Gestión de Riesgos. Mario Ureña Cuate, CISA, CISM, CGEIT, CISSP Auditor Líder BS25999, ISO

Transcripción

1 Gestión de Riesgos Mario Ureña Cuate, CISA, CISM, CGEIT, CISSP Auditor Líder BS25999, ISO Pag

2 Agenda Introducción Gestión de riesgos Marcos de referencia para la gestión de riesgos Principios de la gestión de riesgos ISO Gestión de Riesgos Principios y guías (DRAFT) BS Gestión de Riesgos Código de práctica ISO Gestión de Riesgos de Seguridad de la Información Risk IT Framework Ejemplos Opciones de tratamiento de riesgos Conclusiones 2 Pag.2 2

3 Introducción 3 Pag.3 3

4 Introducción En la actualidad, son cada vez más las organizaciones que dedican recursos de personal, tiempo y dinero para la gestión de riesgos de TI, pero con tantos modelos, metodologías y técnicas disponibles: Por dónde empezar? Cuál de ellas es mejor? Debo utilizar un enfoque cualitativo o cuantitativo? Quién lo debe ejecutar? Con qué granularidad? Cómo tratar el riesgo? 4 Pag.4 4

5 Introducción Cuáles son los riesgos de los cuales me tengo que proteger? Cuál es el nivel de riesgo que debo tomar para maximizar mis ganancias? Eso es un riesgo o es una amenaza? El control lo aplico a la vulnerabilidad, a la amenaza o a los dos? 5 Pag.5 5

6 Introducción Diferentes tipos de riesgos: Riesgo de TI Riesgo de Seguridad de la Información Riesgo Operativo Riesgo de Continuidad del Negocio Riesgo de Proyecto Riesgo Financiero Riesgo de Auditoría Etc. 6 Pag.6 6

7 Introducción Nivel de granularidad: Empresa A: Total de escenarios de riesgos: 50 Empresa B: Total de escenarios de riesgos: >5,000, Pag.7 7

8 Introducción Hay de escenarios a ESCENARIOS: escenario: Epidemia de influenza - Abril Pag.8 8

9 Introducción Hay de escenarios a ESCENARIOS: ESCENARIO: Epidemia de influenza + Sismo 5.7 grados 27 de abril Pag.9 9

10 Introducción Posible Contagio Escenario: Epidemia Estrategia: Parte del personal laborando en oficinas Escenario: Sismo Estrategia: Desalojo y concentración en puntos de reunión Estrategia: Parte del personal laborando desde casa comunicándose vía Internet y teléfono Escenario: Perdida de comunicaciones Escenario: Saturación de líneas telefónicas Interrupción de la continuidad del negocio Pag

11 Introducción El caso de mi amigo. Proveedor de servicios de hospedaje y respaldo. Pag

12 Introducción ESCENARIO-TOTE (Por ponerle un nombre) Hackeo de página web + Pérdida de respaldos+ Epidemia de Influenza + Sismo 5.7 grados + Pérdida de comunicaciones + Fallas de Energía =? Pag

13 Introducción Solamente miré hacia el cielo, esperando ver pasar a los cuatro jinetes... Mi amigo Abril 27, 2009 Pag

14 Introducción Cómo evitar que ocurran eventos no deseados? Y en caso de que ocurran Cómo disminuir su impacto en la organización? Pag

15 Gestión de riesgos Pag

16 Marcos de referencia ISO/DIS (DRAFT) IEC/DIS ISO/D Guide 73 BS ISO/IEC ITGI - The Risk IT Framework Basilea II OCTAVE NIST SP AS/NZS 4360 M_o_R CRAMM MAGERIT TRA Working Guide Microsoft SRMG BS AIRMIC, ALARM, IRM ARMS UNE Pag

17 Marcos de referencia ISO/DIS (DRAFT) IEC/DIS ISO/D Guide 73 BS ISO/IEC ITGI - The Risk IT Framework Basilea II OCTAVE NIST SP AS/NZS 4360 M_o_R CRAMM MAGERIT TRA Working Guide Microsoft SRMG BS AIRMIC, ALARM, IRM ARMS UNE Pag

