Servicio de Consultoría Sistema de Gestión de Seguridad de la Información (SGSI)
Proceso de Identificación, Análisis y Evaluación de Riesgos de Seguridad de la Información
Agenda •
Análisis y Evaluación de Riesgos
•
Inventario de Activos de Información
•
Conceptos
•
Identificar Amenazas y Vulnerabilidades
•
Determinación del Impacto. Criterios de Valorización: Confidencialidad, Integridad, Disponibilidad
•
Determinación de la Probabilidad de Ocurrencia
•
Valorización del Riesgo
•
Mapa del Riesgo y Nivel de Riesgo
•
Matriz de Riesgos de Seguridad de la Información
•
Preguntas
Análisis y Evaluación de Riesgos •
•
Es el proceso mediante el cual se identifica y determina el valor de los activos de información, se identifican las amenazas y las vulnerabilidades que existen (o podrían existir) y mediante la estimación del impacto y probabilidad de ocurrencia se determina cualitativamente la magnitud del riesgo. Principales conceptos: Activo
Un activo es algo que tiene valor o utilidad para la organización, sus actividades y su continuidad y, por tanto debe ser protegido
Activo de Información
Es aquel elemento que genere, transmita, almacene y destruya la información
Propietario del activo
Personal responsable de controlar la producción, desarrollo, mantenimiento, uso y seguridad del activo de información. Tiene autoridad formal y no significa que tenga derechos de propiedad sobre el activo
•
Etapas: 1. 2. 3. 4.
Identificación y evaluación de activos de información Identificar las amenazas correspondientes Identificar las vulnerabilidades Determinar el impacto y la probabilidad de ocurrencia de una amenaza 5. Determinar los controles a mejorar e implementar
Inventario de Activos de Información
INVENTARIO DE ACTIVOS DE INFORMACIÓN
Gerencia/Área: Proceso:
CÓD.
NOMBRE DEL ACTIVO
Fecha: Versión:
DETALLE DEL ACTIVO
PROPIETARIO DEL ACTIVO
CUSTODIO DEL ACTIVO
TIPO DEL CATEGORÍA DEL ACTIVO ACTIVO
SUBPROCESO
CLASIFICA CIÓN DE INFORMACI ÓN
UBICACIÓN ESPECÍFICA
/
/
1.0
TIPO DE USO
VALOR DEL ACTIVO
Lista General de Activos de Información TIPO DE ACTIVO
EJEMPLO CATEGORIA Información electrónica
Información Información electrónica y/ó impresa Software base o sistema operativo Software comercial o herramientas, utilitarios Software
Documentos que ingresan por mesa de partes Linux, Windows Antivirus, Firefox
Software desarrollado por terceros Software desarrollado internamente Software de administración de base de datos
Físico
Archivos de documentos
Otro software Equipo de Procesamiento Equipo de Comunicación Medio de Almacenamiento Removible Otro Equipo Responsable de Toma de Decisiones
MySQL, Oracle
Pc, Laptop Switch Disco Duro Token Gerentes Centrales, Gerentes, Jefes
Usuario Personas
Personal de Operaciones y Mantenimiento Desarrolladores Otras personas Servicios Generales
Servicios
Servicios Públicos Procesamiento y Comunicaciones Otros Servicios
Courier, Estadístico Telefonía, Energía Eléctrica, Agua
Clasificación de Información Clasificación de Información
Definición
Confidencial
Activos de información cuyo contenido no debe ser divulgado ni distribuido a personas que no sean autorizadas y cuya difusión genere un impacto importante en la institución entre ellas: pérdida económica, sanción legal o pérdida de imagen.
Uso Interno
Activos de información cuyo contenido sólo debe ser de uso y divulgación para el personal interno de la institución.
Público
Información no sensible de acceso público y que su divulgación no genere impacto en la institución.
Tipo de Uso Tipo de Uso Diario Semanal Mensual Semestral Anual
Valoración de los Activos de Información Valor del Activo Alto Medio Bajo
Definición Activo importante para el SAT. Su disponibilidad es necesaria para los procesos críticos de la institución. Constituye un soporte para los activos importantes del SAT. La información puede estar replicada en varias fuentes o existen medios alternos. No compromete los procesos críticos del SAT. Activos secundarios, que constituyen información para la toma de decisiones de un área específica. No compromete ningún proceso del SAT.
