Date post: | 03-Jan-2015 |
Category: |
Documents |
Upload: | rebeca-jordan |
View: | 6 times |
Download: | 0 times |
Sesión 3: Administración de riesgos de
seguridadEnrique G. Dutra
Punto NET Soluciones
Prerrequisitos de la sesión
Comprensión básica de los aspectos fundamentales de la seguridad de la red
Comprensión básica de los conceptos de la administración de riesgos de seguridad
Nivel 300
Audiencia objetivo
Esta sesión se enfoca principalmente en:Esta sesión se enfoca principalmente en:
Miembros del equipo de seguridad de la información Miembros del equipo de seguridad de la información
Auditores de seguridad e informática Auditores de seguridad e informática
Ejecutivos senior, analistas de negocios y encargados de tomar decisiones de negocios
Ejecutivos senior, analistas de negocios y encargados de tomar decisiones de negocios
Arquitectos y planeadores de sistemas Arquitectos y planeadores de sistemas
Consultores y socios de negocios Consultores y socios de negocios
Descripción general de la sesión
Conceptos de la administración de riesgos de seguridad
Identificar los prerrequisitos de la administración de riesgos de seguridad
Evaluar los riesgos
Apoyar en la toma de decisiones
Implementar controles y medir la efectividad del programa
Conceptos de la administración de riesgos de seguridad
Conceptos de la administración de riesgos de seguridad
Identificar los prerrequisitos de la administración de riesgos de seguridad
Evaluar los riesgos
Apoyar en la toma de decisiones
Implementar controles y medir la efectividad del programa
¿Por qué desarrollar un proceso para la administración de riesgos de seguridad?
Desarrollar un proceso formal para la administración de riesgos de seguridad puede resolver lo siguiente: Desarrollar un proceso formal para la administración de riesgos de seguridad puede resolver lo siguiente:
El tiempo para responder a una amenaza
El cumplimiento con los reglamentos
Los costos de administración de la infraestructura
La priorización y administración de los riesgos
El tiempo para responder a una amenaza
El cumplimiento con los reglamentos
Los costos de administración de la infraestructura
La priorización y administración de los riesgos
Administración de riesgos de seguridad: Un proceso para identificar, dar prioridad y administrar los riesgos a un nivel aceptable dentro de la organización
Los factores clave para implementar un programa exitoso para la administración de riesgos de seguridad incluyen:Los factores clave para implementar un programa exitoso para la administración de riesgos de seguridad incluyen:
Una atmósfera de comunicación abierta y trabajo en equipoUna atmósfera de comunicación abierta y trabajo en equipo
Madurez organizacional en términos de administración de riesgosMadurez organizacional en términos de administración de riesgos
Patrocinio ejecutivoPatrocinio ejecutivo
Una lista bien definida de los involucrados en la administración de riesgos Una lista bien definida de los involucrados en la administración de riesgos
Una visión holística de la organizaciónUna visión holística de la organización
Autoridad del equipo de administración de riesgos de seguridadAutoridad del equipo de administración de riesgos de seguridad
Identificar los factores de éxito que son fundamentales para la administración de riesgos de seguridad
Comparar los enfoques con la administración de riesgos
Muchas organizaciones se han enfocado en la administración de riesgos de seguridad al adoptar lo siguiente:Muchas organizaciones se han enfocado en la administración de riesgos de seguridad al adoptar lo siguiente:
La adopción de un proceso que reduce el riesgo de nuevas vulnerabilidades en su organización
La adopción de un proceso que reduce el riesgo de nuevas vulnerabilidades en su organización
Enfoque proactivo
Un proceso que responde a los eventos de seguridad conforme ocurren
Un proceso que responde a los eventos de seguridad conforme ocurren
Enfoque reactivo
Comparar los enfoques con la priorización de riesgos
Enfoque Beneficios Inconvenientes
Cuantitativo
Riesgos priorizados por su impacto financiero; activos priorizados por sus valores financierosLos resultados facilitan la administración de riesgos por el retorno sobre la inversión en seguridadLos resultados se pueden expresar con una terminología administrativa
Los valores del impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantesRequieren mucho tiempoPuede ser demasiado costoso
Cualitativo
Permite tener una visibilidad y comprensión de los niveles de riesgosEs más sencillo llegar a un consensoNo es necesario cuantificar la frecuencia de las amenazasNo es necesario determinar los valores financieros de los activos
Granularidad insuficiente entre los riesgos importantesDificultad para justificar la inversión en el control debido a que no existe una base para un análisis costo-beneficioLos resultados dependen de la calidad del equipo de administración de riesgos que se haya creado
Presentar el proceso de administración de riesgos de seguridad de Microsoft
Implementar controles
Implementar controles
33
Ayudar en la toma de decisiones
Ayudar en la toma de decisiones
22
Medir la efectividad del programa
Medir la efectividad del programa
44 Evaluar los riesgos
Evaluar los riesgos
11
Identificar los prerrequisitos de la administración de riesgos de seguridad
Conceptos de la administración de riesgos de seguridad
Identificar los prerrequisitos de la administración de riesgos de seguridad
Evaluar los riesgos
Ayudar en la toma de decisiones
Implementar controles y medir la efectividad del programa
Administración de riesgos vs. Evaluación de riesgos
Administración de riesgos Evaluación de riesgos
ObjetivoAdministrar los riesgos de un negocio a un nivel aceptable
Identificar y priorizar los riesgos
Ciclo Programa general a través de las cuatro fases
Fase única del programa de administración de riesgos
Programa Actividad programada Actividad continua
AlineaciónAlineado con los ciclos de la presupuestación No aplica
Comunicar los riesgos
Declaración de los riesgos bien fundamentada Declaración de los riesgos bien fundamentada
Impacto¿Cuál es el impacto al negocio?
Probabilidad¿Qué tan probable es la
amenaza dados los controles?
Activo¿Qué trata de
proteger?
Activo¿Qué trata de
proteger?
Amenaza¿Qué teme que
suceda?
