viernes, 24 de mayo de 2013

Gestión de Riesgos - Auditoría de Sistemas


Evaluación de riesgos

Identificación y evaluación de los riesgos mas relevantes que pueden provocar la interrupción de los procesos críticos, los cuales deben ser considerados en la estrategia de recuperación.
  • Amenazas y vulnerabilidades más relevantes que puedan generar interrupciones en los procesos críticos. 
  • Activos importantes para los procesos críticos: Proceso/Gente, aplicaciones, registros vitales, infraestructura, instalaciones. 
  • Clasificación de los activos por su nivel de criticidad o relevancia para el negocio y la probabilidad de que se vean afectados por algún evento 
  • Identificar medidas de mitigación de riesgos necesarias

Activos
  • Son Activos, los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. 
  • El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes: 
    • Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. 
    • Las aplicaciones informáticas (software) que permiten manejar los datos. 
    • Los equipos informáticos (hardware) que permiten hospedar datos, aplicaciones y servicios. 
    • Los soportes de información que son dispositivos de almacenamiento de datos. 
    • El equipamiento auxiliar que complementa el material informático. 
    • Las redes de comunicaciones que permiten intercambiar datos. 
    • Las instalaciones que acogen equipos informáticos y de comunicaciones. 
    • Las personas que explotan u operan todos los elementos anteriormente citados.

Clasificación de Activos
 

Considerando la NTP 17799:2007
La clasificación se realiza mediante el proceso siguiente:
  • Por Naturaleza 
    • Se determina la clase de Activo a la que pertenece: Tangible, Intangible o Servicios de TI. Esta clasificación permite: 
      • identificar la cantidad de activos que posee la empresa. 
      • identificar cuál es la clase de activo más importante de la empresa. 
  • Por Ponderación 
    • La clasificación por Ponderación es la continuación de la Clasificación por Naturaleza, ya que una vez identificado que clase de activos posee la empresa, debemos hacer una ponderación de qué clase de activo es la más importante. 
    • Esta ponderación estará sujeta a la siguiente tabla:
NivelDescripción
5Máxima Importancia
4Muy Importante
3Moderadamente Importante
2Puede ser Importante
1No es Importante

Clase de activoEntorno de TI globalNombre del activoClasificación de activo
TangibleInfraestructura físicaCentro de datos5
TangibleInfraestructura físicaServidores5
TangibleInfraestructura físicaEquipos de escritorio3
TangibleInfraestructura físicaEquipos móviles2
TangibleInfraestructura físicaTeléfonos móviles2
TangibleInfraestructura físicaEnrutadores4
TangibleInfraestructura físicaConmutadores de red3
TangibleInfraestructura físicaEquipos Fax1
TangibleInfraestructura físicaMedios extraíbles (por ejemplo, cintas, disquetes, CD-ROM, DVD, discos duros, portátiles, dispositivos de almacenamiento PC Card, dispositivos de almacenamiento USB, etc.)4
IntangibleReputación3
IntangibleBuena Voluntad3
IntangibleMoral de empleados3
IntangibleProductividad de empleados4
Servicios de TIMensajeríaMensajería instantánea4
Servicios de TIInfraestructura básicaProtocolo de configuración dinámica de host (DHCP)2
Servicios de TIInfraestructura básicaHerramientas de configuración empresarial2
Servicios de TIInfraestructura básicaUso compartido de archivos4
Servicios de TIInfraestructura básicaAlmacenamiento de datos5
Servicios de TIInfraestructura básicaAcceso telefónico remoto1
Servicios de TIInfraestructura básicaTelefonía3
Servicios de TIInfraestructura básicaAcceso a red privada virtual (VPN)5


Vulnerabilidad
  • Debilidad de un activo o grupo de activos que pueden ser explotados por una o más amenazas (NTP-ISO/IEC 17799). 
  • Potencialidad o posibilidad de ocurrencia de una amenaza sobre un activo.
Clase de vulnerabilidadVulnerabilidadEjemplo
FísicaAcceso no protegido a las instalaciones informáticasPuerta de acceso a oficina con mala calidad de cerradura
SoftwareSoftware antivirus obsoletoNo poseemos software licenciado
ComunicacionesProtocolos de red sin cifrarNo poseemos ningún cifrado en nuestros protocolos actualmente configurados
HumanaProcedimientos definidos deficientementePreparación insuficiente para la respuesta a incidencias



Amenaza
  • Causa potencial de un incidente no deseado que puede resultar en daño al sistema u organización (NTP-ISO/IEC 17799) 
  • Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos. 
  • Condición del entorno del sistema de información que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad. 
  • Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.
  • No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo de activo y lo que le podría ocurrir.
 

Nivel de Riesgo



Consideren que está metodología está basda en la NTP 17799:2007

  • Valoración del Riesgo
Para hacer el cálculo del riesgo se utilizará un semáforo de comparación entre Impacto y Probabilidad.

Proceso de administración de riesgos



Espero haber ayudado en algo. Hasta la próxima oportunidad!








2 comentarios:

  1. FUE DE GRAN AYUDA .. MUCHAS GRACIAS POR COMPARTIR TU CONOCIMIENTO

    ResponderEliminar
    Respuestas
    1. Hola Supervisora Hse, gracias por la visita y el aporte de tu comentario!!
      Los mejores deseos!! Hasta cualquier instante!

      Eliminar