Conceptos Amenaza
Causa potencial de daño a un activo. Es lo que no puedo controlar p.e: Fuego/Incendio
Vulnerabilidad
Debilidad de un activo que puede ser aprovechada por una amenaza. Debilidad de la organización que puedo controlar p.e: Material Inflamable en las oficinas
Confidencialidad
A la Información solo pueden acceder las personas autorizadas para ello
Integridad
La información ha de estar exacta y completa en todo momento
Disponibilidad
La información debe estar lista para acceder a ella o utilizarla cuando se necesita
Impacto
Consecuencias de la explotación de una vulnerabilidad por una amenaza debido a una falta o falla de controles, generando pérdida en confidencialidad, integridad y disponibilidad de la información u otros activos
Probabilidad
Posibilidad de que un evento cualquiera ocurra o no
Riesgo en la seguridad de la información
El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos y cause así daño a la organización
Matriz de Riesgos de Seguridad de la Información MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Gerencia/Área: Proceso:
N°
ACTIVO
/ / Fecha: Versión: 1.0
AMENAZA
VULNERABILIDAD
¿Qué afecta en los activos de RIESGO EFECTIVO CONTROLES información? EXISTENTES PROBABI NIVEL DE CÓDIGO DE NOMBRE C I D Valor CID IMPACTO LIDAD RIESGO RIESGO DEL RIESGO
Identificar Amenazas Para cada activo de información identificado se deben especificar las amenazas que le son propias a su naturaleza (ver Tabla de Amenazas).
Identificar Vulnerabilidades Se identifican vulnerabilidades que tenga el activo de información, la cual pueda permitir que la amenaza se materialice (ver Tabla de Vulnerabilidades).
Identificar Controles Identificar controles existentes que ayuden a salvaguardar el proceso ante las amenazas-vulnerabilidades identificadas para los activos de información. Eventualmente los controles lograrán aportar seguridad a más de un activo de información identificado.
Determinación del Impacto Criterios de Valorización: Confidencialidad Valor
3
Clasificación
Alta
2
Media
1
Baja
Definición
Consecuencia
La divulgación no autorizada produce: Es la información o recurso que debe ser - Pérdida de la ventaja competitiva. divulgada sólo a fuentes autorizadas, - Uso malicioso en contra de la institución. controladas y debidamente identificadas. - Pérdidas financieras que no pueden ser absorbidas por la Debe ser modificada y leída por un grupo institución. reducido de personas autorizadas y - Demandas legales que dañan la im agen y confianza claramente identificadas. pública de la institución. La divulgación no autorizada produce: - Pérdida potencial de la ventaja competitiva. Es la información que debe ser divulgada - Uso malicioso en contra de la imagen o situaciones sólo al personal de las áreas que la puntuales. manejan y modificada sólo por personas - Pérdidas financieras que pueden ser absorbidas por la autorizadas e individualizadas Gerencia. - No se producen demandas legales. Es la información que puede ser divulgada a público general, pero que sólo La divulgación no autorizada no representa perjuicio para la puede ser modificada por personas institución. autorizadas.
Criterios de Valorización: Integridad Valor
3
2
1
Clasificación
Criterio
Consecuencia
Alta
La falta de integridad produce daños de gran magnitud los que se pueden expresar como: Es la información o recurso que al ser - Pérdidas económicas (pérdida, incumplimiento de metas). modificado, intencional o casualmente, por - Falla de los procesos informáticos (incapacidad de personas o procesos autorizados o no ejecutarlos por un período de tiempo más allá de lo estimado autorizados provoca daños de gran como manejable). magnitud. - Daño de la imagen de la institución (daño a nivel nacional e internacional que no se puede reparar en el corto plazo). - Pérdida de la confianza de los usuarios.
Media
La falta de integridad produce daños de mediana magnitud los que se pueden expresar como: - Pérdidas económicas (menor ganancia, incumplimiento de Es la información o recurso que al ser metas en menor escala). modificado, intencional o casualmente, por - Falla de los procesos informáticos (incapacidad de personas o procesos autorizados o no ejecutarlos por un periodo de tiempo que está en el límite autorizados provoca daños de mediana superior de lo estimado como manejable). magnitud. - Daño de la imagen de la Institución (daño a nivel nacional, se puede reparar en el corto plazo). - Pérdida de la confianza de los usuarios.