Amenaza¿Qué teme que
suceda?
Vulnerabilidad¿Cómo puede
ocurrir la amenaza?
Vulnerabilidad¿Cómo puede
ocurrir la amenaza?
Mitigación¿Qué reduce
actualmente el riesgo?
Mitigación¿Qué reduce
actualmente el riesgo?
Determinar el nivel de madurez de la administración de riesgos de seguridad de su organización
Las publicaciones que le ayudan a determinar el nivel de madurez de la administración de riesgos de su organización incluyen:Las publicaciones que le ayudan a determinar el nivel de madurez de la administración de riesgos de su organización incluyen:
ISO Code of Practice for Information Security Management (ISO 17799)
ISO Code of Practice for Information Security Management (ISO 17799)
International Standards Organization
Control Objectives for Information and Related Technology (CobiT)
Control Objectives for Information and Related Technology (CobiT)
IT Governance Institute
Security Self-Assessment Guide for Information Technology Systems (SP-800-26)
Security Self-Assessment Guide for Information Technology Systems (SP-800-26)
National Institute of Standards and Technology
Realizar una auto-evaluación de madurez de la administración de riesgos
Nivel Estado
0 No existe
1 Ad hoc
2 Repetible
3 Proceso definido
4 Administrado
5 Optimizado
Ejecutivopatrocinador“¿Qué eslo importante?”
Ejecutivopatrocinador“¿Qué eslo importante?”
Grupo de informática“La mejor solución de control”Grupo de informática“La mejor solución de control”
Grupo de seguridad deinformación“Priorizar los riesgos”
Grupo de seguridad deinformación“Priorizar los riesgos”
Definir los roles y las responsabilidades
Operar y soportar las soluciones de
seguridad
Operar y soportar las soluciones de
seguridad
Diseñar y crear soluciones de
seguridad
Diseñar y crear soluciones de
seguridad
Definir los requerimientos de
seguridad
Definir los requerimientos de
seguridad
Evaluar los riesgos
Evaluar los riesgos
Determinar los riesgos aceptables
Determinar los riesgos aceptables
Medir las soluciones de
seguridad
Medir las soluciones de
seguridad
Evaluar los riesgos
Conceptos de la administración de riesgos de seguridad
Identificar los prerrequisitos de la administración de riesgos de seguridad
Evaluar los riesgos
Apoyar en la toma de decisiones
Implementar controles y medir la efectividad del programa
Descripción general de la fase de evaluación de riesgos
Implementar controles
Implementar controles
33 Apoyar en la toma de decisiones
Apoyar en la toma de decisiones
22
Medir la efectividad del programa
Medir la efectividad del programa
44 Evaluar los riesgos
Evaluar los riesgos
11
• Planear la recopilación de información de riesgos
• Reunir información de riesgos
• Priorizar los riesgos
• Planear la recopilación de información de riesgos
• Reunir información de riesgos
• Priorizar los riesgos
Comprender la planeación de los pasos
Las principales tareas en la planeación de los pasos incluyen:Las principales tareas en la planeación de los pasos incluyen:
Alineación Alineación
Definición del alcanceDefinición del alcance
Aceptación de los involucrados Aceptación de los involucrados
Establecer las expectativas Establecer las expectativas
Comprender la recabación de la información facilitada
Los elementos recopilados durante la reunión de información facilitada incluyen:
Los elementos recopilados durante la reunión de información facilitada incluyen:
Activos de la organización
Descripción de los activos
Amenazas a la seguridad
Vulnerabilidades
Entorno actual de control
Controles propuestos
Activos de la organización
Descripción de los activos
Amenazas a la seguridad
Vulnerabilidades
Entorno actual de control
Controles propuestos
Las claves para una reunión de información exitosa incluyen:
Las claves para una reunión de información exitosa incluyen:
Reunirse de manera colaborativa con los involucrados
Desarrollar un soporte
Comprender las diferencias entre analizar y cuestionar
Desarrollar buena voluntad
Estar preparado
Reunirse de manera colaborativa con los involucrados
Desarrollar un soporte
Comprender las diferencias entre analizar y cuestionar
Desarrollar buena voluntad
Estar preparado
Identificar y clasificar los activos
Un activo es cualquier cosa de valor para la organización y se puede clasificar en uno de los siguientes:Un activo es cualquier cosa de valor para la organización y se puede clasificar en uno de los siguientes:
Alto impacto para el negocio Alto impacto para el negocio
Mediano impacto para el negocio Mediano impacto para el negocio
Bajo impacto para el negocio Bajo impacto para el negocio
Organizar la información de los riesgos
Utilice las siguientes preguntas como guía durante los análisis facilitados:Utilice las siguientes preguntas como guía durante los análisis facilitados:
¿Qué activo se está protegiendo?
¿Qué tan valioso es el activo para la organización?
¿Qué se intenta evitar que le suceda al activo?
¿Cómo puede ocurrir la pérdida o exposición?
¿Cuál es el potencial de exposición para el activo?
¿Qué se hace en la actualidad para reducir la probabilidad o el nivel de daño al activo?
¿Cuáles son algunas de las acciones que se pueden realizar para reducir la probabilidad en el futuro?
¿Qué activo se está protegiendo?
¿Qué tan valioso es el activo para la organización?
¿Qué se intenta evitar que le suceda al activo?
¿Cómo puede ocurrir la pérdida o exposición?
¿Cuál es el potencial de exposición para el activo?
¿Qué se hace en la actualidad para reducir la probabilidad o el nivel de daño al activo?
¿Cuáles son algunas de las acciones que se pueden realizar para reducir la probabilidad en el futuro?
