ArCERT. Oficina Nacional de Tecnologías de Información Subsecretaría de la Gestión Pública. Ing. Lorena B. Ferreyro. Río Gallegos - Mayo de 2007

Transcripción

1 rnadas de Seguridad Informática ArCERT Oficina Nacional de Tecnologías de Información Subsecretaría de la Gestión Pública Ing. Lorena B. Ferreyro Río Gallegos - Mayo de 2007

2 Temario ArCERT: trayectoria, actividades, casos resueltos Políticas de Seguridad de la Información: Decisión Administrativa 669/2004 Modelo de Políticas de Seguridad Implementación de la DA en organismos públicos Análisis de riesgos como primera medida para la implementación de la seguridad

3 ArCERT Coordinación de Emergencias en Redes Teleinformáticas de la Administración Pública Argentina Argentina - Computer Emergency Response Team

4 Qué es un CSIRT Un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) es una entidad de servicios responsable de recibir, revisar y responder a actividades o reportes vinculados a incidentes informáticos. (CERT C/C) CSIRT = CERT = CIRC = IRT = SERT = IRC

5 Qué es un incidente de seguridad informática? Cualquier evento adverso, real o potencial, vinculado a la seguridad de los sistemas informáticos o a las redes de computadoras. El acto de violar una política de seguridad explícita o implícita. o

6 Por qué son necesarios los CERTs Todas las organizaciones sufren incidentes de seguridad La velocidad de la respuesta limita el daño y baja los costos de la recuperación Se necesitan recursos especializados Colaboran con tareas preventivas (alertas) y correctivas (restablecimiento del servicio) Se vinculan con equipos de similar naturaleza

7 Iniciativas Internacionales FIRST APCERT (Lejano Oriente + Oceanía) TF-CSIRT (Europa) OEA CICTE (América)

8 Qué es FIRST FIRST es una red internacional de equipos de respuesta a incidentes, que trata en forma cooperativa incidentes de seguridad informática y promueve programas de prevención. Funciona como un foro de intercambio de información y experiencias y como una red de contactos confiable.

9 39 países 189 Equipos Coordinación con otros CERTs

10 ArCERT - Principales características CREADO Julio de 1999 MARCO LEGAL Resolución N 81/1999 Aprueba creación y establece funciones Disposición N 01/1999 Aprueba Reglamento de Operación Decreto N 1028/2003 Acciones de la ONTI en materia de seguridad informática MEMBRESIA Miembro del FIRST desde abril de 2004 AMBITO Organismos Públicos

11 ArCERT - Principales Objetivos OBJETIVO PRINCIPAL OBJETIVOS ESPECIFICOS Incrementar los niveles de Seguridad Informática del Sector Público Atención de Incidentes de Seguridad Actividades Preventivas Capacitación Difusión de Alertas e Información Productos y Proyectos Políticas de Seguridad de la Información Representación en Foros Internacionales Miembro del FIRST desde abril de 2004 Punto de Contacto para OEA Participación en MERCOSUR

12 Acciones de Cooperación Otros CSIRTs Organizaciones policiales (Law Enforcement) Justicia Entidades de investigación Proveedores de Servicios (ISP, SP) Sectores específicos (Bancos, gobiernos, universidades, proveedores, etc.)

13 Productos y proyectos Firewall (basado en software de libre disp.) SiMoS - Sistema de Monitoreo de Seguridad DNSar Análisis de Servidores y Dominios DNS CAL - Sistema de Sensores (en desarrollo) RAM Recolección y Análisis de Malware (en desarrollo) VIRUS Análisis de virus recibidos Lista de Seguridad Envío de alertas

14 SiMoS QUE ES? OBJETIVO BASADO EN Sistema de monitoreo remoto de seguridad Detectar vulnerabilidades en servidores que brinden servicios en Internet Herramientas de libre disponibilidad Interface Web de usuario Planificador de actividades ACUERDOS Autorización previa por Convenio Compromiso de confidencialidad

15 Interface Web de usuario SiMoS

16 DNSar QUE ES? Sistema de análisis de servidores y dominios DNS OBJETIVO Detectar y alertar sobre falencias en los servidores DNS de los Organismos Mantener una base de datos histórica con dicha información Generar información estadística

17 DNSar

18 DNSar ALGUNOS DATOS 2399 dominios servidores de DNS 36% servidores aceptan consultas recursivas 34% dominios con algún servidor que permite transferencia de zona 48% dominios tienen sólo 1 registro mx 41% dominios tienen, al menos, un NS que no responde 4% dominios con, al menos, un lame delegation 2% dominios utilizan cnames en MX o NS (RFC 2181) 0,6% dominios incluyen direcciones IP privadas (RFC 1918)

