La Gestión de Riesgos y Controles en Sistemas de Información - GRCSI

Transcripción

1 La Gestión de Riesgos y Controles en Sistemas de Información - GRCSI Marlene Lucila Guerrero Julio, MSc Profesor Asociado Universidad Pontificia Bolivariana Luis Carlos Gómez Flórez, MSc Profesor Titular Universidad Industrial de Santander

2 Agenda 1 Acercamiento a la Situación de Interés 2 La Seguridad de la Información en el Marco de la GRCSI 3 Resultados de la Concepción del Modelo 4 Conclusiones 5 Referencias

3 Acercamiento a la Situación de Interés Sistematización y Organización de la Información Sistemas de Información Apoyo Propician Aumento en la competitividad Laudon (2010) Pressman (2008) Sommerville (2007) Bennet (2008) Rapidez en la toma de decisiones acertadas (Piattini, 2007) «La crisis en la Ingeniería del software» 23% de los desarrollos de software fallan, 49% es cuestionado y 28% es satisfactorio

4 La Seguridad de la Información en el Marco de la GRCSI Incrementar el enfoque de protección de datos. Priorizar las investigaciones de seguridad basadas en riesgo. Fortalecer los programas de gestión de riesgos y controles de la compañía. Reducir, mitigar o transferir los principales riesgos. Reenfocar el núcleo de las estrategias existentes. Acelerar la adopción de tecnologías de automatización relacionadas con la seguridad para incrementar la eficiencia u reducir costos. Adoptar un reconocido marco de trabajo de seguridad como un medio para la preparación de próximos requerimientos regulatorios. Qué esperan los Ejecutivos de la Seguridad de la Información Cumplimiento regulatorio. Gestión de accesos e identidades. Protección de información y prevención de fugas. Mejoras en las infraestructuras de seguridad. Gobierno de la seguridad. Informe Anual de Seguridad de la Información en las Instituciones Financieras Incrementar la Comunicación y Visibilidad de los Riesgos Definir Políticas y Procedimientos de Riesgos. Subcontratar la Gestión de Riesgos. Implementar la Tecnología Relevante parta el Gobierno de las Metas de los Procesos. Managing Risk in the Current Climate Deloitte (2009) Ernst & Young (2009) Brenner (2009)

5 Resultados de la Concepción del Modelo Convenciones 1. Nivel de Riesgo Acceso. 2. Nivel de Riesgo de Ingreso de Información 3. Nivel de Riesgo Ítems Rechazados o en Suspenso. 4. Nivel de Riesgo Procesamiento. 5. Nivel de Riesgo Estructura Organizativa. 6. Nivel de Riesgo Cambio a los Programas Guerrero y Gómez (2011)

6 Convenciones: X Actividad incluida en el estándar Guerrero y Gómez (2011) ISO OCTAVE ISM3 AS/NZS SP SOMAP MAGUERIT MEHARI SP Resultados de la Concepción del Modelo Estándar Actividad A1. Establecer el contexto. Medir y caracterizar el estado actual de la seguridad de los sistemas y la organización. Evaluar la Exposición Inherente. X X X X X X A2. Identificar y valorar los activos críticos. X X A3. Identificar las amenazas y las vulnerabilidades de la organización. X X X X A4. Identificar los componentes claves y las vulnerabilidades técnicas que ocasionan los riesgos. X X X A5. Evaluar el riesgo. Identificar el riesgo. Estimar el riesgo. Valorar el riesgo A6. Determinar y evaluar el Impacto. X X A7. Evaluar la Gravedad del Escenario X A8. Tratar el riesgo. Identificar las exigencias de seguridad y las normas existentes. Desarrollar estrategias de protección basadas en buenas prácticas. Implementar Protecciones. X X X X X X X X X X X X X X X A9. Aceptar el riesgo. Dar prioridad a la inversión de los procesos de seguridad. A10. Comunicar el riesgo. X X A11. Realizar seguimiento al riesgo. Establecer un plan de reducción de los riesgos. Monitorear y Revisar. X X X X X X X X X X X X X A12. Documentar Resultados X X

7 Resultados de la Concepción del Modelo A1. Establecer el contexto organizacional A3. Identificar y evaluar las amenazas y vulnerabilidades de los activos A2. Identificar los activos críticos A4.Diseñar escenarios de riesgo vs impacto organizacional A7. Monitoreo y Control A5. Diseñar estrategias de tratamiento y protección A6. Documentar los resultados y revisar casos Guerrero (2010)

8 Resultados de la Concepción del Modelo Actividad A1. Establecer el Contexto Organizacional Clarificar la Estrategia de la Organización en términos de los SI Método Entrevistar a los Jefes del Dpto. de Sistemas o Administradores de TI. Revisar la documentación sobre las políticas organizacionales de adquisición, implementación y uso de los SI. Especificar los SI que apoyan los procesos de negocio Determinar la dependencia de los procesos de negocio respecto de los SI. Determinar los niveles de servicio de los SI. Revisar la documentación de los SI - diagramas de casos de uso y especificaciones de los requisitos funcionales del SI. Especificar los roles de los actores y sus responsabilidades en los riesgos asociados a los SI Entrevistar a los actores de los SI sobre la conducta ante riesgos. Guerrero (2010)

