Sesión 3: Administración de riesgos de seguridad Enrique G. Dutra Punto NET Soluciones [email protected]

Sesión 3: Administración de riesgos de

seguridadEnrique G. Dutra

Punto NET Soluciones

[email protected]

Prerrequisitos de la sesión

Comprensión básica de los aspectos fundamentales de la seguridad de la red

Comprensión básica de los conceptos de la administración de riesgos de seguridad

Nivel 300

Audiencia objetivo

Esta sesión se enfoca principalmente en:Esta sesión se enfoca principalmente en:

Miembros del equipo de seguridad de la información Miembros del equipo de seguridad de la información

Auditores de seguridad e informática Auditores de seguridad e informática

Ejecutivos senior, analistas de negocios y encargados de tomar decisiones de negocios

Ejecutivos senior, analistas de negocios y encargados de tomar decisiones de negocios

Arquitectos y planeadores de sistemas Arquitectos y planeadores de sistemas

Consultores y socios de negocios Consultores y socios de negocios

Descripción general de la sesión

Conceptos de la administración de riesgos de seguridad

Identificar los prerrequisitos de la administración de riesgos de seguridad

Evaluar los riesgos

Apoyar en la toma de decisiones

Implementar controles y medir la efectividad del programa




Evaluar los riesgos



¿Por qué desarrollar un proceso para la administración de riesgos de seguridad?

Desarrollar un proceso formal para la administración de riesgos de seguridad puede resolver lo siguiente: Desarrollar un proceso formal para la administración de riesgos de seguridad puede resolver lo siguiente:

El tiempo para responder a una amenaza

El cumplimiento con los reglamentos

Los costos de administración de la infraestructura

La priorización y administración de los riesgos

El tiempo para responder a una amenaza

El cumplimiento con los reglamentos

Los costos de administración de la infraestructura

La priorización y administración de los riesgos

Administración de riesgos de seguridad: Un proceso para identificar, dar prioridad y administrar los riesgos a un nivel aceptable dentro de la organización

Los factores clave para implementar un programa exitoso para la administración de riesgos de seguridad incluyen:Los factores clave para implementar un programa exitoso para la administración de riesgos de seguridad incluyen:

Una atmósfera de comunicación abierta y trabajo en equipoUna atmósfera de comunicación abierta y trabajo en equipo

Madurez organizacional en términos de administración de riesgosMadurez organizacional en términos de administración de riesgos

Patrocinio ejecutivoPatrocinio ejecutivo

Una lista bien definida de los involucrados en la administración de riesgos Una lista bien definida de los involucrados en la administración de riesgos

Una visión holística de la organizaciónUna visión holística de la organización

Autoridad del equipo de administración de riesgos de seguridadAutoridad del equipo de administración de riesgos de seguridad

Identificar los factores de éxito que son fundamentales para la administración de riesgos de seguridad

Comparar los enfoques con la administración de riesgos

Muchas organizaciones se han enfocado en la administración de riesgos de seguridad al adoptar lo siguiente:Muchas organizaciones se han enfocado en la administración de riesgos de seguridad al adoptar lo siguiente:

La adopción de un proceso que reduce el riesgo de nuevas vulnerabilidades en su organización

La adopción de un proceso que reduce el riesgo de nuevas vulnerabilidades en su organización

Enfoque proactivo

Un proceso que responde a los eventos de seguridad conforme ocurren

Un proceso que responde a los eventos de seguridad conforme ocurren

Enfoque reactivo

Comparar los enfoques con la priorización de riesgos

Enfoque Beneficios Inconvenientes

Cuantitativo

Riesgos priorizados por su impacto financiero; activos priorizados por sus valores financierosLos resultados facilitan la administración de riesgos por el retorno sobre la inversión en seguridadLos resultados se pueden expresar con una terminología administrativa

Los valores del impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantesRequieren mucho tiempoPuede ser demasiado costoso

Cualitativo

Permite tener una visibilidad y comprensión de los niveles de riesgosEs más sencillo llegar a un consensoNo es necesario cuantificar la frecuencia de las amenazasNo es necesario determinar los valores financieros de los activos

Granularidad insuficiente entre los riesgos importantesDificultad para justificar la inversión en el control debido a que no existe una base para un análisis costo-beneficioLos resultados dependen de la calidad del equipo de administración de riesgos que se haya creado

Presentar el proceso de administración de riesgos de seguridad de Microsoft

Implementar controles


33

Ayudar en la toma de decisiones


22

Medir la efectividad del programa


44 Evaluar los riesgos

Evaluar los riesgos

11




Evaluar los riesgos



Administración de riesgos vs. Evaluación de riesgos

Administración de riesgos Evaluación de riesgos

ObjetivoAdministrar los riesgos de un negocio a un nivel aceptable

Identificar y priorizar los riesgos

Ciclo Programa general a través de las cuatro fases

Fase única del programa de administración de riesgos

Programa Actividad programada Actividad continua

AlineaciónAlineado con los ciclos de la presupuestación No aplica

Comunicar los riesgos

Declaración de los riesgos bien fundamentada Declaración de los riesgos bien fundamentada

Impacto¿Cuál es el impacto al negocio?

Probabilidad¿Qué tan probable es la

amenaza dados los controles?

Activo¿Qué trata de

proteger?

Activo¿Qué trata de

proteger?

Amenaza¿Qué teme que

suceda?

