500 likes | 1k Views
Análisis de riesgos & Clasificación de la información: Fundamentos de DLP. Armando Carvajal Gerente Consultoría – Globaltek Security armando.carvajal@globalteksecurity.com Msc en seguridad inform á tica de la Universidad Oberta de Catalunya - España
E N D
Análisis de riesgos & Clasificación de la información: Fundamentos de DLP Armando Carvajal Gerente Consultoría – Globaltek Security armando.carvajal@globalteksecurity.com Mscen seguridad informática de la Universidad Oberta de Catalunya - España Especialista en construcción de software para redes Uniandes, Colombia Ing. Sistemas – Universidad Incca de Colombia
Por que medir el riesgo? "La medición es el primer paso para el control y la mejora. Si algo no se puede medir, no se puede entender. Si no se entiende, no se puede controlar. Si no se puede controlar, no se puede mejorar.“ H.JamesHarrington “Para poder mantener el valor del patrimonio de los socios que ya se gano en la operación de mi negocio”, Armando Carvajal
EL RIESGO OPERACIONAL Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la Tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. “Superfinanciera de Colombia” Provision de RiesgoOperativo = 15% ingresosbrutosquedebenreflejarse en el Balance
Cumplimiento de leyes y Circulares Superfinanciera Basilea II: 2004 Riesgo de crédito y riesgo de mercado, Bancospondrán el 8% de capital mínimo de riesgo La Circular Externa 041 de 2007, aprobó la implementación del Sistema de Administración de Riesgos Operativo, Circular 052 controla el riesgo tecnológico
Por que Clasificar la informacion – (DLP)? • Circular Externa 014 de 2009 numeral 7.5.4.1 • Pide proteger la información sensible de los clientes • Datos de tarjetas de crédito • Datos de las cuentas de ahorros y créditos • Datos personales de los clientes
QUE ES ANÁLISIS DE RIESGOS? Es la consideración sistemática del daño probable que puede causar en el negocio un fallo en la seguridad de la información, con las consecuencias potenciales de pérdida de confidencialidad, integridad y disponibilidad de la información
Amenazas Vulnerabilidades Aprovechan Exponen Aumentan Aumentan Protegen de Controles Riesgos Activos Disminuyen Marcan Tienen Impactan si se materializan Imponen Aumenta Requerimientos de seguridad Valor de los Activos PROCESO DE EVALUACION DEL RIESGO Juan Carlos Reyes, Seltika, 2007
Riesgo: • Es la posibilidad o probabilidad de que se produzca un impacto sobre algún activo de información • Pérdida de patrimonio de los socios
Amenazas: • Las amenazas son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas en sus activos de información
Amenazas: • La consecuencia de la amenaza, si se materializa, es un incidente que modifica el estado de seguridad de los activos amenazados • Es decir, hace pasar el activo de un estado inicial anterior conocido a otro posterior, que puede ser no deseable
Vulnerabilidades (Falla) • También se le conoce a la vulnerabilidad como una debilidad • Agujero, falla, error en la seguridad del sistema de información
Impacto: • Es la consecuencia negativa sobre un activo de la materialización de una amenaza • Disminuye el activo
Amenazas Vulnerabilidades Aprovechan Exponen Aumentan Aumentan Protegen de Controles Riesgos Activos Disminuyen Marcan Tienen Impactan si se materializan Imponen Aumenta Requerimientos de seguridad Valor de los Activos PROCESO DE EVALUACION DEL RIESGO Juan Carlos Reyes, Seltika, 2007
RiesgoIntrinseco • Es el riesgo inherente al activo • Es el estudio que se realiza sin tener en consideración las diferentes medidas de seguridad que puedan ser implementadas en una organización
Riesgo Residual • Es el estudio que se realiza teniendo en consideración las medidas de seguridad que la organización ya tiene implantada, o va a implementar • Es el nivel de riesgo esperado después de implementados y evaluados
QUE HACER DESPUES DEL ANÁLISIS DE RIESGOS? • Gestión de los riesgos detectados que soporta la identificación, selección y adopción de controles con base a los riesgos identificados y a la reducción de esos riesgos a un nivel aceptable definido por la ALTA dirección • ISO 27002:2005 (antes 17799:2005) ayuda en estatarea
La organización debe entender la seguridad como un proceso que nunca termina • La inseguridad es una propiedad inherente a los recursos informáticos y la gestión es la única forma de medirla y aminorarla S G S I = ISO27005(AR) + 27002 + 27003
Alcance de la clasificación de la Información • Revisar las Políticas, Normas o Guías de Clasificación de la información al igual que Tablas de Retención Documental • Revisar la Definición de los criterios de clasificación de la información basados en: Confidencialidad, Integridad y Disponibilidad o solo alguno(s) de ellos, en conjunto con los funcionarios de la compañía
Alcance de la clasificación de la Información • Definir los niveles de responsabilidad sobre la información: propietarios responsables y custodios • Definir las categorías de clasificación de la información, en conjunto con los funcionarios de la compañía • Identificar los lineamientos generales de manejo de la información por cada categoría establecida, como son acceso y divulgación, almacenamiento, copiado, transmisión, rotulado y destrucción
Alcance de la clasificación de la Información • Generar las Guías y el Formato de Clasificación de la Información • Identificar los Procesos y/o subprocesos criticos del Negocio de la compañía que serán analizados, en conjunto con la compañía y revisar sus caracterizaciones
Alcance de la clasificación de la Información • Rotular cuando sea posible o, acompañar el rotulado de la información de acuerdo con la categoría de clasificación correspondiente • Identificar los controles existentes y los necesarios para la información clasificada, según cada categoría o nivel de clasificación.
