Upload File

taller de seguridad v2

56
TALLER DE GESTION DE RIESGOS Seguridad de la Información Ing. Carlos Omar Zevallos Rivera, LI27001-PECB, CISM, CISA, CRISC, ITILv3-F, Cobit4.1- F, Cobit5-F [email protected]

Upload: carlos-omar-zevallos-rivera-5286

Post on 03-Oct-2015

33 views

Category:

Documents


3 download

Report

DESCRIPTION

La presentación es distribuida bajo creative commonsEs una aplicación de gestión de seguridad segun las tecnicas en el cuerpo de conocimiento de las certificaciones de ISACA, CISM, CRISCSu uso esta alineado a la ISO 31000

TRANSCRIPT

Diapositiva 1

TALLER DE GESTION DE RIESGOSSeguridad de la InformacinIng. Carlos Omar Zevallos Rivera, LI27001-PECB, CISM, CISA, CRISC, ITILv3-F, Cobit4.1-F, [email protected]:Las imgenes pertenecen a sus respectivo dueos, el contenido de la presentacin es entregado bajo licencia Creative Common v4 Mapa del Contenido de acuerdo a fuenteCRISCCISMPROCESOSCOBITAlineacin y GobiernoXXISO 31000Establecimiento de contextoXNivel de CapacidadXXIdentificacin de riesgos XAnlisis de RiesgosXXEscenarios de RiesgosXCatalogo de RiesgosXCaso de NegociosXDiseo de ControlesXXIndicadores de Riesgos - KRIXFuente: Elaboracin PropiaALINEAMIENTO ESTRATEGICO Y GOBIERNO CORPORATIVO

Alineacin y GobiernoEntendiendo Gobierno CorporativoDirectivos / InversionistasGerentes / AdministradoresCEO COO CIO CFO TrabajadorCul es su objetivo?Obtener valor a partir de su inversin:Realizacin de Beneficios Optimizacin de Riesgos Optimizacin de RecursosProcedimientosEstndaresCorrecto Orden CorporativoAlineacin y GobiernoCorrecto Orden CorporativoAuditoriaPlaneamiento y ControlSeguridad de la InformacinRiesgo OperacionalCumplimientoAlineacin y GobiernoDirectivos / InversionistasGerentes / AdministradoresCEO COO CIO CFO Gobierno CorporativoSistema de Gestin EmpresarialTrabajadorPara cuidar sus intersDirige aDirige aPara cuidar sus intersAlineacin y GobiernoGOBIERNOCORPORATIVOGOBIERNO DE TIGOBIERNO DE SEGURIDAD DE LA INFORMACINSISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIONAKA. ISO 27001GESTION DE RIESGOS DE SEGURIDADGESTION DE RIESGOS CORPORATIVOSAKA. ISO 31000SISTEMA DE GESTION EMPRESARIALAlineacin y GobiernoObjetivo del NegocioObjetivo del ProcesoProcesoLos Objetivos del Negocio modelan el objetivo del procesoEl Objetivo del Proceso modela como se realizara el procesoAlineacin y GobiernoProcesoActividad 1Actividad 2Actividad 3ExternoInternoLeyReguladorPolticasProcedimientoAuditoria

Informacin de entradaInformacin de salidaPersonasTecnologaAplicacinInformacinServiciosAlineacin y GobiernoTradicionalmente los riesgos impactan a cada elemento que conforma el proceso y han sido gestionados por separado en cada sistema de gestin, no obstante en realidad son un nico riesgo para la gestin de riesgos corporativo

GESTION DE RIESGOS

ISO 31000Riesgo: Efecto de la incertidumbre sobre la consecucin de los objetivosNota 1: Un efecto es una desviacin positiva o negativa, respecto a lo previstoNota 2: Los objetivos pueden tener diferentes aspectos y aplicarse a diferentes niveles

