Maestra en Gestin de Tecnologas de la Informacin

Materia: Seguridad en Sistemas Institucionales

RIESGO Y ANALISIS DE RIESGO

RIESGO
Dentro del ambiente de seguridad en computo, el termino se define como la posibilidad de que ocurra un evento no deseado y como resultado se obtengan perdidas o lesiones (financieras o de otro tipo)

ANALISIS DE RIESGO
Estudio estructurado que revisa la probabilidad de ocurrencia de eventos que ocasionan perdidas o lesiones en TI (riesgo) y de la misma forma, se examina el resultado que se tendra al ser afectado por una amenaza especifica.

AMENAZA, VULNERABILIDADES Y MEDIDAS DE PROTECCION

AMENAZAS Puede ser definido como cualquier evento con el potencial de causar dao a un sistema mediante su destruccin, modificacin de los datos o negacin del servicio. VULNERABILIDADES Se define como debilidades dentro de un sistema (seguridad) las cuales pueden ser explotadas con finalidad de causar daos. MEDIDAS DE PROTECCION Son las defensas que se disean para fortalecer las debilidades o vulnerabilidades EXPUESTOS Son las partes de un sistema que se encuentran sin proteccin y bajo la amenaza

RELACION ENTRE AMENAZAS, EXPUESTOS, RIESGOS Y PERDIDAS

Afecta los Lo cual lleva a Lo cual probablemente lleva a

AMENAZAS

EXPUESTOS

RIESGOS

PERDIDAS

RISK MANAGEMENT

Es el estudio cientfico y sistemtico del anlisis cuantitativo del riesgo en seguridad y de la introduccin de medidas de proteccin efectivas y costeables para minimizar su efecto

ELEMENTOS DE RISK MANAGEMENT

1. 2. 3. 4. Un equipo de personas capacitadas Identificacin de activos Identificacin de amenazas Determinacin de la probabilidad de ocurrencia 5. Calculo de la posible perdida 6. Introduccin de medidas de proteccin 7. Observacin y mejoras al proceso con base en resultados

ESTRATEGIA PARA LA JUSTIFICACION DEL COSTO DEL ANALISIS DE RIESGO

Primer estrategia. Se asigna un valor en dlares al tiempo de indisponibilidad de un sistema

1. Se calcula el costo por hora del salario promedio del personal que usa el sistema. 2. Se multiplica el costo por hora del salario del usuario por el numero de usuarios que usan el sistema 3. Se calcula de la misma manera el tiempo extra que utilizan los usuarios en reponer el tiempo perdido

ESTRATEGIA PARA LA JUSTIFICACION DEL COSTO DEL ANALISIS DE RIESGO

Primer estrategia. Se asigna un valor en dlares al tiempo de indisponibilidad de un sistema. 6. Finalmente se suman los dos resultados y se obtiene el costo total por hora de indisponibilidad de un sistema. 7. El calculo se puede hacer para 10,24 y 48 horas 8. Otros valores intangibles se pueden sumar como: satisfaccion del cliente, perdidas de ventas, etc.

ESTRATEGIA PARA LA JUSTIFICACION DEL COSTO DEL ANALISIS DE RIESGO

Segunda estrategia. Demostrar los beneficios que arroja un estudio como este. Un efectivo anlisis reduce costos en plizas de seguros ya que identifica los riesgos potenciales con lo cual se acotan los alcances del seguro

METODOLOGIA ANALISIS DE RIESGOS

FASE 1: FASE 2: activos FASE 3: FASE 4: formacin de equipos de trabajo identificacin y valuacin de evaluacin de amenazas controles y medidas de proteccin

FASE 1 Formacin de equipos de trabajo

Los equipos de trabajo debern estar formados por un coordinador por rea a ser analizada y un coordinador general

FASE 1 Formacin de equipos de trabajo

Caractersticas del coordinador general 1. Organizado 2. Orientado al detalle 3. Buen escritor (reportes) 4. Experiencia en administracin de proyectos y sus tcnicas 5. Excelentes aptitudes en comunicacin 6. Buenas relaciones personales

FASE 1 Formacin de equipos de trabajo

Adems de cumplir con las anteriores caractersticas el coordinador, por el tipo de trabajo a realizar, deber tener el apoyo total de la administracin

FASE 2 Identificacin y Evaluacin de Activos

Es el anlisis de los recursos que mantienen un valor para una organizacin los cuales se encuentran susceptibles a daos o perdidas

FASE 2 Identificacin y Evaluacin de Activos

ACTIVO Desde el punto de vista contable, activo se define como algo con valor para el negocio el cual debe ser medido con precisin y expresado en pesos. Para Risk Management la definicin de activo es simplemente algo con valor para el negocio
Nota: debemos de tener en mente que no solamente se trata de pesos y centavos con los que se estar trabajando.