Calcular la exposición de los activos
Utilice los siguientes lineamientos para calcular la exposición de los activos:Utilice los siguientes lineamientos para calcular la exposición de los activos:
Pérdida menor o nula Pérdida menor o nulaExposición
baja
Pérdida limitada o moderada Pérdida limitada o moderada Exposición
media
Pérdida severa o completa de los activos
Pérdida severa o completa de los activos
Exposición alta
Exposición: El nivel del daño potencial a un activo
Calcular la probabilidad de las amenazas
Utilice los siguientes lineamientos para calcular la probabilidad para cada amenaza y vulnerabilidad identificadas:Utilice los siguientes lineamientos para calcular la probabilidad para cada amenaza y vulnerabilidad identificadas:
No es probable—no se espera que ocurra impacto alguno en los próximos tres años
No es probable—no se espera que ocurra impacto alguno en los próximos tres años
Amenaza baja
Probable—se espera tener un impacto en dos o tres años
Probable—se espera tener un impacto en dos o tres años
Amenaza media
Muy probable—se espera tener uno o más impactos en un año
Muy probable—se espera tener uno o más impactos en un año
Amenaza alta
Facilitar el análisis de los riesgos
La reunión para analizar los riesgos facilitados se divide en las siguientes secciones:La reunión para analizar los riesgos facilitados se divide en las siguientes secciones:
Determinar los activos y escenarios de la organización
Identificar las amenazas
Identificar las vulnerabilidades
Calcular la exposición de los activos
Calcular la probabilidad de explosión e identificar los
controles existentes
Resumen de la reunión y siguientes pasos
Determinar los activos y escenarios de la organización
Identificar las amenazas
Identificar las vulnerabilidades
Calcular la exposición de los activos
Calcular la probabilidad de explosión e identificar los
controles existentes
Resumen de la reunión y siguientes pasos
11
22
33
44
55
66
Recorrido del escenario 1: Facilitar el análisis de los riesgos
Facilitar una reunión de análisis de los riesgos para Woodgrove Bank
Escenario 1: Facilitar un análisis de los riesgos en Woodgrove Bank
Tarea 2: Identificar las amenazas:Tarea 2: Identificar las amenazas:
Amenaza de una pérdida de integridad para la información financiera del consumidor Amenaza de una pérdida de integridad para la información financiera del consumidor
Tarea 3: Identificar las vulnerabilidades:Tarea 3: Identificar las vulnerabilidades:
Robo de las identificaciones del consultor financiero mediante el abuso del empleado de confianza utilizando ataques no técnicos, por ejemplo la ingeniería social o el espionaje
Robo de las identificaciones del consultor financiero fuera de los hosts de la red de área local (LAN) mediante el uso de configuraciones de seguridad obsoletas
Robo de las identificaciones del consultor financiero fuera de los hosts remotos o móviles como resultado de la configuración de seguridad obsoleta
Robo de las identificaciones del consultor financiero mediante el abuso del empleado de confianza utilizando ataques no técnicos, por ejemplo la ingeniería social o el espionaje
Robo de las identificaciones del consultor financiero fuera de los hosts de la red de área local (LAN) mediante el uso de configuraciones de seguridad obsoletas
Robo de las identificaciones del consultor financiero fuera de los hosts remotos o móviles como resultado de la configuración de seguridad obsoleta
Tarea 5: Identificar los controles existentes y la probabilidad de explosión:Tarea 5: Identificar los controles existentes y la probabilidad de explosión:
Acuerdo de que sus hosts remotos, o móviles, no reciben el mismo nivel de administración que los de la LAN. Acuerdo de que sus hosts remotos, o móviles, no reciben el mismo nivel de administración que los de la LAN.
Tarea 6: Resumir el análisis de los riesgos:Tarea 6: Resumir el análisis de los riesgos:
El Facilitador de la evaluación de los riesgos resume el análisis y pone de relieve los activos, amenazas y vulnerabilidades analizados.
El Facilitador de la evaluación de los riesgos resume el análisis y pone de relieve los activos, amenazas y vulnerabilidades analizados.
Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad
Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad
Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridadWoodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad
Tarea 1: Determinar los activos de la organizacióny los escenarios:Tarea 1: Determinar los activos de la organizacióny los escenarios:
Sistemas de cálculo de intereses
PII de cliente
Reputación
Información financiera del cliente – Alto impacto financiero (HBI)
Sistemas de cálculo de intereses
PII de cliente
Reputación
Información financiera del cliente – Alto impacto financiero (HBI)
Tarea 4: Calcular la exposición de los activos:Tarea 4: Calcular la exposición de los activos:
Violación a la integridad mediante el abuso de un empleado de confianza: Dañino pero no severo. Todos los consultores financieros pueden acceder únicamente a la información que administran.
Violación a la integridad mediante el robo de identificaciones en los hosts LAN: Puede generar un nivel de daño severo o alto.
Violación a la integridad mediante el robo de identificaciones en hosts móviles: Podría tener un nivel de daño severo o alto. El grupo del análisis observa que la configuración de la seguridad en los host remotos con frecuencia están a la zaga de los sistemas LAN.
Violación a la integridad mediante el abuso de un empleado de confianza: Dañino pero no severo. Todos los consultores financieros pueden acceder únicamente a la información que administran.
Violación a la integridad mediante el robo de identificaciones en los hosts LAN: Puede generar un nivel de daño severo o alto.
Violación a la integridad mediante el robo de identificaciones en hosts móviles: Podría tener un nivel de daño severo o alto. El grupo del análisis observa que la configuración de la seguridad en los host remotos con frecuencia están a la zaga de los sistemas LAN.
