Amateurs Hackers Empleados maliciosos Rateros Crackers Vándalos Criminales Espías (gobiernos foráneos) Terroristas Administración de RiesgosSeguridad Informática – Involucrados
Características o debilidades en el sistema de seguridad que pueden ser explotadas para causar daños o perdidas (facilitan la ocurrencia de una amenaza) Interrupción: un activo se pierde, no está disponible, o no se puede utilizar Intercepción: alguna parte (persona, programa o sistema de computo) no autorizada accede un activo Modificación: una parte no autorizada accede y manipula indebidamente un activo Fabricación: Fabricar e insertar objetos falsos en un sistema computacional Administración de RiesgosSeguridad Informática – Vulnerabilidades
(Gp:) Hardware (Gp:) Software (Gp:) Datos
(Gp:) Interrupción (Negación del Servicio) (Gp:) Intercepción (Robo)
Actos Involuntarios/Accidentales – Intencionales/Voluntarios que limitan la disponibilidad
Destrucción Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas, Ataques físicos, Bombas
Robo Administración de RiesgosSeguridad Informática – Vulnerabilidades
(Gp:) Hardware (Gp:) Software (Gp:) Datos
(Gp:) Interrupción (Borrado) (Gp:) Intercepción (Gp:) Modificación
Borrado accidental o destrucción de programas
Robo – Copia ilícita de programas
Causar fallas o errores Salvar una copia mala de un programa destruyendo una buena, Programas modificados (cambio de bits, de instrucciones – bombas lógicas, efectos colaterales) Caballos de Troya, Virus, Puerta falsa, Fuga de Información
Administración de RiesgosSeguridad Informática – Vulnerabilidades
Administración de RiesgosSeguridad Informática – Vulnerabilidades (Gp:) Hardware (Gp:) Software (Gp:) Datos
(Gp:) Interrupción (Perdida) (Gp:) Intercepción (Gp:) Modificación (Gp:) Fabricación
Robo
Confidencialidad – líneas derivadas, recipientes de basura, soborno a empleados claves, inferencia, preguntando, compra
Programas maliciosos – Técnica de salami, utilidades del sistema de archivos, facilidades de comunicación defectuosas
Reprocesamiento de datos utilizados, adicionar registros en una base de datos
3.1. Valorar Riesgo Inherente 3.2. Determinar Controles Existentes 3.3. Identificar Nivel de Exposición Administración de Riesgos3. Analizar Riesgos Valorar el posible daño que puede ser causado
Administración de RiesgosCómo valorar riesgo? $ Inherente Nivel de exposición Residual Probabilidad x Impacto Frecuencia x Impacto
Controles Administrativos
Politícas, Estándares, Procedimientos, Guías, Entrenamiento Controles Técnicos
Acceso lógico, controles, encripción, dispositivos de seguridad, Identificación y autenticación Controles físicos
Protección de instalaciones, Guardias, candados, Monitoreo, Controles ambientales Administración de RiesgosControles en Seguridad
Medidas protectoras – acciones, dispositivos, procedimientos o técnicas – que reducen una vulnerabilidad Encripción Interc. Interr. Fab. Mod. Integ. Conf. Disp. Administración de la Configuración (Control de Cambios a Programas) Políticas Controles de Hardware Controles Físicos (candados y guardas) Administración de RiesgosControles en Seguridad
Monitorear y Revisar Valorar prioridades de riesgo Riesgo aceptable? Aceptar SI Considerar factibilidad, costos y beneficios, y niveles de riesgo Evitar Transferir total o parcialmente Reducir consecuencia Reducir probabilidad NO Recomendar estrategias de tratamiento Seleccionar estrategia de tratamiento Preparar planes de tratamiento para reducir, transferir o evitar el riesgo, financiando cuando sea apropiado Evitar Transferir total o parcialmente Reducir consecuencia Reducir probabilidad Riesgo residual aceptable? Retener SI NO VALORAR Y PRIORIZAR RIESGOS IDENTIFICAR OPCIONES DE TRATAMIENTO EVALUAR OPCIONES DE TRATAMIENTO PREPARAR PLANES DE TRATAMIENTO IMPLEMENTAR PLANES DE TRATAMIENTO Riesgo residual no aceptable Porciónretenida Porcióntransferida Asegurar la efectividad costo/beneficio de los controles
(Gp:) Hardware (Gp:) Software (Gp:) Datos
Variables: Cantidad de involucrados Esfuerzo de Aseguramiento Valor del activo Duración del Activo Esfuerzo de detección de incidentes Impacto en los objetivos del negocio Efectividad de la medida Nivel de sofisticación Facilidad de uso Principio de la Adecuada Protección: Los ítems deben ser protegidos solo hasta que ellos pierden su valor y deben ser protegidos de manera consistente con su valor Administración de RiesgosDónde invertir?
| Página siguiente |