9 Resultados de la Concepción del Modelo Actividad A2. Identificar los Activos Críticos Método Catalogar los activos relacionados con los SI Implantar un software de catalogación de activos o diccionario de activos Determinar la Información Sensible y Crítica Revisar las Bases de Datos y los Informes de los SI para Detectar la Información Vulnerable Dimensionar los activos en cuanto a los niveles de riesgos y su relación con la disponibilidad, autenticidad, integridad y confidencialidad Utilizar el esquema comparativo provisto por el modelos de GRCSI Guerrero (2010)

10 Resultados de la Concepción del Modelo Actividad A3. Identificar y Evaluar las Amenazas y Vulnerabilidades de los Activos Críticos Esquema de relación entre las amenazas y vulnerabilidades y como estos están relacionados con los activos de los SI. Guerrero (2010)

11 Resultados de la Concepción del Modelo Actividad A4. Diseñar Escenarios de Riesgos con Respecto a su Impacto Organizacional Método Crear una base especifica de escenarios de riesgo. Utilizar la BD de escenarios genéricos propuesta por MEHARI Identificar las causas y consecuencias de los escenarios de riesgo específicos. Derivar el impacto que los escenarios de riesgo tienen sobre la organización. Relacionar por cada escenario de riesgo específico los activos impactados en la organización Guerrero (2010)

12 Resultados de la Concepción del Modelo Actividad A5. Diseñar Estrategias de Tratamiento y Protección Identificar las estrategias de mitigación candidatas. Método Asociar los escenarios con los niveles de riesgo Identificar los controles pertinentes de acuerdo con el nivel de riesgo. Seleccionar la alternativa más adecuada en términos de costo y recursos disponibles. Elaborar una matriz de relación control costo recursos Elaborar e Implementar un plan para el tratamiento del riesgo Priorizar los riesgos Especificar el (los) responsables del tratamiento del riesgo Generar un calendario de implementación Evaluar los riesgos luego del tratamiento Evidenciar el seguimiento del riesgo Guerrero (2010)

13 Resultados de la Concepción del Modelo Actividad A6. Documentar los Resultados y Revisar Casos Caso Presentado Frecuencia de Ocurrencia Mecanismo (s) de Mitigación Resultados Guerrero (2010)

14 Conclusiones La Gestión de riesgos y Controles en Sistemas de Información no debe verse divorciada de la calidad del software. El modelo brinda a las organizaciones una serie de actividades definidas y organizadas metodológicamente. La integración de las actividades relacionadas por los estándares, permitirán concretar futuras investigaciones. Para cada una de las actividades se propuso un conjunto de métodos, los cuales apoyan a los distintos involucrados en el hacer que conlleva la GRCSI.

15 Conclusiones El modelo centra la GRCSI en la concepción de niveles de riesgo. El modelo propuesto contribuye a la definición de medidas de mitigación asociadas a cada uno de los niveles de riesgo. El modelo diseñado no tiene la pretensión de convertirse en un patrón para todas las organizaciones

16 Referencias 1. M. Bennett y F. Bennett. Object Oriented Systems Analysis and Design Using UML, McGraw Hill, K.C. Laudon y J.P. Laudon. Sistemas de Información Gerencial, Prentice Hall, R. Pressman. Ingeniería del Software Un enfoque práctico. McGrawHill, I. Sommerville. Ingeniería del Software. Prentice Hall, M. Piattini. Calidad de Sistemas de Información, Alfa y Omega, B. Brenner. The Global State of Information Security, Deloitte. Confianza y Garantía. Informe Anual de Seguridad de la Información en Instituciones Financieras, Febrero Ernst & Young. Managing Risk in the Current Climate Ministerio de Administraciones Públicas. MAGUERIT - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, M. Guerrero y L. Gómez. Gestión de riesgos y controles en Sistemas de Información. Tesis de Maestría, M. Guerrero y L. Gómez. Revisión de estándares relevantes y literatura de gestión de riesgos y controles en Sistemas de Información. Revista Estudios Gerenciales, Vol. 27, No. 120, 2011.

17 Referencias 12. C. Alberts. Operationally Critical Threat, Asset, and Vulnerability Evaluation SM (OCTAVESM) Framework, Version 1.0. TECHNICAL REPORT. CMU/SEI-99-TR-017. ESC-TR , ISM3 Consortium. Information Security Managemente Maturity Model. Versión 2.0, AS/NZS. Estándar Australiano. Administración de Riesgos. Tercera edición, G. Stonebumer. Risk Management Guide for Information Technology Systems. Recommendations of the National Institute of Standards and Technology. NIST, Special Publication , SOMAP. Open Information Security Risk Management Handbook. Versión 1.0, CLUSIF. MEHARI Guide de l analyse des risques, ISO Directory. Introduction To ISO (ISO27005). ICONTEC, R. Ross. Managing Risk from Information Systems. Recommendations of the National Institute of Standards and Technology. Gaithersburg, NIST Special Publication , ISACA. Documento S Ministerio de Administraciones Públicas. Modelo Estándar de Control Interno MECI, Decreto 1599, L. Elissondo. Informática Aplicada a los Negocios - Seguridad en los Sistemas de Información, 2008.

18 Contacto Marlene Lucila Guerrero Julio Luís Carlos Gómez Flórez