CISSP Security Training – Information Security and Risk Management
1
Information Security and RiskManagement
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
2
Agenda
� Aspectos Generales� Administración de la Seguridad� Controles de InfoSec� C-I-A (Confidencialidad, Integridad y Disponibilidad)� Definiciones de Seguridad
� Gestión del Riesgo� Análisis de Riesgos� Tratamiento de Riesgos
� Políticas, Procedimientos, Estándares, Baselines y Guidelines.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
3
Agenda (Cont.)
� Clasificación de la Información
� Roles y Responsabilidades� Políticas y Practicas de Empleo� Information Security Awareness
� Referencias y Lecturas Complementarias� Preguntas
CISSP Security Training – Information Security and Risk Management
2
Information Security and RiskManagement
Aspectos Generales
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
5
Aspectos Generales
� Gestión de Seguridad de la InformaciónProteger los activos de información de la organización.
Comprende:� Gestión de riesgos� Normativas de seguridad: políticas, normas, procedimientos,
estándares, guías� Clasificación de la información� Organización de la seguridad� Educación en seguridad� Definición e implantación de controles� Seguimiento y mejora continuos
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
6
Aspectos Generales (Cont.)
� IncumbenciaLa Seguridad de la Información debe ser incumbencia de la alta gerencia de la organización.
� Definitivamente NO debe circunscribirse al área de TI o al área de seguridad.
� Enfoque TOP-DOWN.
CISSP Security Training – Information Security and Risk Management
3
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
7
Aspectos Generales (Cont.)
� Función del Information Security Manager
Establecer y mantener un Programa Integral de Seguridad, el cual permita garantizar la existencia de tres requerimientos básicos: Confidencialidad, Integridad y Disponibilidad, sobre los activos de información de la organización.
� Determinar Objetivos, alcance, políticas, prioridades, estándares y estrategias.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
8
Aspectos Generales (Cont.)
� Ubicación dentro de la estructuraIndependencia de otras áreas de la organización.Llegada a los altos mandos.
Alta Gerencia
GerenciaAdministrativa
GerenciaFinanciera
GerenciaComercial
Gerenciade Producción
Gerenciade TI …
Gerencia deSeguridad de la
Información
Alta Gerencia
GerenciaAdministrativa
GerenciaFinanciera
GerenciaComercial
Gerenciade Producción
Gerenciade TI …
Area deSeguridad de la
Información
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
9
Aspectos Generales (Cont.)
� Posibles inconvenientes con la Alta Gerencia� Falta de entendimiento sobre la necesidad de
seguridad.� Concepción de la seguridad como costosa e
innecesaria� Incapacidad de identificar amenazas y vulnerabilidades.� Incapacidad para estimar el impacto y probabilidad de
los riesgos relacionados con los recursos.� Creer que la implementación de seguridad interferirá
con los objetivos de negocio.� Creer que la seguridad es un tema de TI.
CISSP Security Training – Information Security and Risk Management
4
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
10
Aspectos Generales (Cont.)
� Sistema Confiable (Trustworthy System)
Un Sistema Confiable, suele ser definido como aquel que posee la combinación apropiada de Confidencialidad, Integridad y Disponibilidad a efectos de soportar los objetivos particulares de negocio fijados por la organización.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
11
Controles de InfoSec
� El principal objetivo del establecimiento de Controles de Seguridad de la Información, es el de reducir los efectos producidos por las amenazas de seguridad
(threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable por la empresa.
� Estos controles pueden ser:� Preventivos / Detectivos / Correctivos� Físicos / Técnicos (Lógicos) / Administrativos
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
12
Controles de InfoSec (Cont.)
Controles Físicos
Controles Administrativos
Controles Técnicos
Datos y Activos de la Organización
Políticas, Estándares,Procedimientos,
Guidelines, Baselines,Security Awareness,
Screening de personal,Change Control
Control de Acceso Lógico,Encripción, Identificación
y Autenticación, Monitoreo Lógico
Guardias de Seguridad,Cerraduras, Protección
del edificio,Cámaras de seguridad,Controles ambientales
CISSP Security Training – Information Security and Risk Management
5
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
13
The BIG three / AIC Triad / C-I-A
Confidencialidad
Disponibilidad
Integridad
AmenazasVulnerabilidades
Riesgos
Controles ymedidas deseguridad
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
14
The BIG three – Confidencialidad
� Confidencialidad
La información es accedida solo por personal autorizado y de manera autorizada.
� Identificación, Autenticación y Autorización
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
15
The BIG three – Confidencialidad (Cont.)
� Cuales son las amenazas respecto de la Confidencialidad?� “Shoulder surfing”� Ingeniería Social� Usuarios descuidados� Hacker / Cracker� Masqueraders / Spoofing (Suplantación)� Descarga de archivos sin protección� Actividad de usuario no autorizada� Caballos de Troya� Sniffing / Man-in-the-middle� Trashing� Emanations� Etc.
CISSP Security Training – Information Security and Risk Management
6
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
16
The BIG three – Confidencialidad (Cont.)
� Medidas de Protección contra la perdida de Confidencialidad� Encripción de datos (Origen, Transito y Destino)� Estrictos mecanismos de Control de Acceso� Clasificación de la información� Capacitación del Personal� Procedimientos
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
17
The BIG three - Integridad
� Integridad
Toda modificación a datos o información es realizada por personas autorizadas de manera autorizada.
� Integridad de datos / información. Consistencia� Integridad del proceso de manipulación de datos /
información. � Consistencia Interna y Externa
� Interna: La información es consistente dentro del sistema Informático
� Externa: La información es consistente con “el mundo real”.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
18
The BIG three – Integridad (Cont.)
� Cuales son las amenazas respecto de la Integridad?� Ingeniería Social� Usuarios descuidados� Hacker / Cracker� Masqueraders (Suplantación)� Actividad de usuario no autorizada� Descarga de archivos sin protección� Caballos de Troya� Virus / Gusanos� Buffer overflow� Trapdoor – Maintenance hook� Etc.
CISSP Security Training – Information Security and Risk Management
7
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
19
The BIG three – Integridad (Cont.)
� Medidas de Protección contra amenazas a la Integridad� Menor Privilegio - Need-to-Know Access (Otorgar
acceso solo a lo necesario)� Separación de Deberes / Tareas (Separation of Duties)� Rotación de Deberes / Tareas (Rotation of Duties)� Procedimientos de control de cambios� Integrity Checkers (Tripwire)� Algoritmos de hash
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
20
The BIG three - Disponibilidad
� DisponibilidadLa información y datos se encuentran disponibles para personal autorizado cuando se necesitan.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
21
The BIG three – Disponibilidad (Cont.)