Identificando los RiesgosDado los siguientes eventos:El rgano supervisor emite una circularCambia el Presidente del Consejo de MinistrosRenuncia el administrador del servidorDespiden al sponsor del proyecto ERPSe apertura una nueva agencia bancariaMaana es el aniversario de AnonymousSe programa usando Visual Basic 6 (1998)

Proceso de Gestin de Riesgos

Fuente: ISO 31000 Gestin del Riesgos Principios y directrices5.2: Planes de comunicacin y consulta5.3: Articula sus objetivos, define los parmetros internos y externos a tener en cuenta5.4.2: Identificar el origen del riesgo, las reas de impacto, sucesos, causas y consecuencias5.4.3: Comprender el riesgo, comprender los factores que afectan las consecuencias y probabilidades5.4.4: Toma de decisin 5.5: Seleccin e implementacin de acciones5.6 Eventual o periodicaProblema de la OrganizacinSolucin OptimaSolucin del TallerSolucin Metodolgicamente CorrectaSolucin Metodolgicamente CorrectaSolucin Metodolgicamente IncorrectaSolucin Metodolgicamente IncorrectaMarco Metodolgico ISOOngei / SBSEl Dilema de la MetodologaPremisasLos problemas son obvios.Nadie se pregunta por la causa de los problemas.Nadie se hace las preguntas correctas.Nadie sabe lo que se requiere ni existe una ruta.El personal en su interior si sabe la solucin a los problemas.El cambio debe generar innovacin.Complejidad dedicada a cada proceso de gestin de riesgosProcesoMetodologaTallerEstablecimiento de contextoBajoMuy AltoIdentificacin de riesgosMuy AltoBajoAnlisis de riesgosAlto

Medio

Evaluacin de riesgosMedio

AltoTratamiento de riesgosMedioMuy AltoSeguimiento y GestinBajoAltoEstablecimiento del Contexto

Moldeamiento de Procesos IDEF0EntradaSalidaControlRecursoEstructura de Descomposicin

Ejemplo

CLASIFICACIN DE LOS PROCESOSProcesos Estratgicos: Incluyen los relativos al establecimiento de polticas y estrategias, fijacin de objetivos, comunicacin, disposicin de recursos necesarios y revisiones por la Direccin.

Procesos Misionales: Incluyen todos aquellos que proporcionan el resultado previsto por la entidad en el cumplimiento del objeto social o razn de ser.

Procesos de Apoyo: Incluyen aquellos que proveen los recursos necesarios para el desarrollo de los procesos estratgicos y misionales.

Nivel de Capacidad

Fuente: Cobit 5ISO/IEC 15504GestionadoEjercicio 1Modelar los procesos segn la nomenclatura IDEF0 e identificar su nivel de capacidad del proceso

Extra: Metodologa de las ElipsesRelacionando Procesos

Identificacin del Riesgo

Anlisis de Causa Efecto El Anlisis de Causa-y-efecto es un mtodo estructurado para identificar las posibles causas de un suceso o problema indeseable. Este anlisis organiza los posibles factores contributivos en categoras, de manera que se puedan considerar todas las posibles hiptesis. No obstante, no apunta por si mismo a las causas reales, ya que estas solo se pueden determinar va evidencias reales y de ensayo empricos de hiptesis.Espina de Pescado

Verificacin de causasCausasVerificacinMtodo de verificacin1. No se cuenta con una herramienta que soporte el anlisisConsultoresUtilizacin de hojas de calculo2. No se cuenta con una infraestructura de servidores para compartir el proyecto para el equipoConsultoresUbicacin de los archivos del proyecto3. No se cuenta con casos de xito pasadosConsultoresConsultoras pasadas4. No se ha definido una metodologa

ConsultoresPreguntar a cada consultor como realiza las actividades5. Cada consultor esta en 3 proyectos en paraleloConsultoresPreguntar a cada consultor6. Se gana los concursos ofertando un menor tiempoEncargada VentasRelacin entre el tiempo solicitado por el cliente con el ofertado7. Se auto considera como una mediana consultora

Sub Gerente de seguridadEstrategia de nicho de clientes8. Se compite en contra medianas y pequeas consultoras