Tarea 1: Determinar los activos de la organización y los escenariosTarea 1: Determinar los activos de la organización y los escenarios
Tarea 2: Identificar las amenazasTarea 2: Identificar las amenazas
Tarea 3: Identificar las vulnerabilidadesTarea 3: Identificar las vulnerabilidades
Tarea 4: Calcular la exposición de los activosTarea 4: Calcular la exposición de los activos
Tarea 5: Identificar los controles existentes y la probabilidad de explosiónTarea 5: Identificar los controles existentes y la probabilidad de explosión
Tarea 6: Resumir el análisis de los riesgosTarea 6: Resumir el análisis de los riesgos
Woodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridadWoodgrove Bank es una institución financiera para el consumidor que se encuentra en el proceso de realizar un proyecto de Administración de riesgos de seguridad
Definir las declaraciones de impacto
Este documento incluye la siguiente información:Este documento incluye la siguiente información:
Información recopilada durante el proceso de Recopilación de información
Información identificada
Nombre/Descripción
del activo
Clase del activo
Niveles DiD aplicables
Descripción de la
amenaza
Descripción de la
vulnerabilidad
Calificación de la
exposición (A,M,B)
Calificación del impacto
(A,M,B)
Activo Exposición
Recorrido del escenario 2: Definir las declaraciones de impacto
Definir una declaración de impacto para Woodgrove Bank
Escenario 2: Definir una declaración de impacto para Woodgrove Bank
Nombre del activo
Clase del
activo
Nivel DID
Descripción de la amenaza
Descripción de la vulnerabilidad
ER (A,M,B)
IR(A,M,B)
Información de inversión financiera
del consumidor
HBI Host
Acceso no autorizado a la información del consumidor mediante el robo de las identificaciones del Consultor Financiero
Robo de identificaciones del cliente LAN administrado a través de configuraciones de seguridad obsoletas
A A
Información de inversión financiera
del consumidor
HBI Host
Acceso no autorizado a la información del consumidor mediante el robo de las identificaciones del Consultor Financiero
Robo de identificaciones fuera del cliente remoto administrado a través de configuraciones de seguridad obsoletas
A A
Información de inversión financiera
del consumidor
HBI Datos
Acceso no autorizado a la información del consumidor mediante el robo de las identificaciones del Consultor Financiero
Robo de identificaciones mediante el abuso de empleados de confianza, a través de ataques no técnicos.
B M
Comprender la priorización de los riesgos
Fin del proceso de priorización de los riesgos
Fin del proceso de priorización de los riesgos
Detalle de las prioridades de riesgo
Detalle de las prioridades de riesgo
Realizar la priorización
de los riesgos a
detalle
Realizar la priorización
de los riesgos a
detalle
Revisión con los
involucrados
Revisión con los
involucrados
Prioridad del riesgo a nivel
resumen
Prioridad del riesgo a nivel
resumen
Realizar la asignación de prioridad del riesgo a
nivel resumen
Realizar la asignación de prioridad del riesgo a
nivel resumen
Comenzar a priorizar los
riesgos
Comenzar a priorizar los
riesgos
Realizar la asignación de prioridad del riesgo a nivel resumen
Alto. Muy probable—se espera tener uno o más impactos en un año Medio. Probable—se espera tener un impacto en dos o tres años Bajo. No es probable—no se espera que ocurra ningún impacto en
los próximos tres años
Alto. Muy probable—se espera tener uno o más impactos en un año Medio. Probable—se espera tener un impacto en dos o tres años Bajo. No es probable—no se espera que ocurra ningún impacto en
los próximos tres años
22 44
33
El proceso de priorización a nivel resumen incluye lo siguiente:El proceso de priorización a nivel resumen incluye lo siguiente:
Determinar el nivel del impacto
Calcular la probabilidad a nivel resumen
Completar la lista de riesgos a nivel resumen
Revisión con los involucrados
Determinar el nivel del impacto
Calcular la probabilidad a nivel resumen
Completar la lista de riesgos a nivel resumen
Revisión con los involucrados
11223344
11 Clase del
activo
Alto
Medio
Bajo
Moderado
Moderado
Moderado
Alto Alto
AltoBajo
Bajo BajoBajo Alto
Nivel de exposición
Referencia de la calificación de impacto
Medio
Impacto (de la
Tabla de impacto anterior)
Alto
Medio
Bajo
Moderado
Moderado
Moderado
Alto Alto
AltoBajo
Bajo Bajo
Bajo Medio AltoValor de la probabilidad
Calificación del riesgo a nivel resumen
Recorrido del escenario 3: Realizar la asignación de prioridad del riesgo a nivel resumen
Realizar la priorización de riesgos a nivel resumen para Woodgrove Bank
Impacto (de la
anterior Tabla
del impacto)
Alto
Medio
Bajo
Moderado
Moderado
Moderado
Alto Alto
AltoBajo
Bajo Bajo
Bajo Medio AltoValor de la probabilidad
Calificación del riesgo a nivel resumen
Escenario 3: Priorización de riesgos a nivel resumen en Woodgrove Bank
Tarea 2: Calcular la probabilidad a nivel resumen:Tarea 2: Calcular la probabilidad a nivel resumen:
Probabilidad de robo del empleado de confianza: Baja
Probabilidad de compromiso del host LAN: Media
Probabilidad de compromiso del host remoto: Alta
Probabilidad de robo del empleado de confianza: Baja
Probabilidad de compromiso del host LAN: Media
Probabilidad de compromiso del host remoto: Alta
Tarea 3: Completar la lista de riesgos a nivel resumen:Tarea 3: Completar la lista de riesgos a nivel resumen:
Riesgo por robo del empleado de confianza: Impacto moderado * Probabilidad baja = Baja
Riesgo por compromiso del host LAN: Impacto alto * Probabilidad media = Alta
Riesgo por compromiso del host remoto: Impacto alto * Probabilidad alta = Alta
Registrar los resultados en la hoja de cálculo de la Declaración del impacto
Riesgo por robo del empleado de confianza: Impacto moderado * Probabilidad baja = Baja
Riesgo por compromiso del host LAN: Impacto alto * Probabilidad media = Alta
Riesgo por compromiso del host remoto: Impacto alto * Probabilidad alta = Alta