18 ISACA - Guías relacionadas COBIT 4.1 Process PO9 Assurance Guide Control Objectives for Basel II IT Governance Series IT Risk Management Security Baseline Control Objectives for Sarbanes Oxley Pag

19 Principios de la gestión de riesgos ISO/DIS La gestión de riesgos: a) crea valor b) es una parte integral de los procesos de la organización c) forma parte de la toma de decisiones d) explícitamente atiende la incertidumbre e) es sistemática, estructurada y oportuna f) está basada en la mejor información disponible g) está adaptada a la organización h) toma en cuenta factores humanos y culturales i) es transparente e inclusiva j) es dinámica, iterativa y responde al cambio k) facilita la mejora continua Pag

20 Principios de la gestión de riesgos BS La gestión de riesgos: i) debe ser adaptada a la organización ii) iii) iv) debe tomar en cuenta la cultura organizacional, factores humanos y comportamiento debe ser sistemática y estructurada debe operar en un lenguaje común v) debe basarse en la mejor información disponible vi) debe atender explícitamente la incertidumbre vii) debe ser parte de la toma de decisiones viii) debe proteger todo lo que sea valioso ix) debe ser transparente e inclusiva x) debe ser dinámica, iterativa y responder a cambios xi) debe considerar la revisión en la aplicación de los principios Pag

21 Principios de la gestión de riesgos Risk IT. La gestión de riesgos de TI: siempre está conectada a los objetivos del negocio alinea la gestión de riesgos del negocio relacionados con TI con la gestión de riesgos de toda la organización balancea los costos y beneficios de gestionar riesgos promueve una comunicación de riesgos de TI justa y abierta establece el tono adecuado desde arriba, mientras define y refuerza la responsabilidad personal para operar con niveles de tolerancia aceptables y bien definidos es un proceso continuo y forma parte de las actividades diarias Pag

22 ISO DIS / Propósito: Proveer los principios y guías generales para la implementación de la gestión de riesgos. No es utilizado con propósitos de certificación. Pag

23 ISO DIS / Es genérico y no es específico de alguna industria o sector. Aún cuando el estándar provee guías generales no es su intención imponer uniformidad en las organizaciones, respecto a la gestión de riesgos. El diseño e implementación de la gestión de riesgos depende de las necesidades específicas de la organización, objetivos particulares, contexto, estructura, productos, servicios, proyectos, procesos operativos y prácticas específicas empleadas. Pag

24 ISO DIS / Éste estándar intenta armonizar los procesos de gestión de riesgos en estándares existentes y futuros. Provee un enfoque común soportando estándares orientados a riesgos o sectores específicos. El ISO no pretende reemplazar los estándares ya existentes. Pag

25 ISO DIS / Componentes Compromiso de la gerencia Diseño del marco de referencia Mejora continua Implementar la gestión de riesgos Monitorear y revisar Pag

26 ISO DIS / Componentes Compromiso de la gerencia Diseño del marco de referencia - Entender a la organización y su contexto - Política de gestión de riesgos - Integración dentro de los procesos de la organización - Responsabilidad - Recursos - Establecer mecanismos de comunicación y reporte interno - Establecer mecanismos de comunicación y reporte externo Mejora continua Implementar la gestión de riesgos - Implementar el marco de referencia - Implementar el proceso de gestión de riesgos Monitorear y revisar Pag

27 ISO DIS / Inicio Proceso 27 Establecer el contexto Monitoreo y revisión Identificación riesgos Análisis de riesgos Evaluación de riesgos Comunicación y consulta Tratamiento de riesgos Pag

28 BS Publicado en Octubre Propósito: Provee las bases para el entendimiento, desarrollo, implementación y mantenimiento de la gestión de riesgos. Pag

29 BS Ha sido preparado para ser consistente con el ISO y también considera los siguientes documentos: HM Treasury s Orange Book OGC - M_o_R: Guidance for Practitioners COSO Enterprise Risk Management Integrated Framework IRM/AIRMIC/ALARM - Risk Management Standard Pag

