PDF de programación - Análisis de Riesgos para pequeñas dependencias públicas basado en el MAAGTICSI

Análisis de Riesgos para pequeñas dependencias

públicas basado en el MAAGTICSI

Lidia Prudente Tixteco, Ma. del Carmen
Prudente Tixteco, Gabriel Sánchez Pérez,

José de Jesús Vázquez Gómez

IPN

AGENDA

• Introducción
• MAAGTICSI

• Administración de Seguridad de la Información (ASI)

• Análisis de Riesgos
• Recomendaciones
• Conclusiones
• Referencias

2

INTRODUCCIÓN

3

INTRODUCCIÓN

• La gestión y análisis de riesgos siempre son
necesarios para establecer un Sistema de
Gestión de Seguridad de la Información (SGSI).

• El Manual Administrativo de Aplicación General
en materias de Tecnologías de la Información y
la
Comunicaciones
Información
una
metodología para el análisis y gestión de
riesgos.

de Seguridad

de

y

(MAAGTICSI)

proporciona

4

MAAGTICSI

5

ANTECEDENTES

2010
MAAGTIC

2012

MAAGTICSI

2011

MAAGTICSI

2014

MAAGTICSI

6

MARCO RECTOR

GOBERNANZA

Planeación Estratégica (PE).
Administración de Presupuesto y
las Contrataciones (APCT).

ORGANIZACIÓN

Administración de Servicios (ADS).
Administración de la Configuración (ACNF).
Administración de la Seguridad de la
Información (ASI).

Administración de Proyectos (ADP).
Administración Proveedores (APRO).
Administración de la Operación (AOP).
Operación de Controles de Seguridad
de la Información y del ERISC (OPEC).

ENTREGA

(MAAGTICSI, 2014)

7

ADMINISTRACIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN

Diagrama del Proceso ASI (MAAGTICSI, 2014)

Tareas
ASI 1. Establecer un modelo
de gobierno de seguridad de la
información
ASI 2. Operar y mantener un
gobierno de seguridad de la
información
ASI 3. Diseño del SGSI
ASI 4. Identificar las
infraestructuras críticas y los
activos clave
ASI 5. Elaborar el análisis de
riesgos
ASI 6. Integrar al SGSI los
controles mínimos de
seguridad de la información
ASI 7. Mejorar el SGSI

8

ADMINISTRACIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN

Productos
1. Documento de integración

y operación del grupo
estratégico de seguridad de
la información. Formato ASI F1

2. Catálogo de

infraestructuras críticas.
Formato ASI F2

3. Documento de resultados

del análisis de riesgos.
Formato ASI F3

4. Documento de definición

del SGSI. Formato ASI F4

5. Directriz rectora de

respuesta a incidentes.
Formato ASI F5

9

Diagrama del Proceso ASI (MAAGTICSI, 2014)

ADMINISTRACIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN

Influencia en MAAGTICSI
• Risk IT
•

ISO 27001, 27005 y 31000

Metodologías y prácticas,
nacionales e internacionales
• NMX-I-27001-NYCE-2009
• NMX-I-086/01-NYCE-2006
• NMX-I-194-NYCE-2009
• Risk IT
•

ISO 27001, 27005 y 31000

Diagrama del Proceso ASI (MAAGTICSI, 2014)

10

ANÁLISIS DE RIESGOS

11

ANÁLISIS DE RIESGOS

ASI 5 Elaborar el
análisis de riesgos

• Identificar, clasificar y priorizar los riesgos para
evaluar su impacto sobre los procesos y los
servicios de la Institución, de manera que se
obtengan las matrices de análisis de riesgos
(MAAGTICSI, 2014).

12

FACTORES CRÍTICOS TAREA ASI 5

1. Establecer la directriz de
administración de riesgos

2. Integrar el equipo de
trabajo de análisis de

riesgos

3. Identificar los procesos

críticos

4. Identificar los activos de
información y consultar a
los responsables de éstos

5. Identificar las
vulnerabilidades

6. Identificar las amenazas

7. Efectuar la identificación
y evaluación de escenarios

de riesgo

8. Elaborar el análisis del

costo-beneficio de controles

de seguridad

9. Elaborar el “Documento
de resultados del análisis

de riesgos”

11. Seleccionar de entre los

controles recomendados
aquéllos a implementar de
acuerdo a las capacidades

y recursos

16. Asegurar que se
ejecuten los factores

críticos integralmente y se

obtengan los productos

12. Justificar las razones

por las cuales existan

controles recomendados no

seleccionados

17. Obtener la aprobación

del programa de

implementación elaborado

13. Elaborar e integrar el

programa de

implementación para el

manejo de riesgos

14. Establecer un
responsable de la

implementación de cada

uno de los riesgos a

manejar

10. Aprobar el “Documento
de resultados del análisis
de riesgos” y enviarlo a los

responsables de las

diferentes áreas

15. Cuidar que el análisis

de riesgos se realice o
actualice conforme a los
factores críticos de esta

actividad

13

RECOMENDACIONES

14

ESCENARIOS DE AMENAZA

en

1. Realizar una lista de escenarios de amenaza
tomando
que
proporciona el Manual y seleccionando solo
aquellos que podrían aplicar al ámbito y tamaño
de la dependencia.

consideración

la

lista

Se aconseja revisar el entorno de la dependencia para seleccionar las
amenazas y agentes de amenazas que la puedan afectar.