Registrar los resultados en la hoja de cálculo de la Declaración del impacto
Tarea 4: Revisión con los involucradosTarea 4: Revisión con los involucrados
El riesgo de abuso del Empleado de confianza se califica como Bajo en la lista de riesgos a nivel resumen y no es necesario calificarlo en el paso de priorización de riesgos a nivel detallado
Los riesgos por compromiso del host LAN y remoto se califican como altos y por lo tanto se les da prioridad a nivel detallado
El riesgo de abuso del Empleado de confianza se califica como Bajo en la lista de riesgos a nivel resumen y no es necesario calificarlo en el paso de priorización de riesgos a nivel detallado
Los riesgos por compromiso del host LAN y remoto se califican como altos y por lo tanto se les da prioridad a nivel detallado
Tarea 1: Determinar el nivel del impacto:Tarea 1: Determinar el nivel del impacto:
Imacto del robo del empleado de confianza: Clase de activo de HBI * Exposición baja = Impacto moderado
Impacto del compromiso del host LAN: Clase de activo de HBI * Exposición alta = Impacto alto
Impacto del compromiso del host remoto: Clase de activo de HBI * Exposición alta = Impacto alto
Imacto del robo del empleado de confianza: Clase de activo de HBI * Exposición baja = Impacto moderado
Impacto del compromiso del host LAN: Clase de activo de HBI * Exposición alta = Impacto alto
Impacto del compromiso del host remoto: Clase de activo de HBI * Exposición alta = Impacto alto
Clase del
activo
Alto
Medio
Bajo
Moderado
Moderado
Moderado
Alto Alto
AltoBajo
Bajo BajoBajo Alto
Nivel de exposición
Referencia de la calificación de impacto
Medio
Tarea 1: Determinar el nivel del impactoTarea 1: Determinar el nivel del impacto
Tarea 2: Calcular la probabilidad a nivel resumenTarea 2: Calcular la probabilidad a nivel resumen
Tarea 3: Completar la lista de riesgos a nivel resumenTarea 3: Completar la lista de riesgos a nivel resumen
Tarea 4: Revisión con los involucradosTarea 4: Revisión con los involucrados
Realizar la asignación de prioridad del riesgo a nivel resumen
Las cuatro tareas siguientes delinean el proceso para desarrollar una lista de riesgos a nivel detallado:Las cuatro tareas siguientes delinean el proceso para desarrollar una lista de riesgos a nivel detallado:
Determinar el impacto y la exposiciónDeterminar el impacto y la exposición11
Identificar los controles actualesIdentificar los controles actuales22
Determinar la probabilidad de impactoDeterminar la probabilidad de impacto33
Determinar el nivel detallado del riesgoDeterminar el nivel detallado del riesgo44
Utilice la plantilla de Priorización de riesgos a nivel detallado (SRJA3-Detailed Level Risk Prioritization.xls) Utilice la plantilla de Priorización de riesgos a nivel detallado (SRJA3-Detailed Level Risk Prioritization.xls)
Recorrido del escenario 4: Realizar la asignación de prioridad del riesgo a nivel detallado
Realizar la priorización de riesgos a nivel detallado para Woodgrove Bank
Escenario 4: Priorización de los riesgos a nivel detallado en Woodgrove Bank
Tarea 2: Identificar los controles actuales:Tarea 2: Identificar los controles actuales:
Los Consultores Financieros sólo pueden acceder a sus cuentas; por lo tanto, la exposición es inferior al 100%.
Las notificaciones por correo electrónico para los hosts de revisión o actualización se envían proactivamente a todos los usuarios.
Las actualizaciones del antivirus y de revisión se miden y se cumplen en la LAN cada ciertas horas. Este control reduce la ventana de tiempo cuando los hosts LAN son vulnerables a ataques.
Los Consultores Financieros sólo pueden acceder a sus cuentas; por lo tanto, la exposición es inferior al 100%.
Las notificaciones por correo electrónico para los hosts de revisión o actualización se envían proactivamente a todos los usuarios.
Las actualizaciones del antivirus y de revisión se miden y se cumplen en la LAN cada ciertas horas. Este control reduce la ventana de tiempo cuando los hosts LAN son vulnerables a ataques.
Tarea 3: Determinar la probabilidad del impacto:Tarea 3: Determinar la probabilidad del impacto:
Host LAN y remotos: Es probable que todos los atributos de la vulnerabilidad en la categoría Alta se verán dentro y fuera del entorno LAN de Woodgrove en un futuro cercano. Valor de la vulnerabilidad = 5 para ambos riesgos
Efectividad del control:LAN: Resultado de las preguntas de efectividad del control=1Remoto: Resultado de las preguntas de efectividad del control=5
Calificación total de la probabilidad: (Suma de la vulnerabilidad y efectividad del control)LAN: 6Remoto: 10
Host LAN y remotos: Es probable que todos los atributos de la vulnerabilidad en la categoría Alta se verán dentro y fuera del entorno LAN de Woodgrove en un futuro cercano. Valor de la vulnerabilidad = 5 para ambos riesgos
Efectividad del control:LAN: Resultado de las preguntas de efectividad del control=1Remoto: Resultado de las preguntas de efectividad del control=5
Calificación total de la probabilidad: (Suma de la vulnerabilidad y efectividad del control)LAN: 6Remoto: 10
Tarea 4: Determinar el nivel del riesgo a detalle:Tarea 4: Determinar el nivel del riesgo a detalle:
Calificación del impacto * Calificación de la probabilidad• LAN: 8 * 6 = 48 • Hosts remotos: 8 * 10 = 80• Ambos se califian como un riesgo general Alto
Calificación del impacto * Calificación de la probabilidad• LAN: 8 * 6 = 48 • Hosts remotos: 8 * 10 = 80• Ambos se califian como un riesgo general Alto
Tarea 1: Determinar el impacto y la exposición:Tarea 1: Determinar el impacto y la exposición:
Calificación de la exposición por compromiso del host LAN: 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8
Calificación de la exposición por compromiso del host remoto: 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8
Rango del impacto = Entre 7 y 10 el cual se compara con Alto
Calificación de la exposición por compromiso del host LAN: 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8
