430 likes | 631 Views
Seguridad de la Información : Evaluación de Riesgos. Juan Arturo Nolazco Flores. Chapter 4: Information Security Risk Analysis, Tomas R. Peltier , 2005 . Chapters 2 , 3 y 4: Information Security Risk Analysis, Tomas R. Peltier , 2005.
E N D
Seguridad de la Información:Evaluación de Riesgos Juan Arturo Nolazco Flores
Chapter 4: • Information Security Risk Analysis, Tomas R. Peltier, 2005. • Chapters 2, 3 y 4: • Information Security Risk Analysis, Tomas R. Peltier, 2005.
4.1.1 Key Definitions • Asset– something that have value for the company (Information, and the Infrastructure where is information is kept, owner of the information, process where information has an impact). • Threat – the potential cause of an unwanted incident, which may result in harm to a system and organization as a whole. A complete definition in: WHAT IS A THREAT AGENT in Chapter 4, Risk Management for Computer Security, A. Jones and D. Ashenden, Elsevier, 2005. It is a circunstance or event that may cause damage. • Vulnerability – a weakness of an asset to be exploited by one or more threats. • Risk – the combination of an event's probability and its consequence (possibility of loss). • Risk assessment – the overall process of analyzing and evaluating risk. • Risk management – the coordinated activities to direct and control an organization's treatment of risk (technique used to assess, minimize, and prevent accidental loss to a business). • Risk treatment – the process for selecting and implementing measures to impact risk. • Control – the policies, procedures, guidelines, practices, and structures used to manage risk.
Ataque • cuando una amenaza se convirtió en realidad, • ¿Es posible que exista un ataque sin éxito? • Cuando un ataque tiene éxito, ¿cómo se cuantifica? • Impacto • medida del grado de daño o cambio sobre un activo cuando se materializa una amenaza. • El impacto se determina mediante un análisis de impactos al negocio (BIA – Business Impact Analysis). • ¿Afecta la Reputación?; ¿afecta el costo?; ¿es regulatorio?; ¿afecta los tiempo de entrega?; ¿Cómo afecta la moral de los empleados?; ¿se incumplió con la confidencialidad?; ¿se podría recuperar la información?, y en caso afirmativo, ¿cuánto costaría?
Riesgo: • Probabilidad (Incertidumbre) de sufrir pérdidas (SEI). • Métrica que combina la probabilidad de que un peligro cause un accidente y la severidad de dicho accidente (IEEE 1228-1994 (Standard For Software Safety Plan):). • Un riesgo es un evento o condición incierto que, si se produce, tendrá un efecto positivo (ganancia) o negativo (pérdida) sobre al menos un objetivo del proyecto, como tiempo, costo, alcance o calidad. • Características de un riesgo: • Hay incertidumbre sobre si el riesgo ocurrirá. • Habrá una pérdida si el riesgo ocurre. • Factores que impacta: • Presupuesto del proyecto • Agenda del proyecto • Calidad del producto
4.4.5 Assessment Methodologies • Qualitative Assessments • NIST SP 800-30 • NIST SP 800-66 • OCTAVE • FRAP – Facilitated Risk Analysis Process (Ref. 5) • CRAMM – CCTA Risk Analysis and Management Method • Quantitative Assessments • Spanning Tree Analysis • Failure Modes and Effect Analysis
4.4 Risk Assessments and Analysis 4.4.1 General Process • The process for assessing risks follows a few general steps. • Developed risk assessments may have specific procedures in place to provide specific focus to meet assessment objectives. The general steps include: • 0.1 Asset Identification • 0.2 Asset Classification • 1. Identify Vulnerabilities. • 2. Identify Threats (Identify Threat agents: competitors, hackers, etc.). • 3. Determine (Threats) Likelihood. • 4. Determine Impact. • 5. Determine Risk. • 6. Prioritize Risk • 6.1 Report Findings. • 6.2 Deal with Risk: avoid, accept, etc. • 7. Select Countermeasures. • 7.1 Monitor Countermeasures • 8. Determine Information Value.