Amenaza¿Qué teme que

suceda?

Vulnerabilidad¿Cómo puede

ocurrir la amenaza?

Vulnerabilidad¿Cómo puede

ocurrir la amenaza?

Mitigación¿Qué reduce

actualmente el riesgo?

Mitigación¿Qué reduce

actualmente el riesgo?

Determinar el nivel de madurez de la administración de riesgos de seguridad de su organización

Las publicaciones que le ayudan a determinar el nivel de madurez de la administración de riesgos de su organización incluyen:Las publicaciones que le ayudan a determinar el nivel de madurez de la administración de riesgos de su organización incluyen:

ISO Code of Practice for Information Security Management (ISO 17799)

ISO Code of Practice for Information Security Management (ISO 17799)

International Standards Organization

Control Objectives for Information and Related Technology (CobiT)

Control Objectives for Information and Related Technology (CobiT)

IT Governance Institute

Security Self-Assessment Guide for Information Technology Systems (SP-800-26)

Security Self-Assessment Guide for Information Technology Systems (SP-800-26)

National Institute of Standards and Technology

Realizar una auto-evaluación de madurez de la administración de riesgos

Nivel Estado

0 No existe

1 Ad hoc

2 Repetible

3 Proceso definido

4 Administrado

5 Optimizado

Ejecutivopatrocinador“¿Qué eslo importante?”

Ejecutivopatrocinador“¿Qué eslo importante?”

Grupo de informática“La mejor solución de control”Grupo de informática“La mejor solución de control”

Grupo de seguridad deinformación“Priorizar los riesgos”

Grupo de seguridad deinformación“Priorizar los riesgos”

Definir los roles y las responsabilidades

Operar y soportar las soluciones de

seguridad

Operar y soportar las soluciones de

seguridad

Diseñar y crear soluciones de

seguridad

Diseñar y crear soluciones de

seguridad

Definir los requerimientos de

seguridad

Definir los requerimientos de

seguridad

Evaluar los riesgos

Evaluar los riesgos

Determinar los riesgos aceptables

Determinar los riesgos aceptables

Medir las soluciones de

seguridad

Medir las soluciones de

seguridad

Evaluar los riesgos



Evaluar los riesgos



Descripción general de la fase de evaluación de riesgos



33 Apoyar en la toma de decisiones


22



44 Evaluar los riesgos

Evaluar los riesgos

11

• Planear la recopilación de información de riesgos

• Reunir información de riesgos

• Priorizar los riesgos

• Planear la recopilación de información de riesgos

• Reunir información de riesgos

• Priorizar los riesgos

Comprender la planeación de los pasos

Las principales tareas en la planeación de los pasos incluyen:Las principales tareas en la planeación de los pasos incluyen:

Alineación Alineación

Definición del alcanceDefinición del alcance

Aceptación de los involucrados Aceptación de los involucrados

Establecer las expectativas Establecer las expectativas

Comprender la recabación de la información facilitada

Los elementos recopilados durante la reunión de información facilitada incluyen:

Los elementos recopilados durante la reunión de información facilitada incluyen:

Activos de la organización

Descripción de los activos

Amenazas a la seguridad

Vulnerabilidades

Entorno actual de control

Controles propuestos

Activos de la organización

Descripción de los activos

Amenazas a la seguridad

Vulnerabilidades

Entorno actual de control

Controles propuestos

Las claves para una reunión de información exitosa incluyen:

Las claves para una reunión de información exitosa incluyen:

Reunirse de manera colaborativa con los involucrados

Desarrollar un soporte

Comprender las diferencias entre analizar y cuestionar

Desarrollar buena voluntad

Estar preparado

Reunirse de manera colaborativa con los involucrados

Desarrollar un soporte

Comprender las diferencias entre analizar y cuestionar

Desarrollar buena voluntad

Estar preparado

Identificar y clasificar los activos

Un activo es cualquier cosa de valor para la organización y se puede clasificar en uno de los siguientes:Un activo es cualquier cosa de valor para la organización y se puede clasificar en uno de los siguientes:

Alto impacto para el negocio Alto impacto para el negocio

Mediano impacto para el negocio Mediano impacto para el negocio

Bajo impacto para el negocio Bajo impacto para el negocio

Organizar la información de los riesgos

Utilice las siguientes preguntas como guía durante los análisis facilitados:Utilice las siguientes preguntas como guía durante los análisis facilitados:

¿Qué activo se está protegiendo?

¿Qué tan valioso es el activo para la organización?

¿Qué se intenta evitar que le suceda al activo?

¿Cómo puede ocurrir la pérdida o exposición?

¿Cuál es el potencial de exposición para el activo?

¿Qué se hace en la actualidad para reducir la probabilidad o el nivel de daño al activo?

¿Cuáles son algunas de las acciones que se pueden realizar para reducir la probabilidad en el futuro?

¿Qué activo se está protegiendo?

¿Qué tan valioso es el activo para la organización?

¿Qué se intenta evitar que le suceda al activo?

¿Cómo puede ocurrir la pérdida o exposición?

¿Cuál es el potencial de exposición para el activo?

¿Qué se hace en la actualidad para reducir la probabilidad o el nivel de daño al activo?

¿Cuáles son algunas de las acciones que se pueden realizar para reducir la probabilidad en el futuro?

