Auditoria y metodologia de riesgos
-
Upload
marco-garcia -
Category
Documents
-
view
6 -
download
0
description
Transcript of Auditoria y metodologia de riesgos
-
1. Introduccin a Risk 1. Introduccin a Risk ManagementManagement
Factores en la Determinacin del Valor del Riesgo
u Impacto Financiero (Costo de Prdida Dao)
u Probabilidad de Ocurrencia
u Costo /Unidad de Tiempo
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
-
1. Introduccin a Risk 1. Introduccin a Risk ManagementManagement
Cuantificacin del Riesgog
Costo de Prdida Costo de Prdida
RIESGO = X
Probabilidad de Ocurrencia
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
-
1. Introduccin a Risk 1. Introduccin a Risk ManagementManagement
VALOR DEL RIESGO
Costo de Prdida Total = $ 150000,000 U.S.D.
Probabilidad de Ocurrencia = 0.003/Ao
Valor del Riesgo = $ 450,000 U.S.D. /Ao
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
-
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
3 1 Obt l C i S t d l Alt3.1 Obtener el Compromiso y Soporte de la Alta Gerencia
3.2 Formar el Equipo de Anlisis y Evaluacin de Riesgos
3.3 Identificar, Clasificar y Valuar Activos
3 4 Identificar Amenazas y Vulnerabilidades3.4 Identificar Amenazas y Vulnerabilidades
3.5 Elaborar la Matriz de Anlisis y Evaluacin d Ri (A i VS A )
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
de Riesgos (Activos VS Amenazas)
-
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
3.6 Determinar: Impacto Financiero, Probabilidad de ocurrencia y Riesgo por c/relacin Activo-Amenaza
3.7 Definir Medidas de Proteccin (Estrategias y Controles)
3.8 Desarrollar el Anlisis Beneficio/Costo de las Medidas de Proteccin
3.9 Determinar la Factibilidad Tcnica, Econmica y Operacional de la implementacin de las Medidas de Proteccin.
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
3.10 Probar, Implementar y Evaluar las Medidas de Proteccin
-
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
3 1 Obt l C i S t d l 3.1 Obtener el Compromiso y Soporte de la Alta Gerencia
E bl bj i l l Ri k M u Establecer objetivos claros para el Risk Management
u Asignar Equipo de Gente CalificadaDelegar autoridadu Delegar autoridad
u Revisar Conclusiones
T d i i t M did d P t iu Tomar decisiones respecto a Medidas de Proteccinu Dar Soporte a la Implementacin
u Evaluar Resultados
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
u Evaluar Resultados
-
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3 2 Formacin del Equipo de Anlisis y 3.2 Formacin del Equipo de Anlisis y
Evaluacin de Riesgos u Usuarios u Usuarios
u Gerencia de Informtica
Soporte Tcnicou Soporte Tcnico
u Desarrollo de Sistemas
O i d l C t d C t u Operaciones del Centro de Cmputo
u Auditora
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
u Seguridad Informtica, Otros
-
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3 3 Identificar Clasificar y Valuar Activos
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3.3 Identificar, Clasificar y Valuar Activos. Identificacin y Clasificacin de Activos.HardwareHardwareSoftwarePersonal. Habilidades y procedimientosy pActivos Fsicos y AmbientalesActivos AdministrativosDatos e InformacinEquipo de Comunicaciones
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
Imagen de la Empresa (Goodwill)
-
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3 3 Identificar Clasificar y Evaluar Activos
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
Hardware SoftwareMquina Central Sistemas Operativos
CPU ProgramasMemoria Principal Aplicaciones
3.3 Identificar, Clasificar y Evaluar ActivosFsicos
Sistemas ambientales
Equipo de Respaldo
Equipo de Comunicaciones
LneasMemoria Principal AplicacionesCanales de Entrada/Salida UtilerasConsola del Operador Programas de Prueba
Medios de Almacenamiento ComunicacionesDiscosCintas
Equipo de Respaldo
Accesorios
Edificio
Lneas
Controladores
" Front End Processors "
Modems
MultiplexoresPersonal
Personal de InformticaContratistas ProveedoresUsuariosPersonal del Edificio
CintasCartuchosCassettes
Dispositivos de I/OImpresorasDi iti d T j t
DatosClasificados
De Planeacin
Financieros
p
Unidades de Interfase
Servidores de Archivos
Dispositivos de Encripcin
CablesPersonal del Edificio
AdministrativosDocumentacinOperaciones
Dispositivos de TarjetasTerminales" Gateways "Drives de Discos y Cintas
Equipo Especial
Financieros
De Logstica
De Personal
Comunicaciones
Salas
Telfonos
Faxes
Etc.
