Embed Size (px)
Citation preview
Tratamiento de Riesgo
de Seguridad
Equipo Nº 11
UNFV – FIIS -2011
Universidad Nacional Federico Villarreal
Introducción
La información es un activo para las organizaciones y en consecuencia requiere una protección adecuada, y debido al actual ambiente creciente esta expuesta a un mayor rango de amenazas sin contar con las debilidades inherentes de la misma.
Tratamiento del Riesgo
«Proceso de selección e implementación de medidas
para modificar el riesgo.»
ISO/IEC Guide 73:2002
Caso
Universidad Nacional de Colombia
GESTIÓN DE CONTINUIDAD Y RECUPERACIÓN
Asegurar el oportuno reestablecimiento y la disponibilidad de los servicios informáticos en la Universidad.
Objetivo
Evaluación del Análisis del Controles ExistentesRiesgo N. Probabil. N. Impacto Riesgo Riesgo Descripción
Daño o pérdidad total de equipos de Computo
Baja Catastrófico ModeradoSe debe realizar un análisis del costo beneficio con el que se pueda decidir
entre,asumirlo o compartirlo.
Procedmientos einstructivos de
manejo de equipos
Demora en el restablecimiento de los
serviciosBaja Moderado Tolerable
Se debe realizar un análisis del costo beneficio con el que se pueda decidir
entre,asumirlo o compartirlo.
Monitoreo deservicios
Daño en los sistemas de información y pérdida de
los datos.Baja Leve Aceptable
El riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de
tomar otrasmedidas de control diferentes a las que se poseen.
Bacukp de la información Monitoreo de s is temas de
información.
Demanda de nuevos servicios en tiempos muy
cortos de implementación.Baja Moderado Tolerable
Se debe realizar un análisis del costo beneficio con el que se pueda decidir
entre, asumirlo o compartirlo.
•Herramientas de gestión, control y monitoreo.
• Plan de administración de los recursos
No ejecutar la planeación planteada.
Media Catastrófico ImportanteSe debe realizar un análisis del costo beneficio con el que se pueda decidir
entre, asumirlo o compartirlo.
• Cronograma de trabajo del cambio
• Planeación del cambio relacionada en el formato de
solicitud y control de cambios.
Calificación del Riesgo
ValoraciónN. Probabil. N. Impacto Final Opciones de Manejo Acciones Responsables
Baja Catastrófico Moderado EvitarDefinición de politicas
adecuadas de contingencia y de tenencia de copias de seguridad
Jefe de centro de Computo
Baja Moderado Tolerable Asumir
Realizar un plan decontingencia pararecuperación de
servicios
Oficina depersonal - Jefe
centro de computo
Baja Leve Aceptable AsumirDefinición de politicas
adecuadas de contingencia y de tenencia de copias de seguridad
Jefe de centro de Computo
Baja Moderado Tolerable Asumir
Realizar estudios y diagnostico sobre las necesidades de
modernización, priorizacion y gestión del proyecto de
infraestrutura de informatica ycomunicaciones.
Jefe de centro de Computo
Media Catastrófico Importante Asumir
• Definición del plan(es) alterno(s) y lista de verificación• Capacitación permanente en tecnología y planeación.• Identificación de riesgos y planes de contingencia para la realización del cambio.
Jefe de centro de Computo
Valoración del Riesgo Tratamiento de Riesgos
Administración del Sistema de Información Personal
Garantizar la infraestructura adecuada para el procesamiento, almacenamiento y
presentación de la información de los procesos de administración de los RRHH,
así como la implementación de estrategias para garantizar la calidad de
la información.