Calificación de la exposición por compromiso del host remoto: 4 (80%) HBI = 10 Calificación del impacto: 10 * 80% = 8
Rango del impacto = Entre 7 y 10 el cual se compara con Alto
Tarea 1: Determinar el impacto y la exposiciónTarea 1: Determinar el impacto y la exposición
Tarea 2: Identificar los controles actualesTarea 2: Identificar los controles actuales
Tarea 3: Determinar la probabilidad del impactoTarea 3: Determinar la probabilidad del impacto
Tarea 4: Determinar el nivel del riesgo a detalleTarea 4: Determinar el nivel del riesgo a detalle
Cuantificar los riesgos
Las siguientes tareas delinean el proceso para determinar el valor cuantitativo:Las siguientes tareas delinean el proceso para determinar el valor cuantitativo:
Registrar el valor del activo para cada riesgoRegistrar el valor del activo para cada riesgo
Producir la expectativa única de pérdida (SLE)Producir la expectativa única de pérdida (SLE)
Determinar la tasa anual de ocurrencia (ARO)Determinar la tasa anual de ocurrencia (ARO)
Determinar la expectativa de pérdida anual (ALE)Determinar la expectativa de pérdida anual (ALE)
Asignar un valor monetario a cada clase de activoAsignar un valor monetario a cada clase de activo11
22
33
44
55
Recorrido del escenario 5: Cuantificar los riesgos
Cuantificar los riesgos para Woodgrove Bank
Escenario 5: Cuantificar los riesgos para Woodgrove Bank
Tarea 2: Identificar el valor del activo:Tarea 2: Identificar el valor del activo:
Información financiera del consumidor = Clase del activo HBI
HBI = US$10 millones
Valor del activo = US$10 millones
Información financiera del consumidor = Clase del activo HBI
HBI = US$10 millones
Valor del activo = US$10 millones
Tarea 5: Determinar la expectativa de pérdida anual (ALE)(SLE * ARO)Tarea 5: Determinar la expectativa de pérdida anual (ALE)(SLE * ARO)
$81$880%4$10
Riesgo del host remoto
(US$ en millones)
$40.5$880%4$10
Riesgo del host LAN
(US$ en millones)
ALEAROSLEValor de la exposición
Clasificación de la
exposición
Valor de la clase del
activo
Descripción de los riesgos
Tarea 4: Determinar la tasa anual de ocurrencia (ARO):Tarea 4: Determinar la tasa anual de ocurrencia (ARO):
Valor de la clase de activo * % del factor de exposición = SLEValor aproximado del riesgo =
201US$ millones / 4Valor LBI
402US$ millones / 2Valor MBI
603US$ millonesValor HBI
804Clase del activo
1005
% del factor de exposición
Clasificación de la exposición Valor alto de impacto de negocios = $M
ARO del host LAN: Al optimizar la evaluación cualitativa de la probabilidad Media, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá por lo menos una vez en dos años; por lo tanto el ARO aproximado es de .5
ARO del host remoto: Al optimizar la evaluación cualitativa de la probabilidad Alta, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá una vez al año; por lo tanto el ARO aproximado es de 1.
ARO del host LAN: Al optimizar la evaluación cualitativa de la probabilidad Media, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá por lo menos una vez en dos años; por lo tanto el ARO aproximado es de .5
ARO del host remoto: Al optimizar la evaluación cualitativa de la probabilidad Alta, el Equipo de la administración de riesgos de seguridad calcula que el riesgo ocurrirá una vez al año; por lo tanto el ARO aproximado es de 1.
Tarea 3: Producir la expectativa única de pérdida (SLE):Tarea 3: Producir la expectativa única de pérdida (SLE):
80%
80%
Valor de la exposición
$8
$8
SLE
4
4
Clasificación de la exposición
$10
$10
Valor de la clase del activo
Riesgo del host LAN(US$ en millones)
Riesgo del host remoto(US$ en millones)
Descripción de los riesgos
Por lo menos una vez después de 3 años.33No es probableBaja
Por lo menos una vez entre 1 y 3 años.99 a .33ProbableMedia
Impacto una vez o más al año>=1ProbableAlta
Ejemplos de descripciónRango de la ARODescripciónCalificación
cualitativa
Tarea 1: Asignar valores monetarios a las clases de activos:Tarea 1: Asignar valores monetarios a las clases de activos:
Utilizar 5% de los Lineamientos de la materialidad para evaluar los activos
Ingresos netos: US$200 millones al año
Clase del activo HBI: US$10 millones (200 * 5%)
Clase del activo MBI: US$5 millones (con base en los gastos anteriores)
Clase del activo LBI: US$1 millón (con base en los gastos anteriores)
Utilizar 5% de los Lineamientos de la materialidad para evaluar los activos
Ingresos netos: US$200 millones al año
Clase del activo HBI: US$10 millones (200 * 5%)
Clase del activo MBI: US$5 millones (con base en los gastos anteriores)
Clase del activo LBI: US$1 millón (con base en los gastos anteriores)
Tarea 1: Asignar valores monetarios a las clases de activosTarea 1: Asignar valores monetarios a las clases de activos
Tarea 2: Identificar el valor del activoTarea 2: Identificar el valor del activo
Tarea 3: Producir la expectativa única de pérdida (SLE)Tarea 3: Producir la expectativa única de pérdida (SLE)
Tarea 5: Determinar la expectativa de pérdida anual (ALE)(SLE * ARO)Tarea 5: Determinar la expectativa de pérdida anual (ALE)(SLE * ARO)
Tarea 4: Determinar la tasa anual de ocurrencia (ARO)Tarea 4: Determinar la tasa anual de ocurrencia (ARO)
Evaluar los riesgos: Mejores prácticas
Analice los riesgos durante el proceso de recopilación de información Analice los riesgos durante el proceso de recopilación de información
Realice una investigación para generar una credibilidad para calcular la probabilidad Realice una investigación para generar una credibilidad para calcular la probabilidad
Comunique el riesgo en términos comerciales Comunique el riesgo en términos comerciales
Concilie los nuevos riesgos con los riesgos anteriores Concilie los nuevos riesgos con los riesgos anteriores
Realizar soporte a las decisiones
Conceptos de la administración de riesgos de seguridad
Identificar los prerrequisitos de la administración de riesgos de seguridad