19 Reporte de Incidentes Se reciben reportes que: Afecten al Sector Público o Bancario Argentino Estén relacionados con ataques originados desde nuestro país (phishing, alojamiento de malware, etc) No estén vinculados con SPAM Fuentes: Organismos de gobierno Sector bancario ISPs Ciudadanos Equipos de respuesta a incidentes y organizaciones afectadas a nivel mundial. Fuentes de información públicas y privadas Recolección y análisis de malware Herramientas de detección

20 Algunos casos tratados Sustitución de Páginas Web (Defacement) Phishing (engaños) Código malicioso (Virus, gusanos, troyanos, etc) Botnets y Ataques de DDoS Intrusiones de mayor complejidad

21 Defacements de Páginas Web

22 Defacements de Páginas Web

23 Defacements de Páginas Web

24 Ataque DDoS utilizando DNS recursivos Reporte de ataque DDoS contra un ISP de EEUU Utilizaba DNS distribuidos que permitían consultas recursivas En Argentina 2600 servidores estaban afectados 62 entidades involucradas Acciones tomadas: se les notificó el incidente indicando posibles soluciones al problema de configuración Duración aproximada: 5 horas

25 Caso de potencial servidor DNS vulnerable 13/4/07 se hace pública una vulnerabilidad que podria producir DoS contra la interfaz de administración remota del servicio de DNS de MS Windows 2000 y /4/07 se recibe un reporte que informa de potenciales servidores públicos vulnerables. En Argentina 700 servidores potencialmente afectados 32 entidades involucradas Acciones tomadas: se les notificó el potencial impacto indicando posibles soluciones. La actividad se realizó el mismo día de recibido el reporte.

26 09/11/2006 Código malicioso distribuido por

27 03/05/2007 Código malicioso distribuido por

28 Casos de Phishing

29 Casos de Phishing Incremento considerable en los últimos meses Dos casos en Junio de 2006 que afectaban a clientes de Bancos de Argentina Acciones: Se recibieron reportes del incidente. Se contactó a los Bancos afectados. Se informó a los responsables de los proveedores de Internet que hosteaban los sitios con contenido malicioso. Se notificó al CERT Nacional de competencia.

30 x Algunos datos interesantes: Casos de Phishing El sitio malicioso estaba alojado en un servidor que físicamente estaba en un país del sudeste asíatico (GMT+8). La información que los usuarios enviaban era almacenada en otro servidor, que se encontraba en un país de Europa (GMT+2). 15:41 16:32 16:58 22:27 Primer acceso al sitio malicioso desde un IP en Atlanta, USA ArCERT recibe el primer reporte Se contacta al Banco. Se envían pedidos de baja al ISP y al CERT Nacional El sitio es dado de baja

31 x Accesos al sitio malicioso: Tiempo de vida: 6 horas, 46 minutos Más de 1000 IPs distintas Casos de Phishing

32 Problemas de Malware / botnet x Problema detectado La red interna del organismo estaba saturada, Algunos servidores debían ser reiniciados cada 10 min. Acciones Detección de binario malicioso que intentaba atacar a otros equipos y unirse a una botnet Análisis de los efectos del mismo Consejos para mitigar y restaurar los equipos.

33 Algunos datos empíricos Incidentes tratados A la fecha, 50% más que los casos reportados en el mismo período de Phishing 34 casos hosteados en Argentina 3 casos reportados sobre Bcos. argentinos Malware: 533 casos hosteados en Argentina 1 caso que afectaba a Bancos argentinos Problemas de configuración en los DNSs (DNSar) Sobre 1250 servidores 39% (Dic. 2006) 36% (Mar. 2007) aceptaban consultas recursivas

34 Políticas de Seguridad de la Información Decisión Administrativa 669/2004

35 Antecedentes Septiembre 2003 La ONTI convoca a distintos Organismos de la Administración Pública para conocer sus opiniones sobre estrategias de seguridad. Surge la necesidad de que los Organismos cuenten con una Política de Seguridad escrita. Se conforma un grupo de trabajo para la redacción de un Modelo de Política de Seguridad. Se acuerda basarse en la norma ISO/IRAM Se redacta el Modelo y se somete a la consideración de los Organismos Nacionales.