� Cuales son las amenazas respecto de la Disponibilidad?� Denegación de Servicio� Desastres naturales� Acciones humanas – intencionales o accidentales
CISSP Security Training – Information Security and Risk Management
8
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
22
The BIG three – Disponibilidad (Cont.)
� Medidas de Protección contra amenazas a la Disponibilidad� Conjunto de Controles: Físicos, Técnicos y
Administrativos� Seguridad física� Mecanismos de tolerancia a fallos� Plan de contingencia� Procedimientos operativos
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
23
En resumen: Objetivos de Seguridad
� Confidencialidad� Prevenir la divulgación NO Autorizada de
información sensible.
� Integridad� Prevenir la modificación NO Autorizada de los
sistemas e información.� Disponibilidad
� Prevenir interrupción del servicio y la perdida de productividad.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
24
En resumen: Objetivos de Seguridad (Cont.)
� El Opuesto a las The BIG three � Revelación (disclosure)
� Modificación (alteration)� Destrucción - Interrupción (detruction - disruption)
CISSP Security Training – Information Security and Risk Management
9
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
25
Otros Conceptos
� Identificación Identification
� Autenticación Authentication� Autorización Authorization� Responsabilidad Accounting
� No-repudio Non-Repudiation
“AAA”
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
26
Otros Conceptos (Cont.)
� Identificación
Forma en la cual los usuarios comunican su identidad a un sistema. Identificación es un paso necesario para lograr la autenticación y autorización.
“Equivale a la presentación de credenciales a un autoridad”
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
27
Otros Conceptos (Cont.)
� Autenticación
Es el proceso por el cual se prueba que la información de identificación se corresponde con el sujeto que la presenta.
“Equivale a la validación por parte de la autoridad de las credenciales presentadas”
CISSP Security Training – Information Security and Risk Management
10
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
28
Otros Conceptos (Cont.)
� Autorización
Derechos y permisos otorgados a un individuo (o proceso) que le permite acceder a un recurso del sistema / computadora.El proceso de Autorización se realiza una vez que se ha logrado la Identificación y Autenticación del usuario.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
29
Otros Conceptos (Cont.)
� Ejemplo
Identificación ID
Autenticación Password
Autorización Derechos / Permisos
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
30
Otros Conceptos (Cont.)
� Responsabilidad (Accountability)
Habilidad para determinar las acciones individuales que un usuario efectúa en un sistema y cuándo las efectúa, y para identificar unívocamente a dicho usuario. Usualmente este principio esta soportado por logs de auditoría.
CISSP Security Training – Information Security and Risk Management
11
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
31
Otros Conceptos (Cont.)
� Privacidad vs. Confidencialidad
� PrivacidadEs un principio de la seguridad que busca proteger la información del individuo empleando controles para garantizar que la misma no es diseminada o accedida en forma no autorizada.
� ConfidencialidadEs un principio de la seguridad que busca garantizar que la información no es revelada a personas no autorizadas.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
32
Otros Conceptos (Cont.)
� No-Repudio
El principio de No-Repudio, evita que el responsable de una transacción niegue haberla realizado posteriormente.
Information Security and RiskManagement
Gestión del Riesgo
CISSP Security Training – Information Security and Risk Management
12
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
34
Conceptos Previos
� Vulnerabilidad
� Amenaza� Riesgo� Exposición
� Contramedida o Salvaguarda
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
35
Conceptos Previos (Cont.)
� Vulnerabilidad
Ausencia o debilidad de un control.
Condición que podría permitir que una amenaza se materialice con mayor frecuencia, impacto o ambas.
Una vulnerabilidad puede ser la ausencia o debilidad en los controles administrativos, técnicos o físicos.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
36
� Amenaza
Evento cuya ocurrencia podría impactar en forma negativa en la organización.
La amenazas explotan (toman ventaja de) las vulnerabilidades.
La “entidad” que toma ventaja de una vulnerabilidad, suele referirse como “agente de la amenaza” (Threat Agent).
Conceptos Previos (Cont.)
CISSP Security Training – Information Security and Risk Management
13
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
37
� Riesgo
Probabilidad de que un agente de amenaza explote una vulnerabilidad, en combinación con el impacto que esto ocasiona.
Se conoce por riesgo a la combinación de probabilidad de ocurrencia e impacto de una amenaza.
Conceptos Previos (Cont.)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
38
� Exposición
Instancia en la cual la información o un activo de información es susceptible a dañarse o perderse por el accionar de un agente de amenaza.
La exposición, no significa que el evento que produce la perdida o daño del recurso “este ocurriendo”, solo significa que podría ocurrir dado que existe una amenaza y una vulnerabilidad que ésta podría explotar.
Conceptos Previos (Cont.)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
39
� Contramedida o Salvaguarda
Cualquier tipo de medida, que permita detectar, prevenir o minimizar el riesgo asociado con la ocurrencia de una amenaza especifica.
Las contramedidas también son conocidas como controles.
Conceptos Previos (Cont.)
CISSP Security Training – Information Security and Risk Management
14
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
40
Relación Entre los Conceptos
Vulnerabilidad
Agente deamenaza
Amenaza
Riesgo
Contramedida
Exposición
Activo
Produce
Explota
Ocasiona
Puede dañar
Sujeto a
Puede sercontrarrestado con
Directly affect
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
41
Relación Entre los Conceptos: Ejemplo
Software Antivirus + Firmas Desactualizadas(Vulnerabilidad)
Vulnerable al ataque de un virus (Amenaza)
Al ingresar el virus en la compañía,comienza la exposición
Mantener actualizadas las firmas(Contramedida)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
42
Gestión del Riesgo
� El riesgo de una organización, comienza desde el momento mismo que la esta inicia sus actividades (Tal vez antes…)
� El riesgo puede ser identificado y reducido, nunca eliminado.
� Una organización se encuentra permanentemente en riesgo.
� No existe un entorno 100% seguro.
CISSP Security Training – Information Security and Risk Management
15
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
43
Gestión del Riesgo (Cont.)
� Por Gestión del Riesgo, debemos entender el proceso de identificar, analizar, determinar, mitigar y transferir o aceptar el riesgo.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
44
Gestión del Riesgo (Cont.)
� Gestión del Riesgo - Information Risk Management (IRM)
Proceso compuesto por las siguientes fases:1. Análisis de riesgos - Risk assessment
Identificación de vulnerabilidades y amenazas, análisis de probabilidad de ocurrencia e impacto, análisis de las medidas para aceptar, evitar o transferir el riesgo.