Lista de activos: • Información • Documentos de Evaluación • Documentos de Planeación • Bases de datos de empleados. • Base de datos de los clientes. • Software • SistemasOperativos • Manejador de la Base de datos Oracle • Correo-e • Sitio Web de la empresa • Infraestructura • Red inalámbrica • Red alámbrica • Servidores • Desktop • DispositivosMóviles • Personal • Administrador de la BD • Administrador de Servidores • Administrador de la Red • Administrador de Servicios de TI • Dueños de procesos de TI
4.2 Information Schemas 4.2.2 Information Ownership • Each piece of information must have a clear owner. • The primary purpose of the owner is to ensure the integrity of the information, including its proper classification. • There are a variety of methods to define the owner. Some of the more popular methods are: • Manager of the function using the information. • Person responsible for determining the level of protection over the information. Person responsible for determining appropriate usage of the information. • Person responsible for classifying the data. • Person responsible for the business outcome of using the information or information system.
4.2 Information Schemas 4.2.1 Information Classification • The purpose of information classification is to provide a method for determining the importance of each information type to the organization. • This determination provides the appropriate level and method of protecting the information type. • While all assets add value to an organization, not all value provided is equal, nor require the same care in handling. • When classifying information, the following basic steps are involved: • Determining the requirements for classification. • Determining the people responsible for classification. • Determining the classification levels. • Determining the methods and procedures for classification. • Determining the impacted processes from classification
4.3 Information Threats and Vulnerabilities • Any threat against the confidentiality, integrity, and availability of enterprise assets is a threat to access control. • Recognized threats to access control consist of: • Denial of service • Buffer overflows • Mobile code • Malicious software • Password cracker • Spoofing/masquerading • Sniffers, Eavesdropping and Tapping • Emanations • Shoulder surfing • Object reuse • Data remnants • Unauthorized targeted data mining
Vulnerabilidad (Internas) • Lógicas: • Puertos abiertos • Software no actualizado • Diseño pobre de la red de voz y datos. • Uso de cuentas “default” en SO y aplicaciones. • No hay un software de control de accesos; • Fisica: • Ambiente de trabajo inadecuada • Terreno bajo • Localización en lugar remoto • Mala calidad de los materiales • No hay puertas • Humanas: • Un empleado no entrenado. • Empleado enfermizo. • Contraseñas mal diseñadas. • Equipo expuesto al sol. • Transmisión no codificada.
Lista de Amenazas • Amenazas naturales • Tormenta eléctrica • Vientos fuertes • Huracanes • Inundaciones por estación • Inundaciones ocasionales • Epidemia/Pandemia • Enfermedad • Amenazas Humanas - Accidentales • Fuego: Interno – menor; Fuego: Interno – importante; Fuego: Interno - catastrófica • Fuego: Externo • Explosión accidental - en las instalaciones; Explosión accidental - fuera del sitio • Accidente de aviación/automóvil / camión en el sitio • Contaminación tóxica • Emergencia médica • Pérdida de personal clave • Falta de Capacitación • Falta de Concentración (por problemas familiares, por falta de profesionalismo, etc.) • El error humano – Mantenimiento; El error humano – operativo; El error humano – Programación; El error humano - uso
Lista de Amenazas: • Amenazas Humanas - Intencionales • Sabotaje: externo - física • Sabotaje: interno – física • Sabotaje: externo - Lógico • Sabotaje: interno – Lógico • Bombardeo • Amenaza de bomba • Incendio provocado • La toma de rehenes • Terrorismo • Vandalismo • Conflicto laboral / huelga • Disturbios / desorden civil • Contaminación tóxica • Amenazas del medio ambiente • Sobre-flujo de corriente eléctrica • Derramamiento de líquidos • Corte de energía - interna • Corte de corriente - externa • Fuga de agua / falta de plomería
Clase ¿? de Abril • Actividad en la Clase: • Comentarios de la Encuesta • Repaso • Ejemplo de Evaluación de Riesgos. • Actividad en la clase. • Tarea: • Búsque un software especializadoparaEvaluación de Riesgos. Haga un resumen de longitud máxima de tres cuartilla de este software demostrando la funcionalidad (incluyendo figuras de“snapshots” del documento). Entregar antes del miércoles 20 de noviembre. Al terminar: Enviar este archivo, por correo-e a Ulises (ulises.g2004@gmail.com) Nota: el correo un correo, con subject “A0nnnnnnn resultado examen CISM”. Donde nnnnnnn son los dígitos numéricos de su matrícula. Nota 1: el correo, con subject “A0ABCDEFG Software para Evaluación de Riesgos”. Nota 2: En caso de no encontrar otro software, al menos evalúe el que se encuentra en la siguiente liga: http://sourceforge.net/projects/somap/files/ • Estudiarcapítulos 4-5, Risk Management for Computer Security, A. Jones and D. Ashenden, Elsevier, 2005.