Baja
La falta de integridad produce daños de pequeña magnitud los que se pueden expresar como: - Pérdidas económicas (no impacta las ganancias, se Es la información o recurso que al ser cumplen las metas). modificado, intencional o casualmente, por - Falla de los procesos informáticos (incapacidad de personas o procesos autorizados o no ejecutarlos por un período de tiempo pero este es autorizados provoca daños de pequeña manejable). magnitud. - Daño de la imagen de la Institución (daño a nivel nacional que puede no ser percibido y se puede reparar prontamente). - Pérdida de la confianza de los usuarios.
Criterios de Valorización: Disponibilidad Valor
3
2
1
Clasificación
Definición
Consecuencia
Alta
La falta de disponibilidad por períodos prolongados produce: Es información o activo indispensable - Incumplimiento a los acuerdos de nivel de servicio. La para la continuidad de la Institución. transición entre el recurso principal y el alternativo no debe El recurso principal y el alternativo no impactar el acuerdo de servicio. pueden faltar por un período prolongado - Perjuicios legales que afectan la imagen de la Institución. de tiempo en horarios críticos. - Perjuicios económicos que no pueden ser absorbidos por la Institución. - Problemas sindicales.
Media
La disponibilidad de la información es La falta de disponibilidad produce: necesaria para la continuidad de la - Que los niveles de servicio acordados se puedan ver institución, pero existen canales afectados en la transición entre el medio principal y el alternativos para contrarrestar una alternativo. pérdida de disponibilidad en un tiempo - Perjuicios legales que no comprometen la imagen de la razonable. institución. El recurso principal y el alternativo pueden - Perjuicios económicos que pueden ser absorbidos por la quedar fuera de servicio por un periodo institución. mínimo de tiempo en horarios críticos. - No hay problemas sindicales.
Baja
La falta de disponibilidad produce: Es información o activos de apoyo o - Que los niveles de servicio acordados para los procesos secundarios para el negocio. operativos importantes, no se ven afectados. La información se encuentra duplicada en - Problemas administrativos y operativos no significativos. varias fuentes. - Perjuicios económicos que no son significativos. Si no está disponible no compromete - No hay perjuicios legales. procesos operativos importantes. - No hay problemas sindicales.
Impacto del Riesgo Aspecto de Seguridad afectado por el riesgo
IMPACTO
C
I
D
1
1
1
1
1
2
Menor
1
1
3
Significativo
1
2
1
Menor
1
2
2
Moderado
1
2
3
Significativo
1
3
1
Significativo
1
3
2
Significativo
1
3
3
Catastrófico
2
1
1
Menor
2
1
2
Moderado
2
1
3
Significativo
2
2
1
Moderado
2
2
2
Moderado
2
2
3
Significativo
2
3
1
Significativo
2
3
2
Significativo
2
3
3
Catastrófico
3
1
1
Significativo
3
1
2
Significativo
3
1
3
Catastrófico
3
2
1
Significativo
3
2
2
Significativo
3
2
3
Catastrófico
3
3
1
Catastrófico
3
3
2
Catastrófico
3
3
3
Catastrófico
No Significativo
Nivel de Impacto
Nivel
Descripción
Impacto en la Institución
5
Catastrófico
Impacta en forma severa en el SAT al punto de comprometer la confidencialidad o integridad de información crítica de la institución o la continuidad de las operaciones por paralización de los servicios críticos más allá de los tiempos tolerables por el negocio. El impacto es a toda la institución y su efect o repercute en todo el personal involucrado.
4
Significativo
Impacta en forma grave a un área o servicio específ ico del SAT, se puede llegar a comprometer documentos internos clasificados como confidenciales, paralizar o retrasar procesos claves del SAT por un tiempo considerable. Su efecto está limitado dentro del SAT.
3 2 1
El impacto sobre la confidencialidad, integridad y disponibilidad de la información es limitado en tiempo y Moderado alcance. Su efecto es para un proceso de soporte o actividad específica que puede subsanarse en corto plazo. Menor El impacto es leve y se puede prescindir del mismo en un tiempo limitado. No Significativo No representa un impacto importante para el SAT.