FASE 2 Identificacin y Evaluacin de Activos

Valuacion de Activos Tomando en cuenta que un activo es algo con valor, se puede decir que un sistema de computo o cualquier otro sistema probablemente tengo un valor para el negocio, si esto no es as, el sistema no se debi haber creado. El proceso de valuacin de activos considera nicamente lo que tiene valor para el negocio y preferentemente este valor es expresado en pesos o dlares.

FASE 2 Identificacin y Evaluacin de Activos

Valuacin de Activos Para TI, el anlisis de valuacin de activos tendr que ver estrictamente con las siguientes tres propiedades:

1. Disponibilidad 2. Confidencialidad 3. Integridad

FASE 2 Identificacin y Evaluacin de Activos

Valuacin de activos (Disponibilidad) Cul es el valor de la continua disponibilidad de un servicio? O desde otro punto de vista, Qu pasara si el servicio desapareciera por completo? Qu pasara si el sistema de nomina desapareciera?... Cmo calcularas su indisponibilidad?

FASE 2 Identificacin y Evaluacin de Activos

Valuacin de activos (Confidencialidad) La confidencialidad se refiere a la necesidad de no hacer publico los datos e informacin de una organizacin.
Por ejemplo, un competidor pagara bien por la informacin sobre el presupuesto exacto asignado a la publicidad de un producto en especifico.

FASE 2 Identificacin y Evaluacin de Activos

Valuacin de Activos (Integridad) La integridad de un activo es la propiedad que se relaciona con la legitimidad, exactitud y totalidad de este.

Legitimidad Verdadera Exactitud = Correcta Total = Completa

Por ejemplo, si un banco no se encuentran estas tres propiedades en el sistema de cheques (saldos legtimos, exactos y totales), el banco se enfrentara a grandes perdidas.

FASE 2 Identificacin y Evaluacin de Activos

Clasificacin de Activos
Existen dos maneras de clasificar activos que son de inters par un trabajo en seguridad. 1. Tangibles / Intangibles 2. Fsicos / Lgicos

FASE 2 Identificacin y Evaluacin de Activos

Clasificacin de Activos
Activos Tangibles: son aquellos que se pueden medir fcilmente en dlares o pesos. Por lo contrario, los activos Intangibles son difciles de medir en dlares o pesos.

Los activos Fsicos son aquellos que se pueden tocar. Los activos Logicos son aquellos que no se pueden tocar como son los datos o la informacion.

FASE 2 Identificacin y Evaluacin de Activos

Clasificacin de Activos

La marca Tylenol

Es un activo tangible o intangible?

FASE 2 Identificacin y Evaluacin de Activos

Clasificacin de Activos
Johnson & Johnson probablemente consideraba su marca Tylenol como un activo intangible ya que su valor era difcil de calcular. En 1986 se encontraron envases con los sellos violados conteniendo cpsulas envenenadas, el rediseo del producto y las campaas de publicidad que se hicieron para cambiar la imagen daada y buscar la aceptacin nuevamente del publico se puede considerar como valor del activo.

FASE 2 Identificacin y Evaluacin de Activos

Clasificacin de Activos (fsicos y lgicos) Un activo fsico tambin es considerado tangible y de la misma forma, un activo lgico es considerado, en la mayora de los casos un activo intangible. El valor fsico de un disco (medio magntico) es aprox. $8.00 pesos. El valor de la informacin almacenada en el, puede valer miles de pesos. En este caso el valor esencial del disco tiene un valor agregado.

FASE 2 Identificacin y Evaluacin de Activos

Clasificacin de Activos (fsicos y lgicos) Para estimar el valor de la informacin almacenada en el disco, se puede optar por calcular el tiempo de regeneracin de dicha informacin, esto puede ser:
Horas maquina (procesamiento de datos) Horas hombre (programacin de cdigo) La combinacin de ambos

FASE 2 Identificacin y Evaluacin de Activos

Subclasificacin de Activos existen subclasificaciones de activos, estas son diseadas para cubrir las necesidades especificas de cada anlisis de riesgo. Se debe considerar las siguientes caractersticas. 1. Completa o tan completa como sea necesario 2. No sea larga 3. No contenga duplicados

FASE 2 Identificacin y Evaluacin de Activos

Subclasificacin de Activos Ejemplo de subclasificacion de activos
1. 2. 3. 4. 5. 6. Recursos Humanos Fsico y Medio Ambiente Comunicaciones Hardware Software Datos e Informacin

