1 / 49

Análisis de riesgos & Clasificación de la información: Fundamentos de DLP

Análisis de riesgos & Clasificación de la información: Fundamentos de DLP. Armando Carvajal Gerente Consultoría – Globaltek Security armando.carvajal@globalteksecurity.com Msc en seguridad inform á tica de la Universidad Oberta de Catalunya - España

marged
Download Presentation

Análisis de riesgos & Clasificación de la información: Fundamentos de DLP

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Análisis de riesgos & Clasificación de la información: Fundamentos de DLP Armando Carvajal Gerente Consultoría – Globaltek Security armando.carvajal@globalteksecurity.com Mscen seguridad informática de la Universidad Oberta de Catalunya - España Especialista en construcción de software para redes Uniandes, Colombia Ing. Sistemas – Universidad Incca de Colombia

  2. Antecedentes

  3. Por que medir el riesgo? "La medición es el primer paso para el control y la mejora. Si algo no se puede medir, no se puede entender. Si no se entiende, no se puede controlar. Si no se puede controlar, no se puede mejorar.“ H.JamesHarrington “Para poder mantener el valor del patrimonio de los socios que ya se gano en la operación de mi negocio”, Armando Carvajal

  4. EL RIESGO OPERACIONAL Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la Tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. “Superfinanciera de Colombia” Provision de RiesgoOperativo = 15% ingresosbrutosquedebenreflejarse en el Balance

  5. Cumplimiento de leyes y Circulares Superfinanciera Basilea II: 2004 Riesgo de crédito y riesgo de mercado, Bancospondrán el 8% de capital mínimo de riesgo La Circular Externa 041 de 2007, aprobó la implementación del Sistema de Administración de Riesgos Operativo, Circular 052 controla el riesgo tecnológico

  6. Por que Clasificar la informacion – (DLP)? • Circular Externa 014 de 2009 numeral 7.5.4.1 • Pide proteger la información sensible de los clientes • Datos de tarjetas de crédito • Datos de las cuentas de ahorros y créditos • Datos personales de los clientes

  7. QUE ES ANÁLISIS DE RIESGOS? Es la consideración sistemática del daño probable que puede causar en el negocio un fallo en la seguridad de la información, con las consecuencias potenciales de pérdida de confidencialidad, integridad y disponibilidad de la información

  8. Amenazas Vulnerabilidades Aprovechan Exponen Aumentan Aumentan Protegen de Controles Riesgos Activos Disminuyen Marcan Tienen Impactan si se materializan Imponen Aumenta Requerimientos de seguridad Valor de los Activos PROCESO DE EVALUACION DEL RIESGO Juan Carlos Reyes, Seltika, 2007

  9. Riesgo: • Es la posibilidad o probabilidad de que se produzca un impacto sobre algún activo de información • Pérdida de patrimonio de los socios

  10. Amenazas: • Las amenazas son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas en sus activos de información

  11. Amenazas: • La consecuencia de la amenaza, si se materializa, es un incidente que modifica el estado de seguridad de los activos amenazados • Es decir, hace pasar el activo de un estado inicial anterior conocido a otro posterior, que puede ser no deseable

  12. Vulnerabilidades (Falla) • También se le conoce a la vulnerabilidad como una debilidad • Agujero, falla, error en la seguridad del sistema de información

  13. Impacto: • Es la consecuencia negativa sobre un activo de la materialización de una amenaza • Disminuye el activo

  14. Amenazas Vulnerabilidades Aprovechan Exponen Aumentan Aumentan Protegen de Controles Riesgos Activos Disminuyen Marcan Tienen Impactan si se materializan Imponen Aumenta Requerimientos de seguridad Valor de los Activos PROCESO DE EVALUACION DEL RIESGO Juan Carlos Reyes, Seltika, 2007

  15. RiesgoIntrinseco • Es el riesgo inherente al activo • Es el estudio que se realiza sin tener en consideración las diferentes medidas de seguridad que puedan ser implementadas en una organización

  16. Riesgo Residual • Es el estudio que se realiza teniendo en consideración las medidas de seguridad que la organización ya tiene implantada, o va a implementar • Es el nivel de riesgo esperado después de implementados y evaluados

  17. QUE HACER DESPUES DEL ANÁLISIS DE RIESGOS? • Gestión de los riesgos detectados que soporta la identificación, selección y adopción de controles con base a los riesgos identificados y a la reducción de esos riesgos a un nivel aceptable definido por la ALTA dirección • ISO 27002:2005 (antes 17799:2005) ayuda en estatarea

  18. La organización debe entender la seguridad como un proceso que nunca termina • La inseguridad es una propiedad inherente a los recursos informáticos y la gestión es la única forma de medirla y aminorarla S G S I = ISO27005(AR) + 27002 + 27003

  19. Clasificación de la Información

  20. Alcance de la clasificación de la Información • Revisar las Políticas, Normas o Guías de Clasificación de la información al igual que Tablas de Retención Documental • Revisar la Definición de los criterios de clasificación de la información basados en: Confidencialidad, Integridad y Disponibilidad o solo alguno(s) de ellos, en conjunto con los funcionarios de la compañía

  21. Alcance de la clasificación de la Información • Definir los niveles de responsabilidad sobre la información: propietarios responsables y custodios • Definir las categorías de clasificación de la información, en conjunto con los funcionarios de la compañía • Identificar los lineamientos generales de manejo de la información por cada categoría establecida, como son acceso y divulgación, almacenamiento, copiado, transmisión, rotulado y destrucción

  22. Alcance de la clasificación de la Información • Generar las Guías y el Formato de Clasificación de la Información • Identificar los Procesos y/o subprocesos criticos del Negocio de la compañía que serán analizados, en conjunto con la compañía y revisar sus caracterizaciones

  23. Alcance de la clasificación de la Información • Rotular cuando sea posible o, acompañar el rotulado de la información de acuerdo con la categoría de clasificación correspondiente • Identificar los controles existentes y los necesarios para la información clasificada, según cada categoría o nivel de clasificación.