2. Tratamiento de riesgosPriorización, presupuestación, implementación y mantenimiento de medidas para la mitigación de riesgos.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
45
Gestión del Riesgo (Cont.)
IDENTIFICACIÓN DE ACTIVOS
IDENTIFICACIÓNDE AMENAZAS
IDENTIFICACIÓNDE VULNERABILIDADES
ANÁLISIS DECONTROLES
DETERMINACIÓN DE LAPROBABILIDAD DE OCURRENCIA
ANÁLISIS DE IMPACTO
DETERMINACIÓN DEL RIESGO
TRATAMIENTO DEL RIESGO
D O
C U
M E
N T
A C
I ÓN
CISSP Security Training – Information Security and Risk Management
16
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
46
Gestión del Riesgo (Cont.)
� Principal objetivo
Reducir los riesgos hasta niveles de tolerancia aceptables para la organización.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
47
Gestión del Riesgo (Cont.)
� Tipos de Riesgo� Daño físico� Acciones humanas� Fallas del equipamiento� Ataques internos o externos� Pérdida de datos� Errores en las aplicaciones� Etc.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
48
Conceptos de Gestión del Riesgo
� Activo (Recurso / Asset)� Recurso, producto, proceso, dato, todo aquello que
tenga un valor para la organización.� Amenaza
� Evento que pueda impactar en forma negativa en la organización.
� Vulnerabilidad� Ausencia o debilidad de un control.
Nota: La combinación de Activo, Amenaza y Vulnerabilidad conforman lo que se conoce como Triple en seguridad informática.
CISSP Security Training – Information Security and Risk Management
17
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
49
Conceptos de Gestión del Riesgo (Cont.)
� Control (implantado)� Su función es reducir el riesgo asociado con una
amenaza o grupo de amenazas.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
50
Política de Gestión del Riesgo
� Parte de la Política de Gestión de Riesgos de la organización
� Alineada con la Política de Seguridad de la Información� Alineada con la Estrategia de la organización� Definición del equipo de Gestión del Riesgo
� Contempla:� Objetivos
� Definición de niveles aceptables de riesgo
� Procesos de análisis y tratamiento de riesgos
� Metodologías� Definición de roles y responsabilidades
� Indicadores claves para el monitoreo de los controles implementados para la mitigación del riesgo
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
51
Equipo de Gestión del Riesgo
� ObjetivoGarantizar que la organización se encuentra protegida ante los riesgos teniendo en cuenta la relación costo-beneficio de la implementación de controles.
� ConformaciónPersonal de las áreas sustantivas de la organización, incluyendo TI y seguridad de la información.
CISSP Security Training – Information Security and Risk Management
18
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
52
Equipo de Gestión del Riesgo (Cont.)
� Funciones� Proposición de la política� Redacción de los procedimientos� Análisis de riesgos� Tratamiento de riesgos� Definición de métricas� Concienciación del personal� Capacitación del personal� Documentación� Integración de la Gestión de Riesgos al proceso de Control
de Cambios
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
53
De qué se trata la Gestión del Riesgo?
� Qué puede pasar (amenaza)?
� Si pasa, qué tan malo puede ser (impacto de la amenaza)?� Qué tan seguido puede pasar (frecuencia de la amenaza)?� Qué tan seguro estoy de las respuestas anteriores
(reconocimiento de inseguridad)?� Qué puedo hacer (mitigar el riesgo)?
� Cuanto me costara (anualizado)?� Dicho costo es efectivo (Relación Costo/Beneficio)?
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
54
Análisis de Riesgos
� El Análisis de Riesgos, es la principal herramienta a utilizar como parte del proceso de “Gestión de Riesgos”.
� El Análisis de Riesgos no es más que un método por medio del cual, es posible identificar los riesgos relacionados con un recurso y evaluar el daño potencial que este puede sufrir, a fin de justificar los costos asociados con las contramedidas o salvaguardas necesarias para minimizarlo.
CISSP Security Training – Information Security and Risk Management
19
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
55
Análisis de Riesgos (Cont.)
� El Análisis de Riesgos, busca alcanzar cinco objetivos principales:
� Identificar activos y sus amenazas y vulnerabilidades asociadas
� Cuantificar el impacto en caso de concretarse la amenaza
� Estimar la probabilidad de ocurrencia de la materialización de la amenaza
� Calcular el riesgo� Analizar la relación costo/beneficio en los controles
a implementar
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
56
� Identificación de Activos
� Tangibles� Datos� Software
� Computadoras, equipos de comunicaciones, cableado
� Documentos, Registros de Auditoría, Libros, etc.
Análisis de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
57
� Identificación de Activos
� Intangibles� Privacidad� Seguridad y Salud de los empleados
� Imagen y Reputación� Continuidad de las actividades� Moral del empleado
Análisis de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk Management
20
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
58
� Valoración de activos
¿Por qué?� Es necesario para realizar el análisis de costo/
beneficio.� Para saber verdaderamente qué es lo que está en
riesgo.� Puede ser necesario para determinar pólizas de
seguro.
� Es requerido para cumplir con el “Due Care”
(Cuidado Debido)
Análisis de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
59
� Valoración de activos
Cómo?� Costo inicial (licenciamiento, compra, flete, instalación,
puesta a punto, etc.)� Costo de mantenimiento (mantenimiento preventivo, mejoras,
etc.)� Valor del activo para los dueños, usuarios, competencia, etc.� Valor estimado de la propiedad intelectual.� Costo de reemplazo.� Operaciones y actividades que se verían afectadas si el
recurso no se encuentra disponible.� Responsabilidades en caso de que el recurso sea
comprometido.
Análisis de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
60
Análisis de Riesgos (Cont.)
� Identificación de Amenazas y vulnerabilidades
Daños severos al equipamiento de procesamiento crítico
Falta de un sistema de detección de incendios
Fuego
Ejecución de transacciones de privilegio de forma no autorizada
Deficiente asignación de permisos de acceso en la aplicación
Empleado
Acceso no autorizado a la información
Servidor configurado de forma insegura
Hacker
Resultando en la siguiente amenaza
Puede explotar esta vulnerabilidad
Fuente de amenaza
CISSP Security Training – Information Security and Risk Management
21
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
61
Análisis de Riesgos (Cont.)
� Análisis de controles
Identificar los controles ya implementados y analizar su vigencia y efectividad.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
62
� Determinación del riesgo
El riesgo es una combinación entre la probabilidad de ocurrencia y el impacto.
