CONTENIDO






Introducción
Aplicación de los Métodos
Análisis de Riesgos
Checklist
Auditoria
Conclusiones
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
INTRODUCCION
Las empresas tienen la cultura de seguridad informática?
Todas las metodologías de evaluación de seguridad llegan a
un punto donde se preguntan. Cómo valorar el impacto que
causaría a un sistema la consecución de una amenaza?
En áreas donde las pérdidas esperadas y la frecuencia de las
amenazas pueden definirse en términos cualitativos o
cuantitativos, el análisis de riesgos puede ser empleado.
Requerimientos de seguridad adicionales pueden ser
determinados con otros métodos, por ejemplo la auditoria.
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
APLICACIÓN DE LOS
METODOS
Cuándo aplicar un método?
Checklist
Análisis
Riesgos
Auditoria
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
PROS/CONTRAS
Cultura del riesgo
Expresa en mejores términos
las pérdidas al ocurrir un evento
desfavorable.
resistencia a su aplicación
proceso que requiere tiempo
y de información disponible.
Proceso costoso.
Metodología cuantitativa
Valoraciones son objetivas.
Valor de la información en
términos monetarios.
Presupuesto destinado a la
seguridad del sistema esta basado
en análisis confiables y bien
sustentados.
Metodología cuantitativa
Requiere
ayuda
de
herramientas
Requieren
una
cantidad
sustancial de información.
No existe un estándar sobre
amenazas y sus frecuencias.
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
PROS/CONTRAS
Metodología cualitativa
No es necesario contar con
datos estadísticos
Checklist
Existen en forma abundante y
libre.
Fácil de aplicar, resumir y
comparar.
Flexibles
Su análisis es rápido.
Se pueden aplicar medidas
correctivas de inmediato
Metodología cualitativa
Valoración es esencialmente
subjetiva.
La percepción de valores
puede no reflejar realmente el
actual valor del riesgo.
Checklist
Arbitrario y subjetivo
Necesitan
actualizarse
constantemente.
Pueden no tratar necesidades
de un sistema particular.
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
PROS/CONTRAS
Auditoría
Propicia el mejoramiento de
procedimientos en el sistema.
Reduce
errores
organizacionales
Promueve la aplicación de las
políticas y estándares de
seguridad.
Descubre nuevas amenazas al
sistema.
(Retroalimenta el
análisis de riesgos)
Auditoría
Aptitud negativa de los
encargados de las partes
auditadas.
Requiere tiempo y esfuerzo.
Requiere tener pistas de
auditoria
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
ANALISIS DE RIESGOS
Qué podría ocurrir?
Sí ocurre, cuánto daño podría causar?
Qué tan a menudo podría ocurrir?
Qué puede ser hecho?
Cuál es el costo de la medida?
Es la medida efectiva?
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
ANALISIS DE RIESGOS
(Cont.)
Etapas del análisis de riesgos:
Planeación del análisis de riesgos
Identificación de amenazas y vulnerabilidades
Valoración del impacto y frecuencia de ocurrencia
de las amenazas
Cálculo del riesgo
Tratamiento del riesgo
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
ANALISIS DE RIESGOS
(Cont.)
Recurso
Amenaza
Vulnerabilidades
Vulnerabilidad 1
Vulnerabilidad 2
...
Vulnerabilidad 1
Vulnerabilidad 2
...
Vulnerabilidad 1
Vulnerabilidad 2
...
Amenaza 1
Recurso 1
Amenaza 2
Recurso 2
Amenaza 1
Integridad Datos
Modificac.
Destrucción
Confidencialidad
Disponibilidad
24hrs
72hr
2hrs
Recurso
Amen. 1
i
f
i
f
i
f
i
f
i
f
i
f
Amen. 2
i
f
i
f
i
f
i
f
i
f
i
f
........
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
ANALISIS DE RIESGOS
(Cont.)
Posibilidad de ocurrencia
Alta
Media
Baja
Alta
A
A
M
Media
A
Baja
B
Impacto
M
M
B
B
El proceso final es la mitigación del riesgo, en caso de que
la acción sea eliminar o reducir el riesgo.
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
CHECKLIST
Consiste en revisar si existen controles:
 Administrativos
 Operativos
 Técnicos
 Se verifica que se cumplan los principios de seguridad
generalmente aceptados GSSPs.
 Se pueden aplicar listas de chequeo técnicas a partes del
sistema en particular por ej: sistemas operativos.
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
CHECKLIST (Cont.)
A, B ... corresponde a cada uno de los controles técnicos
I, P,V, N,X estado en el que se encuentran cada uno de los
controles para cada recurso del sistema.
R1
A
I
B
N
C
P
D
P
E
N
F
N
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
AUDIT
La auditoria examina si el sistema esta cumpliendo con
los controles y políticas de seguridad que previamente se
definieron.
Se toma documentación existente en cuanto a: políticas,
análisis de riesgos, descripción de procesos, lista de
controles.La ausencia de algún documento amerita la
recomendación de la realización del mismo.
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
AUDIT (Cont.)
 Establecimiento de Logs
 Intento de logearse, Identidad, Fecha, Tiempo de cada
intento de entrada, Fecha y tiempo de salida, Dispositivos
usados, Las funciones ejecutadas

Aplicación del control de Logs
 Definición e implantación
 Revisión
 Control de acceso
 Reconstrucción de eventos
 Detección de intrusos
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
CONCLUSIONES
 Los encargados de seguridad sólo miran un mecanismo
de evaluación sin aplicar los demás.
 Realización de matrices para determinar los elementos
del riesgo en forma cualitativa de alto, medio, o bajo.
 En Colombia no se cuenta con registros a cerca de
incidentes de seguridad, es importante empezar a establecer
esta base de información.
 Es importante verificar la aplicación de estándares y
políticas de seguridad mediante checklist y auditoria.
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
CONCLUSIONES
 El análisis de riesgos no debe limitarse a realizarse una
sola vez, está inmerso en un ciclo de vida que requiere
retroalimentación.
 Es recomendable aplicar controles de seguridad, no por
intuición, sino aplicar aquellos que se recomienden
resultado de una exhaustiva evaluación de seguridad.
Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes
Descargar

Presentación Guía para la Evaluación de Seguridad en un Sistema