30 BS Componentes Mandato y compromiso Mantenimiento y mejora Diseño del marco de referencia Monitorear y revisar Implementar la gestión de riesgos Pag

31 BS Proceso Pag

32 ISO Publicado en Junio Propósito: Provee guías para la gestión de riesgos de seguridad de la información. Soporta los principales conceptos especificados en ISO/IEC y ha sido diseñado para asistir en la implementación satisfactoria de seguridad de la información basada en un enfoque de gestión de riesgos. Pag

33 ISO Para un entendimiento completo de éste estándar, se requiere el conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC Aplica a todo tipo de organización que intente gestionar riesgos que pudieran comprometer la seguridad de la información de la organización. Pag

34 ISO Integración de ISO con otros estándares ISO ISO Otros estándares y prácticas de gestión de riesgos ISO Pag

35 ISO Proceso Vulnerabilidades Controles Consecuencias Activos Amenazas Establecer el contexto Identificación riesgos Estimación de riesgos Evaluación de riesgos Tratamiento de riesgos Transf. Evitar Retener Reducir Aceptación de riesgos Inicio Comunicación de riesgos Monitoreo y revisión de riesgos Pag

36 The Risk IT Framework Desarrollado por el IT Governance Institute Iniciativa de Risk IT Complementa a COBIT y Val IT Pag

37 The Risk IT Framework Propósito: El marco de referencia de Risk IT explica el riesgo de TI y permitirá a los usuarios: Integrar la gestión de riesgos de TI con la gestión de riesgos empresarial. Tomar decisiones bien informadas respecto a la extensión del riesgo, el apetito de riesgo y la tolerancia al riesgo de la organización. Entender como responder al riesgo Pag

38 The Risk IT Framework Definición de riesgo de TI: El riesgo de TI es riesgo del negocio específicamente, el riesgo del negocio asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de TI en la organización. Consiste de eventos relacionados con TI que potencialmente podrían impactar al negocio. Incluye frecuencia y magnitud, y crea retos para el cumplimiento de metas y objetivos estratégicos, así como incertidumbre en la búsqueda de oportunidades. Pag

39 The Risk IT Framework El riesgo de TI puede categorizarse en: Riesgo en la entrega de servicios de TI, asociado con el desempeño y disponibilidad de servicios de TI, y que puede provocar la destrucción o reducción del valor para la organización. Riesgo en la entrega de soluciones de TI / realización de beneficios, asociado con la contribución de TI a soluciones del negocio nuevas o mejoradas usualmente en la forma de proyectos y programas. Riesgo de realización de beneficios de TI, asociado con la perdida de oportunidades para usar la tecnología en la mejora de la eficiencia o efectividad de los procesos del negocio. Pag

40 The Risk IT Framework Valor del negocio No Ganar Ganar Habilitar beneficios / valor de TI Entrega de programas y proyectos de TI Entrega de operaciones y servicios de TI Perder Preservar Valor del negocio Pag

41 The Risk IT Framework Componentes Pag

42 The Risk IT Framework Escenarios / Componentes Pag

43 The Risk IT Framework Impacto al negocio 4A (Westerman / Hunter) Agility - Agilidad Accuracy - Precisión Access - Acceso Availability - Disponibilidad Pag

44 The Risk IT Framework Impacto al negocio COBIT Criterios de información Efectividad Eficiencia Confiabilidad Integridad Confidencialidad Disponibilidad Cumplimiento Pag

45 The Risk IT Framework Impacto al negocio BSC (COBIT Objetivos del negocio) Perspectiva Financiera Perspectiva del Cliente Perspectiva Interna Perspectiva de Aprendizaje y Crecimiento Pag

46 The Risk IT Framework Impacto al negocio BSC (Criterios de impacto extendidos) Valor de acciones Cuota de mercado Ingresos / Ganancias Costo de capital Satisfacción del cliente Impacto regulatorio Recursos Ventaja competitiva Reputación Pag

47 The Risk IT Framework Pag

48 The Risk IT Framework Pag

49 The Risk IT Framework COBIT + Val IT + Risk IT Pag

50 Ejemplos Pag

51 Ejemplo 1 - Identificación IDENTIFICADOR RIESGO 1 Uso no autorizado de equipos 2 Falla en equipos de telecomunicación 3 Fallas de energía eléctrica 4 Saturación de Sistemas de Información 5 Infección por virus informático N Riesgo N Pag