Comentarios sobre Áreas de Oportunidad • El contenido de la clase es muy similar a lo que aparece en las lecturas que se leen previo a la clase. • Estaría bien ver ejemplos o aplicaciones más concretas en la vida real acerca de lo que leemos. • Aumentar todavia más la participación del alumno. • Mostrar los temas con ejemplos de la vida real seria bueno. • Solo dejar bien claro la evaluación del curso desde el principio • Dar mas ejemplos aplicados • sientoquedebeser un curso de optativa no tanto en el plan de mi carrera
3.2 Exposición al riesgo (Determinar el Nivel de Riesgo, Determinar Riesgo) • Proporciona un indicador de la extensión del daño que puede causarse. Este valor es calculado combinando las dos características del riesgo (la incertidumbre y la pérdida). Exposición de riesgo = Prob. de ocurrencia * Impacto • Probabilidad de ocurrencia (del ataque): • es una medida de que tan probable es que una amenaza se concretice sobre un activo. Este valor puede ser muy preciso o manejar rangos. • Se puede calcular tomando en cuenta: • Interés o atracción por parte de personas externas. • El nivel de vulnerabilidad: muy bajo, bajo, medio y alto. • Frecuencia de ocurrencia. • Impacto (repetimos de la definión que se dio antes): • Es la materialización de un riesgo; una medida del grado de daño (pérdida) o cambio sobre un activo. • Para tener una medida del impacto es conveniente clasificar la información en niveles: público, sensitivo, privado y confidencial,
4.4.4 Common Security Measurements • Formulas used include: ALE = ARO * SLE SLE = asset value ($) * exposure factor (%) where • Annualized loss expectancy (ALE) • Annualized rate of occurrence (ARO) • Single loss expectancy (SLE) • Exposer factor: • The proportion of an asset's value that is likely to be destroyed by a particular attack, expressed as a percentage. • For example, if the value of a building would be reduced from $1,000,000 to $250,000 by a fire, the exposure factor for the risk of fire to the building is 75%. • Verdetalles: • http://security.practitioner.com/introduction/infosec_5_3_7.htm
Example (from Wikipedia) • For an asset valued $100,000, and aExposureFactor (EF) for this asset is 25%. • For an ARO of 3 • What is the ALE? • Would this be a high, medium or low IMPACT damage?
Tipos de Análisis de Riesgos • Cualitativa: • La probabilidad de riesgo se define en niveles: muy bajo, bajo, medio, alto, muy alto. • El impacto se define en niveles: muy bajo, bajo, medio, alto, muy alto. • Se forman tablas como las que se muestran a continuación: • Cuantitativa: • La probabilidad de riesgo se define en valores: 1, 2, 3, 4, 5. • El impacto se define en valores: 1, 2, 3, 4, 5. • Se forman tablas como las que se muestran a continuación:
4.4.2 Qualitative Risk Assessments • Results of a qualitative risk assessment are descriptive over measurable. • They are usually performed when: • The expertise of quantitative risk assessments is limited. • The timeframe required to complete the assessment is short. • Data required to conduct a quantitative assessment is limited. • Qualitative risk assessments are typically performed by: • 1. Gaining management approval. • 2. Formulating an assessment team. • 3. Gathering documentation on: • Strategy • Policies, procedures, guidelines, and baselines • Past assessments and audits • Technical documentation • Application development and operations documentation • Business continuity and disaster recovery plans • Security incident response documentation • Data classification schemes • Executive mandates • 4. Interviews conducted with managers and employees.
4.4.3 Quantitative Risk Assessments • Focus on the interpretation of measurable data, covering: • Frequency • Probability • Impact • Countermeasure effectiveness • Quantitative risk assessments are conducted through a simple process of: • 1. Obtaining management approval. • 2. Building an assessment team. • 3. Review of information currently available within the organization.