36 Antecedentes Se publica la página de Políticas de ArCERT Diciembre 2004 : se aprueba la DA 669/2004 (JGM) Se comienza la difusión de la norma y el Modelo Agosto Disposición 06/2005 (ONTI) Se aprueba el Modelo de Política de Seguridad de la Información Mayo 2006 se cumplió el plazo establecido Envio de nota a autoridades políticas

37 Decisión Administrativa 669/2004 Contenido Qué? Dictar o adecuar la Política de Seguridad de la Información. Conformar un Comité de Seguridad de la Información. Asignar las responsabilidades en materia de Seguridad de la Información.

38 Decisión Administrativa 669/2004 Contenido Quiénes? Ley Art. 8 - Inc. a) y c) Administración Nacional. La Administración Central. Los Organismos Descentralizados (incluidos los de la Seguridad Social). Entes Públicos excluidos del punto anterior Cualquier Organización estatal no empresarial con autarquía financiera, personería jurídica y patrimonio propio, donde el Estado Nacional tenga el control mayoritario del patrimonio o de la formación de decisiones.

39 Decisión Administrativa 669/2004 Contenido Cuándo? Dentro de los 180 días hábiles de aprobado el Modelo de Política.

40 Decisión Administrativa 669/2004 Contenido Cómo? En base al Modelo de Política de Seguridad a ser aprobada por la Subsecretaría de la Gestión Pública

41 Modelo de Política de Seguridad de la Información

42 Marco normativo en seguridad POLITICA DE DE SEGURIDAD Marco Marco general general que que define define las las pautas pautas que que deben deben cumplirse cumplirse en en materia materia de de seguridad seguridad NORMAS Definiciones Definiciones concretas concretas para para aspectos aspectos contemplados contemplados en en la la Política Política de de Seguridad Seguridad PROCEDIMIENTOS Serie Serie de de pasos pasos detallados detallados que que describen describen cursos cursos de de acción acción a a seguir. seguir. ESTANDARES Conjunto Conjunto de de parámetros parámetros técnicos técnicos a a configurar configurar en en elementos elementos informáticos. informáticos.

43 Modelo de Política - Estructura 3 Capítulos de Introducción Introducción Términos y definiciones Política de Seguridad de la información 9 Capítulos de Contenido de las distintas áreas Organización de la Seguridad Clasificación y control de Activos Seguridad del Personal Seguridad Física y Ambiental Gestión de Comunicaciones y Operaciones Control de Accesos Desarrollo y Mantenimiento de Sistemas Administración de la Continuidad de las Actividades del Organismo Cumplimiento

44 Modelo de Política - Estructura Seguridad Organizativa Seguridad Lógica Seguridad Física Seguridad Legal Clasificación y Control de Activos Política de Seguridad Organización de la Seguridad Control de Accesos TACTICO ESTRATEGICO Cumplimiento Seguridad del Personal Seguridad Física Y Ambiental OPERATIVO Desarrollo y Mantenimiento de Sistemas Gestión de Comunicaciones y Operaciones Continuidad de las Actividades

45 Generalidades Introducción sobre los tópicos tratados en el capítulo Modelo de Política - Estructura Objetivo Razón de ser del capítulo. Alcance Área de incumbencia que se ve afectada por las disposiciones establecidas en el capítulo. Responsabilidad Compendio de las responsabilidades de cada cargo en relación con las disposiciones establecidas en el capítulo. Política Desarrollo del capítulo.

46 Modelo de Política Los actores Comité de Seguridad de la Información Coordinador Responsable de Seguridad Informática Propietario de la Información Unidad de Auditoría Interna Responsable del Área Informática Responsable del Área Legal Área de RRHH Usuarios

47 Modelo de Política Contenido Capítulo 4 - Organización de la seguridad Interacción con otros organismos Cooperación entre Organismos Asesoramiento de otros Organismos Gestionar la Seguridad Comité de Seguridad Asignación de responsabilidades Revisión independiente Seguridad en el acceso de terceros Contratos Acuerdos Tercerización

48 Modelo de Política Contenido Capítulo 5 - Clasificación y control de activos Inventario de activos Clasificación de la información Confidencialidad Integridad Disponibilidad NIVELES CRITICIDAD ALTA CRITICIDAD MEDIA CRITICIDAD BAJA Rotulado de la información

49 Modelo de Política Contenido Capítulo 6 Seguridad del personal Acuerdos de Confidencialidad Incorporación de funciones en materia de seguridad a los cargos, términos y condiciones de empleo Comunicación de incidentes, debilidades y anomalías de software. Aprendiendo de los incidentes Formación y capacitación en materia de seguridad de la información