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
ProcedimientosInventario
Equipo de Bases de DatosControladoresServidores de Archivos
-
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt Clasificacin de Activos
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
Activos Tangibles:Son aquellos cuyo valor puede ser fcilmente medible q y pen trminos monetarios (dlares, pesos, etc.)
Activos Intangibles:Son aquellos activos que NO son fcilmente medibles en trminos monetarios (dlares, pesos, etc.)
Ejemplos: - Tylenol/Jonhson & Jonhson. Sellos rotos y Ejemplos: Tylenol/Jonhson & Jonhson. Sellos rotos y cpsulas con txicos introducidas en los frascos
- Pentium/ Intel Errores en clculos matemticos- Carcasas de Notebooks (Compaq)
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
( p q)- Calidad en Notebooks (Dell)
-
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt Clasificacin de Activos
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
Activos Fsicos:Son aquellos activos que podemos tocar o sentir. Son q q ptambin Activos Tangibles.
Activos Lgicos:Son aquellas cosas como datos o arreglos de cosas. Muchos de ellos son Intangibles.
Ejemplos: Ejemplos: Un programa en un diskette.Cunto vale el diskette fsico? 2 US DlaresCunto vale el programa? Cientos de Miles de Dlares
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
Cunto vale el programa? Cientos de Miles de DlaresValor de rehacer el programa???
-
3 Metodologa de Risk Mgmt 3 Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt Valuacin de Activos
Mtodo: Escala Base 10:
N E l V l US DlNmero Escalar Valor en US Dlares0 $ 1 o menos1 hasta $101 hasta $102 $1003 $1,0004 $10 0004 $10,000. .8 $100000,000
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
En esta escala, el nmero asignado se basa en una potencia de 10.
-
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt Mtodo: Escala Base Logartmica:
g gg g
Nmero escalar Valor en US Dlares0 Menor a $3001 Hasta $7001 Hasta $7002 Hasta $2,0003 Hasta $5,0004 $15 0004 $15,0005 $40,0006 $110,0007 $300 0007 $300,0008 $800,0009 $2200,000E t t bl d l it d f t d
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
En esta tabla cada lmite de rango crece por un factor de alrededor de 2.7183 en lugar de un factor de 10.