15

ESCENARIOS DE AMENAZA

s
a
z
a
n
e
m
A

Sismo
Inundación
Interrupción
energía
eléctrica
Chantaje
Extorsión
Robo
Fraude
Motín
Sabotaje

s
a
z
a
n
e
m
A

Acceso no
autorizado
Ingeniería
social
Código
malicioso
Suplantación
de Identidad
Negación de
Servicio
Crackeo de
contraseñas
Modificación
de Datos


s
e

t

a
z
a
n
e
m
A



e
d

n
e
g
A

Comunidad
Ex-empleado
Hacker
Material (falla)
Natural
Grupo
subversivo
Personal
interno
descontento
Personal
interno
inexperto
Proveedor

16

OBJETIVO Y ALCANCE

2. Establecer el objetivo y el alcance del análisis
de riesgos en la dependencia.

• Objetivo
• Alcance

Se recomienda plantear el objetivo y alcance tomando en cuenta los
procesos y activos de información críticos, y recursos con los que cuenta
para realizar la tarea (humanos, materiales y tiempo).

17

EVALUACIÓN DE ESCENARIOS DE
RIESGOS

3. Definir el procedimiento para evaluar
escenarios de riesgo.

los

El segundo procedimiento que recomienda el Manual podría resultar más
preciso que el primero, sin embargo, requiere contar con mas recursos o
experiencia para realizarlo.

18

1. EVALUACIÓN CUALITATIVA

Tabla 1. Probabilidad de ocurrencia

Tabla 2. Nivel de impacto

(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)

19

Valor Probabilidad de ocurrencia de la amenaza Homologación al Manual de Control Interno 0.9 Alta 6-10 0.5 Media 2-5 0.1 Baja 1 Valor Impacto 100 Alto 50 Medio 10 Bajo 2. FACTORES DE PROBABILIDAD

P = ( e + i + c + v ) / 4

Tabla 3. Existencia del agente amenaza para el cálculo de P. (e)

Tabla 4. Niveles de Interés del agente amenaza para el cálculo de P. (i)

(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)

20

Valor Probabilidad de existencia del agente amenaza 0.9 Es casi seguro que existe 0.7 Es muy posible que exista 0.5 Es probable que exista 0.3 Es poco probable que exista 0.1 Es casi imposible que exista Valor Nivel de interés del agente amenaza 0.9 El interés es incontrolable 0.7 Se genera mucho interés 0.5 Se genera regular interés 0.3 Se genera poco interés 0.1 Casi no se genera interés 2. FACTORES DE PROBABILIDAD

P = ( e + i + c + v ) / 4

Tabla 5. Capacidad del agente amenaza para el cálculo de P. (c)

Tabla 6. Vulnerabilidad del Activo de información para el cálculo de P. (v)

(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)

21

Valor Vulnerabilidad del activo de información 0.9 Sin ningún tipo de protección 0.7 Muy poca protección 0.5 Medianamente protegido 0.3 Protección normal 0.1 Protección reforzada Valor Nivel de capacidad del agente amenaza 0.9 Los recursos son superiores 0.7 Cuenta con muchos recursos 0.5 Los recursos son regulares 0.3 Cuenta con muy pocos recursos 0.1 Los recursos son casi nulos 2. IMPACTO

Tabla 7. Nivel de impacto para el cálculo de R.

(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)

22

Impacto Humano Material Financiero Operativo Imagen 10 Desastroso Muertes Pérdidas graves no recuperables Más de $1,000,000.00 Afectación de procesos críticos que no pueden restablecerse en menos de dos días Difusión a nivel internacional 8 Gran impacto Heridos Pérdidas graves recuperables a largo plazo Entre $100,000.00 y $1,000,000.00 Afectación de procesos críticos, que pueden restablecerse en menos de dos días Difusión a nivel nacional 6 Regular impacto Lesiones que producen una incapacidad Pérdidas leves no recuperables Entre $50,000.00 y $100,000.00 Afectación de varios procesos no críticos Difusión a nivel local 4 Mínimo impacto Lesiones leves Pérdidas leves recuperables Entre $10,000.00 y $50,000.00 Afectación de un proceso no crítico Difusión dentro de la dependencia o entidad 2 Insignificante Sin lesiones Sin pérdidas materiales Menor de $10,000.00 Sin afectación de procesos Difusión dentro de la unidad ANÁLISIS Y DETERMINACIÓN DE
RIESGOS

Código

Amenaza

Activo

e

i

c

v

P ih im if

R-3
R-18
R-32
R-46
R-66
R-79
R-88
R-97
R-151
R-164
R-266
R-330
R-339
R-371
R-422
R-434
R-467
R-476

1003
1018
1032
1046
1066
1079
1088
1097
1151
1164
1266
1330
1339
1371
1422
1434
1467
1476

004
004
004
004
004
004
004
004
004
004
004
004
004
004
004
004
004
004

0.7
0.9 0.9 0.83
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.9 0.8
0.3 0.9 0.7 0.7 0.65
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.7 0.75
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.7 0.75
0.7 0.7 0.9 0.7 0.75
0.7 0.7 0.9 0.7 0.75
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.7 0.75
0.7 0.7 0.9 0.9 0.8

2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2

6
6
6
6
2
2
2
2
6
6
2
2
2
2
2
2
4
4

4
4
4
4
2
2
2
2
4
4
4
4
4
2
2
2
4
4

io

10
10
10
10
8
8
8
8
10
10
8
8
8
8
10
10
8
8

ii

4
4
4
8
4
4
4
4
4
4
4
4
4
8
8
8
4
4

I

10
10
10
10
8
8
8
8
10
10
8
8
8
8
10
10
8
8

R

8.3
8
8
6.5
6.4
6.4
6.4
6.4
8
7.5
6.4
6
6
6
8
8
6
6.4

(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)

23

ANÁLISIS Y DETERMINACIÓN DE
RIESGOS

Impacto de

Imagen

8 = Difusión a
nivel nacional

R

I

Impacto Mayor

R = P * I

Impacto Operativo
10 = Afectación de
procesos críticos

que no puede