52 Ejemplo 1 - Identificación 1. Fuego 2. Daño por agua 3. Contaminación 4. Accidentes graves 5. Destrucción de equipo o medios 6. Terremoto /sismo /temblor 7. Deslave 8. Derrame químico 9. Explosión 10. Incendio 11. Epidemia 12. Lluvias intensas 13. Tormenta de Granizo 14. Ciclón tropical 15. Inundación 16. Tormenta eléctrica 17. Fallas en aire acondicionado 18. Fallas en provisión de agua 19.Fallas en equipos de telecomunicación 20. Fallas de energía eléctrica 21. Intercepción de información 22.Espionaje remoto 23. Espionaje 24. Robo de documentos 25. Robo de medios de información 26.Robo de equipo 27. Recuperación de medios reciclados 28. Divulgación de información 29.Recepción de datos de fuentes no confiables 30.Manipulación no autorizada de información 31. Detección de ubicación física 32. Falla de equipos 33. Malfuncionamiento de equipos 34.Saturación de sistemas de información 35. Malfuncionamiento de software 36. Uso no autorizado de equipo 37. Copia fraudulenta de software 38. Uso de software fraudulento 39. Corrupción de datos 40. Procesamiento ilegal de datos 41. Errores humanos 42. Abuso de privilegios 43. Denegación de acciones 44. Repudio de transacciones 45. Indisponibilidad del personal 46. Secuestro de funcionarios 47. Chantaje 48. Terrorismo 49. Amenaza de bomba 50.Bloqueo de instalaciones por manifestaciones públicas 51. Huelga 52. Impacto de aeronave 53.Acciones de empleados descontentos contra la organización 54.Infecciones por virus informático y código malicioso 55. Sabotaje 56. Hackers y otros agresores externos 57. Desconocimiento del usuario 58. Agresores internos 59. Phishing / Engaños intencionales 60. Spyware / Adware 61.Insuficiencia de infraestructura de seguridad 62. Software Deficiente 63. Negligencia del usuario 64. Spam 65. Hardware Deficiente 66.Interrupción del negocio de proveedores 67.Cambios significativos en el entorno económico Pag

53 Ejemplo 1 - Análisis Posibilidad de Ocurrencia Valor Casi cierto 5 Muy posible 4 Posible 3 Raro 2 Casi imposible 1 Impacto Valor Catastrófico 5 Mayor 4 Medio 3 Menor 2 Insignificante 1 Pag

54 Ejemplo 1 - Análisis POSIBILIDAD Casi imposible Raro Posible Muy posible Casi cierto IMPACTO Insignificante Menor Medio Mayor Catastrófico ID Evento de amenaza (riesgo) 1 Uso no autorizado de equipos 2 Falla en equipos de telecomunicación 3 Fallas de energía eléctrica 4 Saturación de sistemas de información 5 Infección por virus informático N Riesgo N Pag

55 Ejemplo 1 - Evaluación ID RIESGO P I R (P x I) 1 Uso no autorizado de equipos Falla en equipos de telecomunicación Fallas de energía eléctrica Saturación de Sistemas de Información Infección por virus informático N Riesgo N Pag

56 Ejemplo 1 - Evaluación ID RIESGO P I R (P x I) Prioridad 1 Uso no autorizado de equipos Falla en equipos de telecomunicación Fallas de energía eléctrica Saturación de Sistemas de Información Infección por virus informático N Riesgo N N Pag

57 Catastrófico Control de operaciones EMPRESA ABC Mayor 2 IMPACTO Medio Menor Insignificante N Casi Imposible Raro Posible Muy Posible Casi Cierto Pag.57 POSIBILIDAD