Calcular la exposición de los activos

Utilice los siguientes lineamientos para calcular la exposición de los activos:Utilice los siguientes lineamientos para calcular la exposición de los activos:

Pérdida menor o nula Pérdida menor o nulaExposición

baja

Pérdida limitada o moderada Pérdida limitada o moderada Exposición

media

Pérdida severa o completa de los activos

Pérdida severa o completa de los activos

Exposición alta

Exposición: El nivel del daño potencial a un activo

Calcular la probabilidad de las amenazas

Utilice los siguientes lineamientos para calcular la probabilidad para cada amenaza y vulnerabilidad identificadas:Utilice los siguientes lineamientos para calcular la probabilidad para cada amenaza y vulnerabilidad identificadas:

No es probable—no se espera que ocurra impacto alguno en los próximos tres años

No es probable—no se espera que ocurra impacto alguno en los próximos tres años

Amenaza baja

Probable—se espera tener un impacto en dos o tres años

Probable—se espera tener un impacto en dos o tres años

Amenaza media

Muy probable—se espera tener uno o más impactos en un año

Muy probable—se espera tener uno o más impactos en un año

Amenaza alta

Facilitar el análisis de los riesgos

La reunión para analizar los riesgos facilitados se divide en las siguientes secciones:La reunión para analizar los riesgos facilitados se divide en las siguientes secciones:

Determinar los activos y escenarios de la organización

Identificar las amenazas

Identificar las vulnerabilidades


Calcular la probabilidad de explosión e identificar los

controles existentes

Resumen de la reunión y siguientes pasos

Determinar los activos y escenarios de la organización

Identificar las amenazas

Identificar las vulnerabilidades


Calcular la probabilidad de explosión e identificar los

controles existentes

Resumen de la reunión y siguientes pasos

11

22

33

44

55

66

Recorrido del escenario 1: Facilitar el análisis de los riesgos

Facilitar una reunión de análisis de los riesgos para Woodgrove Bank

Escenario 1: Facilitar un análisis de los riesgos en Woodgrove Bank

Tarea 2: Identificar las amenazas:Tarea 2: Identificar las amenazas:

Amenaza de una pérdida de integridad para la información financiera del consumidor Amenaza de una pérdida de integridad para la información financiera del consumidor

Tarea 3: Identificar las vulnerabilidades:Tarea 3: Identificar las vulnerabilidades:

Robo de las identificaciones del consultor financiero mediante el abuso del empleado de confianza utilizando ataques no técnicos, por ejemplo la ingeniería social o el espionaje

Robo de las identificaciones del consultor financiero fuera de los hosts de la red de área local (LAN) mediante el uso de configuraciones de seguridad obsoletas

Robo de las identificaciones del consultor financiero fuera de los hosts remotos o móviles como resultado de la configuración de seguridad obsoleta

Robo de las identificaciones del consultor financiero mediante el abuso del empleado de confianza utilizando ataques no técnicos, por ejemplo la ingeniería social o el espionaje

Robo de las identificaciones del consultor financiero fuera de los hosts de la red de área local (LAN) mediante el uso de configuraciones de seguridad obsoletas

Robo de las identificaciones del consultor financiero fuera de los hosts remotos o móviles como resultado de la configuración de seguridad obsoleta

Tarea 5: Identificar los controles existentes y la probabilidad de explosión:Tarea 5: Identificar los controles existentes y la probabilidad de explosión:

Acuerdo de que sus hosts remotos, o móviles, no reciben el mismo nivel de administración que los de la LAN. Acuerdo de que sus hosts remotos, o móviles, no reciben el mismo nivel de administración que los de la LAN.

Tarea 6: Resumir el análisis de los riesgos:Tarea 6: Resumir el análisis de los riesgos:

El Facilitador de la evaluación de los riesgos resume el análisis y pone de relieve los activos, amenazas y vulnerabilidades analizados.

El Facilitador de la evaluación de los riesgos resume el análisis y pone de relieve los activos, amenazas y vulnerabilidades analizados.

Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad

Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad

Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridadWoodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad

Tarea 1: Determinar los activos de la organizacióny los escenarios:Tarea 1: Determinar los activos de la organizacióny los escenarios:

Sistemas de cálculo de intereses

PII de cliente

Reputación

Información financiera del cliente – Alto impacto financiero (HBI)

Sistemas de cálculo de intereses

PII de cliente

Reputación

Información financiera del cliente – Alto impacto financiero (HBI)

Tarea 4: Calcular la exposición de los activos:Tarea 4: Calcular la exposición de los activos:

Violación a la integridad mediante el abuso de un empleado de confianza: Dañino pero no severo. Todos los consultores financieros pueden acceder únicamente a la información que administran.

Violación a la integridad mediante el robo de identificaciones en los hosts LAN: Puede generar un nivel de daño severo o alto.

Violación a la integridad mediante el robo de identificaciones en hosts móviles: Podría tener un nivel de daño severo o alto. El grupo del análisis observa que la configuración de la seguridad en los host remotos con frecuencia están a la zaga de los sistemas LAN.

Violación a la integridad mediante el abuso de un empleado de confianza: Dañino pero no severo. Todos los consultores financieros pueden acceder únicamente a la información que administran.

Violación a la integridad mediante el robo de identificaciones en los hosts LAN: Puede generar un nivel de daño severo o alto.

Violación a la integridad mediante el robo de identificaciones en hosts móviles: Podría tener un nivel de daño severo o alto. El grupo del análisis observa que la configuración de la seguridad en los host remotos con frecuencia están a la zaga de los sistemas LAN.

