Desde 1970 hasta el 2010
G1 =Antes Host (sistema manejable, calidad era que funcionara, y las amenazas eran naturales). No se dependia de los sistemas para generar riqueza en una explotacion comercial pequeña, eran usados para manejar grandes volumenes de datos.(1970-1990)
G2 = cliente /Servidor (sistema complejo, mas o menos predecible en su comportamiento, generador de informacion estrategica para gestionar, aqui las amenazas eran sobre todo accidentales). Usar un sistema era mas bien una ventaja competitiva. Se podia organizar y gestionar estrategicamente. Sin embargo las pequeñas organizaciones todavia podian gestionar sin ellos en forma manual.(1980-2010)
G3 = Red (sistema incierto, la calidad equivale a controlar el sistema el objetivo es la productividad de los usuarios, la informacion es un recurso muy valioso que genera riqueza. Las amenazas son sobre todo intencionales. El mundo esta interconectado a traves de Internet y casi todas las acciones tiene que ver con la Red.Casi todo sucede en Tiempo Real. No se puede tener exito comercial sin ser parte de ellos. (2000-2010)
Los sistemas de TI
Muchas veces los usuarios se quejan que los sistemas fallan
Cada falla va generando mas y mas desconfianza hacia los sistemas
La gerencia muchas veces dice…“..porque justo en mi empresa se producen fallas?, algo estamos haciendo mal..”
Algo de razón tienen…o no?
Les tenemos una mala noticia
Los sistemas fallan, TODOS
Tambien el celular falla Tambien el auto falla Tambien la TV falla Tambien La energía eléctrica falla Tambien los matrimonios fallan (son un
sistema?)
Entonces?
Se acepta convivir con sistemas que fallan. El asunto no es tanto la ausencia de incidentes como la confianza en que están bajo control: se sabe qué puede pasar y se sabe qué hacer cuando pasa.
El temor a lo desconocido es el principal origen de la desconfianza y, en consecuencia se propone conocer para confiar: conocer los riesgos para poder afrontarlos y controlarlos.
No tenga en cuenta esto en su Matrimonio que aunque haya llegado a la conclusion que tambien es un sistema, no podemos asegurar que esto es aplicable
Escucho estas frases? Son síntomas
“¿Para que comprar un antivirus si con este gratuito no nos infectamos?”
“Pero si compramos un antivirus…como nos vamos a infectar!!”
“Necesito me informe las razones por las cuales la empresa estuvo parada 2 hs! (con cara de pocos amigos)”
“No hay presupuesto, sigamos así…”Quien tiene la culpa???
Que muestran estos síntomas?
Estrategia de seguridad informática deficiente o inexistente
Desconocimiento por parte de los niveles directivos de cómo manejar los riesgos del área TI y su impacto en los objetivos del negocio.
Hablemos de seguridad
Los usuarios necesitan confiar en los sistemas◦Que la informacion :
Este disponible cuando se necesite No se modifique sin control. Se mantenga reservada a quienes necesitan conocerla
…la seguridad aspira a dar confianza◦ ..en que los sistemas estarán listos para usarse◦ ..en las alteraciones son imposibles o se detectan◦ que la informacion permanece confidencial
En la medida en que la seguridad genere confianza, los usuarios querrán seguridad
Sistemas de información
Antes: ◦ Era cosa de unos pocos profesionales◦ Complejos y muy suyos◦ La seguridad no era un problema
Internet◦ Cambia todo◦ No hay equipos aislados◦ Los malos saben lo mismo que los buenos
Ahora◦ Las amenazas incluyen la naturaleza, la industria y el hombre◦ Los sistemas son excesivamente complejos como para que
alguien en singular comprenda todos los detalles
Objetivos de la seguridad
Mantener la disponibilidad de los datos◦ Contra la interrupción del servicio
Mantener la integridad de los datos◦ Contra las manipulaciones
Mantener la confidencialidad de los datos almacenados, procesados y transmitidos◦ Contra las filtraciones
Asegurar la identidad de origen y destino (autenticidad)◦ Frente al engaño
Trazabilidad◦ Para poder analizar, entender y perseguir al culpable
Asegurar todos los niveles
InformaciónProcesosAplicacionesSistema operativoHardwareComunicacionesSoporte de informaciónInstalacionesPersonal
Madurez del manejo de SI
Los jugadores
Diferentes visiones
Los usuarios◦Ven la seguridad como confianza
Los técnicos ◦Ven la seguridad como dispositivos, software
Los atacantes ven la seguridad como◦Aquello que impide sus objetivos
Los gerentes ven la seguridad como◦Gestión de Riesgos
Gestión de riesgos
Análisis (potencial)
Análisis (residual)
El análisis de riesgos no es simple
Lleva tiempo…Cuesta dinero…No vale una vez y para siempre…Muchos activos
◦Los sistemas son complejosMuchos tipos de activos
◦ Información, servicios◦Equipamiento: aplicaciones, equipos, comunicaciones◦Locales: sucursales, edificios, aéreas, campo◦Personas: usuarios, operadores, desarrolladores
Muchas amenazas◦Y muchas formas de llevarlas a cabo
Muchísimas salvaguardas◦Gestión, técnicas, seguridad física, rrhh
Porque una metodología?
La complejidad se ataca metódicamente
◦Una metodología es una aproximación sistemática Para cubrir la mayor parte de lo que puede ocurrir Para olvidar lo menos posible Para explicar:
◦ A los gerentes que se necesita de ellos◦ A los técnicos que se espera de ellos ◦ A los usuarios
Que es un uso decente del sistema Que es una respuesta urgente Como se gestionan los incidentes
◦Una metodología necesita modelos Elementos: activos, amenazas, salvaguardas Métricas: impacto y riesgo
Una vez realizado el análisis, que hacer con el riesgo?
Evitarlo◦Si se puede, es lo ideal◦Prescindir de activos
Reducirlo/Mitigarlo◦Ocurre menos◦ Impacto limitado
Transferirlo◦Se lo pasa a otra organización◦Ya no es “mi problema”
Asumirlo/aceptarlo◦Pasa a contabilizarse como gasto operacional
Toma de decisiones
Aceptación del riesgo
Es una opción
◦Honrada y necesaria
◦Pero peligrosa El análisis dirá cuan peligrosa
◦Debe ser tomada EXPLICITAMENTE por la Dirección Nunca puede ser una decisión técnica
Interés de un análisis de riesgos
Conciencia a los miembros de una organización◦Dirección y Recursos Humanos
Identifica activos, amenazas y controles◦Modelo de valor de la organización◦Mapa de riesgos◦Estado de riesgo
Base razonada para tomar decisiones
Justificación del gasto en SI
Ejemplos
Análisis de riesgos - Pasos
1. Determinar los activos relevantes para la Organización, sus dependencias y su valor, en el sentido de qué perjuicio (costo) supondría su degradación
2. Determinar a qué amenazas están expuestos aquellos activos
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo
4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza
AnálisisRiesgo
Riesgo por dimensión
D: DisponibilidadI: IntegridadC: ContinuidadA: AutenticidadT: Trazabilidad
Riesgo por activo critico
D: DisponibilidadI: IntegridadC: ContinuidadA: AutenticidadT: Trazabilidad
Riesgo por activo de bajo nivel
Preguntas?
MUCHAS GRACIAS..!