Encargada VentasContra quienes compite, quienes le ganan9. Falta capacitaciones y certificaciones

Sub Gerente de seguridadRevisar lnea base de los consultoresEjercicio 2Relacionar las causas y efectos identificados usando Ishikawa

Anlisis y Evaluacin del Riesgo

Escenario de RiesgoUna descripcin de un evento que puede llevar a un impacto en el negocio, siempre y cuando ocurraElementos:Actores: Internos/externosTipo de amenazas: Malicioso/accidental/falla/naturalEvento: Interrupcin/robo/destruccin/diseo ineficiente/ejecucin ineficiente/reglas y regulaciones/uso inapropiadoActivos/recursos: Persona y organizacin/Procesos/Infraestructura/Infraestructura TI/Informacin/AplicacinTiempo: Duracin/veces de recurrencia/tiempo de deteccinTcnicas usuales de Anlisis de RiesgoProbabilidadBajoMedioAltoImpactoAltoMedioAltoAltoMedioMedioMedioAltoBajoBajoMedioMedioProbabilidadAltoDe 10 a mas veces al aoMedio De 1 a menos de 10 veces al aoBajoMenos de 1 vez al aoImpactoAltoMas de S/.500,000Medio De S/. 100,000 y menos de S/.500,000BajoMenos de S/. 100,000Ejercicio 3Elaborar los escenarios de riesgos que respondan a los riesgos identificados, apoyarse en la Espina de Pescado

Catalogo de RiesgosSon los escenarios de riesgos ms importantes que la organizacin debe mantener gestionados para evitar los impactos en sus objetivos

Tcnica para estimacin del costo del riesgo

El siguiente caso es un ejemplo simplificado, no considera relacin ni dependenciaTomemos la siguiente informacin para realizar un anlisis cuantitativo y definir si es conveniente o no adquirir un software de antivirus con un valor de $2,000 para un nuevo servidor de correo electrnico, el cual incluye medidas antispam y filtrado de contenidos.El nuevo servidor tiene un precio estimado de $30,000. La empresa cuenta con 80 empleados que utilizarn este servicio para agilizar la comunicacin interna y externa (sus clientes). Los estudios indican que existe un 95% de probabilidad de que el servidor se infecte si no se le instala el software de antivirus. En caso de que se infecte el equipo, se estima que se podrn perder tres/cuartas partes de la informacin. De acuerdo a los pasos vistos en la sesin para elaborar un anlisis cuantitativo utilizando el mtodo de expectativa de prdida anual (ALE):Determina AV (el valor del activo) = $30,000

Determina EF (el valor de exposicin). Representa la cantidad del activo que se perdera y de acuerdo a los datos es el 75% (tres/cuartas partes).

Calcula el SLE (el valor de la perdida en un evento). SLE=AV x AF = 30,000 x .75 = 22,500

Determinar ARO (la taza de ocurrencia anualizada). De acuerdo a la informacin existe un 95%.

Calcula ALE (expectativa de prdida anual) ALE = SLE x ARO = 22,500 x .95 = 21,375La decisin de si comprar el antivirus o no la justificamos mediante la siguiente frmula:Ahorro = ALE ($ de antivirus) = 21,375 2,000 = 19,375 Por lo tanto la decisin es: SI adquirirlo.Inversion en Seguridad vs Costo del RiesgoEjercicio 4El Catalogo de Riesgos de una organizacin esta conformado por 10 escenarios como mximo, indique cuales dos propondra

Tratamiento del Riesgo

Casos de NegocioPOLTICA GENERALREGLAMENTOESTANDARESProcesosProcesosProcesosProcesosTICTICTICTICtEjercicio 5ADados los escenarios de Riesgo e Ichikawa, identifique los Problemas, Causas y Consecuencias en trminos de la organizacin

DIAGNOSTICOProblema a solucionar(riesgo)Causa(Origen de las Amenazas / Vulnerabilidades)Consecuencias($)Objetivo del proceso impactadoObjetivo del Negocio ImpactadoCaso de Negocios 1/2Ejercicio 5BIdentifique Como afectan los problemas y causas en el logro de los objetivos de la Organizacin

