Publicado el 4 de Abril del 2018
1.208 visualizaciones desde el 4 de Abril del 2018
1,1 MB
43 paginas
Creado hace 9a (10/12/2015)
Análisis de Riesgos para pequeñas dependencias
públicas basado en el MAAGTICSI
Lidia Prudente Tixteco, Ma. del Carmen
Prudente Tixteco, Gabriel Sánchez Pérez,
José de Jesús Vázquez Gómez
IPN
�AGENDA
• Introducción
• MAAGTICSI
• Administración de Seguridad de la Información (ASI)
• Análisis de Riesgos
• Recomendaciones
• Conclusiones
• Referencias
2
�INTRODUCCIÓN
3
�INTRODUCCIÓN
• La gestión y análisis de riesgos siempre son
necesarios para establecer un Sistema de
Gestión de Seguridad de la Información (SGSI).
• El Manual Administrativo de Aplicación General
en materias de Tecnologías de la Información y
la
Comunicaciones
Información
una
metodología para el análisis y gestión de
riesgos.
de Seguridad
de
y
(MAAGTICSI)
proporciona
4
�MAAGTICSI
5
�ANTECEDENTES
2010
MAAGTIC
2012
MAAGTICSI
2011
MAAGTICSI
2014
MAAGTICSI
6
�MARCO RECTOR
GOBERNANZA
Planeación Estratégica (PE).
Administración de Presupuesto y
las Contrataciones (APCT).
ORGANIZACIÓN
Administración de Servicios (ADS).
Administración de la Configuración (ACNF).
Administración de la Seguridad de la
Información (ASI).
Administración de Proyectos (ADP).
Administración Proveedores (APRO).
Administración de la Operación (AOP).
Operación de Controles de Seguridad
de la Información y del ERISC (OPEC).
ENTREGA
(MAAGTICSI, 2014)
7
�ADMINISTRACIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN
Diagrama del Proceso ASI (MAAGTICSI, 2014)
Tareas
ASI 1. Establecer un modelo
de gobierno de seguridad de la
información
ASI 2. Operar y mantener un
gobierno de seguridad de la
información
ASI 3. Diseño del SGSI
ASI 4. Identificar las
infraestructuras críticas y los
activos clave
ASI 5. Elaborar el análisis de
riesgos
ASI 6. Integrar al SGSI los
controles mínimos de
seguridad de la información
ASI 7. Mejorar el SGSI
8
�ADMINISTRACIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN
Productos
1. Documento de integración
y operación del grupo
estratégico de seguridad de
la información. Formato ASI F1
2. Catálogo de
infraestructuras críticas.
Formato ASI F2
3. Documento de resultados
del análisis de riesgos.
Formato ASI F3
4. Documento de definición
del SGSI. Formato ASI F4
5. Directriz rectora de
respuesta a incidentes.
Formato ASI F5
9
Diagrama del Proceso ASI (MAAGTICSI, 2014)
�ADMINISTRACIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN
Influencia en MAAGTICSI
• Risk IT
•
ISO 27001, 27005 y 31000
Metodologías y prácticas,
nacionales e internacionales
• NMX-I-27001-NYCE-2009
• NMX-I-086/01-NYCE-2006
• NMX-I-194-NYCE-2009
• Risk IT
•
ISO 27001, 27005 y 31000
Diagrama del Proceso ASI (MAAGTICSI, 2014)
10
�ANÁLISIS DE RIESGOS
11
�ANÁLISIS DE RIESGOS
ASI 5 Elaborar el
análisis de riesgos
• Identificar, clasificar y priorizar los riesgos para
evaluar su impacto sobre los procesos y los
servicios de la Institución, de manera que se
obtengan las matrices de análisis de riesgos
(MAAGTICSI, 2014).