Ejemplo: Evaluación de Riesgos de un activo • Activo: Base de Datos Interna • Despueés de realizar reunir datos del valor de los activos, ocurrencias de ataques, amenazas; todo esta a través de a través de junta, entrevistas y cuestionarios se encontró la probabilidad de ocurrencia de la amenaza y el impacto en la organización. • Amenaza 1: • “Sismo”: • Amenaza 2: • “Error de configuración”:
Amenaza 3: • “Orden de Detención”: • Podemos representarla de la siguiente manera:
4.1.2 Principles and Practices • Ways for dealing with risk : • Risk Avoidance – involves creating solutions that ensure a specific risk is not realized. • Risk Transfer – involves passing a specific risk to another entity (buy insurance). • Risk Mitigation – attempts to eliminate or significantly decrease the level of risk present. • Risk Acceptance – weighs the cost and benefits of handling the risks over accepting it.
In Chapter 15, Risk Management for Computer Security, A. Jones and D. Ashenden, Elsevier, 2005
Activo con RiesgosMUY ALTOS: • Activo: Base de Datos de ExpedienteMédico • La aplicación se accesautilizandocuentasporOmisión (“Default”). • La “patches” de la aplicación no se actualizaregularmente. • El servidor se accesautilizandocuentasporOmisión (“Default”). • El servidordondeestá la base de datosno tiene UPS. • El servidordondeestá la base de datosestá en el sótano. • El servidortienemuchospuertosabiertos. • En el almacén no hay discos duros de respaldo. • El centro de cómputotieneequipo de deshumificación con más de 10 años (cuando se recomiendaquedebereemplazarsecada 5 años) • No hay respaldo de la base de datos. • No se monitorelasacciones de los usuariosprivilegiados en la aplicación. • Solo hay dos administradoresquerealizanlasfunciones de administraciónde la bases de datos, administraciónde servidores de la base de datos, administración del equipo de red, administración del equipo de seguridad. • El administrador de la base de datostambiénes el Administrador del Servidor. • El administrador de la base de datostambiénes el Administrador del Ruteador. • El administrador de la base de datostienesobrepeso. • El administrador de la base de datoshacemás de 5 añosque no tomacursos de capacitación.
4.1.3 Controls and Countermeasures • Basic characteristics that should be considered when making the application of each control and countermeasure: • Accountability – who is responsible for ensuring the control or countermeasure remains in place or to manage the impact when it fails? • Auditability – it can be reviewed and tested? • Trusted source – its design, implementation, and maintenance is performed by people who are committed to maintaining the security policy. • Independent – its design, implementation, and maintenance is independent of the others • Distinct – does it work without overlapping other controls and countermeasures? • Consistent application – can it be applied in the same manner across the organization? • Simple and Public – is it easily accessible and implementable by the general population (employees)? • Cost-effective – is the cost of implementation better than the cost of not implementing? • Reliability – will it serve its purpose under multiple circumstances? • Sustainable – will it continue to function as expected over time and/or adapt as changes or new elements are introduced to the environment? • Minimal manual intervention – is it automated fully or partially? • Ease of use – is its use or applicability easy to use? • Secure – is it itself safe from exploitation or attack? • Protection – does it protect the confidentiality, integrity, and availability of assets as expected? • Reversibility – can the control and countermeasures be “backed out” when an issue arises? • Safe – are any additional issues created when the control or countermeasure is applied? • Clean – it leaves no residual data as a result of its function
5.5 Security Documentation5.5.1 Types of Documentation • The primary driver of security in an IT environment is the security policy. • To support the implementation of the security policies, mechanism s are installed, such as: • Standards • Procedures • Guidelines • Baselines • Policies communicate management expectations. • The policy creation practice should be clearly defined and cover: • Initiation • Creation • Review • Recommendation • Approval • Distribution
5.5 Security Documentation5.5.1 Types of Documentation • Best practices for creating good security policies: 1. Write policies that last two to three years. 2. Use directive wording. 3. Avoid technical implementation details. 4. Keep length to a minimum. 5. Provide links from policy to supporting documents. 6. Review details before publishing. 7. Conduct management review and sign-off. 8. Avoid technical language. 9. Adjust policies based on incident review. 10. Review policies regularly. 11. Develop noncompliance sanctions.