-
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
3.5 Elaborar la Matriz de Activos VS Amenazas
g gg g
8 Accidental
Amenazas
t
e
r
r
u
p
c
i
n
o
r
r
u
p
c
i
n
e
m
o
c
i
n
e
v
e
l
a
c
i
n
e
s
t
r
u
c
c
i
n
t
e
r
r
u
p
c
i
n
o
r
r
u
p
c
i
n
e
m
o
c
i
n
e
v
e
l
a
c
i
n
e
s
t
r
u
c
c
i
n
1 2 3 4 5 6
I
n
t
C
o
R
e
R
e
D
e
I
n
t
C
o
R
e
R
e
D
e
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
-
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt CONCEPTOS DE PROBABILIDAD
Annualized Loss Multiplier Table
F i i l C / l i li d
g gg g
Frecuencia Equivalente Costo/MultiplicadorSubjetiva Fraccionario de PrdidaNunca - 0.0Una vez en 300 aos 1/300 0.00333Una vez en 200 aos 1/200 0.005Una vez en 100 aos 1/100 0.01Una vez en 50 aos 1/50 0.02Una vez en 25 aos 1/25 0.04Una vez en 5 aos 1/5 0.20Una vez en 5 aos 1/5 0.20Una vez en 2 aos 1/2 0.50Anualmente 1/1 1.0Dos veces al ao 1/.5 2.0Cuatro veces al ao 1/.25 4.0U l 12/1 12 0Una vez al mes 12/1 12.0Dos veces al mes 12/.5 24.0Una vez a la semana 52/1 52.0Una vez al da 365/1 365.0Dos veces al da 365/.5 730.0
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
/Diez veces al da 265/.1 3,650.0Una vez cada hora 8760/1 8,760.0Una vez cada minuto 525,600/1 525,600.0
-
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
3.6 Determinar el Impacto Financiero, la Probabilidad de Ocurrencia
g gg g
DETERMINAR IMPACTO FINANCIERO$ VARIABLE
DETERMINAR PROBABILIDAD DE OCURRENCIAFRECUENCIA VARIABLE
3.6 Determinar el Impacto Financiero, la Probabilidad de Ocurrenciay calcular el Riesgo por cada relacin Activo-Amenaza
10 U = 1100 U = 2
1,000 U = 310,000 U = 4
100 000 U = 5
Una vez en 300 aos P = 1Una vez en 30 aos P = 2Una vez en 3 aos P = 3Una vez cada 100 das P = 4U d 10 d P 5100,000 U 5
1'000,000 U = 610'000,000 U = 7
100'000,000 U = 81,000'000,000 U = 9
Una vez cada 10 das P = 5Una vez por da P = 6Diez veces por da P = 7Cien veces por da P = 8
CALCULAR EL VALOR DEL RIESGO
RIESGO = (IMPACTO FINANCIERO) (PROBABILIDAD DE OCURRENCIA)( P + U - 3)
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
R = ----10
3
-
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt g gg g3.7 Definir las Medidas de Proteccin
(Estrategias y Controles)
Seguridad
Componentes Esenciales de la Seguridad
D SeguridadComunicaciones, Proceso de
Datos, Tcnica
D
ACTIVOGN
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
El concepto de Anillos de Proteccin
-
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt 3.7 Definir las Medidas de Proteccin
(Estrategias y Controles)
g gg g
ESTRATEGIAS
1. Evitar el Riesgo2 P ti (Di idi ) l Obj ti2. Partir (Dividir) el Objetivo3. Colocar el Activo en una posicin altamente visible4. Ocultar el Activo5. Combinar varios activos6. Uso de mltiples estrategias. Anillos de Proteccin
Ti d t l P t i D t i R iTipos de controles : Proteccin, Deteccin, ReaccinControles Preventivos Controles Detectivos
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
Controles Correctivos
-
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
3 8 Desarrollar el Anlisis Beneficio-Costo de las
g gg g
3.8 Desarrollar el Anlisis Beneficio-Costo de las Medidas de Proteccin
Analizar si los Costos de las Medidas de Proteccin son C t Ef ti t d t
Costo de Adquisicin
ms Costo - Efectivos que un seguro, tomando en cuenta los siguientes costos:
Costo de Desarrollo
Costo de Adaptacin
Costo de Mantenimiento
Costo de Educacin
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
Otros Costos
-
3. Metodologa de Risk Mgmt 3. Metodologa de Risk Mgmt
l b l d d
g gg g
3.9 Determinar la Factibilidad Tcnica, Econmica y Operacional de la implementacin de las Medidas de Proteccin
3.10 Probar, Implementar y Evaluar las Medidas de Proteccin
Utilizar Tcnicas de Planeacin de Proyectos Asegurar Funcionamiento Efectuar correcciones y adaptaciones pertinentes Efectuar correcciones y adaptaciones pertinentes Emplear buenas prcticas gerenciales Verificar resultados Certificar implementacin
, Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
Certificar implementacin