Determinación de la Probabilidad de Ocurrencia Valor 1
Clasificación Muy Baja
2 3
Baja Moderada
4
Alta
5
Muy Alta
Definición El evento no ocurre nunca o casi nunca. Ha ocurrido 1 vez al menos. Si bien el evento puede ocurrir el periodo entre uno y otro evento puede ser muy grande. 2 veces al menos. Es posible que ocurra el evento con una frecuencia baja. 3 o 4 veces al año. Existen antecedentes de que el evento ocurrirá, dentro de un plazo de tiempo que implique una acción para enfrentarlo pero la frecuencia no es alta. 1 vez al mes El evento se sabe que ocurre con cierto grado de certeza y que la frecuencia es alta. 1 vez a la semana o más.
Valorización del Riesgo Tabla de Valorización de Riesgos Probabilidad
Impacto
Riesgo
Catastrófico
5
Muy Alta
5
Extremo
Significativo
4
Muy Alta
5
Extremo
25 20
Moderado
3
Muy Alta
5
Extremo
15
Menor
2
Muy Alta
5
Alto
10
No Significativo
1
Mediano
5
Catastrófico
Muy Alta Alta
5
5
4
Extremo
20
Significativo
4
Alta
4
Extremo
16
Moderado
3
Alta
4
Alto
12
Menor
2
Alta
4
Mediano
8
No Significativo
1
Alta
4
Bajo
4
Catastrófico
5
Moderada
3
Extremo
15
Significativo
4
Moderada
3
Alto
12
Moderado
3
Moderada
3
Alto
9
Menor
2
Moderada
3
Mediano
6
No Significativo
1
Moderada
3
Bajo
3
Catastrófico
5
Baja
2
Alto
10
Significativo
4
Baja
2
Mediano
8
Moderado
3
Baja
2
Mediano
6
Menor
2
Baja
2
Bajo
4
No Significativo
1
Baja
2
No Significativo
2
Catastrófico
5
Muy Baja
1
Mediano
5
Significativo
4
Muy Baja
1
Bajo
4
Moderado
3
Muy Baja
1
Bajo
3
Menor
2
Muy Baja
1
No significativo
2
No Significativo
1
Muy Baja
1
No significativo
1
Mapa del Riesgo
O T C A P M I
o c i f ó r t s a t a C
5
MEDIANO
ALTO
EXTREMO
EXTREMO
EXTREMO
o v i t a c i f i n g i S
4
BAJO
MEDIANO
ALTO
EXTREMO
EXTREMO
o d a r e d o M
3
BAJO
MEDIANO
ALTO
ALTO
EXTREMO
r o n e M
2
NO SIGNIFICATIVO
BAJO
MEDIANO
MEDIANO
ALTO
o v i t a c O i i N f n g i S
1
NO SIGNIFICATIVO
NO SIGNIFICATIVO
BAJO
BAJO
MEDIANO
1
2
3
4
5
Muy Baja
Baja
Moderada
Alta
Muy Alta
PROBABILIDAD
Nivel de Riesgo Rango de Riesgo Nivel de Riesgo Del 15 a 25 Del 9 a 12 Del 5 a 8 Del 3 a 4 Del 1 a 2
Descripción de las Consecuencias
Puede afectar seriamente al SAT, en términos de paralización de las operaciones a la imagen del SAT. Extremo Requiere acción correctiva inmediata más allá del tiempo tolerable, pérdidas considerables o demandas legales y daño considerable. Puede afectar los niveles de operación y servicio del SAT, incumplimiento de metas, y divulgación no autorizada de información fuera del SAT. Requiere una acción correctiva sujeta a la discreción de la Alto Gerencia en términos de plazos y compromisos. Afecta a los activos de información de soporte a los activos principales, puede afectar la disponibilidad en Mediano áreas específicas del SAT. La divulgación no autorizada no representa perjuicio importante para el SAT. Su aceptación está sujeta a la revisión de la Gerencia. Bajo No causa un efecto considerable en el SAT. Usualmente son aceptados sin revisión. No Significativo El efecto para el SAT es insignificante. Usualmente no se les considera para la gestión de riesgos.
Preguntas
Muchas
Gracias