Evaluar los riesgos
Apoyar la toma de decisiones
Implementar controles y medir la efectividad del programa
Descripción de la fase de apoya a la toma de decisiones
Apoyar la toma de decisiones
Apoyar la toma de decisiones
22
Medir la efectividad del programa
Medir la efectividad del programa
44Evaluar los
riesgosEvaluar los
riesgos11
1. Definir los requisitos funcionales2. Identificar las soluciones del control3. Revisar la solución contra los requisitos4. Nivel aproximado de la reducción de
riesgos5. Costo aproximado de cada solución6. Seleccionar la estrategia de mitigación
de riesgos
1. Definir los requisitos funcionales2. Identificar las soluciones del control3. Revisar la solución contra los requisitos4. Nivel aproximado de la reducción de
riesgos5. Costo aproximado de cada solución6. Seleccionar la estrategia de mitigación
de riesgos
Implementar controles
Implementar controles
33
Identificar el rendimiento de la fase de apoyo a la toma de decisiones
Los elementos clave para recopilar información incluyen:Los elementos clave para recopilar información incluyen:
Decisión sobre cómo manejar cada riesgo
Requisitos funcionales
Soluciones para un control potencial
Reducción de riesgos de cada solución de control
Costo aproximado de cada solución de control
Lista de soluciones de control que serán implementadas
Decisión sobre cómo manejar cada riesgo
Requisitos funcionales
Soluciones para un control potencial
Reducción de riesgos de cada solución de control
Costo aproximado de cada solución de control
Lista de soluciones de control que serán implementadas
Considerar las opciones de apoyo a la toma de decisiones
Opciones para manejar los riesgos:Opciones para manejar los riesgos:
Aceptar el riesgo actual Aceptar el riesgo actual
Implementar controles para reducir los riesgos Implementar controles para reducir los riesgos
Descripción general del proceso para identificar y comparar los controles
Comité directivo de seguridad
Comité directivo de seguridad
Dueño de la mitigaciónDueño de la mitigación
Equipo de administración de riesgos de seguridad
Equipo de administración de riesgos de seguridad
Identifica las soluciones potenciales del control
Determina los tipos de los costos
Calcula el nivel de la reducción de riesgos
Lista final de las soluciones de control
Equipo deadministraciónde riesgos
Equipo deadministraciónde riesgos
Comitédirectivo de seguridad
Comitédirectivo de seguridad
Paso 1: Definir los requisitos funcionales
Seleccionar la estrategia para
mitigar los riesgos
Seleccionar la estrategia para
mitigar los riesgos
66
Dueño de la mitigaciónDueño de la mitigación Identificar las
soluciones de control
Identificar las soluciones de
control
22
Definirlos requisitos
funcionales
Definirlos requisitos
funcionales
11
Costoaproximado
de cada solución
Costoaproximado
de cada solución
55
Nivelaproximado de reducción de
riesgos
Nivelaproximado de reducción de
riesgos
44Revisar lassoluciones contra
los requisitos
Revisar lassoluciones contra
los requisitos
33
Paso 2: Identificar las soluciones del control
Equipo de laadministraciónde riesgos
Equipo de laadministraciónde riesgos
Comitédirectivo de seguridad
Comitédirectivo de seguridad
Seleccionar la estrategia para
mitigar los riesgos
Seleccionar la estrategia para
mitigar los riesgos
66
Dueño de la mitigaciónDueño de la mitigación Identificar las
soluciones del control
Identificar las soluciones del
control
22
Definirlos requisitos funcionales
Definirlos requisitos funcionales
11
Costoaproximado
de cada solución
Costoaproximado
de cada solución
55
Costoaproximado de reducción de
riesgos
Costoaproximado de reducción de
riesgos
44Revisar lassoluciones contra
los requisitos
Revisar lassoluciones contra
los requisitos
33
Paso 3: Revisar las soluciones contra los requisitos
Equipo de laadministraciónde riesgos
Equipo de laadministraciónde riesgos
Comitédirectivode seguridad
Comitédirectivode seguridad
Seleccionar la estrategia para
mitigar los riesgos
Seleccionar la estrategia para
mitigar los riesgos
66
Dueño de la mitigaciónDueño de la mitigación Identificar las
soluciones del control
Identificar las soluciones del
control
22
Definirlos requisitos funcionales
Definirlos requisitos funcionales
11
Costoaproximado
de cada solución
Costoaproximado
de cada solución
55
Costoaproximado de reducción de
riesgos
Costoaproximado de reducción de
riesgos
44Revisar lassoluciones contra
los requisitos
Revisar lassoluciones contra
los requisitos
33
Paso 4: Nivel aproximado de la reducción de riesgos
Equipo de laadministraciónde riesgos
Equipo de laadministraciónde riesgos
Comitédirectivode seguridad
Comitédirectivode seguridad
Seleccionar la estrategia para
mitigar los riesgos
Seleccionar la estrategia para
mitigar los riesgos
66
Dueño de la mitigaciónDueño de la mitigación Identificar las
soluciones del control
Identificar las soluciones del
control
22
Definirlos requisitos funcionales
Definirlos requisitos funcionales
11
Costoaproximado
de cada solución
Costoaproximado
de cada solución
55
Costoaproximado de reducción de
riesgos
Costoaproximado de reducción de
riesgos
44Revisar lassoluciones contra
los requisitos
Revisar lassoluciones contra
los requisitos
33
Paso 5: Costo aproximado de cada solución
Equipo de laadministraciónde riesgos
Equipo de laadministraciónde riesgos
Comitédirectivode seguridad
Comitédirectivode seguridad
Seleccionar la estrategia para
mitigar los riesgos
Seleccionar la estrategia para
mitigar los riesgos
Dueño de la mitigaciónDueño de la mitigación Identificar las
soluciones del control
Identificar las soluciones del
control
22
66
Definirlos requisitos funcionales
Definirlos requisitos funcionales
11
Costoaproximado
de cada solución
Costoaproximado
de cada solución
55
Costoaproximado de reducción de
riesgos
Costoaproximado de reducción de
riesgos
44Revisar lassoluciones contra
los requisitos
Revisar lassoluciones contra
los requisitos
33
