Universidad Ricardo Palma Facultad de Ingeniería

Transcripción

1 Universidad Ricardo Palma Facultad de Ingeniería Escuela Profesional de Ingeniería Informática Proyecto de Tesis: Sistema para Análisis y Gestión de Riesgos Presentado por: Antton Deyke Cavalcanti Garay

2 SISTEMA PARA ANALISIS Y GESTION DE RIESGOS

3 Uno de los principales problemas en la gestión de riesgos es una implementación inadecuada, de los riesgos que podrían afectar a la empresa. Lo que conlleva al manejo ineficiente de información y tratamiento de riesgos. Problemática

4 Problemática Escaso nivel para el aseguramiento de la informacion Efectos Falta de aseguramiento de la confiabilidad Limitado aseguramiento de las necesidades del cliente Falta de cumpliento de la satisfaccion del cliente Aseguramiento de la disponibilidad de la informacion Ineficiente aseguramiento de la integridad No contar con presupuesto adecuado contra riesgos Perdida de prestigio por parte de la empresa Falta de compromiso del servicio al cliente Perdida de la privacidad Altos costos para reestablecer activos en la empresa Manejo ineficiente de informacion para la identificacion, analisis, evaluacion y tratamiento de riesgos Problema Central Causas Inadecuado manejo de la seguridad de la informacion Falta de conocimiento en implementacion de procesos de mejoramiento de calidad Desconocimiento de la norma para gestion de aseguramiento de la informacion ISO Falta de identificacion y trazabilidad de sus productos Falta de gestion de riesgos de informacion Poca capacidad en el control de sus procesos Inadecuada identificacion de vulnerabilidades y amenazas de activos Falta de Inspeccion y ensayo de procesos Falta de un analisis y evaluacion de riesgos Productos no conformes Falta de difusion para el tratamiento de riesgos a los trabajadores

5 Objetivo General La mejora en el manejo de riesgos, a través de una secuencia de actividades humanas que incluyen evaluación de riesgo, estrategias de desarrollo para manejarlo y mitigación del riesgo utilizando un seguimiento y control de riesgos. Objetivo Especifico Creación del sistema de gestión de riesgos, capaz de monitorear dichos riesgos. Lista de Objetivos Capacitar el personal. Preparar flujos de trabajo. Efectuar reuniones para discutir la problematica y estado de riesgos. Elaborar talleres de seguimiento del sistema con los responsables. Objetivo General

6 Objetivos Mejora en el nivel de aseguramiento de la informacion en la empresa Fines Promover el aseguramiento de la confiabilidad Aseguramiento de las necesidades del cliente Cumpliento de satisfaccion con el cliente Mejora de la disponibilidad de la informacion Contribuir con Aseguramiento de la integridad Incrementar presupuesto contra amenazas Incremento de prestigio por parte de la empresa Adecuado compromiso del servicio al cliente Proteccion de la privacidad Establecer manejo de costos para reestablecer activos en la empresa Manejo de informacion para la identificacion, analisis, evaluacion y tratamiento de riesgos Objetivo General Medios Promover el conocimiento para la administracion de la seguridad de informacion Desarrollar conocimiento en implementacion de procesos de mejoramiento de calidad Establecer una norma en la empresa para gestion de la informacion Establecer normas para el manejo de procesos de mejora Promover metodologias para el aseguramiento de la informacion Incrementar capacidad en el control de sus procesos Identificacion de vulnerabilidades y amenazas de activos Mayor Inspeccion y ensayo de sus procesos Falta de un analisis y evaluacion de riesgos Difusion para el tratamiento de riesgos a los trabajadores Productos conformes con los requerimientos del cliente

7 Riesgos El riesgo en una organización es un evento incierto o condición incierta que si ocurre, tiene un efecto positivo o negativo sobre la organización. Introducción a las Tecnologías Básicas

8 Análisis de Riesgos Estan expuestos a Activos Es el proceso que permite determinar qué tiene la Organización y estimar lo que podría pasar. Amenazas Interesan por su Elementos: Activo: Cualquier cosa que tenga valor para la organización. (ISO/IEC :2004) Amenaza: Una causa potencial de un incidente no-deseado, el cual puede resultar en daño a un sistema u organización. (ISO/IEC :2004) Frecuencia: Medida de la probabilidad de ocurrencia de una amenaza. Impacto: Medida del daño sobre el activo, derivado de la materialización de una amenaza. Degradación: Medida de la pérdida de valor de un activo cuando ocurre una amenaza. Riesgo Intrínseco: Combinación de la probabilidad de un evento y su ocurrencia. (ISO/IEC Guía 73:2002) Riesgo Residual: Resultado de la selección e implementación de medidas para modificar el riesgo. (ISO/IEC Guía 73:2002) Causan una cierta Con una cierta Degradacion Frecuencia Valor impacto Riesgo Introducción a las Tecnologías Básicas