Objetivo
Evaluación del Análisis del Controles ExistentesRiesgo N. Probabil. N. Impacto Riesgo Riesgo Descripción
Modificación de la información
que se ingresa al sistema SARA
Media Moderado ModeradoSe debe realizar un análisis del costo beneficio con el que se pueda decidir
entre,asumirlo o compartirlo.Control de la Información
Pérdida de confidencialidad de la
InformaciónMedia Moderado Moderado
Se debe realizar un análisis del costo beneficio con el que se pueda decidir
entre,asumirlo o compartirlo.Control de la Información
Calificación del Riesgo
ValoraciónN. Probabil. N. Impacto Final Opciones de Manejo Acciones Responsables
Baja Moderado Tolerable Evitar
Control muy estricto delos usuarios al sistemapara evitar las perdidas
de la información
Jefe de Oficina de Personal
Baja Moderado Tolerable Evitar
Control muy estricto delos usuarios al sistemapara evitar las perdidas
de la información
Jefe de Oficina de Personal de Sede
Valoración del Riesgo Tratamiento de Riesgos
Administración del Sistema de Información Personal
Caso:
Consultora CMS
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS
RIESGOS LOGICOSRiesgo Probabilidad Impacto
Caída de la red Media Alto
Caída de servicios de producción
Media Bajo
Extracción, modificación y destrucción de información confidencial
Baja Alto
Uso inadecuado de las instalaciones
Alta Media
Ataques de virus informáticos
Alta Alto
Fuga de información Media Alto
Inadecuados controles de acceso lógicos
Baja Alto
Pérdida de información
Baja Medio
Falta de disponibilidad de aplicaciones críticas
Baja Alto
Descontrol del personal
Medio Bajo
RIESGOS FISICOS
Riesgo Probabilidad Impacto
Inadecuados controles de acceso físico
Alta Bajo
Vulnerabilidad Media Alto
Incendio Baja Bajo
Robo Media Alto
Desastres naturales Baja Alto
Otros Aspectos
IMPLEMENTACIÓN DE LOS CONTROLES
SELECCIONADOS ACORDE AL MANUAL DE PROCEDIMIENTOS
Política de Seguridad de la Información
Teniendo en cuenta que una de las principales causas de los problemas dentro del área de sistemas, es la inadecuada administración de riesgos informáticos, se debe hacer una buena administración de riesgos, basándose en los siguientes aspectos:
La evaluación de los riesgos inherentes a los procesos informáticos.
La evaluación de las amenazas ó causas de los riesgos.
Los controles utilizados para minimizar las amenazas a riesgos.
La asignación de responsables a los procesos informáticos.
La evaluación de los elementos del análisis de riesgos.
CASO
Comisión Central Seguridad Informática
Comité deInformática
Oficina deSeguridad Informática
Equipos Interfuncionales
EspecialistasDe Informática
Personal en General
Oficina de ControlInterno
RESP. EJECUTIVA
RESP.TÉCNICA
RESP.CUMPLIMIENTO
RESP.CONTROL
EsquemaSSI SUNAT
Relación de Procedimientos de Seguridad Informática
Organización para la
seguridad
Metodología de análisis de riesgos
Reportes de incidentes de
seguridad
Circular Nº 039-2005
Relación de Procedimientos más Importantes - SUNAT
N°
PROCEDIMIENTO DESCRIPCION ESTATUS
01
Metodología de análisis de riesgos
Determina las acciones a seguir para la identificación y calificación de riesgo de los activos críticos, así como la
frecuencia de ejecución del mismo.
En desarrollo
02 Asignación y control de equipos
informáticos
Establece las políticas, procedimientos y responsabilidades para el control de los equipos y accesorios informáticos, tales como
asignación, codificación, entrega, traslado, reasignación, devolución y bajas por obsolescencia técnica
En desarrollo
03 Clasificación, marcado y
tratamiento de la información
Define los lineamientos y procedimientos para la clasificación, marcado y tratamiento de la información física y lógica de la
Superintendencia Nacional de Administración Tributaria.
En desarrollo
04 Reportes de incidentes de
seguridad
Establece los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática, los mismos
que permitirán identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso.
Aprobado
05 Procedimiento para la revisión de la
seguridad y monitoreo a
usuarios
Define el procedimiento para verificar el cumplimiento de las políticas, procedimientos y normas de seguridad que deben
efectuarse, así como la normatividad para las intervenciones en los recursos informáticos de los usuarios.
En desarrollo
06 Seguridad física y del entorno de la
SUNAT
Define los lugares restringidos y establece las normas y control para los accesos, así como los mecanismos de seguridad
(ambiental) a ser considerados.