58 Ejemplo 2 - Identificación RIESGO Impactos Eventos Activo Amenazas Vulnerabilidades Pag

59 Ejemplo 2 - Identificación ACTIVO Pag

60 Ejemplo 2 - Identificación VULNERABILIDADES Pag

61 Ejemplo 2 - Identificación AMENAZAS AGENTE Pag

62 Ejemplo 2 - Identificación AMENAZAS EVENTO Pag

63 Ejemplo 2 - Identificación IMPACTO Pag

64 Ejemplo 2 - Identificación Ejemplos de activos: Personas Sistemas Aplicaciones Mobiliario Equipos de cómputo Instalaciones Documentos Registros Manuales Directorios Servicios Teléfono Fax Otros Pag

65 Ejemplo 2 - Identificación Gente / Entidades Procesos Tecnología de Información Sistemas / Aplicaciones Información / Datos / Documentos Plataformas / S.O. Red / Comunicaciones Física / Instalaciones Pag

66 Ejemplo 2 - Identificación Identificar vulnerabilidades Inherentes al activo. Relacionadas con la falta, insuficiencia, inefectividad o fallas de los controles sobre el activo. Pag

67 Ejemplo 2 - Identificación V=Se encuentra en un área que se puede inundar. V=Inflamable. A=Facturas V=No se encuentran concentradas en un mismo lugar. V=Almacenamiento desprotegido. V=Consumible. V=Puede sufrir daños físicos. Pag

68 Ejemplo 2 - Identificación Identificar amenazas: Naturales. No intencionales. Intencionales físicas. Intencionales no físicas. Pag

69 Ejemplo 2 - Identificación Ejemplos de amenazas: Naturales: Terremotos, lluvia, inundaciones, incendios, ciclones, tsunamis, deslaves, nevadas, temperaturas extremas, polvo, erupción volcánica, granizo, tornado, lluvia acida, plagas, etc. No intencionales: Incendios, fugas, derrames, explosiones, apagones, falla de equipos, ruido, etc. Intencionales físicas: Explosiones, incendios, robo, manifestaciones, plantones, terrorismo, etc. Intencionales no físicas: Infección por virus, SPAM, hackeo, robo de información, espionaje industrial, ingeniería social, fraude, etc. Pag

70 Ejemplo 2 - Identificación El CENAPRED* (México) clasifica las amenazas naturales en las siguientes categorías: Geológicas Terremoto / sismo / temblor Maremoto / tsunami Volcán Deslave Químicas Derrame Fuga Explosión Fuego / Incendio Sanitarias Contaminación Desertificación Epidemias Otras Partículas de polvo Hidrometeorológicas Precipitación pluvial Tormenta de granizo Tormenta de nieve Heladas Ciclón tropical Escurrimiento Inundación Sequía Erosión Viento Marea de tormenta Temperatura extrema Humedad extrema Huracán / Tifón Tormenta eléctrica Tormenta de arena Tornado Lluvia acida * CENAPRED = Centro Nacional de Prevención de Desastres. Pag

71 Ejemplo 2 - Identificación Pag

72 Ejemplo 2 - Identificación V=Se encuentra en un área que se puede inundar. E=Inundación A=Agua V=Inflamable. E=Incendio A=Fuego V=No se encuentran concentradas en un mismo lugar. E=Pérdida A=Empleado A=Facturas V=Almacenamiento desprotegido. E=Robo A=Empleado A=Visitantes V=Consumible. E=Uso A=Personal V=Puede sufrir daños físicos. E=Daño A=Personal A=Impresora Pag

73 Ejemplo 2 - Análisis Valor de activo Vulnerabilidad Severidad Exposición Amenaza (Agente y Evento) Motivación Capacidad Impacto Posibilidad de Ocurrencia Pag

74 Ejemplo 2 Análisis (Vulnerabilidades) Valor Severidad Exposición 1 Severidad Menor: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene poco potencial de pérdida o daño en el activo. Exposición Menor: Los efectos de la vulnerabilidad son mínimos. No incrementa la probabilidad de que vulnerabilidades adicionales sean explotadas. 2 3 Severidad Moderada: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño en el activo; o se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial moderado de pérdida o daño en el activo. Severidad Alta: Se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño en el activo. Exposición Moderada: La vulnerabilidad puede afectar a más de un elemento o componente del sistema. La explotación de la vulnerabilidad aumenta la probabilidad de explotar vulnerabilidades adicionales. Exposición Alta: La vulnerabilidad afecta a la mayoría de los componentes del sistema. La explotación de la vulnerabilidad aumenta significativamente la probabilidad de explotar vulnerabilidades adicionales. Severidad Exposición Pag