Análisis de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
63
� Análisis Cuantitativo de Riesgos� Asigna valores monetarios hard (objetivos) a cada
componente de la evaluación de riesgos y a cada potencial pérdida.
� Análisis Cualitativo de Riesgos� Utiliza elementos soft de la organización (opinión,
mejores prácticas, intuición, experiencia, etc.) para ponderar el riesgo y sus componentes.
� Aplicable a todas las situaciones
Análisis de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk Management
22
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
64
Análisis Cuantitativo de Riesgos
� Pasos del Análisis de Riesgo:1. Asignar valor a los activos.2. Estimar la pérdida potencial por cada amenaza.3. Analizar las amenazas.4. Estimar la pérdida anual.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
65
Análisis Cuantitativo de Riesgos (Cont.)
2. Estimar la pérdida potencial por cada amenaza
Factor de Exposición (EF)
Porcentaje de pérdida sobre el valor del un activo generado por la concreción de una amenaza.
0% ≤ EF ≤ 100%
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
66
Análisis Cuantitativo de Riesgos (Cont.)
2. Estimar la pérdida potencial por cada amenaza
Expectativa de Pérdida Individual (SLE)
Valor monetario asociado a un evento determinado. Representa la pérdida producida por una amenaza determinada en forma individual.
SLE = Valor Activo ($) * EF (Factor de Exposición)
CISSP Security Training – Information Security and Risk Management
23
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
67
Análisis Cuantitativo de Riesgos (Cont.)
3. Analizar las amenazas
Tasa de Ocurrencia Anual (ARO)
Representa la frecuencia estimada de ocurrencia de un evento (amenaza), dentro del período de un año.
0 ≤ ARO < ∞ (Krutz - Cuantitativo)0 ≤ ARO ≤ 1 (Harris - Probabilístico)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
68
Análisis Cuantitativo de Riesgos (Cont.)
� Tasa de Ocurrencia Anual (ARO)
Valores ARO Frecuencia de Ocurrencia
.01 Una vez cada 100 años (1/100)
.02 Una vez cada 50 años (1/50)
.2 Una vez cada 5 años (1/5)
.5 Una vez cada 2 años (1/2)1 Una vez al año10 10 veces al año20 20 veces al año
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
69
Análisis Cuantitativo de Riesgos (Cont.)
4. Estimar la pérdida anual
Expectativa de Pérdida Anualizada (ALE)
Representa la pérdida anual producida por una amenaza determinada individual.
ALE = SLE (Expectativa de Perdida Individual) * ARO (Taza de Ocurrencia Anual)
CISSP Security Training – Information Security and Risk Management
24
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
70
� Activo: Data Warehouse
� Valor: u$s 100.000
� Amenaza: Virus
Análisis Cuantitativo de Riesgos (Cont.)
SLE = Valor x EF = u$s 100.000 x 25% = u$s 25.000
ARO (Tasa de Ocurrencia Anual – Annualized Rate of Ocurrence)
ALE (Expectativa de Perdida Anual – Annualized Loss Expectancy)
EF (Factor de Exposición – Exposure Factor)
SLE (Expectativa de Perdida Individual – Single Loss Expectancy)
ALE = SLE x ARO = u$s 25.000 x 2 = u$s 50.000
� EF: 25%� ARO: 2 (2 veces al año)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
71
� Activo: Edificio
� Valor: u$s 1.000.000
� Amenaza: Fuego
Análisis Cuantitativo de Riesgos (Cont.)
SLE = Valor x EF = u$s 1.000.000 x 50% = u$s 500.000
ARO (Tasa de Ocurrencia Anual – Annualized Rate of Ocurrence)
ALE (Expectativa de Perdida Anual – Annualized Loss Expectancy)
EF (Factor de Exposición – Exposure Factor)
SLE (Expectativa de Perdida Individual – Single Loss Expectancy)
ALE = SLE x ARO = u$s 500.000 x 0.1 = u$s 50.000
� EF: 50%� ARO: 1/10 (1 vez cada 10 años)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
72
� Activo: Web server
� Valor: u$s 5.000
� Amenaza: DoS
Análisis Cuantitativo de Riesgos (Cont.)
SLE = Valor x EF = u$s 5.000 x 50% = u$s 2.500
ARO (Tasa de Ocurrencia Anual – Annualized Rate of Ocurrence)
ALE (Expectativa de Perdida Anual – Annualized Loss Expectancy)
EF (Factor de Exposición – Exposure Factor)
SLE (Expectativa de Perdida Individual – Single Loss Expectancy)
ALE = SLE x ARO = u$s 2.500 x 0.5 = u$s 1.250
� EF: 50%� ARO: 1/2 (1 vez cada 2 años)
CISSP Security Training – Information Security and Risk Management
25
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
73
� Qué obtenemos luego de realizar un Análisis Cuantitativo de Riesgos
� Valor de los activos (en dinero)� Posibles amenazas a los activos� Probabilidad de ocurrencia de cada amenaza� Posible pérdida anual por cada amenaza
Análisis Cuantitativo de Riesgos (Cont.)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
74
Análisis Cualitativo de Riesgos
� El Análisis de Riesgo Cualitativo, a diferencia del Cuantitativo, es un modelo basado mas bien en escenarios que en cálculos.
� En vez de asignar el costo exacto respecto de las posibles pérdidas, en este escenario se ponderan en escala, los riesgos, costos y efectos de una amenaza en relación del activo.
� Este tipo de procesos, conjuga: juicio, experiencia e intuición.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
75
Análisis Cualitativo de Riesgos (Cont.)
� Técnicas y Métodos del Análisis de Riesgos Cualitativo:� Brainstorming
� Técnicas Delphi� Cuestionarios� Checklist
� Entrevistas� Etc.
CISSP Security Training – Information Security and Risk Management
26
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
76
Análisis Cualitativo de Riesgos (Cont.)
� Métodos Delphi� Feedback Anónimo� A cada participante se le requiere comentarios anónimos
respecto de cada uno de los puntos a tratar.� Los resultados son compilados y presentados al grupo
para su evaluación.� El proceso es repetido hasta lograr el consenso.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
77
Análisis Cualitativo de Riesgos (Cont.)
� Pasos del Análisis Cualitativo de Riesgos:1. Definición de:
- Niveles de probabilidad de ocurrencia de las amenazas
- Niveles de impacto de las amenazas
- Niveles de riesgo (en función a las anteriores)
2. Clasificación de las amenazas en cuanto a su probabilidad de ocurrencia e impacto
3. Estimación del riesgo
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
78
Análisis Cualitativo de Riesgos (Cont.)