Tarea 1: Determinar los activos de la organización y los escenariosTarea 1: Determinar los activos de la organización y los escenarios

Tarea 2: Identificar las amenazasTarea 2: Identificar las amenazas

Tarea 3: Identificar las vulnerabilidadesTarea 3: Identificar las vulnerabilidades

Tarea 4: Calcular la exposición de los activosTarea 4: Calcular la exposición de los activos

Tarea 5: Identificar los controles existentes y la probabilidad de explosiónTarea 5: Identificar los controles existentes y la probabilidad de explosión

Tarea 6: Resumir el análisis de los riesgosTarea 6: Resumir el análisis de los riesgos

Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridadWoodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad

Definir las declaraciones de impacto

Este documento incluye la siguiente información:Este documento incluye la siguiente información:

Información recopilada durante el proceso de Recopilación de información

Información identificada

Nombre/Descripción

del activo

Clase del activo

Niveles DiD aplicables

Descripción de la

amenaza

Descripción de la

vulnerabilidad

Calificación de la

exposición (A,M,B)

Calificación del impacto

(A,M,B)

Activo Exposición

Recorrido del escenario 2: Definir las declaraciones de impacto

Definir una declaración de impacto para Woodgrove Bank

Escenario 2: Definir una declaración de impacto para Woodgrove Bank

Nombre del activo

Clase del

activo

Nivel DID

Descripción de la amenaza

Descripción de la vulnerabilidad

ER (A,M,B)

IR(A,M,B)

Información de inversión financiera

del consumidor

HBI Host

Acceso no autorizado a la información del consumidor mediante el robo de las identificaciones del Consultor Financiero

Robo de identificaciones del cliente LAN administrado a través de configuraciones de seguridad obsoletas

A A


del consumidor

HBI Host


Robo de identificaciones fuera del cliente remoto administrado a través de configuraciones de seguridad obsoletas

A A


del consumidor

HBI Datos


Robo de identificaciones mediante el abuso de empleados de confianza, a través de ataques no técnicos.

B M

Comprender la priorización de los riesgos

Fin del proceso de priorización de los riesgos

Fin del proceso de priorización de los riesgos

Detalle de las prioridades de riesgo

Detalle de las prioridades de riesgo

Realizar la priorización

de los riesgos a

detalle

Realizar la priorización

de los riesgos a

detalle

Revisión con los

involucrados

Revisión con los

involucrados

Prioridad del riesgo a nivel

resumen

Prioridad del riesgo a nivel

resumen

Realizar la asignación de prioridad del riesgo a

nivel resumen

Realizar la asignación de prioridad del riesgo a

nivel resumen

Comenzar a priorizar los

riesgos

Comenzar a priorizar los

riesgos

Realizar la asignación de prioridad del riesgo a nivel resumen

Alto. Muy probable—se espera tener uno o más impactos en un año Medio. Probable—se espera tener un impacto en dos o tres años Bajo. No es probable—no se espera que ocurra ningún impacto en

los próximos tres años

Alto. Muy probable—se espera tener uno o más impactos en un año Medio. Probable—se espera tener un impacto en dos o tres años Bajo. No es probable—no se espera que ocurra ningún impacto en

los próximos tres años

22 44

33

El proceso de priorización a nivel resumen incluye lo siguiente:El proceso de priorización a nivel resumen incluye lo siguiente:

Determinar el nivel del impacto

Calcular la probabilidad a nivel resumen

Completar la lista de riesgos a nivel resumen

Revisión con los involucrados

Determinar el nivel del impacto

Calcular la probabilidad a nivel resumen

Completar la lista de riesgos a nivel resumen

Revisión con los involucrados

11223344

11 Clase del

activo

Alto

Medio

Bajo

Moderado

Moderado

Moderado

Alto Alto

AltoBajo

Bajo BajoBajo Alto

Nivel de exposición

Referencia de la calificación de impacto

Medio

Impacto (de la

Tabla de impacto anterior)

Alto

Medio

Bajo

Moderado

Moderado

Moderado

Alto Alto

AltoBajo

Bajo Bajo

Bajo Medio AltoValor de la probabilidad

Calificación del riesgo a nivel resumen

Recorrido del escenario 3: Realizar la asignación de prioridad del riesgo a nivel resumen

Realizar la priorización de riesgos a nivel resumen para Woodgrove Bank

Impacto (de la

anterior Tabla

del impacto)

Alto

Medio

Bajo

Moderado

Moderado

Moderado

Alto Alto

AltoBajo

Bajo Bajo

Bajo Medio AltoValor de la probabilidad

Calificación del riesgo a nivel resumen

Escenario 3: Priorización de riesgos a nivel resumen en Woodgrove Bank

Tarea 2: Calcular la probabilidad a nivel resumen:Tarea 2: Calcular la probabilidad a nivel resumen:

Probabilidad de robo del empleado de confianza: Baja

Probabilidad de compromiso del host LAN: Media

Probabilidad de compromiso del host remoto: Alta

Probabilidad de robo del empleado de confianza: Baja

Probabilidad de compromiso del host LAN: Media

Probabilidad de compromiso del host remoto: Alta

Tarea 3: Completar la lista de riesgos a nivel resumen:Tarea 3: Completar la lista de riesgos a nivel resumen:

Riesgo por robo del empleado de confianza: Impacto moderado * Probabilidad baja = Baja

Riesgo por compromiso del host LAN: Impacto alto * Probabilidad media = Alta

Riesgo por compromiso del host remoto: Impacto alto * Probabilidad alta = Alta

Registrar los resultados en la hoja de cálculo de la Declaración del impacto

Riesgo por robo del empleado de confianza: Impacto moderado * Probabilidad baja = Baja

Riesgo por compromiso del host LAN: Impacto alto * Probabilidad media = Alta

Riesgo por compromiso del host remoto: Impacto alto * Probabilidad alta = Alta

Registrar los resultados en la hoja de cálculo de la Declaración del impacto

Tarea 4: Revisión con los involucradosTarea 4: Revisión con los involucrados

El riesgo de abuso del Empleado de confianza se califica como Bajo en la lista de riesgos a nivel resumen y no es necesario calificarlo en el paso de priorización de riesgos a nivel detallado

Los riesgos por compromiso del host LAN y remoto se califican como altos y por lo tanto se les da prioridad a nivel detallado

El riesgo de abuso del Empleado de confianza se califica como Bajo en la lista de riesgos a nivel resumen y no es necesario calificarlo en el paso de priorización de riesgos a nivel detallado

Los riesgos por compromiso del host LAN y remoto se califican como altos y por lo tanto se les da prioridad a nivel detallado

Tarea 1: Determinar el nivel del impacto:Tarea 1: Determinar el nivel del impacto:

Imacto del robo del empleado de confianza: Clase de activo de HBI * Exposición baja = Impacto moderado

Impacto del compromiso del host LAN: Clase de activo de HBI * Exposición alta = Impacto alto

Impacto del compromiso del host remoto: Clase de activo de HBI * Exposición alta = Impacto alto

Imacto del robo del empleado de confianza: Clase de activo de HBI * Exposición baja = Impacto moderado

Impacto del compromiso del host LAN: Clase de activo de HBI * Exposición alta = Impacto alto

Impacto del compromiso del host remoto: Clase de activo de HBI * Exposición alta = Impacto alto

Clase del

activo

Alto

Medio

Bajo

Moderado

Moderado

Moderado

Alto Alto

AltoBajo

Bajo BajoBajo Alto

Nivel de exposición

Referencia de la calificación de impacto

Medio

Tarea 1: Determinar el nivel del impactoTarea 1: Determinar el nivel del impacto

Tarea 2: Calcular la probabilidad a nivel resumenTarea 2: Calcular la probabilidad a nivel resumen

Tarea 3: Completar la lista de riesgos a nivel resumenTarea 3: Completar la lista de riesgos a nivel resumen

Tarea 4: Revisión con los involucradosTarea 4: Revisión con los involucrados

Realizar la asignación de prioridad del riesgo a nivel resumen

Las cuatro tareas siguientes delinean el proceso para desarrollar una lista de riesgos a nivel detallado:Las cuatro tareas siguientes delinean el proceso para desarrollar una lista de riesgos a nivel detallado:

Determinar el impacto y la exposiciónDeterminar el impacto y la exposición11

Identificar los controles actualesIdentificar los controles actuales22

Determinar la probabilidad de impactoDeterminar la probabilidad de impacto33

Determinar el nivel detallado del riesgoDeterminar el nivel detallado del riesgo44

Utilice la plantilla de Priorización de riesgos a nivel detallado (SRJA3-Detailed Level Risk Prioritization.xls) Utilice la plantilla de Priorización de riesgos a nivel detallado (SRJA3-Detailed Level Risk Prioritization.xls)

Recorrido del escenario 4: Realizar la asignación de prioridad del riesgo a nivel detallado

Realizar la priorización de riesgos a nivel detallado para Woodgrove Bank

Escenario 4: Priorización de los riesgos a nivel detallado en Woodgrove Bank

Tarea 2: Identificar los controles actuales:Tarea 2: Identificar los controles actuales:

Los Consultores Financieros sólo pueden acceder a sus cuentas; por lo tanto, la exposición es inferior al 100%.

Las notificaciones por correo electrónico para los hosts de revisión o actualización se envían proactivamente a todos los usuarios.

Las actualizaciones del antivirus y de revisión se miden y se cumplen en la LAN cada ciertas horas. Este control reduce la ventana de tiempo cuando los hosts LAN son vulnerables a ataques.

Los Consultores Financieros sólo pueden acceder a sus cuentas; por lo tanto, la exposición es inferior al 100%.

Las notificaciones por correo electrónico para los hosts de revisión o actualización se envían proactivamente a todos los usuarios.

Las actualizaciones del antivirus y de revisión se miden y se cumplen en la LAN cada ciertas horas. Este control reduce la ventana de tiempo cuando los hosts LAN son vulnerables a ataques.

