1 / 31

CLASIFICACION DE LA INFORMACION COMO RESULTADO DE UN ANALISIS DE RIESGOS

CLASIFICACION DE LA INFORMACION COMO RESULTADO DE UN ANALISIS DE RIESGOS. Armando Carvajal Gerente Arquitecto de soluciones armando.carvajal@globalteksecurity.com Msc en seguridad inform á tica de la Universidad Oberta de Catalunya - España

rianna
Download Presentation

CLASIFICACION DE LA INFORMACION COMO RESULTADO DE UN ANALISIS DE RIESGOS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. CLASIFICACION DE LA INFORMACION COMO RESULTADO DE UN ANALISIS DE RIESGOS Armando Carvajal Gerente Arquitecto de soluciones armando.carvajal@globalteksecurity.com Mscen seguridad informática de la Universidad Oberta de Catalunya - España Especialista en construcción de software para redes Uniandes, Colombia Ing. Sistemas – Universidad Incca de Colombia

  2. Por que medir el riesgo? "La medición es el primer paso para el control y la mejora. Si algo no se puede medir, no se puede entender. Si no se entiende, no se puede controlar. Si no se puede controlar, no se puede mejorar.“ H.JamesHarrington

  3. EL RIESGO OPERACIONAL Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la Tecnología, la infraestructura o por la ocurrencia de acontecimientos externos “Superfinanciera de Colombia”

  4. Circulares Superfinanciera La Circular Externa 041 de 2007, aprobó la implementación del Sistema de Administración de Riesgos Operativos…

  5. Alcance de la clasificación de la Información • Revisar las Políticas, Normas o Guías de Clasificación de la información al igual que Tablas de Retención Documental • Definir los criterios de clasificación de la información basados en: Confidencialidad, Integridad y Disponibilidad o solo alguno(s) de ellos, en conjunto con los funcionarios de la compañía

  6. Alcance de la clasificación de la Información • Definir los niveles de responsabilidad sobre la información: propietarios responsables y custodios • Definir las categorías de clasificación de la información, en conjunto con los funcionarios de la compañía • Identificar los lineamientos generales de manejo de la información por cada categoría establecida, como son acceso y divulgación, almacenamiento, copiado, transmisión, rotulado y destrucción

  7. Alcance de la clasificación de la Información • Generar las Guías y el Formato de Clasificación de la Información • Aprobar las Guías y el Formato de Clasificación de la Información (actividad realizada por la compañía) • Identificar los Procesos de Negocio de la compañía que serán analizados, en conjunto con la compañía y revisar sus caracterizaciones

  8. Alcance de la clasificación de la Información • Participar como acompañantes en la divulgación de las Guías de Clasificación de la Información a los funcionarios pertinentes (la divulgación debe ser liderada por la compañía) • Identificar los activos de información que apoyan cada uno de los procesos analizados • Establecer los propietarios, responsables y custodios de los activos de información identificados

  9. Alcance de la clasificación de la Información • Valorar los activos de información identificados preliminarmente por el impacto que generaría la pérdida de Confidencialidad, Integridad y Disponibilidad • Clasificar la información asociada a los activos de información según las categorías o niveles establecidos en las Guías de Clasificación de la Información (Diligenciar el Formato de Clasificación de la Información)

  10. Alcance de la clasificación de la Información • Rotular cuando sea posible o, acompañar el rotulado de la información de acuerdo con la categoría de clasificación correspondiente • Identificar los controles existentes y los necesarios para la información clasificada, según cada categoría o nivel de clasificación.

  11. Alcance de la clasificación de la Información • Generar un plan para la protección y control de la información clasificada de acuerdo con las categorías de clasificación • Generar los procedimientos de manejo de la información teniendo en cuenta los niveles de clasificación establecidos

  12. QUE ES ANÁLISIS DE RIESGOS? • Es la consideración sistemática del daño probable que puede causar en el negocio un fallo en la seguridad de la información, con las consecuencias potenciales de pérdida de confidencialidad, integridad y disponibilidad de la información

  13. Riesgo • Es la posibilidad de que se produzca un impacto sobre algún activo

  14. Amenazas • Las amenazas son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos

  15. Vulnerabilidades • También se le conoce a la vulnerabilidad como una debilidad • Agujero, falla o error en la seguridad del sistema de información

  16. Impacto • Es la consecuencia negativa en términos económicos sobre un activo debido a la materialización de una amenaza que se aprovecho de una vulnerabilidad

  17. RiesgoIntrinseco • Es el riesgo inherente al activo • Es el estudio que se realiza sin tener en consideración las diferentes medidas de seguridad que puedan ser implementadas en una organización

  18. Riesgo Residual • Es el estudio que se realiza teniendo en consideración las medidas de seguridad que la organización ya tiene implantada, o va a implementar • Es el nivel de riesgo esperado después de implementados y evaluados

  19. Amenazas Vulnerabilidades Aprovechan Exponen Aumentan Aumentan Protegen de Controles Riesgos Activos Disminuyen Marcan Tienen Impactan si se materializan Imponen Aumenta Requerimientos de seguridad Valor de los Activos PROCESO DE EVALUACION DEL RIESGO Juan Carlos Reyes, Seltika, 2007

  20. QUE HACER DESPUES DEL ANÁLISIS DE RIESGOS? • Gestión de los riesgos detectados que soporta la identificación, selección y adopción de controles con base a los riesgos identificados y a la reducción de esos riesgos a un nivel aceptable definido por la ALTA dirección. ISO 27002:2005

  21. Magerit • MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información • El aspecto positivo de esta metodología es que el resultado se expresa en valores económicos

  22. Establecimiento de Parametros

  23. Valoracion de activos

  24. Amenazasglobales

  25. Controlesporamenazas

  26. Riesgoefectivo x activo

  27. Quemira la altagerencia?

  28. RESUMEN Identificar y Analizar Planificar • Identificar: • Activos • Amenazas • Vulnerabilidades • Analizar: • Riesgos • Costo/beneficios • Definir: • Alcance • Política • Metodología La dirección Decidir tratamiento de riesgos Aceptar riesgo residual Reducir Transferir Aceptar Evitar • Controles: • Seleccionar • Implantar • Cesar la actividad que lo origina • Seguros • Proveedores • No hacer nada

  29. La forma de conseguir el mayor beneficio en seguridad de la información es contar con una adecuada evaluación de riesgos, que oriente las inversiones, que minimicen el impacto en casos de incidentes • No importa la metodología que se seleccione CONCLUSIONES

  30. La seguridad de la información no es una responsabilidad únicamente del área de tecnología debe fluir desde la alta gerencia hacia todos los procesos de negocios • Todos los procesos deberían hacer análisis de riesgos CONCLUSIONES

  31. BIBLIOGRAFÍA • Maestria en seguridadinformatica (http://www.uoc.edu), Daniel Cruz Allende • Creadores de la metodologia (http://www.csi.map.es) BCI (The Bussiness Continuity Institute) www.thebci.org • CRAMM www.cramm.com • esCERT http://escert.upc.edu • FIRST http://www.first.org/ • ISO www.iso.org • ITIL http://www.itil.co.uk/ • MAGERIT www.csi.map.es/csi/pg5m20.htm

More Related