Ejemplo de criterio de ponderación
� Probabilidad de ocurrencia: ALTO – MEDIO – BAJO
� Impacto: ALTO – MEDIO - BAJO
� Riesgo:
BAJOBAJOMEDIOBAJO
BAJOMEDIOALTOMEDIO
MEDIOALTOALTOALTO
BAJOMEDIOALTO
ImpactoProbabilidad de ocurrencia
CISSP Security Training – Information Security and Risk Management
27
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
79
Análisis Cualitativo de Riesgos (Cont.)
Ejemplo de criterio de ponderación
� Probabilidad de ocurrencia: 0 - 5
� Impacto: 0 - 5
� Riesgo:
ALTOALTOALTOMEDIOMEDIO[4 ; 5]
ALTOALTOMEDIOMEDIOMEDIO[3 ; 4)
ALTOMEDIOMEDIOMEDIOBAJO[2 ; 3)
MEDIOMEDIOMEDIOBAJOBAJO[1 ; 2)
[0 ; 1)
Probabilidad de ocurrencia
BAJO
[0 ; 1)
Impacto
MEDIOMEDIOBAJOBAJO
[4 ; 5][3 ; 4)[2 ; 3)[1 ; 2)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
80
Análisis Cualitativo de Riesgos (Cont.)
Ejemplo de Análisis Cualitativo � Amenaza: Acceso físico no autorizado al equipamiento
crítico
2.54.251.254.52.75Promedio
24154Responsable de Seg. Info.
34142Jefe de Seguridad
25152Jefe del Centro de Cómputos
34243Gerente de TI
CCTVControl biométrico
Guardia
Efectividad de la contramedidaImpactoProbabilidad de ocurrencia
Personal consultado
RIESGO ALTO
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
81
Incertidumbre en el Análisis de Riesgos
� Incertidumbre� En análisis de riesgos, la incertidumbre se refiere al nivel
de falta de certidumbre en una estimación. Se expresa con un porcentaje de 0% a 100%. Tener 20% de confianza en una estimación implica tener el 80% de incertidumbre.
� Es vital tener en cuenta el nivel de incertidumbre existente en el proceso de análisis de riesgos ya que esto indicarála confianza que la gerencia podrá depositar luego en los resultados de dicho análisis.
CISSP Security Training – Information Security and Risk Management
28
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
82
Cuantitativo vs Cualitativo
� Cada método posee sus ventajas y desventajas.
� La aplicación de análisis puramente cuantitativo sencillamente NO es posible. Principalmente debido a que parte de los ítems que se deberán evaluar como parte del análisis, son cualitativos y por tanto no son certeros en cuanto a valores cuantitativos.
� La aplicación de análisis puramente cualitativo es posible.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
83
Cuantitativo vs Cualitativo (Cont.)
SíNoUtiliza métricas claras
AplicableNo aplicableHerramientas automatizadas
MásMenosComprensible por la dirección
AltaBaja Objetividad
ConcretoSubjetivoAnálisis de costo/beneficio
No siempreSiempreAplicable
ComplejosSimplesCálculos
CuantitativoCualitativoCaracterística
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
84
Herramientas Automatizadas
� Permiten documentar la información recolectada.� Establece criterios homogéneos de valoración.� Generan gráficos e informes en forma automática.� Centraliza la información relativa al análisis de
riesgos.� Facilita el control de las tareas de análisis de riesgos.� Reducen el esfuerzo manual en cada una de las
tareas agilizando los resultados.� Permite simular distintos escenarios con facilidad, de
modo tal de analizar supuestos.� Facilita la mejora continua del proceso de análisis de
riesgos.
CISSP Security Training – Information Security and Risk Management
29
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
85
Tratamiento de Riesgos
� Análisis de las contramedidas o controles
Análisis Costo / Beneficio
� Costo Control < Valor del Activo
� Valor del control = (ALE antes del control) – (ALE después del control) – (costo anual del control)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
86
Tratamiento de Riesgos (Cont.)
� Análisis de las contramedidas o controlesEjemplo: Web server
Valor del activo: u$s 25.000 ARO: 0.50 SLE: u$s 6.250EF (antes de la contramedida): 0.25 ALE: u$s 3.125Costo anual de la UPS: u$s 1.000EF (luego de la contramedida) = 0.05 En caso de que el corte de energía sea más
prolongado que la autonomía de la UPS.
ARO (luego de la contramedida) = 0.20ALE (luego de la contramedida) = 25.000 x 0.05 x 0.20 = u$s 250
Valor de la contramedida = u$s 3.125 – u$s 250 – u$s 1.000 = u$s1.875
Beneficio de la organización:u$s 1.875 – u$s 1.000 = u$s 875 por año de la contramedida
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
87
Tratamiento de Riesgos (Cont.)
� Análisis de las contramedidas o controles
Aspectos a tener en cuenta en la estimación del costo anual de un control:� Costo de adquisición� Costo de diseño y planeamiento� Costo de implementación� Impacto en el entorno (compatibilidad)� Mantenimiento� Pruebas� Reparación, reemplazo, actualización� Nivel de operación manual requerida� Efectos sobre la productividad� Habilidad de Recupero
CISSP Security Training – Information Security and Risk Management
30
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
88
Tratamiento de Riesgos (Cont.)
� Conceptos generales
Riesgo Total: Es el riesgo que una organización asume, en caso de no implementar contramedidas.
Amenaza * Vulnerabilidades * Valor del recurso = Riesgo Total
Riesgo Residual: Es el riesgo remanente una vez implementadas las contramedidas.
Riesgo Total – Control Gap = Riesgo Residual
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
89
Tratamiento de Riesgos (Cont.)
� Conceptos generales
Control Gap: Es la cantidad de riesgo que se ha logrado reducir por medio de la implementación de una contramedida. Es la reducción del riesgo. No se utiliza para el cálculo del riesgo.
Control Gap = Riesgo Total – Riesgo Residual
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
90
Tratamiento de Riesgos (Cont.)
Aceptar
Mitigar
Transferir
Rechazar o Ignorar
RIESGO ACEPTABLE !!!
CISSP Security Training – Information Security and Risk Management
31
Information Security and RiskManagement
Políticas, Procedimientos, Estándares, Baselines y Guidelines
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
92
Estructura normativa
NIVEL ESTRATÉGICO
NIVEL TÁCTICO
NIVEL OPERATIVO
Políticas
Normas(Guidelines)
BaselinesEstándares
Procedimientos
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
93
Objetivos de las normativas
� Definir y clasificar las metas y objetivos
� Definir roles, responsabilidades y escala de autoridad� Establecer criterios aceptables y uniformes de
conducta� Informar al personal sobre sus obligaciones y medidas
a tomar por incumplimiento� Informar a terceros sobre las definiciones establecidas
por la organización
� Garantizar el cumplimiento de normativas externas
CISSP Security Training – Information Security and Risk Management
32
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
94
Políticas
� Presentan directivas de la Alta Gerencia.