Tarea 3: Determinar la probabilidad del impacto:Tarea 3: Determinar la probabilidad del impacto:

Host LAN y remotos: Es probable que todos los atributos de la vulnerabilidad en la categoría Alta se verán dentro y fuera del entorno LAN de Woodgrove en un futuro cercano. Valor de la vulnerabilidad = 5 para ambos riesgos

Efectividad del control:LAN: Resultado de las preguntas de efectividad del control=1Remoto: Resultado de las preguntas de efectividad del control=5

Calificación total de la probabilidad: (Suma de la vulnerabilidad y efectividad del control)LAN: 6Remoto: 10

Host LAN y remotos: Es probable que todos los atributos de la vulnerabilidad en la categoría Alta se verán dentro y fuera del entorno LAN de Woodgrove en un futuro cercano. Valor de la vulnerabilidad = 5 para ambos riesgos

Efectividad del control:LAN: Resultado de las preguntas de efectividad del control=1Remoto: Resultado de las preguntas de efectividad del control=5

Calificación total de la probabilidad: (Suma de la vulnerabilidad y efectividad del control)LAN: 6Remoto: 10

Tarea 4: Determinar el nivel del riesgo a detalle:Tarea 4: Determinar el nivel del riesgo a detalle:

Calificación del impacto * Calificación de la probabilidad• LAN: 8 * 6 = 48 • Hosts remotos: 8 * 10 = 80• Ambos se califian como un riesgo general Alto

Calificación del impacto * Calificación de la probabilidad• LAN: 8 * 6 = 48 • Hosts remotos: 8 * 10 = 80• Ambos se califian como un riesgo general Alto

Tarea 1: Determinar el impacto y la exposición:Tarea 1: Determinar el impacto y la exposición:

Calificación de la exposición por compromiso del host LAN: 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8

Calificación de la exposición por compromiso del host remoto: 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8

Rango del impacto = Entre 7 y 10 el cual se compara con Alto

Calificación de la exposición por compromiso del host LAN: 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8

Calificación de la exposición por compromiso del host remoto: 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8

Rango del impacto = Entre 7 y 10 el cual se compara con Alto

Tarea 1: Determinar el impacto y la exposiciónTarea 1: Determinar el impacto y la exposición

Tarea 2: Identificar los controles actualesTarea 2: Identificar los controles actuales

Tarea 3: Determinar la probabilidad del impactoTarea 3: Determinar la probabilidad del impacto

Tarea 4: Determinar el nivel del riesgo a detalleTarea 4: Determinar el nivel del riesgo a detalle

Cuantificar los riesgos

Las siguientes tareas delinean el proceso para determinar el valor cuantitativo:Las siguientes tareas delinean el proceso para determinar el valor cuantitativo:

Registrar el valor del activo para cada riesgoRegistrar el valor del activo para cada riesgo

Producir la expectativa única de pérdida (SLE)Producir la expectativa única de pérdida (SLE)

Determinar la tasa anual de ocurrencia (ARO)Determinar la tasa anual de ocurrencia (ARO)

Determinar la expectativa de pérdida anual (ALE)Determinar la expectativa de pérdida anual (ALE)

Asignar un valor monetario a cada clase de activoAsignar un valor monetario a cada clase de activo11

22

33

44

55

Recorrido del escenario 5: Cuantificar los riesgos

Cuantificar los riesgos para Woodgrove Bank

Escenario 5: Cuantificar los riesgos para Woodgrove Bank

Tarea 2: Identificar el valor del activo:Tarea 2: Identificar el valor del activo:

Información financiera del consumidor = Clase del activo HBI

HBI = US$10 millones

Valor del activo = US$10 millones

Información financiera del consumidor = Clase del activo HBI

HBI = US$10 millones

Valor del activo = US$10 millones

Tarea 5: Determinar la expectativa de pérdida anual (ALE)(SLE * ARO)Tarea 5: Determinar la expectativa de pérdida anual (ALE)(SLE * ARO)

$81$880%4$10

Riesgo del host remoto

(US$ en millones)

$40.5$880%4$10

Riesgo del host LAN

(US$ en millones)

ALEAROSLEValor de la exposición

Clasificación de la

exposición

Valor de la clase del

activo

Descripción de los riesgos

Tarea 4: Determinar la tasa anual de ocurrencia (ARO):Tarea 4: Determinar la tasa anual de ocurrencia (ARO):

Valor de la clase de activo * % del factor de exposición = SLEValor aproximado del riesgo =

201US$ millones / 4Valor LBI

402US$ millones / 2Valor MBI

603US$ millonesValor HBI

804Clase del activo

1005

% del factor de exposición

Clasificación de la exposición Valor alto de impacto de negocios = $M

ARO del host LAN: Al optimizar la evaluación cualitativa de la probabilidad Media, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá por lo menos una vez en dos años; por lo tanto el ARO aproximado es de .5

ARO del host remoto: Al optimizar la evaluación cualitativa de la probabilidad Alta, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá una vez al año; por lo tanto el ARO aproximado es de 1.

ARO del host LAN: Al optimizar la evaluación cualitativa de la probabilidad Media, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá por lo menos una vez en dos años; por lo tanto el ARO aproximado es de .5

ARO del host remoto: Al optimizar la evaluación cualitativa de la probabilidad Alta, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá una vez al año; por lo tanto el ARO aproximado es de 1.

