Introduccin a Risk 1. Introduccin a Risk ManagementManagement
VALOR DEL RIESGO
Costo de Prdida Total = $ 150000,000 U.S.D.
Probabilidad de Ocurrencia = 0.003/Ao
Valor del Riesgo = $ 450,000 U.S.D. /Ao
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
3 1 Obt l C i S t d l Alt3.1 Obtener el Compromiso y Soporte de la Alta Gerencia
3.2 Formar el Equipo de Anlisis y Evaluacin de Riesgos
3.3 Identificar, Clasificar y Valuar Activos
3 4 Identificar Amenazas y Vulnerabilidades3.4 Identificar Amenazas y Vulnerabilidades
3.5 Elaborar la Matriz de Anlisis y Evaluacin d Ri (A i VS A )
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
de Riesgos (Activos VS Amenazas)
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
3.6 Determinar: Impacto Financiero, Probabilidad de ocurrencia y Riesgo por c/relacin Activo-Amenaza
3.7 Definir Medidas de Proteccin (Estrategias y Controles)
3.8 Desarrollar el Anlisis Beneficio/Costo de las Medidas de Proteccin
3.9 Determinar la Factibilidad Tcnica, Econmica y Operacional de la implementacin de las Medidas de Proteccin.
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
3.10 Probar, Implementar y Evaluar las Medidas de Proteccin
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
3 1 Obt l C i S t d l 3.1 Obtener el Compromiso y Soporte de la Alta Gerencia
E bl bj i l l Ri k M u Establecer objetivos claros para el Risk Management
u Asignar Equipo de Gente CalificadaDelegar autoridadu Delegar autoridad
u Revisar Conclusiones
T d i i t M did d P t iu Tomar decisiones respecto a Medidas de Proteccinu Dar Soporte a la Implementacin
u Evaluar Resultados
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
u Evaluar Resultados
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3 2 Formacin del Equipo de Anlisis y 3.2 Formacin del Equipo de Anlisis y
Evaluacin de Riesgos u Usuarios u Usuarios
u Gerencia de Informtica
Soporte Tcnicou Soporte Tcnico
u Desarrollo de Sistemas
O i d l C t d C t u Operaciones del Centro de Cmputo
u Auditora
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
u Seguridad Informtica, Otros
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3 3 Identificar Clasificar y Valuar Activos
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3.3 Identificar, Clasificar y Valuar Activos. Identificacin y Clasificacin de Activos.HardwareHardwareSoftwarePersonal. Habilidades y procedimientosy pActivos Fsicos y AmbientalesActivos AdministrativosDatos e InformacinEquipo de Comunicaciones
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
Imagen de la Empresa (Goodwill)
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3 3 Identificar Clasificar y Evaluar Activos
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
Hardware SoftwareMquina Central Sistemas Operativos
CPU ProgramasMemoria Principal Aplicaciones
3.3 Identificar, Clasificar y Evaluar ActivosFsicos
Sistemas ambientales
Equipo de Respaldo
Equipo de Comunicaciones
LneasMemoria Principal AplicacionesCanales de Entrada/Salida UtilerasConsola del Operador Programas de Prueba
Medios de Almacenamiento ComunicacionesDiscosCintas
Equipo de Respaldo
Accesorios
Edificio
Lneas
Controladores
" Front End Processors "
Modems
MultiplexoresPersonal
Personal de InformticaContratistas ProveedoresUsuariosPersonal del Edificio
CintasCartuchosCassettes
Dispositivos de I/OImpresorasDi iti d T j t
DatosClasificados
De Planeacin
Financieros
p
Unidades de Interfase
Servidores de Archivos
Dispositivos de Encripcin
CablesPersonal del Edificio
AdministrativosDocumentacinOperaciones
Dispositivos de TarjetasTerminales" Gateways "Drives de Discos y Cintas
Equipo Especial
Financieros
De Logstica
De Personal
Comunicaciones
Salas
Telfonos
Faxes
Etc.
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
ProcedimientosInventario
Equipo de Bases de DatosControladoresServidores de Archivos
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt Clasificacin de Activos
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
Activos Tangibles:Son aquellos cuyo valor puede ser fcilmente medible q y pen trminos monetarios (dlares, pesos, etc.)
Activos Intangibles:Son aquellos activos que NO son fcilmente medibles en trminos monetarios (dlares, pesos, etc.)
Ejemplos: - Tylenol/Jonhson & Jonhson. Sellos rotos y Ejemplos: Tylenol/Jonhson & Jonhson. Sellos rotos y cpsulas con txicos introducidas en los frascos
- Pentium/ Intel Errores en clculos matemticos- Carcasas de Notebooks (Compaq)
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
( p q)- Calidad en Notebooks (Dell)
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt Clasificacin de Activos
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
Activos Fsicos:Son aquellos activos que podemos tocar o sentir. Son q q ptambin Activos Tangibles.
Activos Lgicos:Son aquellas cosas como datos o arreglos de cosas. Muchos de ellos son Intangibles.
Ejemplos: Ejemplos: Un programa en un diskette.Cunto vale el diskette fsico? 2 US DlaresCunto vale el programa? Cientos de Miles de Dlares
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
Cunto vale el programa? Cientos de Miles de DlaresValor de rehacer el programa???
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt Valuacin de Activos
Mtodo: Escala Base 10:
N E l V l US DlNmero Escalar Valor en US Dlares0 $ 1 o menos1 hasta $101 hasta $102 $1003 $1,0004 $10 0004 $10,000. .8 $100000,000
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
En esta escala, el nmero asignado se basa en una potencia de 10.