� Define la filosofía organizacional de seguridad de la información.
� Define cómo se desarrollará el Programa de Seguridad.
� Independiente de la tecnología y las soluciones.� Define responsabilidades y autoridades para la
implantación de la seguridad informática.
� De carácter abreviado y de alto nivel.� Se alinean con la Política General de la organización.� Determinan las normativas que deben cumplirse
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
95
Políticas (Cont.)
Consideraciones:� Debe ser dictada por un Comité de Seguridad.� Debe ser aprobada por las máximas autoridades.� Debe ser comunicada a todo el personal y terceros.� El personal y los terceros debe aceptar formalmente la
Política.� Debe integrarse con la Política de Gestión de Riesgos. � Debe ser escrita en lenguaje claro sin ambigüedades.� Debe ser consistente con las normativas legales y
corporativas existentes.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
96
Otros documentos
� Estándares� Especifican la forma de poner en práctica un objetivo de la
Política. � Define actividades, acciones, reglas o regulaciones
obligatorias.� Definen el uso de una determinada tecnología o la
aplicación de una determinada solución de manera uniforme.
Ej.: Política: Se protegerá la red de la organización de accesos no autorizados desde redes externas.
Estándar: Se implementarán equipos firewall para el control de accesos a cada DMZ y a la LAN de la organización
CISSP Security Training – Information Security and Risk Management
33
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
97
Otros documentos (Cont.)
� BaselinesDeterminan cómo deben ser configurados los aspectos de seguridad de las diferentes tecnologías.
Ej.: Política: Se protegerá la red de la organización de accesos no autorizados desde redes externas.
Estándar: Se implementarán equipos firewall para el control de accesos a cada DMZ y a la LAN de la organización
Baseline: Permitir en el puerto XX el tráfico YY, etc.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
98
Otros documentos (Cont.)
� Procedimientos
Descripción detallada de tareas a realizar para cumplimentar los Estándares y Baselines.Constituyen el nivel más bajo en la escala de normativas.
Ej.: Política: Se protegerá la red de la organización de accesos no autorizados desde redes externas.Estándar: Se implementarán equipos firewall para el control de accesos a cada DMZ y a la LAN de la organizaciónBaseline: Permitir en el puerto XX el tráfico YY, etc.Procedimiento: Loguearse al equipo firewall con el usuario NN, ingresar en la consola de administración, seleccionar la opción para crear ACLs, etc.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
99
Otros documentos (Cont.)
� Normas (Guidelines)Definiciones generales establecidas para colaborar con el cumplimiento de los objetivos de las Políticas, proporcionando un marco en el cual implementar controles adicionales.Tienen carácter de recomendación (no son obligatorias).
Ej.: Política: Se protegerá la red de la organización de accesos no autorizados desde redes externas.
Estándar: Se implementarán equipos firewall para el control de accesos a cada DMZ y a la LAN de la organización.
Norma: Los administradores de red serán capacitados sobre la implementación y configuración de firewalls.
CISSP Security Training – Information Security and Risk Management
34
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
100
Consideraciones
Para todo el marco normativo se debe tener en cuenta:
� Vigencia – actualizaciones� Acceso� Propietarios� Responsabilidades: revisión, actualización, cumplimiento� Control de versiones
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
101
Responsabilidad
� Due Diligence (Diligencia Debida)� Este te termino se refiere al acto de investigar y entender los riesgos a los
que se expone la organización.� Actuar de buena fe y cumplir con el concepto de Hombre Prudente (En lo
que refiere a la protección de la informacion)
� Due Care (Cuidado Debido)� Se entiende que una organización se encuentra alineada con la premisa
de “Cuidado Debido”, cuando en ella se desarrollan políticas de seguridad, procedimientos y estándares. El “Cuidado Debido” demuestra que una organización asume su responsabilidad por las actividades que en ella se llevan a cabo, y ha tomado las medidas adecuadas para proteger la organización, sus recursos y empleados de las posibles amenazas.
� Si alguien practica “due care” entonces actúa en forma responsable y tendrá menos posibilidades de ser acusado de negligencia o ser halladoresponsable si algo malo ocurre.
Ej.: si el Propietario de la info no protege su información esta violando el principio de Due Care
Information Security and RiskManagement
Clasificación de la Información
CISSP Security Training – Information Security and Risk Management
35
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
103
Clasificación de la Información
Justificación:� No todos los datos / información tienen el mismo valor.� No todo el mundo debe acceder a todos los datos /
información.� El valor de la información influye directamente en la
definición de los controles para protegerla.� Se deben cumplir aspectos legales / regulatorios.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
104
Clasificación de la Información (Cont.)
Beneficios:� Demuestra el compromiso de una organización hacia la
seguridad de la información.� Permite identificar que información / datos son los más
críticos para la organización.� Optimiza la inversión en controles.� Podría ser requerido por aspectos legales, regulatorios u
otros.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
105
Política de Clasificación de Información
Contempla lo siguiente:� Define la información como un activo de la organización.� Define los propietarios de la información.� Define a los custodios de la información.� Define el proceso de clasificación de la información.� Establece las responsabilidades en el proceso de
clasificación de la información.� Determina el criterio de clasificación de la información.� Establece los controles mínimos sobre la información para
cada nivel establecido, en cumplimiento con normativas existentes.
CISSP Security Training – Information Security and Risk Management
36
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
106
Política de Clasificación de Información (Cont.)
� Como norma general, toda información que no sea de naturaleza publica, debe clasificarse.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
107
Proceso de Clasificación de Información
1. Definición de los niveles de clasificación 2. Definición del criterio de clasificación3. Clasificación de la información por parte de los propietarios4. Identificación de custodios de la información5. Definir los controles de seguridad de la información para cada
nivel6. Documentar excepciones a la clasificación7. Definir métodos de reasignación de la custodia de la
información.8. Desarrollar un procedimiento de revisión periódica de la
clasificación de la información y la definición de propietarios.9. Desarrollar un procedimiento para la desclasificación de la
información.10. Introducir el proceso de clasificación de información en la
concientización del personal.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
108
Tips para la clasificación
Qué tener en cuenta a la hora de clasificar información?