50 Modelo de Política Contenido Capítulo 7 Seguridad física y ambiental Escritorios, pantallas, impresoras, etc. NFORMACION Copias de seguridad Política de escritorios y pantallas limpias Equipamiento Ubicación y protección Desafectación o reutilización segura de equipos Mantenimiento (dentro y fuera) Perímetro de seguridad física Área protegida Control de acceso físico Control ante amenazas físicas Suministros de energía Seguridad del cableado Aislamiento de recepción y distribución

51 Modelo de Política Contenido Capítulo 8 Gestión de operaciones y comunicaciones Documentación de procedimientos Control de cambios Aprobación de sistemas nuevos Manejo de incidentes Segregación de funciones y ambientes Instalaciones externas Planificación de capacidad Resguardo de la información Protección contra software malicioso

52 Modelo de Política Contenido Capítulo 8 Gestión de operaciones y comunicaciones Registro actividades del personal operativo fallas Administración de la red Traslado y eliminación de medios de almacenamiento Intercambio de información Acuerdos Seguridad de medios de tránsito Seguriad del Gobierno Electrónico Seguridad del correo electrónico Sistemas de acceso público

53 Modelo de Política Contenido Capítulo 9 Control de accesos Política y reglas reglas de de control de de acceso Acceso de usuarios Registración Privilegios Derechos de acceso Acceso a la red Uso de servicios Seguridad de servicios Autenticación de conexiones externas Contraseñas Responsabilidades de usuario Computación móvil/trabajo remoto Protección de puertos Acceso a Internet Control de ruteo Acceso al SO Conexión de terminales Identific./Autentic. de usuarios Sist. de administración de contraseñas Uso de utilitarios Desconexión por tiempo muerto Limitación de horario de conexión Acceso a las aplicaciones Restricción de acceso a la información Aislamiento de sistemas sensibles Monitoreo del del acceso y uso uso de de los los sistemas

54 Modelo de Política Contenido Capítulo 10 Desarrollo y mantenimiento de sistemas Requerimientos de seguridad de los sistemas Controles de los sistemas Validación de datos de entrada Controles de procesamiento interno Validación de datos de salida

55 Controles criptográficos Política de utilización Cifrado Firma digital Servicios de No repudio Administración de claves Control de cambios a sistemas Modelo de Política Contenido Capítulo 10 Desarrollo y mantenimiento de sistemas Seguridad de archivos del sistema Control de acceso a bibliotecas de fuentes, a ejecutables y archivos de datos Control de cambio a datos operativos Protección de datos de prueba

56 Modelo de Política Contenido Capítulo 11 Administración de la continuidad de las actividades del organismo Clasificación de los distintos escenarios de desastres Análisis de impacto en el negocio Desarrollo de estrategias de recupero Desarrollo de un Plan de Continuidad Desarrollo de Planes de Contingencias Testeo y mantenimiento del plan

57 Modelo de Política Contenido Capítulo 12 Cumplimiento Cumplimiento de requisitos legales Propiedad Intelectual Protección de los registros del organismo Protección de datos y privacidad de la información personal Prevención del uso inadecuado de los recursos de procesamiento Regulación del uso de la criptografía Sanciones por incumplimeinto Cumplimiento de la Política y verificación de la compatibilidad técnica Auditoría de sistemas Controles de auditoría Protección de herramientas

58 Sitio ArCERT de Políticas: Mes 2 Mes 5 Mes 6

59 Sitio ArCERT de Políticas Mes 2 Qué encontramos? Mes 5 Mes 6 Información normativa (DA 669/2004) Modelo de Política de Seguridad de la Información Consejos útiles Modelos de procedimientos Documentación aportada por los organismos Novedades Preguntas frecuentes Información de interés Lista de información

60 Experiencias de los organismos en la implementación de la DA 669/2004

61 Experiencias en Organismos FACTORES CLAVE: Independencia del Área de Sistemas Búsqueda de Impulsores Estratégicos Búsqueda de Aliados (Reingeniería, O&M) Trabajo conjunto con áreas de Auditoría Respuesta a los requerimientos urgentes Créditos por la capacitación / concientización Organismo provincial: Comprensión de la necesidad de implementar las Políticas de Seguridad de la Información, adhiriendo a la DA 669/04 a pesar de la No obligatoriedad del Estado Provincial para su implementación.