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt Mtodo: Escala Base Logartmica:
g gg g
Nmero escalar Valor en US Dlares0 Menor a $3001 Hasta $7001 Hasta $7002 Hasta $2,0003 Hasta $5,0004 $15 0004 $15,0005 $40,0006 $110,0007 $300 0007 $300,0008 $800,0009 $2200,000E t t bl d l it d f t d
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
En esta tabla cada lmite de rango crece por un factor de alrededor de 2.7183 en lugar de un factor de 10.
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
3.5 Elaborar la Matriz de Activos VS Amenazas
g gg g
8 Accidental
Amenazas
t
e
r
r
u
p
c
i
n
o
r
r
u
p
c
i
n
e
m
o
c
i
n
e
v
e
l
a
c
i
n
e
s
t
r
u
c
c
i
n
t
e
r
r
u
p
c
i
n
o
r
r
u
p
c
i
n
e
m
o
c
i
n
e
v
e
l
a
c
i
n
e
s
t
r
u
c
c
i
n
1 2 3 4 5 6
I
n
t
C
o
R
e
R
e
D
e
I
n
t
C
o
R
e
R
e
D
e
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt CONCEPTOS DE PROBABILIDAD
Annualized Loss Multiplier Table
F i i l C / l i li d
g gg g
Frecuencia Equivalente Costo/MultiplicadorSubjetiva Fraccionario de PrdidaNunca - 0.0Una vez en 300 aos 1/300 0.00333Una vez en 200 aos 1/200 0.005Una vez en 100 aos 1/100 0.01Una vez en 50 aos 1/50 0.02Una vez en 25 aos 1/25 0.04Una vez en 5 aos 1/5 0.20Una vez en 5 aos 1/5 0.20Una vez en 2 aos 1/2 0.50Anualmente 1/1 1.0Dos veces al ao 1/.5 2.0Cuatro veces al ao 1/.25 4.0U l 12/1 12 0Una vez al mes 12/1 12.0Dos veces al mes 12/.5 24.0Una vez a la semana 52/1 52.0Una vez al da 365/1 365.0Dos veces al da 365/.5 730.0
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
/Diez veces al da 265/.1 3,650.0Una vez cada hora 8760/1 8,760.0Una vez cada minuto 525,600/1 525,600.0
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
3.6 Determinar el Impacto Financiero, la Probabilidad de Ocurrencia
g gg g
DETERMINAR IMPACTO FINANCIERO$ VARIABLE
DETERMINAR PROBABILIDAD DE OCURRENCIAFRECUENCIA VARIABLE
3.6 Determinar el Impacto Financiero, la Probabilidad de Ocurrenciay calcular el Riesgo por cada relacin Activo-Amenaza
10 U = 1100 U = 2
1,000 U = 310,000 U = 4
100 000 U = 5
Una vez en 300 aos P = 1Una vez en 30 aos P = 2Una vez en 3 aos P = 3Una vez cada 100 das P = 4U d 10 d P 5100,000 U 5
1'000,000 U = 610'000,000 U = 7
100'000,000 U = 81,000'000,000 U = 9
Una vez cada 10 das P = 5Una vez por da P = 6Diez veces por da P = 7Cien veces por da P = 8
CALCULAR EL VALOR DEL RIESGO
RIESGO = (IMPACTO FINANCIERO) (PROBABILIDAD DE OCURRENCIA)( P + U - 3)
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
R = ----10
3
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt g gg g3.7 Definir las Medidas de Proteccin
(Estrategias y Controles)
Seguridad
Componentes Esenciales de la Seguridad
D SeguridadComunicaciones, Proceso de
Datos, Tcnica
D
ACTIVOGN
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
El concepto de Anillos de Proteccin
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3.7 Definir las Medidas de Proteccin
(Estrategias y Controles)
g gg g
ESTRATEGIAS
1. Evitar el Riesgo2 P ti (Di idi ) l Obj ti2. Partir (Dividir) el Objetivo3. Colocar el Activo en una posicin altamente visible4. Ocultar el Activo5. Combinar varios activos6. Uso de mltiples estrategias. Anillos de Proteccin
Ti d t l P t i D t i R iTipos de controles : Proteccin, Deteccin, ReaccinControles Preventivos Controles Detectivos
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
Controles Correctivos
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
3 8 Desarrollar el Anlisis Beneficio-Costo de las
g gg g
3.8 Desarrollar el Anlisis Beneficio-Costo de las Medidas de Proteccin
Analizar si los Costos de las Medidas de Proteccin son C t Ef ti t d t
Costo de Adquisicin
ms Costo - Efectivos que un seguro, tomando en cuenta los siguientes costos:
Costo de Desarrollo
Costo de Adaptacin
Costo de Mantenimiento
Costo de Educacin
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
Otros Costos
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
l b l d d
g gg g
3.9 Determinar la Factibilidad Tcnica, Econmica y Operacional de la implementacin de las Medidas de Proteccin
3.10 Probar, Implementar y Evaluar las Medidas de Proteccin
Utilizar Tcnicas de Planeacin de Proyectos Asegurar Funcionamiento Efectuar correcciones y adaptaciones pertinentes Efectuar correcciones y adaptaciones pertinentes Emplear buenas prcticas gerenciales Verificar resultados Certificar implementacin
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
Certificar implementacin