FASE 2 Identificacin y Evaluacin de Activos

Subclasificacin de Activos

Hw

Software
Datos Recursos Humanos

Relacin de los cuatro principales tipos de activos

FASE 3. Evaluacin de Riesgos

La evaluacin de riesgos se compone por las siguientes partes:
Anlisis de amenazas
Anlisis de posibles amenazas cuya ocurrencia pudiera causar perdidas.
Anlisis de debilidades en controles de seguridad los cuales pudieran causar un aumento en la frecuencia de ocurrencia de amenazas. Anlisis de las posibles perdidas de la organizacin Anlisis de controles de seguridad, sus costos y beneficios de implantacin

Anlisis de Vulnerabilidades

Anlisis de Perdidas

Anlisis de Costo Beneficio

FASE 3. Evaluacin de Riesgos

(ANALISIS DE PERDIDAS)

Objetivo
El propsito de este anlisis es determinar el impacto (anual) esperado debido a amenazas que afectan a los activos de la organizacin

FASE 3. Evaluacin de Riesgos

(ANALISIS DE PERDIDAS)

El primer paso del anlisis de perdidas es determinar la perdida por ocurrencia para cada amenaza identificada. Para determinar las perdidas por evento, cada amenaza deber ser comparada contra cada subclasificacion de activos. La subclasificacion de activos son: Recursos Humanos, Fsico y Medio Ambiente, Comunicaciones, Hw, Sw, Datos e Informacin.

FASE 3. Evaluacin de Riesgos

(ANALISIS DE PERDIDAS)

Para obtener las perdidas por evento se deber combinar los resultados de la identificacin y valuacin de activos con la identificacin de amenazas. Como resultado de esta combinacin de informacin se generara un nuevo documento que contendr las perdidas de cada amenaza identificada.

FASE 3. Evaluacin de Riesgos

(ANALISIS DE PERDIDAS)
Registro de valuacin de activos
Concentrado de valuacin de activos
Descripcin de Activo

Valor intrnseco

Valor Adquirido Integridad

Disponibilidad $61,126.00 $24,000.00 $3,723.00 $1,000.00 $52,000.00 $141,849.00
confidencialidad

total

Software Fsico y Medio Amb. Hardware Comunicaciones Datos e informacin

$7,866.00 $3,420.00 $51,977.00 $2,085.00 $3,970.00 $69,318.00

$3,674.00 $1,000.00 $15,500.00 $20,174.00

$1,200.00 $43,200.00 $44,400.00

$72,666.00 $28,620.00 $55,700.00 $4,085.00 $114,670.00

$275,741.00

FASE 3. Evaluacin de Riesgos

(ANALISIS DE PERDIDAS)

IDENTIFICACION DE AMENAZAS
Tipos de amenaza Vandalismo Posibilidad
Qu tan seguido ocurre?

Multipicador Costo / Perdida 4

4 veces por ao

Virus
Robo Falla de hardware Falta de procedimientos de respaldo

6 veces por ao
1 ves por mes 2 veces por ao 20 veces por ao

6
12 2 20

FASE 3. Evaluacin de Riesgos

(ANALISIS DE PERDIDAS)
IDENTIFICACION DE VULNERABILIDADES Hardware
Cat. De vulnerabilidad Control de acceso (vandalismo) Control de acceso (robo) Sist. Aplicaciones (virus) SI SI
Decisin de direct Critica Grave Importante Menor

Comentarios controles Serv. Seguridad Candados Software

SI

Tcnico (falla de Hw)

Planes de contingencia (falta de respaldos)

SI
SI

Mant, servidor
Polticas y capacitacin

FASE 3. Evaluacin de Riesgos

(ANALISIS DE PERDIDAS)

Una vez calculado las perdidas en cuanto a la destruccin (valor intrnseco), disponibilidad, integridad y confidencialidad por cada una de sus subclasificaciones se podr obtener la perdida total por instalacin.

FASE 3. Evaluacin de Riesgos

(ANALISIS DE PERDIDAS)
PERDIDAS POR EVENTO AMENAZA: VIRUS
Descripcin de Activo Software Fsico y Medio Amb. Hardware

Valor intrnsec o
$7,866.00

Valor Adquirido Integridad

$3,674.00 Disponibilidad $61,126.00
confidencialidad

total

$72,666.00

Comunicaciones
Datos e informacin

$2,085.00
$3,970.00

$1,000.00
$15,500.00

$1,000.00
$52,000.00 $43,200.00

$4,085.00
$114,670.00

$191,421.00

FASE 3. Evaluacin de Riesgos

(ANALISIS DE PERDIDAS)
El paso final del anlisis de perdidas es la combinacin del numero de ocurrencias por amenaza (anlisis de amenazas) con el resultado del anlisis de perdidas anuales por expuestos. La perdida anual por expuesto representa las perdidas esperadas, en un tiempo promedio de un ao. Por ejemplo El num. De ocurrencia para un evento de un incendio mayor dentro de una organizacin es de 0.05 Las perdidas estimadas por evento son de $300,000.00 La perdida anual por expuesto es:
0.05 x $300,000.00 = $15,000.00