Paso 6: Seleccionar la estrategia para mitigar los riesgos
Equipo de laadministraciónde riesgos
Equipo de laadministraciónde riesgos
Comitédirectivode seguridad
Comitédirectivode seguridad
Seleccionar la estrategia para
mitigar los riesgos
Seleccionar la estrategia para
mitigar los riesgos
Dueño de la mitigaciónDueño de la mitigación Identificar las
soluciones del control
Identificar las soluciones del
control
22
66
Definirlos requisitos funcionales
Definirlos requisitos funcionales
11
Costoaproximado
de cada solución
Costoaproximado
de cada solución
55
Costoaproximado de reducción de
riesgos
Costoaproximado de reducción de
riesgos
44Revisar lassoluciones contra
los requisitos
Revisar lassoluciones contra
los requisitos
33
Realizar soporte a las decisiones:Mejores prácticas
Considere asignar un técnico en seguridad a cada riesgo identificado Considere asignar un técnico en seguridad a cada riesgo identificado
Establezca expectativas razonablesEstablezca expectativas razonables
Cree un consenso del equipoCree un consenso del equipo
Enfóquese en la cantidad de riesgos después de la solución de mitigación Enfóquese en la cantidad de riesgos después de la solución de mitigación
Implementar controles y medir la efectividad del programa
Conceptos de la administración de riesgos de seguridad
Identificar los prerrequisitos de la administración de riesgos de seguridad
Evaluar los riesgos
Apoyar en la toma de decisiones
Implementar controles y medir la efectividad del programa
Implementar controles
Implementar controles
Implementar controles
33 Apoyar en la toma de decisiones
Apoyar en la toma de decisiones
22
Medir la efectividad del programa
Medir la efectividad del programa
44Evaluar los
riesgosEvaluar los
riesgos11
• Buscar un enfoque holístico• Organizar mediante una
defensa profunda
• Buscar un enfoque holístico• Organizar mediante una
defensa profunda
Organizar las soluciones de control
Los factores determinantes críticos para organizar las soluciones de control incluyen:Los factores determinantes críticos para organizar las soluciones de control incluyen:
ComunicaciónComunicación
Programar al equipoProgramar al equipo
Requisitos de recursosRequisitos de recursos
Organizar por defensa profunda
Red
Host
Aplicación
Datos
Físico
Medir la efectividad del programa
Implementar controles
Implementar controles
33 Apoyar en la toma de decisiones
Apoyar en la toma de decisiones
22
Medir la efectividad del programa
Medir la efectividad del programa
44Evaluar los
riesgosEvaluar los
riesgos11
• Desarrollar tarjetas de resultados
• Medir la efectividad del control
• Desarrollar tarjetas de resultados
• Medir la efectividad del control
Desarrollar una tarjeta de resultados de los riesgos de seguridad de su organización
Una tarjeta de resultados sencilla de los riesgos de seguridad, organizada por niveles de defensa profunda, se debe parecer a la siguiente:
Una tarjeta de resultados sencilla de los riesgos de seguridad, organizada por niveles de defensa profunda, se debe parecer a la siguiente:
AF05 T1 AF05 T2 AF05 T3 AF05 T4
Físico A M
Red M M
Host M M
Aplicación M A
Datos B B
Niveles de riesgo (A, M, B)
Medir la efectividad del control
Los métodos para medir la efectividad de los controles implementados incluyen:Los métodos para medir la efectividad de los controles implementados incluyen:
Enviar informes periódicos sobre el cumplimiento Enviar informes periódicos sobre el cumplimiento
Dirigir las pruebas Dirigir las pruebas
Evaluar los incidentes de seguridad generalizadosEvaluar los incidentes de seguridad generalizados
Resumen de la sesión
Una amenaza comun entre la mayoría de las metodologías de administración de riesgos es que por lo general cada una se basa en la administración cuantitativa de riesgos, en la administración cualitativa de riesgos o en una combinación de ambas
Una amenaza comun entre la mayoría de las metodologías de administración de riesgos es que por lo general cada una se basa en la administración cuantitativa de riesgos, en la administración cualitativa de riesgos o en una combinación de ambas
La evaluación de riesgos consiste en realizar una priorización de los riesgos a nivel resumen, y después realizar una priorización detallada de los riesgos sobre los riesgos de impacto alto
La evaluación de riesgos consiste en realizar una priorización de los riesgos a nivel resumen, y después realizar una priorización detallada de los riesgos sobre los riesgos de impacto alto
La Guía de administración de riesgos de seguridad de Microsoft proporciona un número de herramientas y plantillas para ayudar con el proceso completo de administración de riesgos
La Guía de administración de riesgos de seguridad de Microsoft proporciona un número de herramientas y plantillas para ayudar con el proceso completo de administración de riesgos
El enfoque de defensa profunda de Microsoft organiza los controles en diversos niveles amplios que constituyen el modelo de defensa profundaEl enfoque de defensa profunda de Microsoft organiza los controles en diversos niveles amplios que constituyen el modelo de defensa profunda
Determinar el nivel de madurez de su organización ayudará a enfocarse en la implementación y plazo de tiempo adecuados para su estrategia de administración de riesgos
Determinar el nivel de madurez de su organización ayudará a enfocarse en la implementación y plazo de tiempo adecuados para su estrategia de administración de riesgos
Siguientes pasos
Encuentre eventos adicionales de capacitación sobre seguridad:
http://www.microsoft.com/seminar/events/security.mspx
Inscríbase para recibir comunicados de seguridad:
http://www.microsoft.com/technet/security/signup/default.mspx
Solicite el kit de orientación de seguridad:
http://www.microsoft.com/security/guidance/order/default.mspx
Obtenga las herramientas y contenido adicional de seguridad:
http://www.microsoft.com/security/guidance
Preguntas y respuestas