62 Experiencias en Organismos ORGANIZACIÓN: Conformación de subcomisiones de trabajo asignadas por temática. COMUNICACIÓN: Decisiones y acciones del Comité publicadas en Intranet Realización de charlas al personal y entrega de instructivos sobre buenas prácticas en seguridad de la información. Implementación de una ventana informativa de temas de Seguridad Informática en la Intranet.

63 Experiencias en Organismos ACCIONES PREVIAS: Relevamiento del estado de la Seguridad de la Información relacionado con la Política Modelo. Definición del Plan General para implementar la Seguridad de la Información. Definición y elevación de requerimientos necesarios para el cumplimiento del Plan de implementación propuesto. Redacción y actualización sistemática de los Manuales de Procedimiento de los Sistemas y Programas utilizados. Unificación y ordenamiento coherente entre los archivos digitales y la documentación en papel.

64 Experiencias en Organismos ESTRATEGIA DE IMPULSO: Implementación del Plan Sectorial de Gobierno Electrónico permite poner en conocimiento de toda la población los trámites más relevantes del Organismo. Implementación de la tecnología de Firma Digital en el Organismo: brinda seguridad en cuanto a la autoría (autenticación del origen) y la integridad (evidencia cualquier alteración del contenido) de la información que intercambian Organismos e Instituciones. Avance sin tener formalizada la creación del Comité de Seguridad.

65 Gestión de Riesgos de Seguridad de la Información

66 Conceptos previos AMENAZA Evento cuya ocurrencia podría impactar en forma negativa en la organización. VULNERABILIDAD Ausencia o debilidad de un control. RIESGO Probabilidad de que una amenaza se concrete, en combinación con el impacto que ello podría producir. CONTROL Cualquier tipo de medida, que permita detectar, prevenir o minimizar el riesgo asociado con la ocurrencia de una amenaza especifica.

67 Gestión de riesgos El riesgo de una organización, comienza desde el momento mismo que la misma inicia sus actividades (Tal vez antes ) El riesgo puede ser identificado y reducido, nunca eliminado. Una organización se encuentra permanentemente en riesgo. No existe un entorno 100% seguro. Gestión de riesgos Proceso cíclico que consiste en identificar, analizar, evaluar, mitigar, transferir, evitar o aceptar los riesgos.

68 Metodología Caracterización Identificación de amenazas de cada activo Identificación de vulnerabilidades de cada activo Análisis de controles Determinación de la probabilidad de ocurrencia Análisis de impacto Cálculo del nivel de riesgo de cada activo

69 Metodología 1 Caracterización Características del proceso o sistema: Misión Funciones Políticas de seguridad implementadas Arquitectura de seguridad Topología de la red en la que procesa Flujo de información que maneja Procedimientos de desarrollo/mantenimiento Seguridad física y ambiental del ambiente de procesamiento Elementos: Hardware Software Interfaces Información que maneja Personas que mantienen el sistema Usuarios del sistema

70 Metodología 2 Identificación de amenazas de cada activo Naturales Humanas Inundaciones, terremotos, tornados, avalanchas, tormentas eléctricas, etc. Eventos causados u ocasionados por el hombre. Intencionales No intencionales Ataques basados en red, software malicioso, accesos no autorizados a información, etc. Accidentes, etc. Ambientales Interrupción prolongada de energía, polución, químicos, etc.

71 Metodología 2 Identificación de amenazas de cada activo ACCIONES que pueden formar parte de la materialización de la amenaza. Por ejemplo, un acceso no autorizado a información sensible puede ser concretado mediante la implementación de técnicas como ingeniería social, intrusión, etc.. MOTIVACIÓN que puede llevar a la existencia de una amenaza Por ejemplo, un acceso no autorizado a información sensible podría estar motivado por beneficios económicos a futuro. CAPACIDAD que debe poseer la fuente de amenaza para llevar a cabo una acción. En el ejemplo anterior, el atacante debe contar con los conocimientos requeridos para concretar el acceso, como ser, diversas técnicas de hacking.

72 Metodología 2 Identificación de amenazas de cada activo Sistema de Información Componente Fuente de amenaza Acciones de la amenaza Motivación Capacidades Sistema comercial Sistema XX Usuarios internos -Intrusión, etc. -Acceso no autorizado -Código malicioso, etc. Curiosidad Venganza Inteligencia Conocimientos de programación, redes, etc. Suministro de energía Corte de energía Desperfecto Huelga N/A

73 Metodología 3 Identificación de vulnerabilidades de cada activo Una vulnerabilidad es un error o debilidad existente en un sistema de información (proceso, diseño, implementación, controles, componente, personas involucradas, etc.) que puede ser explotado por una amenaza potencial. Es una condición que favorece la ocurrencia de un evento fortuito.