FASE 3. Evaluacin de Riesgos

(ANALISIS DE PERDIDAS)
PERDIDA ANUAL POR EXPUESTO Antes de Implantarse Controles

Amenaza
Control de acceso (vandalismo) Control de acceso (robo) Sist. Aplicaciones (virus) Tcnico (falla de Hw) Planes de contingencia (falta de respaldos)

Perdidas por evento

$275,741 198,990 $119,421 186,324

Multiplicador
4 12 6 2 20

Comentarios controles
$1,102,964 $2,387,880 $716,526 $372,652

FASE 3. Evaluacin de Riesgos

(ANALISIS COSTO-BENEFICIO)

Objetivo
El propsito del anlisis es identificar los controles de que forma eficiente, lleguen a reducir los riesgos identificados durante el anlisis de riesgo

FASE 3. Evaluacin de Riesgos

(ANALISIS COSTO-BENEFICIO)

Primer paso
Consiste en la identificacin de controles los cuales puedan llegar a reducir las vulnerabilidades identificadas en el anlisis de vulnerabilidad Los controles identificados debern cumplir con los siguientes aspectos
1. Una reduccin en el numero de ocurrencia de la amenaza o del conjunto de amenazas 2. Una reduccin en los efectos ocasionados por una amenaza una vez que esta haya ocurrido

Controles

FASE 3. Evaluacin de Riesgos

(ANALISIS COSTO-BENEFICIO)

Costo del control

Una vez identificado el control para cada una de las vulnerabilidades detectadas, su costo debe ser determinado Existen 2 componentes para cualquier control
1. El costo de compra y su costo de instalacin 2. El costo de mantenimiento

Componentes del costo

FASE 3. Evaluacin de Riesgos

(ANALISIS COSTO-BENEFICIO)

Ambos costos debern ser divididos por el tiempo de vida del control para dar como resultado el costo anual prorrateado. Esta es la parte del costo del anlisis costobeneficio

FASE 3. Evaluacin de Riesgos

(ANALISIS COSTO-BENEFICIO)

Beneficios del Control

Los controles proveen de beneficios a las organizaciones mediante la reduccin del numero de ocurrencias de una amenaza o por la reduccin de perdidas. Las reducciones en ocurrencia de amenazas debido a la implantacin de controles, debern ser estimadas y usadas para producir un nuevo calculo de perdida anual por expuesto despues de implantacion de controles.

FASE 3. Evaluacin de Riesgos

(ANALISIS COSTO-BENEFICIO)

Beneficios del Control

La diferencia entre el nuevo calculo de perdida anual por expuesto y su calculo original se identifica como la parte del beneficio del analisis de costo-beneficio.

FASE 3. Evaluacin de Riesgos

(ANALISIS COSTO-BENEFICIO)

Anlisis
Si el beneficio causado por el control es mayor al costo del control, se deber implantar el control. Si el costo del control es mayor al beneficio entonces el control deber ser rechazado.

FASE 3. Evaluacin de Riesgos

(ANALISIS COSTO-BENEFICIO)
Ejemplo Si la probabilidad de una interrupcin en la fuente de suministro de energa elctrica es de 20 veces por ao. El costo de interrupcin es de $5,000.00 por evento. Por lo tanto, la perdida anual por expuesto es de $100,000.00 Calculo despus de implantar controles si el costo de un UPS (control) es de $50,000.00 anuales (prorrateado) Con lo cual se reduce las interrupciones a 4 por ao La perdida anual por expuesto despus de implantar el control ser de $20,000.00

FASE 3. Evaluacin de Riesgos

(ANALISIS COSTO-BENEFICIO)
PERDIDA ANUAL POR EXPUESTO Despus de Implantacin de Controles Amenaza Control de acceso (vandalismo) Control de acceso (robo) Sist. Aplicaciones (virus) Tcnico (falla de Hw) Planes de contingencia (falta de respaldos) Perdidas por evento $275,741 $198,990 $119,421 186,324 Multiplicador 2 1 2 1 4 Comentarios controles $551,482 $198,990 $382,842 $186,324

FASE 3. Evaluacin de Riesgos

(ANALISIS COSTO-BENEFICIO)
Amenaza Control de seguridad Perdida anual antes de controles Perdida anual despus de controles Beneficios del control Costo del control Decisin (aceptacin o rechazo) SI

vandalismo

Agentes de seguridad

$275,741 $275,741

$765,684

robo
virus Hw falta de respaldos

Compaa de seguridad
Firewall, antivirus Servidor

$198,990
$119,421 186,324

$198,990
$119,421 186,324

$551,482

SI

$218,899

SI

$326,070

SI

Politicas , capacitacion

SI