9 Gestión de riesgos Permite organizar la defensa esmerada y prudente, defendiendo para que no pase nada malo y al tiempo, estando preparados para atajar las emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones; como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la dirección asume. Se puede decir que la gestión de la seguridad de un sistema de información es la gestión de sus riesgos y que el análisis permite racionalizar dicha gestión. Introducción a las Tecnologías Básicas

10 El estándar para la seguridad de la información ISO/IEC (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization y por la International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) Marco Normativo

11 Definir el alcance del SGSI. Definir politica de seguridad. Metodologia de evaluacion de riesgos. Inventario de activos. Identificar amenazas y vulnerabilidades. Indentificar impactos. Analisis y evaluacion de riesgos. Seleccion de controles y SOA. Definir plan de tratamiento de riesgos. Implantar plan de tratamiento de riesgos. Implementar los controles. Formacion y concientizacion. Operar el SGSI. Arranque del Proyecto Implantar Mejoras. Acciones Correctivas. Acciones Preventivas. Comprobar eficacia de las acciones. Revizar el SGSI. Medir eficacia de los controles. Revizar riesgos residuales. Realizar auditorias internas del SGSI. Registrar acciones y eventos. Como adaptarse?

12 El Proceso (in time)

13 Como Identificar

14 Descripción de Sub-Grupo de Activo Grupo de Activo Base de Datos SQL Server Datos / Información Cell Manager - Data Protector Datos / Información Monitor Hardware Teclado Hardware Switch Redes de comunicaciones Resguardo de medios Servicios Instalacion y Mantenimiento Servicios Acrobat Software Bullet FTP Software Linux Centos Software Tape Backup Soportes de Información ADMINISTRADOR BASE DATOS Personal ADMINISTRADOR DE RED Personal ADMINISTRADOR DE SISTEMA Personal AIRE ACONDICIONADO HONEYWELL Equipamiento Auxiliar UPS Equipamiento Auxiliar Bateria Merlin Gerin Galaxy PW Equipamiento Auxiliar COT 1 Instalaciones

15 Amenazas A1 Fuego A2 Daños por agua A3 Desastres Naturales A4 Cortocircuito A5 Falta de limpieza A6 Contaminación electromagnética A7 Fallo de Hardware A8 Fallo de Software A9 Corte del suministro eléctrico Condiciones inadecuadas de temperatura y/o A10 humedad Fallo en la seguridad perimentral en redes y A11 comunicaciones Degradación de los soportes de A12 almacenamiento de información A13 Error Humano Grupo de Activo Detalle Código [S] Servicios [S] [D] Datos / Información [D] [SW] Software [SW] [HW] Hardware [HW] [COM] Redes de comunicaciones [COM] [SI] Soportes de Información [SI] [AUX] Equipamiento Auxiliar [AUX] [L] Instalaciones [L] [P] Personal [P] A14 Incumplimiento de documentación A15 Accesos no autorizados al COT A16 Accesos no autorizados a los sistemas A17 Intrusión de malware en los sistemas A18 Manipulación de la información A19 Pérdida de equipo y/o información A20 No contar con el soporte adecuado A21 Riesgos relacionados a actividades externas

16 Nivel Coste de Activos Descripción 5 Muy Alto 30,000 a más 4 Alto 10,000-30,000 3 Medio 1,000-10,000 2 Bajo 100-1,000 1 Insignificante Clasificacion de Riesgo

17 Coste de Activos Valoración de información Descripción de Sub- Grupo de Activo Base de Datos SQL Server Grupo de Activo Nivel de Coste Detalle Coste de Activo Tiempo de recuperación (minutos) Penalidad (Puntos) Total Valorac Valoraci ión de ón Activo Datos / Información 5 Muy Alto 75, , ,500 5 Cell Manager - Data Protector Datos / Información 4 Alto 30, ,357 4 Monitor Hardware 3 Medio 10, ,000 2 Teclado Hardware 1 Insignificante Mouse Hardware 1 Insignificante PC Hardware 3 Medio 10, ,000 2 Televisor Hardware 3 Medio 10, ,000 2 LCD Hardware 3 Medio 10, ,000 2

18 Amenaza A1 A2 A3 A4 A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 A16 A17 A18 A19 A20 A21 Descripción Fuego Daños por agua Desastres Naturales Cortocircuito Falta de limpieza Contaminación electromagnética Fallo de Hardware Fallo de Software Corte del suministro eléctrico Condiciones inadecuadas de temperatura y/o humedad Fallo en la seguridad perimentral en redes y comunicaciones Degradación de los soportes de almacenamiento de información Error Humano Incumplimiento de documentación Accesos no autorizados al COT Accesos no autorizados a los sistemas Intrusión de malware en los sistemas Manipulación de la información Pérdida de equipo y/o información No contar con el soporte adecuado Riesgos relacionados a actividades externas Nivel de Criticidad Intrínseco Nivel de Criticidad Residual Criterio de Aceptación de Riesgos Crítico Insignificante No necesariamente reducir Crítico Moderado Necesariamente Reducir Moderado Bajo No necesariamente reducir Crítico Moderado Necesariamente Reducir Bajo Insignificante No necesariamente reducir Bajo Insignificante No necesariamente reducir Crítico Moderado Necesariamente Reducir Crítico Moderado Necesariamente Reducir Crítico Bajo No necesariamente reducir Crítico Bajo No necesariamente reducir Crítico Moderado Necesariamente Reducir Crítico Bajo No necesariamente reducir Crítico Moderado Necesariamente Reducir Crítico Moderado Necesariamente Reducir Crítico Insignificante No necesariamente reducir Crítico Moderado Necesariamente Reducir Crítico Moderado Necesariamente Reducir Crítico Bajo No necesariamente reducir Moderado Bajo No necesariamente reducir Crítico Moderado Necesariamente Reducir Moderado Bajo No necesariamente reducir