En desarrollo
CIRCULAR N° 039-2005
Materia:Incidentes y vulnerabilidades de seguridad informática que deben ser reportados para identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso, permitiéndonos minimizar los riesgos y/o dar respuesta oportuna frente a posibles ataques.
Finalidad:Establecer los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática.
Alcance:A todo el personal de la Superintendencia Nacional de Administración Tributaría.
Base Legal
Resolución de Superintendencia Adjunta Nº 059-2002/SUNAT - "Aprueban Políticas de Seguridad Informática".
Reglamento Interno de Trabajo de la SUNAT, aprobado mediante Resolución de Superintendencia 235-2003/SUNAT
Circular 036-2004 - "Atención de solicitudes de servicios informáticos-SIGESA"
NTP ISO/IEC 17799:2004 EDI. "Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información"
Responsabilidades
Recibir, evaluar y dar respuesta a los incidentes y/o vulnerabilidades de seguridad informática reportados por la División de Atención a Usuarios.
Implantar mecanismos para el monitoreo, registro y verificación de incidentes y vulnerabilidades de seguridad informática.
Oficina deSeguridad Informática
División de Atención a Usuarios
Lineamientos generales
Durante el proceso de verificación del incidente y/o vulnerabilidad reportada, el acceso del/los usuario(s) al servicio ó sistema informático involucrado podrá ser suspendido en forma preventiva de acuerdo a su criticidad.
Guardar Reserva y confidencialidad
No debe ser Intencional
CASOS DE INCIDENTES Y VULNERABILIDADES QUE DEBEN
REPORTARSE
Acciones o respuestas no programadas en los sistemas informáticos.
INCIDENTES
Personal General
Instalaciones no autorizadas tanto de hardware como de software.
Accesos no Autorizados
INCIDENTES
Personal General
Servicios o puertos de acceso disponibles en equipos informáticos, sin autorización
Equipos servidores y equipos de telecomunicaciones sin clave de acceso ó con clave por defecto ó clave simple
VULNERABILIDADES
Por personal de la INSI, personal de los centros de cómputo de provincias y de los Departamentos de Soporte Informático.
Conexiones con otras entidades sin la protección del muro de seguridad(firewall).
Modem instalados sin autorización en servidores o computadoras de la SUNAT
VULNERABILIDADES
Por personal de la INSI, personal de los centros de cómputo de provincias y de los Departamentos de Soporte Informático.
PROCEDIMIENTO PARA REPORTAR LOS INCIDENTES Y VULNERABILIDADES
El reporte se enviará directamente a la Oficina de Seguridad Informática a través del Sistema electrónico de gestión documentaria (SIGED) en la opción de registro/otros documentos/reportes de incidentes y/o vulnerabilidades.
Si el servicio del SIGED no estuviera disponible, se reportará a través del correo electrónico Institucional, al usuario Seguridad Informática.
TIVOLITivoli Storage Manager
¿Qué es y para que sirve?
Este software de cumplimiento de seguridad de Tivoli ofrece monitoreo
automatizado de la actividad del usuario con el panel de control y presentación de informes para ayudar a
controlar su cumplimiento de la seguridad.
Conclusiones El tratamiento de riesgos deriva de la evaluación de riesgos.
La evaluación de riesgos identifica, cuantifica y prioriza riesgos, determinando con el tratamiento los controles necesarios.
La seguridad de información se consigue implantando un conjunto adecuado de controles.
Los controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario en la organización.
Es imposible introducir cambios, si no aseguramos que ellos se producirán. Ello ocurre conformando una relación entre los procesos y las personas. No hay respuesta cuando las personas no tienen interés en participar y tampoco hay resultados, cuando los procesos aseguran que los problemas subsistan.
Recomendaciones Antes de considerar el tratamiento de riesgos, la organización
debe decidir el criterio para determinar si es que los riesgos son aceptados o no.
Para cada uno de los riesgos identificados, se necesita realizar una decisión de tratamiento de riesgo.
Para los riesgos identificados, donde la decisión del tratamiento de riesgo ha sido aplicado a controles, estos deben de ser seleccionados e implementados.
La gerencia deberá aprobar, publicar y comunicar a todos los empleados, un documento de política de seguridad de información.
Fin de la presentación