75 Ejemplo 2 Análisis (Amenazas) Valor Capacidad Motivación 1 Poca o nula capacidad de realizar el ataque. Poca o nula motivación. No se está inclinado a actuar. 2 3 Capacidad moderada. Se tiene el conocimiento y habilidades para realizar el ataque, pero pocos recursos. O, tiene suficientes recursos, pero conocimiento y habilidades limitadas Altamente capaz. Se tienen los conocimientos, habilidades y recursos necesarios para realizar un ataque Nivel moderado de motivación. Se actuará si se le pide o provoca. Altamente motivado. Casi seguro que intentará el ataque. Capacidad Motivación Pag

76 Ejemplo 2 Análisis (Impacto) Valor Descripción La brecha puede resultar en poca o nula pérdida o daño. La brecha puede resultar en una pérdida o daño menor. La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden verse afectados negativamente. La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden fallar o interrumpirse. La brecha puede resultar en altas pérdidas. Rango (suma de valores por pérdida de confidencialidad, integridad y disponibilidad) Valor Impacto Confidencialidad 3-5 Bajo (1) Integridad 6-10 Medio (2) Disponibilidad Alto (3) Pag

77 Ejemplo 2 - Análisis Proceso 01 Proceso 28 Facturación Proceso SISTEMA X RED FACTURAS Activo Sensibilidad de los activos Confidencialidad Integridad Disponibilidad Total1 Valor1 Valor Alto Alto Alto 3 Pag

78 Ejemplo 2 - Análisis Proceso 01 Proceso 28 Facturación Proceso SISTEMA X RED FACTURAS Activo Análisis de vulnerabilidades Vulnerabilidades Severidad Exposición Valor3 V1-EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO V57-SUSCEPTIBILIDAD A FALLAS V10 - ALMACENAMIENTO DESPROTEGIDO Pag

79 Ejemplo 2 - Análisis Proceso 01 Proceso 28 Facturación Proceso SISTEMA X RED FACTURAS Activo Análisis de amenazas Agentes de amenaza Eventos de amenaza Capacidad Motivación Valor4 A1-VIRUS INFORMÁTICO E1-INFECCIÓN POR VIRUS INFORMÁTICO A53-DISPERSORES DE AGUA E34-FALLA EN COMPONENTE DE TECNOLOGÍA A3-VISITANTES E14 - ROBO Pag

80 Ejemplo 2 - Análisis Proceso 01 Proceso 28 Facturación Proceso SISTEMA X RED FACTURAS Activo Posibilidad Pag

81 Ejemplo 2 - Evaluación Riesgo = Amenaza x Vulnerabilidad x Probabilidad Posibilidad x Impacto Amenaza Vulnerabilidad Probabilidad Posibilidad Impacto Riesgo Total Pag

82 Ejemplo 2 - Evaluación UMBRALES DE RIESGO LIMITE INFERIOR LÍMITE SUPERIOR ALTO MEDIO BAJO Pag

83 Opciones de tratamiento Fuente Opciones de tratamiento de riesgos de TI Risk IT Evitar Transferir Compartir Mitigar Aceptar --- ISO Evitar Transferir Reducir Retener --- BS Evitar Transferir Modificar Retener Buscar ISO Evitar Remover la fuente del riesgo Compartir Cambiar la naturaleza y magnitud de posibilidad Cambiar las consecuencias Retener por decisión Buscar una oportunidad Pag

84 Preguntas? 2008 Santiago Chile Pag

85 Gracias Mario Ureña Cuate CISA, CISM, CGEIT, CISSP Auditor Líder BS25999, ISO Pag

86 Bogotá, Colombia Marzo, 2010 Te esperamos!

87 International Conference 2010 Cancún, México 6 al 9 de Junio de 2010 Te esperamos!