19 Metodología de Gestión de Riesgos PMI MAGERIT (La Metodología de Análisis y Gestión de Riesgos de los sistemas de Información de las Administraciones públicas). CRAMM (CCTA Risk Analysis and Management Method) Revisión de Métodos Central Computing and Telecommunications Agency

20 MAGERIT CRAMM reduce Activo Impacto Riesgo Servicio de Salvaguarda Amenaza Vulnerabilidad Frecuencia de materializacion reduce Activos Amenazas Vulnerabilidades Riesgos Contramedidas Implementacion Auditorias Analisis Gestion Se incorpora a Implementacion Mecanismos de Salvaguarda Comparación de Métodos

21 Contribución Teórica y Práctica

22 Diagrama de Actores Usuario Analista de Riesgo Oficial de Seguridad Administrador de Sistema Responsable de Control... de Salvaguardas Modelado del Sistema

23 Analisis de Análisis de Riesgo Riesgo Gestion de Gestión de Riesgo Riesgo Mantenimiento Mantenimiento Seguridad Seguridad Diagrama de Paquetes

24 Casos de Uso por Paquetes Casos de Uso por Paquetes: Análisis de Riesgo Ingresar Activo Ingresar Amenaza Administrar Coste de Activo Ingresar SubGrupoActivo Administrar Niveles de Activo Ingresar Tiempo de Recuperacion de Activo <<extend>> Identificar Valoracion de Activo <<extend>> Estimar Impacto Identificar Degradacion Oficial de Seguridad (from Actors) Identificar Amenazas y Vulnerabilidades Administrar Criterios de Vulnerabilidad <<extend>> Identificar Frecuencia <<extend>> Identificar Tratamiento de Riesgo Determinar Salvaguardas Estimar Riesgo Determinar Aceptabilidad de Riesgo Administrar Controles de Mitigacion de Riesgo

25 Casos de Uso por Paquetes Casos de Uso por Paquetes: Gestión de Riesgo Verificar Criticidad Riesgo Intrinseco <<extend>> <<extend>> Verificar Criticidad Residual Determina Riesgo Objetivo Oficial de Seguridad Tratamiento de Riesgo (from Actors) Asignar Responsable de Control de Salvaguardas Ejecutar plan de Seguridad Seguimiento y Control Responsable Control... (from Actors) Enviar alerta de seguimiento Reportar Evidencia de Control

26 Casos de Uso por Paquetes: Mantenimiento Oficial de Seguridad Verificar Estado de Riesgo Asignar Programacion Anual (f rom Actors) <<extend>> Analista de Riesgo (f rom Actors) Consultar Estado de Riesgo Generar Reporte de Seguimiento de Riesgo Responsable Control... (f rom Actors) Evaluar Riesgo Casos de Uso por Paquetes

27 Casos de Uso por Paquetes Casos de Uso por Paquetes: Seguridad Administrar Perfil Administrador de Sistema (f rom Actors) Administrar Usuario Registrar Usuario Usuario (f rom Actors) Iniciar Sesion <<extend>> Cambiar Contrasena

28 Internet Explorer Sql Serv er.net Framework Estimar Impacto Identif icar Activ o Analisis de Riesgo RiskSy s Administrar Perf il Estimar Riesgo BD Risk Identif icar Amenazas y Vulnearbilidades Mantenimiento Seguridad Administrar Usuario Registrar Salv aguarda Gestion de Riesgo Ejecutar Plan de Seguridad Registrar Usuario Planear Seguridad Ev aluar Riesgo Iniciar Sesion Tomar Decisiones Consultar Estado de Riesgo Verif icar Estado de Riesgo Cambiar Contrasena Generar Reporte de Seguimiento de Riesgo Diagrama de Componentes

29 Workstation Servidor Web Log File Servidor de Correo Usuario teclado / monitor Web Browser HTTP / HTTPS Interface Web DataBase Interface POP Usuarios_BD Servidor de Base de Datos MS SQL 2000 Servidor de Aplicaciones GMD Servidor de Base de Datos MS SQL 2005 GMD Database Aplicacion SGSI SYS SGSI_Database Diagrama de Despliegue

30 Sistema

31 Conclusiones

32 GRACIAS!