Tarea 3: Producir la expectativa única de pérdida (SLE):Tarea 3: Producir la expectativa única de pérdida (SLE):

80%

80%

Valor de la exposición

$8

$8

SLE

4

4

Clasificación de la exposición

$10

$10

Valor de la clase del activo

Riesgo del host LAN(US$ en millones)

Riesgo del host remoto(US$ en millones)

Descripción de los riesgos

Por lo menos una vez después de 3 años.33No es probableBaja

Por lo menos una vez entre 1 y 3 años.99 a .33ProbableMedia

Impacto una vez o más al año>=1ProbableAlta

Ejemplos de descripciónRango de la ARODescripciónCalificación

cualitativa

Tarea 1: Asignar valores monetarios a las clases de activos:Tarea 1: Asignar valores monetarios a las clases de activos:

Utilizar 5% de los Lineamientos de la materialidad para evaluar los activos

Ingresos netos: US$200 millones al año

Clase del activo HBI: US$10 millones (200 * 5%)

Clase del activo MBI: US$5 millones (con base en los gastos anteriores)

Clase del activo LBI: US$1 millón (con base en los gastos anteriores)

Utilizar 5% de los Lineamientos de la materialidad para evaluar los activos

Ingresos netos: US$200 millones al año

Clase del activo HBI: US$10 millones (200 * 5%)

Clase del activo MBI: US$5 millones (con base en los gastos anteriores)

Clase del activo LBI: US$1 millón (con base en los gastos anteriores)

Tarea 1: Asignar valores monetarios a las clases de activosTarea 1: Asignar valores monetarios a las clases de activos

Tarea 2: Identificar el valor del activoTarea 2: Identificar el valor del activo

Tarea 3: Producir la expectativa única de pérdida (SLE)Tarea 3: Producir la expectativa única de pérdida (SLE)

Tarea 5: Determinar la expectativa de pérdida anual (ALE)(SLE * ARO)Tarea 5: Determinar la expectativa de pérdida anual (ALE)(SLE * ARO)

Tarea 4: Determinar la tasa anual de ocurrencia (ARO)Tarea 4: Determinar la tasa anual de ocurrencia (ARO)

Evaluar los riesgos: Mejores prácticas

Analice los riesgos durante el proceso de recopilación de información Analice los riesgos durante el proceso de recopilación de información

Realice una investigación para generar una credibilidad para calcular la probabilidad Realice una investigación para generar una credibilidad para calcular la probabilidad

Comunique el riesgo en términos comerciales Comunique el riesgo en términos comerciales

Concilie los nuevos riesgos con los riesgos anteriores Concilie los nuevos riesgos con los riesgos anteriores

Realizar soporte a las decisiones



Evaluar los riesgos

Apoyar la toma de decisiones


Descripción de la fase de apoya a la toma de decisiones



22



44Evaluar los

riesgosEvaluar los

riesgos11

1. Definir los requisitos funcionales2. Identificar las soluciones del control3. Revisar la solución contra los requisitos4. Nivel aproximado de la reducción de

riesgos5. Costo aproximado de cada solución6. Seleccionar la estrategia de mitigación

de riesgos

1. Definir los requisitos funcionales2. Identificar las soluciones del control3. Revisar la solución contra los requisitos4. Nivel aproximado de la reducción de

riesgos5. Costo aproximado de cada solución6. Seleccionar la estrategia de mitigación

de riesgos



33

Identificar el rendimiento de la fase de apoyo a la toma de decisiones

Los elementos clave para recopilar información incluyen:Los elementos clave para recopilar información incluyen:

Decisión sobre cómo manejar cada riesgo

Requisitos funcionales

Soluciones para un control potencial

Reducción de riesgos de cada solución de control

Costo aproximado de cada solución de control

Lista de soluciones de control que serán implementadas

Decisión sobre cómo manejar cada riesgo

Requisitos funcionales

Soluciones para un control potencial

Reducción de riesgos de cada solución de control

Costo aproximado de cada solución de control

Lista de soluciones de control que serán implementadas

Considerar las opciones de apoyo a la toma de decisiones

Opciones para manejar los riesgos:Opciones para manejar los riesgos:

Aceptar el riesgo actual Aceptar el riesgo actual

Implementar controles para reducir los riesgos Implementar controles para reducir los riesgos