Alcance de la clasificación de la Información • Generar un plan para la protección y control de la información clasificada de acuerdo con las categorías de clasificación • Generar los procedimientos de manejo de la información teniendo en cuenta los niveles de clasificación establecidos • Alimentesussistema DLP
Problemáticaalrededor de los datosconfidenciales • Es un hecho real que las amenazas persistentes buscan aprovecharse de las vulnerabilidades de mis usuarios y tecnologías • Cómoprotegermislistas de precios, lista de clientes, formulas químicas, secretos de mi negocio?
Cuán resiliente soy como organización? • DLP: Es la medida o grado de superación de la organización frente a la adversidad de pérdida de datos sensibles que tienden a impactar el patrimonio de los socios con probabilidad de cerrar mi negocio Armando Carvajal, Msc Seguridad Informatica
METODOLOGIAS: ISO 27005 (AR) @Risk LAVA (Los AlamosVulnerabilityAnalysis) Analyze des Risques Programmes LRAM&ALRAM ([Automated] LivermoreRisk AnalyZAnalysis) AROME+ MAGERIT BDS RiskAssesor MINIRISK BDSS (BayesianDecisionSupportSystem) PREDICT BuddySystem PSICHE COBRA RANK-IT CONTROL-IT RISAN CRITI_CALC RiskCALC CRAMM RiskWatch CCTA RiskAnalysis and Management Methods SBA (Security byAnalysis) DDIS (Datenschutz-und-datensicherheits SISSI InformationsSystem) XRM (eXpertRisk Management)
Magerit • MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información • El aspecto positivo de esta metodología es que el resultado se expresa en valores económicos
Objetivos Magerit • 1. Concienciar a los responsables de los sistemas de información (dueños del proceso) de la existencia de riesgos y de la necesidad de atajarlos a tiempo • 2. Ofrecer un método sistemático para analizar tales riesgos
Objetivos Magerit • 3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control • 4. Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso
Ventajas de magerit • Las decisiones que deban tomarse y que tengan que ser validadas por la dirección estarán fundamentadas y serán fácilmente defendibles
Desventajas de magerit • Por el contrario, el hecho de tener que traducir de forma directa todas las valoraciones en valores económicos hace que la aplicación de esta metodología sea realmente costosa
Donde consigo la metodología versión II? http://www.csi.map.es/
RESUMEN Identificar y Analizar Planificar • Identificar: • Activos • Amenazas • Vulnerabilidades • Analizar: • Riesgos • Costo/beneficios • Definir: • Alcance • Política • Metodología La dirección Decidir tratamiento de riesgos Aceptar riesgo residual Reducir Transferir Aceptar Evitar • Controles: • Seleccionar • Implantar • Cesar la actividad que lo origina • Seguros • Proveedores • No hacer nada
La forma de conseguir el mayor beneficio en seguridad de la información es contar con una adecuada evaluación de riesgos, que oriente las inversiones, que minimicen el impacto en casos de incidentes • No importa la metodología que se seleccione CONCLUSIONES
La seguridad de la información no es una responsabilidad única del área de tecnología, ésta debe fluir desde la alta gerencia hacia todos los procesos de negocios • De lo estratégico pasando por lo táctico hasta llegar a lo operativo CONCLUSIONES
CONCLUSIONES • Un comité de seguridad de la información compuesto por cada jefe de área genera mas compromiso para hacer cumplir las políticas de seguridad de la información • Si la seguridad de la información depende únicamente de IT entonces la probabilidad es del 100% de que no se implemente
CONCLUSIONES • Mediante el análisis de riesgos gestionamos el riesgo operativo • Ayudamos a mantener el valor que la organización ya logró • Es materia prima del sistema de gestión de seguridad de la información
BIBLIOGRAFÍA • Maestria en seguridadinformatica (http://www.uoc.edu), Daniel Cruz Allende • Creadores de la metodologia (http://www.csi.map.es) BCI (The Bussiness Continuity Institute) www.thebci.org • CRAMM www.cramm.com • esCERT http://escert.upc.edu • FIRST http://www.first.org/ • ISO www.iso.org • ITIL http://www.itil.co.uk/ • MAGERIT www.csi.map.es/csi/pg5m20.htm