  24. Alcance de la clasificación de la Información • Generar un plan para la protección y control de la información clasificada de acuerdo con las categorías de clasificación • Generar los procedimientos de manejo de la información teniendo en cuenta los niveles de clasificación establecidos • Alimentesussistema DLP

  25. Problemática de hoy: DLP

  26. Problemáticaalrededor de los datosconfidenciales • Es un hecho real que las amenazas persistentes buscan aprovecharse de las vulnerabilidades de mis usuarios y tecnologías • Cómoprotegermislistas de precios, lista de clientes, formulas químicas, secretos de mi negocio?

  27. Cuán resiliente soy como organización? • DLP: Es la medida o grado de superación de la organización frente a la adversidad de pérdida de datos sensibles que tienden a impactar el patrimonio de los socios con probabilidad de cerrar mi negocio Armando Carvajal, Msc Seguridad Informatica

  28. Demostración:

  29. Ejemplo Metodología Magerit

  30. METODOLOGIAS: ISO 27005 (AR) @Risk LAVA (Los AlamosVulnerabilityAnalysis) Analyze des Risques Programmes LRAM&ALRAM ([Automated] LivermoreRisk AnalyZAnalysis) AROME+ MAGERIT BDS RiskAssesor MINIRISK BDSS (BayesianDecisionSupportSystem) PREDICT BuddySystem PSICHE COBRA RANK-IT CONTROL-IT RISAN CRITI_CALC RiskCALC CRAMM RiskWatch CCTA RiskAnalysis and Management Methods SBA (Security byAnalysis) DDIS (Datenschutz-und-datensicherheits SISSI InformationsSystem) XRM (eXpertRisk Management)

  31. Magerit • MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información • El aspecto positivo de esta metodología es que el resultado se expresa en valores económicos

  32. Objetivos Magerit • 1. Concienciar a los responsables de los sistemas de información (dueños del proceso) de la existencia de riesgos y de la necesidad de atajarlos a tiempo • 2. Ofrecer un método sistemático para analizar tales riesgos

  33. Objetivos Magerit • 3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control • 4. Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso

  34. Ventajas de magerit • Las decisiones que deban tomarse y que tengan que ser validadas por la dirección estarán fundamentadas y serán fácilmente defendibles

  35. Desventajas de magerit • Por el contrario, el hecho de tener que traducir de forma directa todas las valoraciones en valores económicos hace que la aplicación de esta metodología sea realmente costosa

  36. Donde consigo la metodología versión II? http://www.csi.map.es/

  37. Establecimiento de Parametros

  38. Valoracion de activos

  39. Amenazasglobales

  40. Controlesporamenazas

  41. Riesgoefectivo x activo

  42. Quemira la altagerencia?

  43. RESUMEN Identificar y Analizar Planificar • Identificar: • Activos • Amenazas • Vulnerabilidades • Analizar: • Riesgos • Costo/beneficios • Definir: • Alcance • Política • Metodología La dirección Decidir tratamiento de riesgos Aceptar riesgo residual Reducir Transferir Aceptar Evitar • Controles: • Seleccionar • Implantar • Cesar la actividad que lo origina • Seguros • Proveedores • No hacer nada

  44. La forma de conseguir el mayor beneficio en seguridad de la información es contar con una adecuada evaluación de riesgos, que oriente las inversiones, que minimicen el impacto en casos de incidentes • No importa la metodología que se seleccione CONCLUSIONES

  45. La seguridad de la información no es una responsabilidad única del área de tecnología, ésta debe fluir desde la alta gerencia hacia todos los procesos de negocios • De lo estratégico pasando por lo táctico hasta llegar a lo operativo CONCLUSIONES

  46. CONCLUSIONES • Un comité de seguridad de la información compuesto por cada jefe de área genera mas compromiso para hacer cumplir las políticas de seguridad de la información • Si la seguridad de la información depende únicamente de IT entonces la probabilidad es del 100% de que no se implemente

  47. CONCLUSIONES • Mediante el análisis de riesgos gestionamos el riesgo operativo • Ayudamos a mantener el valor que la organización ya logró • Es materia prima del sistema de gestión de seguridad de la información

  48. BIBLIOGRAFÍA • Maestria en seguridadinformatica (http://www.uoc.edu), Daniel Cruz Allende • Creadores de la metodologia (http://www.csi.map.es) BCI (The Bussiness Continuity Institute) www.thebci.org • CRAMM www.cramm.com • esCERT http://escert.upc.edu • FIRST http://www.first.org/ • ISO www.iso.org • ITIL http://www.itil.co.uk/ • MAGERIT www.csi.map.es/csi/pg5m20.htm

More Related