� Valor la información� Validez� Vida útil� Impacto por divulgación� Impacto por alteración� Impacto por no disponibilidad� Implicancias legales
CISSP Security Training – Information Security and Risk Management
37
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
109
Criterios de clasificación - Confidencialidad
Comercial - Privado� Confidencial� Privado
� Sensitivo� Publico
Modelo Habitual� Confidencial� Interno� Publico
Militar - Gubernamental� Top Secret� Secret
� Confidencial� Sensitivo pero sin
Clasificar� Sin Clasificar
*DoD
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
110
Modelo Habitual� De uso público
Información cuyo conocimiento fuera de la organización no causaría daño a la misma. Ejemplo: web site.
� Solo para uso internoInformación cuya sensibilidad permite ser divulgada dentro de la organización, pero su conocimiento fuera de la misma podría ocasionar daños. Ejemplo: lista de clientes, costos de productos/ servicios, etc.
� ConfidencialEl acceso a esta información se logra solo si existe la necesidad de conocer (need-to-know). Ejemplo: planes de marketing, Desarrollo e Investigación, información de adquisiciones y ventas a nivel corporativo, etc.
Criterios de clasificación – Confidencialidad (Cont.)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
111
Modelo Comercial - Privado� Publico
Puede ser publica, su conocimiento no causa impacto negativo o adverso a la organización o el personal.
� SensitivoRequiere precauciones especiales. Ej.: información sobre proyectos.
� PrivadoInformación para uso interno de la compañía. Su conocimiento podría afectar negativamente al personal o la compañía. Ej.: información de RRHH.
� ConfidencialSumamente Sensible, su conocimiento podría impactar fuertemente en la compañía. Ej.: estrategia comercial.
Criterios de clasificación – Confidencialidad (Cont.)
CISSP Security Training – Information Security and Risk Management
38
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
112
Modelo militar - Gubernamental� Sin Clasificar
No Clasificada, Información que puede ser Publica.� Sensitivo pero sin Clasificar
De Baja Sensibilidad. Si se hace publica, puede causar serios daños. Ej.: respuesta a tests.
� ConfidencialDe conocerse, podría causar serios daños. Sólo para uso interno. Ej.: información de salud, código de programación.
� SecretDe conocerse, podría causar serios daños a la Seguridad Nacional. Ej.: desplazamiento de tropas.
� Top SecretEl grado más alto. De conocerse podría causar daño extremo en relación a la Seguridad Nacional. Ej.: planos de nuevo armamento, información de espionaje.
Criterios de clasificación – Confidencialidad (Cont.)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
113
Roles
Propietario de la informaciónQuién debe ser?
� Nivel gerencial.� Conocimiento del valor de la información.
Qué debe hacer?
� Definir el nivel de clasificación que le corresponde a la información que le pertenece.
� Definir los controles que requiere la información.� Revisar la existencia de los controles.� Revisar los niveles de clasificación periódicamente y
realiza los cambios que sean necesarios a la información.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
114
Roles (Cont.)
Propietario de la informaciónQué debe hacer?
� Definir los perfiles de acceso a la información. Aprobar su asignación. Revisarlos periódicamente.
� Asignar tareas protección de datos al custodio.� Aprobar la recuperación de información.
CISSP Security Training – Information Security and Risk Management
39
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
115
Roles (Cont.)
CustodioQuién debe ser?
� Generalmente esta función se asigna a personal de TI.
Qué debe hacer?
� Ejecutar backups en forma regular de la información que custodia.
� Proteger la información almacenada.� Restaurar la información cuando se necesita.� Mantener el rótulo de la información.� Cumplimentar las disposiciones de seguridad
definidas para cada nivel de clasificación.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
116
Usuario� Seguir los procedimientos definidos para el manejo
de información.� Proteger la información clasificada.
� Utilizar los recursos asignados solo para fines de negocio.
Roles (Cont.)
Information Security and RiskManagement
Roles y Responsabilidades
CISSP Security Training – Information Security and Risk Management
40
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
118
Roles y Responsabilidades
� Gerencia GeneralResponsable final por la seguridad de la información de la organización.
� Responsable de Seguridad de la InformaciónResponsable de la gestión de la seguridad de la información de la organización.
� Analista de Seguridad de la InformaciónEncargado de evaluar las amenazas y vulnerabilidades y definir los estándares, normas y baselines necesarios. Diseñar esquemas seguros.
� Administrador de SeguridadEncargado de implementar las definiciones de seguridad en los entornos informáticos.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
119
Roles y Responsabilidades (Cont.)
� Dueño de aplicaciónDefine los requisitos de seguridad funcional necesarios. Define y aprueba los perfiles de acceso a la aplicación.
� DBADefine y administra la seguridad de las bases de datos.
� Change Control AnalystEvalúa el impacto en la seguridad de los cambios informáticos. Aprueba y controla los cambios.
� Auditor
Evalúa los controles de seguridad informática y presenta recomendaciones a la alta gerencia.
Information Security and RiskManagement
Políticas y Prácticasde Empleo
CISSP Security Training – Information Security and Risk Management
41
121
Background Checks
� Tareas:� Revisión de información pública.� Verificación de información del CV.
� Beneficios:� Verificar que la información provista por el candidato es
verdadera y actualizada. � Obtener una primera idea del nivel de integridad del
candidato.� Prevenir empleados no calificados.� Evitar incorporar personas con ética y moral alterados.� Prevenir posibles conflictos con el personal existente.
122
Background Checks (Cont.)
� Beneficios:� Prevenir posibles pérdidas por acciones fraudulentas.� Prevenir acciones legales
� de parte de empleados despedidos.� de 3ra partes o clientes por negligencia a la hora
de contratación de personal.� De parte de otros empleados: por violencia, malos
tratos, etc.
123
Background Checks (Cont.)
� Quién debe ser evaluado?� Implementar una serie de controles básicos a TODO
el personal a incorporar.� Evaluar la conveniencia de implementar controles
exhaustivos al personal que vaya a desempeñar tareas críticas o a manejar información sensible.