74 Metodología 3 Identificación de vulnerabilidades de cada activo Sistema de Información Componente Vulnerabilidad Fuente de amenaza Acciones de la amenaza Sistema comercial Sistema XX -Errores de diseño del sistema -Falta de control de acceso Usuarios internos -Intrusión, etc. -Acceso no autorizado -Código malicioso, etc. Falta de UPS Suministro de energía Corte de energía

75 Metodología 4 Análisis de controles Métodos de control Controles técnicos Controles no técnicos Categorías de controles Controles preventivos Controles detectivos

76 Metodología 4 Análisis de controles Sistema de Información Componente Requisitos de seguridad Control Implementado Tipo de control Sistema comercial Sistema XX Control de acceso Login SI Técnico Preventivo Resguardo de información Backups SI Técnico Preventivo

77 Metodología 5 Determinación de la probabilidad de ocurrencia Motivación y capacidad de la fuente de amenaza + Historial + Existencia y efectividad de los controles Nivel de probabilidad ALTO MEDIO BAJO Definición La fuente de amenaza posee alta motivación y suficiente capacidad, o el incidente ha ocurrido frecuentemente en el pasado; y los controles para prevenir que la vulnerabilidad sea explotada no son efectivos. La fuente de amenaza posee motivación y capacidad, o el incidente a ocurrido en ciertas ocasiones en el pasado; pero los controles existentes serían capaces de prevenir que la vulnerabilidad sea explotada. La fuente de amenaza carece de motivación o capacidad, o el incidente no ocurrido en el pasado, o los controles se encuentran en condiciones de prevenir, o al menos impedir significativamente, que la vulnerabilidad sea explotada.

78 Metodología 5 Determinación de la probabilidad de ocurrencia Sistema de Información Fuente de amenaza Componente Vulnerabilidad Motivación Capacidades Controles Probabilidad de ocurrencia Sistema comercial Sistema XX Usuarios internos Errores de diseño del sistema Alta Baja Efectivos BAJO Inadecuada asignación de permisos Alta Baja Efectivos BAJO Suministro de energía Falta de UPS Baja N/A No existen BAJO

79 6 Análisis de impacto Metodología Nivel de Impacto ALTO MEDIO BAJO Definición La ocurrencia del incidente provoca: -Una pérdida económica superior a $, o -La pérdida, divulgación o modificación no autorizada de información de alta criticidad[1], o -Un daño considerable a las actividades, o -Un daño considerable a la imagen o reputación, o -Perjuicios graves a seres humanos La ocurrencia del incidente provoca: -Una pérdida económica superior a $, o -La pérdida, divulgación o modificación no autorizada de información de criticidad media, o -Un daño a las actividades, o -Un daño a la imagen o reputación, o -Perjuicio a seres humanos La ocurrencia del incidente provoca: -Una pérdida económica inferior a $, o -La pérdida, divulgación o modificación no autorizada de información de criticidad baja, o -Un daño no significativo a las actividades, o -Un daño no significativo a la imagen o reputación [1] Esta clasificación de la información en criticidad alta, media o baja, se encuentra definida en el Modelo de Política de Seguridad de la Información emitido por la ONTI.

80 Metodología 7 Cálculo del nivel de riesgo de cada activo Probabilidad de ocurrencia N I V E L D E R I E S G O Nivel de impacto

81 Metodología 7 Cálculo del nivel de riesgo de cada activo Probabilidad de ocurrencia BAJO (10) Impacto MEDIO (50) ALTO (100) ALTO (1,0) MEDIO 10 x 1,0 = 10 ALTO 50 x 1,0 = 50 ALTO 100 x 1,0 = 100 MEDIO (0,5) BAJO 10 x 0,5 = 5 MEDIO 50 x 0,5 = 25 ALTO 100 x 0,5 = 50 BAJO (0,1) BAJO 10 x 0.1 = 1 BAJO 50 x 0,1 = 5 MEDIO 100 x 0,1 = 10 ESCALA APLICADA: Riesgo ALTO: de 50 a 100 Riesgo MEDIO: de 10 a 49 Riesgo BAJO: de 1 a 9

82 Toma de decisión EVITAR TRANSFERIR MITIGAR ACEPTAR IGNORAR

83 Muchas Gracias! Preguntas y Comentarios Ing. Lorena B. Ferreyro info@arcert.gov.ar