Descripción general del proceso para identificar y comparar los controles

Comité directivo de seguridad

Comité directivo de seguridad

Dueño de la mitigaciónDueño de la mitigación

Equipo de administración de riesgos de seguridad

Equipo de administración de riesgos de seguridad

Identifica las soluciones potenciales del control

Determina los tipos de los costos

Calcula el nivel de la reducción de riesgos

Lista final de las soluciones de control

Equipo deadministraciónde riesgos

Equipo deadministraciónde riesgos

Comitédirectivo de seguridad


Paso 1: Definir los requisitos funcionales

Seleccionar la estrategia para

mitigar los riesgos


mitigar los riesgos

66

Dueño de la mitigaciónDueño de la mitigación Identificar las

soluciones de control

Identificar las soluciones de

control

22

Definirlos requisitos

funcionales

Definirlos requisitos

funcionales

11

Costoaproximado

de cada solución

Costoaproximado

de cada solución

55

Nivelaproximado de reducción de

riesgos

Nivelaproximado de reducción de

riesgos

44Revisar lassoluciones contra

los requisitos

Revisar lassoluciones contra

los requisitos

33

Paso 2: Identificar las soluciones del control

Equipo de laadministraciónde riesgos





mitigar los riesgos


mitigar los riesgos

66


soluciones del control

Identificar las soluciones del

control

22

Definirlos requisitos funcionales


11

Costoaproximado

de cada solución

Costoaproximado

de cada solución

55

Costoaproximado de reducción de

riesgos


riesgos


los requisitos


los requisitos

33

Paso 3: Revisar las soluciones contra los requisitos



Comitédirectivode seguridad



mitigar los riesgos


mitigar los riesgos

66




control

22



11

Costoaproximado

de cada solución

Costoaproximado

de cada solución

55


riesgos


riesgos


los requisitos


los requisitos

33

Paso 4: Nivel aproximado de la reducción de riesgos






mitigar los riesgos


mitigar los riesgos

66




control

22



11

Costoaproximado

de cada solución

Costoaproximado

de cada solución

55


riesgos


riesgos


los requisitos


los requisitos

33

Paso 5: Costo aproximado de cada solución






mitigar los riesgos


mitigar los riesgos




control

22

66



11

Costoaproximado

de cada solución

Costoaproximado

de cada solución

55


riesgos


riesgos


los requisitos


los requisitos

33

Paso 6: Seleccionar la estrategia para mitigar los riesgos






mitigar los riesgos


mitigar los riesgos




control

22

66



11

Costoaproximado

de cada solución

Costoaproximado

de cada solución

55


riesgos


riesgos


los requisitos


los requisitos

33

Realizar soporte a las decisiones:Mejores prácticas

Considere asignar un técnico en seguridad a cada riesgo identificado Considere asignar un técnico en seguridad a cada riesgo identificado

Establezca expectativas razonablesEstablezca expectativas razonables

Cree un consenso del equipoCree un consenso del equipo

Enfóquese en la cantidad de riesgos después de la solución de mitigación Enfóquese en la cantidad de riesgos después de la solución de mitigación




Evaluar los riesgos








22



44Evaluar los

riesgosEvaluar los

riesgos11

• Buscar un enfoque holístico• Organizar mediante una

defensa profunda

• Buscar un enfoque holístico• Organizar mediante una

defensa profunda

Organizar las soluciones de control

Los factores determinantes críticos para organizar las soluciones de control incluyen:Los factores determinantes críticos para organizar las soluciones de control incluyen:

ComunicaciónComunicación

Programar al equipoProgramar al equipo

Requisitos de recursosRequisitos de recursos

Organizar por defensa profunda

Red

Host

Aplicación

Datos

Físico






22



44Evaluar los

riesgosEvaluar los

riesgos11

• Desarrollar tarjetas de resultados

• Medir la efectividad del control

• Desarrollar tarjetas de resultados

• Medir la efectividad del control

Desarrollar una tarjeta de resultados de los riesgos de seguridad de su organización

Una tarjeta de resultados sencilla de los riesgos de seguridad, organizada por niveles de defensa profunda, se debe parecer a la siguiente:

Una tarjeta de resultados sencilla de los riesgos de seguridad, organizada por niveles de defensa profunda, se debe parecer a la siguiente:

AF05 T1 AF05 T2 AF05 T3 AF05 T4

Físico A M

Red M M

Host M M

Aplicación M A

Datos B B

Niveles de riesgo (A, M, B)

Medir la efectividad del control

Los métodos para medir la efectividad de los controles implementados incluyen:Los métodos para medir la efectividad de los controles implementados incluyen:

Enviar informes periódicos sobre el cumplimiento Enviar informes periódicos sobre el cumplimiento

Dirigir las pruebas Dirigir las pruebas

Evaluar los incidentes de seguridad generalizadosEvaluar los incidentes de seguridad generalizados

Resumen de la sesión

Una amenaza comun entre la mayoría de las metodologías de administración de riesgos es que por lo general cada una se basa en la administración cuantitativa de riesgos, en la administración cualitativa de riesgos o en una combinación de ambas

Una amenaza comun entre la mayoría de las metodologías de administración de riesgos es que por lo general cada una se basa en la administración cuantitativa de riesgos, en la administración cualitativa de riesgos o en una combinación de ambas

La evaluación de riesgos consiste en realizar una priorización de los riesgos a nivel resumen, y después realizar una priorización detallada de los riesgos sobre los riesgos de impacto alto

La evaluación de riesgos consiste en realizar una priorización de los riesgos a nivel resumen, y después realizar una priorización detallada de los riesgos sobre los riesgos de impacto alto

La Guía de administración de riesgos de seguridad de Microsoft proporciona un número de herramientas y plantillas para ayudar con el proceso completo de administración de riesgos

La Guía de administración de riesgos de seguridad de Microsoft proporciona un número de herramientas y plantillas para ayudar con el proceso completo de administración de riesgos

El enfoque de defensa profunda de Microsoft organiza los controles en diversos niveles amplios que constituyen el modelo de defensa profundaEl enfoque de defensa profunda de Microsoft organiza los controles en diversos niveles amplios que constituyen el modelo de defensa profunda

Determinar el nivel de madurez de su organización ayudará a enfocarse en la implementación y plazo de tiempo adecuados para su estrategia de administración de riesgos

Determinar el nivel de madurez de su organización ayudará a enfocarse en la implementación y plazo de tiempo adecuados para su estrategia de administración de riesgos

Siguientes pasos

Encuentre eventos adicionales de capacitación sobre seguridad:

http://www.microsoft.com/seminar/events/security.mspx

Inscríbase para recibir comunicados de seguridad:

http://www.microsoft.com/technet/security/signup/default.mspx

Solicite el kit de orientación de seguridad:

http://www.microsoft.com/security/guidance/order/default.mspx

Obtenga las herramientas y contenido adicional de seguridad:

http://www.microsoft.com/security/guidance

Preguntas y respuestas

Documents

Sesión 3: Administración de riesgos de seguridad Enrique G. Dutra Punto NET Soluciones [email protected]