Ejercicio 5CIdentifique las soluciones posibles para mitigar los Riesgos segn sus escenarios y elabore los casos de negocio (costo-beneficio) que justifica la solucin a implementar

Caso de Negocios 2/2DiagnosticoEstrategiaDecisinCausa(Origen de las Amenazas / Vulnerabilidades)Objetivo de TratamientoIniciativa de ControlCosto del control ($)Mitigacin($)Seguimiento y Revisin del Riesgo

Diseo del Monitoreo de los ControlesActividad A Proceso XActividad B Proceso Y

C1C2C3Preventivos: Previenen que suceda la distorsin, revisando la entrada u ordenando la forma de trabajo (procedimientos)Detectivos: Realizan monitoreo para identificar distorsionesCorrectivos: Corrigen el problema antes que se expandaROLESOperadorAdministradorGestorEjercicio 6Identificar como se monitorear la ejecucin del control, minimizar los controles manuales

MATRIZ DE CONTROLESDescripcin del ControlTipo(Preventivo/Correctivo/Detectivo)Quien Opera(Ejecuta las instrucciones)Quien Administra(Toma decisiones tcnicas)Quien Gestiona(Evala y ajusta la eficacia del control)Indicador Clave de Riesgo (KRI)Mtricas usadas para indicar los umbrales de riesgo y cuando un nivel de riesgo se este acercando a un nivel alto o inaceptable de riesgo.El propsito de un indicador de riesgos es: establecer mecanismos de reporte que alerten al personal de un riesgo en desarrollo o un riesgo potencial

EjemploRiesgoMtricaInformacin en los Sistemas de Informacin no confiables# Solicitudes para modificar las BD

Robo de Informacin administrativa y del asegurado por trabajador# Alertas detectadas por el DLP# Alertas detectadas por el AntispamDestruccin y robo de informacin por malware% computadoras infectadas# Maquinas formateadas por virusCriterios para seleccin de los KRIsImpacto: Controles que cubren riesgos de alto impactoEsfuerzo: Controles que son fciles de monitorearConfiabilidad: Relacin cercana entre el riesgo y el controlSensitividad: Reflejo preciso de los cambios en los riesgos

Sugerencias:Deben ser sencillos, objetivos y fciles de manejarTan sencillos que se debe garantizar que se revisen

Ejercicio 7Definir los Indicadores de Riesgos en los escenarios de riesgo, deben ser medibles

Key Risk Indicators (KRIs) Related to IT Goals Key Risk Indicators (KRIs) Related to Process Goals


Taller de Gestión V2.docx

Taller v rebeca henry v2

Taller seguridad

Seguridad Industrial en El Taller

Taller de seguridad industrial

Taller de Seguridad Informática

Taller planificación ft 2 v2

Taller medidas de seguridad

SEGURIDAD EN EL TALLER

Taller gestión de seguridad física

Taller docentes panec 2015 v2

Seguridad e Higiene Taller Mecanico

Taller Errores Terapia Pareja v2

WordCamp Taller Seguridad WordPress

Taller de Design Thinking v2 20140308

Taller Capacitacin Gpr 2013 v2

Taller BáSico De Seguridad InformáTica1

LE301 Seguridad 1 - Seguridad Local v2-10

Taller higuiy seguridad laboral

Seguridad y taller electrico

Taller de seguridad

S3 2016 taller-javascript-v2

Dress Taller eBook v2

Taller 1 Seguridad Informática Aiep

Taller 1 Seguridad en a

Seguridad en Taller Mecanico

Taller DSW v2

Seguridad en El Taller

Manual de Seguridad Taller Mecanico

Taller seguridad y confidencialidad informacion

Taller Unid 1 Seguridad

Seguridad en Un Taller Mecaniico

Cxo Seguridad Cloud V2

Taller seguridad y confianza

Seguridad Taller Mecanico