CISSP Security Training – Information Security and Risk Management
42
124
Security Clearances
� Security Clearances� Permiso de acceso a información clasificada� Sólo requerido para puestos especiales de Gobierno y
Militar (a veces usado en ámbitos privados)� Requerido por DoD (Departamento de Defensa)� Requiere un PSI o Personal Security Investigation:
investigación personal (carácter, lealtad, confiabilidad, etc.) con el objeto de determinar si dicha persona puede recibir un permiso de acceso a información clasificada
125
Acuerdos
� Acuerdos sobre:� Confidencialidad (Non-Disclosure)� Uso de Recursos� Conocimiento, comprensión y aceptación de las
Políticas� Auditabilidad� Non-Compete
� Quiénes deben firmarlos?� Personal� Terceros
126
Contratación y Despido
� Políticas y Procedimientos definidos por RR.HH.� Deben contemplar:
� Cómo manejar la salida del empleado,
� Deshabilitación / borrado de cuentas de usuarios
� Reenvío del e-mail y del voice-mail
� Cambios en las cerraduras y códigos de acceso
� Modificación de contraseñas de sistemas relacionadas
CISSP Security Training – Information Security and Risk Management
43
127
Control de actividades
� Segregación de funciones� Nadie debe ser responsable de realizar una tarea que
involucra información sensitiva de principio a fin.� Un individuo no puede ser responsable de aprobar su
propio trabajo.� Quien controla no ejecuta.� Previene el FRAUDE
128
� Segregación de funciones:Ejemplo:� Desarrollo de Producción� Seguridad de Auditoría � Cuentas a Cobrar de Cuentas a Pagar� Administración de Claves de Encripción de Cambio de
Claves� Conocimiento distribuido
Dos o más personas se requieren para efectuar una tarea de forma que cada una posee un conocimiento que el resto no tiene. Ej.: Generación de una clave por más de una persona.
� Control dualDos o más personas se requieren para efectuar una tarea de forma que ninguna es prescindible. Ej.: para la apertura de una compuerta se requiere que dos personas en diferentes sitios presionen un botón.
Control de actividades (Cont.)
129
� Rotación de funciones� Evita que el personal permanezca demasiado tiempo en
una función, logrando un nivel elevado de control sobre las actividades.
� Favorece el backup de empleados.
� Vacaciones obligatorias� Permite la detección de fraude.� Previene el mal desempeño.
Control de actividades (Cont.)
CISSP Security Training – Information Security and Risk Management
44
Information Security and RiskManagement
InfoSec Awareness (Concientizaciónen Seguridad Informática)
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
131
InfoSec Awareness
� Normalmente una de las áreas de menor consideración.
� El “eslabón mas débil”
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
132
InfoSec Awareness (Cont.)
Objetivos:� Comprender el concepto de INFORMACIÓN� Comprender los principios de seguridad de la información� Conocer las amenazas a la seguridad� Asimilar las vulnerabilidades del personal� Conocer la estrategia de la organización con respecto a la
seguridad de la información
CISSP Security Training – Information Security and Risk Management
45
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
133
InfoSec Awareness (Cont.)
Beneficios:� Importante reducción de la cantidad de acciones no
autorizadas generadas por el personal de la organización.� Incremento significativo de la efectividad de los controles
implantados.� Prevención de amenazas que explotan vulnerabilidades del
personal.� Ayuda a evitar el fraude, desperdicio y abuso de recursos
informáticos.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
134
InfoSec Awareness (Cont.)
Formas de lograr la concientización:� Presentaciones en vivo o grabadas: conferencias/
presentaciones, video, entrenamiento basado en computadoras (CBT), etc.
� Publicación / Distribución: newsletters, trípticos, boletines e intranet.
� Incentivos: premios y reconocimiento por alcanzar objetivos relacionados con la seguridad de la información.
� Recordatorios: banners de login, mails, accesorios de marketing (tazas, lapiceras, mouse pads, stickers, etc.).
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
135
InfoSec Awareness (Cont.)
Selección de audiencia:� Management� Staff� Empleados técnicos
CISSP Security Training – Information Security and Risk Management
46
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
136
InfoSec Awareness (Cont.)
Concientización al Management:� Breve� Lenguaje acorde� Focalizar en los activos críticos de la organización� Considerar el impacto financiero de la falta de seguridad� Explicar implicancias legales� Definir conceptos: políticas, estándares, procedimientos, etc.� Responsabilidades
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
137
InfoSec Awareness (Cont.)
Concientización al Staff:� Clara y dinámica� Derechos y obligaciones� Actividades aceptables� Ejemplos� Interacción
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
138
InfoSec Awareness (Cont.)
Concientización al Personal Técnico:� Lenguaje técnico� Implicancias de la seguridad en las tareas habituales� Comportamiento esperado� Estándares, procedimientos, guidelines, etc.� Manejo de incidentes� Funciones� Responsabilidades
CISSP Security Training – Information Security and Risk Management
47
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
139
InfoSec Awareness (Cont.)
Revisión de resultados:� Encuestas de opinión.� Encuestas de calificación de la concientización.� Medición de incidentes antes y después de la
concientización.� Observación del comportamiento del personal.� Monitoreo de uso de recursos.� Cracking de passwords.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
140
InfoSec Awareness (Cont.)
Algunos Consejos:� Trabajar en conjunto con el departamento de RRHH.� Duración de los encuentros: No mas de 30’.� Resumen de Políticas del Usuario final: No mas de 5 páginas.� Material actualizado periódicamente.� Material atractivo.� Consejos / Pautas: Creíbles y Realizables.
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
141
Ingeniería Social
� Ingeniería social describe el tipo de intrusión no técnico basado en la interacción humana. Usualmente involucra el engañar a las personas con el propósito de quebrar procedimientos de seguridad existentes.
CISSP Security Training – Information Security and Risk Management
48
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
142
Ingeniería Social (Cont.)
Proceso:� Recolección de información� Selección del objetivo� Ataque
Tipos de ataque:� Ataque al Ego
� Ataques de condolencia (Sympathy)
� Ataques de intimidación
Information Security and RiskManagement
Referencias y Lecturas Complementarias
CISSP Security Training – Information Security and Risk ManagementCopyright © 2004-2008 SICinformática S.R.L.
144
� CISSP All-in-One Exam Guide, Third Edition (All-in-One)By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121
� Official (ISC)2 Guide to the CISSP ExamBy Susan Hansche (AUERBACH) ISBN: 084931707X
� The CISSP Prep Guide: Gold EditionBy Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X
� CISSP Certification Training GuideBy Roberta Bragg (Que) ISBN: 078972801X
� CCCure.Org WebSite: http://www.cccure.orgBy Clement Dupuis
� Advanced CISSP Prep Guide: Exam Q&ABy Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632
� Information Security Management Handbook, Fifth EditionBy Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978
� CISSP: Certified Information Systems Security Profesional Study Guide, Third EditionBy James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438
Referencias y Lecturas Complementarias
CISSP Security Training – Information Security and Risk Management
49
Information Security and RiskManagement
Preguntas?