1 / 17

Guía para la evaluación de seguridad en un sistema

II Congreso de Seguridad Informática. Guía para la evaluación de seguridad en un sistema. Luz Marina Santos Jaimes Universidad de Pamplona. CONTENIDO. Introducción Aplicación de los Métodos Análisis de Riesgos Checklist Auditoria Conclusiones.

heidi-hawkins
Download Presentation

Guía para la evaluación de seguridad en un sistema

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. II Congreso de Seguridad Informática Guía para la evaluación de seguridad en un sistema Luz Marina Santos Jaimes Universidad de Pamplona

  2. CONTENIDO • Introducción • Aplicación de los Métodos • Análisis de Riesgos • Checklist • Auditoria • Conclusiones Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  3. INTRODUCCION Las empresas tienen la cultura de seguridad informática? Todas las metodologías de evaluación de seguridad llegan a un punto donde se preguntan. Cómo valorar el impacto que causaría a un sistema la consecución de una amenaza? En áreas donde las pérdidas esperadas y la frecuencia de las amenazas pueden definirse en términos cualitativos o cuantitativos, el análisis de riesgos puede ser empleado. Requerimientos de seguridad adicionales pueden ser determinados con otros métodos, por ejemplo la auditoria. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  4. Análisis Riesgos Auditoria Checklist APLICACIÓN DE LOS METODOS Cuándo aplicar un método? Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  5. Cultura del riesgo • Expresa en mejores términos las pérdidas al ocurrir un evento desfavorable. • Metodología cuantitativa • Valoraciones son objetivas. • Valor de la información en términos monetarios. • Presupuesto destinado a la seguridad del sistema esta basado en análisis confiables y bien sustentados. • resistencia a su aplicación • proceso que requiere tiempo y de información disponible. • Proceso costoso. • Metodología cuantitativa • Requiere ayuda de herramientas • Requieren una cantidad sustancial de información. • No existe un estándar sobre amenazas y sus frecuencias. PROS/CONTRAS Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  6. Metodología cualitativa • No es necesario contar con datos estadísticos • Checklist • Existen en forma abundante y libre. • Fácil de aplicar, resumir y comparar. • Flexibles • Su análisis es rápido. • Se pueden aplicar medidas correctivas de inmediato • Metodología cualitativa • Valoración es esencialmente subjetiva. • La percepción de valores puede no reflejar realmente el actual valor del riesgo. • Checklist • Arbitrario y subjetivo • Necesitan actualizarse constantemente. • Pueden no tratar necesidades de un sistema particular. PROS/CONTRAS Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  7. Auditoría • Propicia el mejoramiento de procedimientos en el sistema. • Reduce errores organizacionales • Promueve la aplicación de las políticas y estándares de seguridad. • Descubre nuevas amenazas al sistema. (Retroalimenta el análisis de riesgos) • Auditoría • Aptitud negativa de los encargados de las partes auditadas. • Requiere tiempo y esfuerzo. • Requiere tener pistas de auditoria PROS/CONTRAS Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  8. ANALISIS DE RIESGOS • Qué podría ocurrir? • Sí ocurre, cuánto daño podría causar? • Qué tan a menudo podría ocurrir? • Qué puede ser hecho? • Cuál es el costo de la medida? • Es la medida efectiva? Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  9. ANALISIS DE RIESGOS (Cont.) • Etapas del análisis de riesgos: • Planeación del análisis de riesgos • Identificación de amenazas y vulnerabilidades • Valoración del impacto y frecuencia de ocurrencia de las amenazas • Cálculo del riesgo • Tratamiento del riesgo Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  10. Recurso Integridad Datos Amenaza Vulnerabilidades Confiden-cialidad Disponibilidad Recurso 1 Modificac. Amenaza 1 Destrucción Vulnerabilidad 1 Vulnerabilidad 2 ... 2hrs 24hrs 72hr Recurso Amenaza 2 Vulnerabilidad 1 Vulnerabilidad 2 ... Amen. 1 i f i f i f i f i f i f Recurso 2 Amenaza 1 Vulnerabilidad 1 Vulnerabilidad 2 ... Amen. 2 i f i f i f i f i f i f ........ ANALISIS DE RIESGOS (Cont.) Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  11. Impacto Alta Media Baja Alta A A M Media A M M Baja B B B ANALISIS DE RIESGOS (Cont.) Posibilidad de ocurrencia El proceso final es la mitigación del riesgo, en caso de que la acción sea eliminar o reducir el riesgo. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  12. CHECKLIST • Consiste en revisar si existen controles: • Administrativos • Operativos • Técnicos • Se verifica que se cumplan los principios de seguridad generalmente aceptados GSSPs. • Se pueden aplicar listas de chequeo técnicas a partes del sistema en particular por ej: sistemas operativos. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  13. CHECKLIST (Cont.) • A, B ... corresponde a cada uno de los controles técnicos • I, P,V, N,X estado en el que se encuentran cada uno de los controles para cada recurso del sistema. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  14. AUDIT • La auditoria examina si el sistema esta cumpliendo con los controles y políticas de seguridad que previamente se definieron. • Se toma documentación existente en cuanto a: políticas, análisis de riesgos, descripción de procesos, lista de controles.La ausencia de algún documento amerita la recomendación de la realización del mismo. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  15. AUDIT (Cont.) • Establecimiento de Logs • Intento de logearse, Identidad, Fecha, Tiempo de cada intento de entrada, Fecha y tiempo de salida, Dispositivos usados, Las funciones ejecutadas • Aplicación del control de Logs • Definición e implantación • Revisión • Control de acceso • Reconstrucción de eventos • Detección de intrusos Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  16. CONCLUSIONES • Los encargados de seguridad sólo miran un mecanismo de evaluación sin aplicar los demás. • Realización de matrices para determinar los elementos del riesgo en forma cualitativa de alto, medio, o bajo. • En Colombia no se cuenta con registros a cerca de incidentes de seguridad, es importante empezar a establecer esta base de información. • Es importante verificar la aplicación de estándares y políticas de seguridad mediante checklist y auditoria. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

  17. CONCLUSIONES • El análisis de riesgos no debe limitarse a realizarse una sola vez, está inmerso en un ciclo de vida que requiere retroalimentación. • Es recomendable aplicar controles de seguridad, no por intuición, sino aplicar aquellos que se recomienden resultado de una exhaustiva evaluación de seguridad. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

More Related