310 likes | 486 Views
CLASIFICACION DE LA INFORMACION COMO RESULTADO DE UN ANALISIS DE RIESGOS. Armando Carvajal Gerente Arquitecto de soluciones armando.carvajal@globalteksecurity.com Msc en seguridad inform á tica de la Universidad Oberta de Catalunya - España
E N D
CLASIFICACION DE LA INFORMACION COMO RESULTADO DE UN ANALISIS DE RIESGOS Armando Carvajal Gerente Arquitecto de soluciones armando.carvajal@globalteksecurity.com Mscen seguridad informática de la Universidad Oberta de Catalunya - España Especialista en construcción de software para redes Uniandes, Colombia Ing. Sistemas – Universidad Incca de Colombia
Por que medir el riesgo? "La medición es el primer paso para el control y la mejora. Si algo no se puede medir, no se puede entender. Si no se entiende, no se puede controlar. Si no se puede controlar, no se puede mejorar.“ H.JamesHarrington
EL RIESGO OPERACIONAL Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la Tecnología, la infraestructura o por la ocurrencia de acontecimientos externos “Superfinanciera de Colombia”
Circulares Superfinanciera La Circular Externa 041 de 2007, aprobó la implementación del Sistema de Administración de Riesgos Operativos…
Alcance de la clasificación de la Información • Revisar las Políticas, Normas o Guías de Clasificación de la información al igual que Tablas de Retención Documental • Definir los criterios de clasificación de la información basados en: Confidencialidad, Integridad y Disponibilidad o solo alguno(s) de ellos, en conjunto con los funcionarios de la compañía
Alcance de la clasificación de la Información • Definir los niveles de responsabilidad sobre la información: propietarios responsables y custodios • Definir las categorías de clasificación de la información, en conjunto con los funcionarios de la compañía • Identificar los lineamientos generales de manejo de la información por cada categoría establecida, como son acceso y divulgación, almacenamiento, copiado, transmisión, rotulado y destrucción
Alcance de la clasificación de la Información • Generar las Guías y el Formato de Clasificación de la Información • Aprobar las Guías y el Formato de Clasificación de la Información (actividad realizada por la compañía) • Identificar los Procesos de Negocio de la compañía que serán analizados, en conjunto con la compañía y revisar sus caracterizaciones
Alcance de la clasificación de la Información • Participar como acompañantes en la divulgación de las Guías de Clasificación de la Información a los funcionarios pertinentes (la divulgación debe ser liderada por la compañía) • Identificar los activos de información que apoyan cada uno de los procesos analizados • Establecer los propietarios, responsables y custodios de los activos de información identificados
Alcance de la clasificación de la Información • Valorar los activos de información identificados preliminarmente por el impacto que generaría la pérdida de Confidencialidad, Integridad y Disponibilidad • Clasificar la información asociada a los activos de información según las categorías o niveles establecidos en las Guías de Clasificación de la Información (Diligenciar el Formato de Clasificación de la Información)
Alcance de la clasificación de la Información • Rotular cuando sea posible o, acompañar el rotulado de la información de acuerdo con la categoría de clasificación correspondiente • Identificar los controles existentes y los necesarios para la información clasificada, según cada categoría o nivel de clasificación.
Alcance de la clasificación de la Información • Generar un plan para la protección y control de la información clasificada de acuerdo con las categorías de clasificación • Generar los procedimientos de manejo de la información teniendo en cuenta los niveles de clasificación establecidos
QUE ES ANÁLISIS DE RIESGOS? • Es la consideración sistemática del daño probable que puede causar en el negocio un fallo en la seguridad de la información, con las consecuencias potenciales de pérdida de confidencialidad, integridad y disponibilidad de la información
Riesgo • Es la posibilidad de que se produzca un impacto sobre algún activo
Amenazas • Las amenazas son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos
Vulnerabilidades • También se le conoce a la vulnerabilidad como una debilidad • Agujero, falla o error en la seguridad del sistema de información
Impacto • Es la consecuencia negativa en términos económicos sobre un activo debido a la materialización de una amenaza que se aprovecho de una vulnerabilidad
RiesgoIntrinseco • Es el riesgo inherente al activo • Es el estudio que se realiza sin tener en consideración las diferentes medidas de seguridad que puedan ser implementadas en una organización
Riesgo Residual • Es el estudio que se realiza teniendo en consideración las medidas de seguridad que la organización ya tiene implantada, o va a implementar • Es el nivel de riesgo esperado después de implementados y evaluados
Amenazas Vulnerabilidades Aprovechan Exponen Aumentan Aumentan Protegen de Controles Riesgos Activos Disminuyen Marcan Tienen Impactan si se materializan Imponen Aumenta Requerimientos de seguridad Valor de los Activos PROCESO DE EVALUACION DEL RIESGO Juan Carlos Reyes, Seltika, 2007
QUE HACER DESPUES DEL ANÁLISIS DE RIESGOS? • Gestión de los riesgos detectados que soporta la identificación, selección y adopción de controles con base a los riesgos identificados y a la reducción de esos riesgos a un nivel aceptable definido por la ALTA dirección. ISO 27002:2005
Magerit • MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información • El aspecto positivo de esta metodología es que el resultado se expresa en valores económicos
RESUMEN Identificar y Analizar Planificar • Identificar: • Activos • Amenazas • Vulnerabilidades • Analizar: • Riesgos • Costo/beneficios • Definir: • Alcance • Política • Metodología La dirección Decidir tratamiento de riesgos Aceptar riesgo residual Reducir Transferir Aceptar Evitar • Controles: • Seleccionar • Implantar • Cesar la actividad que lo origina • Seguros • Proveedores • No hacer nada
La forma de conseguir el mayor beneficio en seguridad de la información es contar con una adecuada evaluación de riesgos, que oriente las inversiones, que minimicen el impacto en casos de incidentes • No importa la metodología que se seleccione CONCLUSIONES
La seguridad de la información no es una responsabilidad únicamente del área de tecnología debe fluir desde la alta gerencia hacia todos los procesos de negocios • Todos los procesos deberían hacer análisis de riesgos CONCLUSIONES
BIBLIOGRAFÍA • Maestria en seguridadinformatica (http://www.uoc.edu), Daniel Cruz Allende • Creadores de la metodologia (http://www.csi.map.es) BCI (The Bussiness Continuity Institute) www.thebci.org • CRAMM www.cramm.com • esCERT http://escert.upc.edu • FIRST http://www.first.org/ • ISO www.iso.org • ITIL http://www.itil.co.uk/ • MAGERIT www.csi.map.es/csi/pg5m20.htm