12
�FACTORES CRÍTICOS TAREA ASI 5
1. Establecer la directriz de
administración de riesgos
2. Integrar el equipo de
trabajo de análisis de
riesgos
3. Identificar los procesos
críticos
4. Identificar los activos de
información y consultar a
los responsables de éstos
5. Identificar las
vulnerabilidades
6. Identificar las amenazas
7. Efectuar la identificación
y evaluación de escenarios
de riesgo
8. Elaborar el análisis del
costo-beneficio de controles
de seguridad
9. Elaborar el “Documento
de resultados del análisis
de riesgos”
11. Seleccionar de entre los
controles recomendados
aquéllos a implementar de
acuerdo a las capacidades
y recursos
16. Asegurar que se
ejecuten los factores
críticos integralmente y se
obtengan los productos
12. Justificar las razones
por las cuales existan
controles recomendados no
seleccionados
17. Obtener la aprobación
del programa de
implementación elaborado
13. Elaborar e integrar el
programa de
implementación para el
manejo de riesgos
14. Establecer un
responsable de la
implementación de cada
uno de los riesgos a
manejar
10. Aprobar el “Documento
de resultados del análisis
de riesgos” y enviarlo a los
responsables de las
diferentes áreas
15. Cuidar que el análisis
de riesgos se realice o
actualice conforme a los
factores críticos de esta
actividad
13
�RECOMENDACIONES
14
�ESCENARIOS DE AMENAZA
en
1. Realizar una lista de escenarios de amenaza
tomando
que
proporciona el Manual y seleccionando solo
aquellos que podrían aplicar al ámbito y tamaño
de la dependencia.
consideración
la
lista
Se aconseja revisar el entorno de la dependencia para seleccionar las
amenazas y agentes de amenazas que la puedan afectar.
15
�ESCENARIOS DE AMENAZA
s
a
z
a
n
e
m
A
Sismo
Inundación
Interrupción
energía
eléctrica
Chantaje
Extorsión
Robo
Fraude
Motín
Sabotaje
s
a
z
a
n
e
m
A
Acceso no
autorizado
Ingeniería
social
Código
malicioso
Suplantación
de Identidad
Negación de
Servicio
Crackeo de
contraseñas
Modificación
de Datos
s
e
t
a
z
a
n
e
m
A
e
d
n
e
g
A
Comunidad
Ex-empleado
Hacker
Material (falla)
Natural
Grupo
subversivo
Personal
interno
descontento
Personal
interno
inexperto
Proveedor
16
�OBJETIVO Y ALCANCE
2. Establecer el objetivo y el alcance del análisis
de riesgos en la dependencia.
• Objetivo
• Alcance
Se recomienda plantear el objetivo y alcance tomando en cuenta los
procesos y activos de información críticos, y recursos con los que cuenta
para realizar la tarea (humanos, materiales y tiempo).
17
�EVALUACIÓN DE ESCENARIOS DE
RIESGOS
3. Definir el procedimiento para evaluar
escenarios de riesgo.
los
El segundo procedimiento que recomienda el Manual podría resultar más
preciso que el primero, sin embargo, requiere contar con mas recursos o
experiencia para realizarlo.
18
�1. EVALUACIÓN CUALITATIVA
Tabla 1. Probabilidad de ocurrencia
Tabla 2. Nivel de impacto
(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
19
Valor Probabilidad de ocurrencia de la amenaza Homologación al Manual de Control Interno 0.9 Alta 6-10 0.5 Media 2-5 0.1 Baja 1 Valor Impacto 100 Alto 50 Medio 10 Bajo �2. FACTORES DE PROBABILIDAD
P = ( e + i + c + v ) / 4
Tabla 3. Existencia del agente amenaza para el cálculo de P. (e)
Tabla 4. Niveles de Interés del agente amenaza para el cálculo de P. (i)
(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
20
Valor Probabilidad de existencia del agente amenaza 0.9 Es casi seguro que existe 0.7 Es muy posible que exista 0.5 Es probable que exista 0.3 Es poco probable que exista 0.1 Es casi imposible que exista Valor Nivel de interés del agente amenaza 0.9 El interés es incontrolable 0.7 Se genera mucho interés 0.5 Se genera regular interés 0.3 Se genera poco interés 0.1 Casi no se genera interés �2. FACTORES DE PROBABILIDAD
P = ( e + i + c + v ) / 4
Tabla 5. Capacidad del agente amenaza para el cálculo de P. (c)
Tabla 6. Vulnerabilidad del Activo de información para el cálculo de P. (v)
(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
21
Valor Vulnerabilidad del activo de información 0.9 Sin ningún tipo de protección 0.7 Muy poca protección 0.5 Medianamente protegido 0.3 Protección normal 0.1 Protección reforzada Valor Nivel de capacidad del agente amenaza 0.9 Los recursos son superiores 0.7 Cuenta con muchos recursos 0.5 Los recursos son regulares 0.3 Cuenta con muy pocos recursos 0.1 Los recursos son casi nulos �2. IMPACTO
Tabla 7. Nivel de impacto para el cálculo de R.
(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
22
Impacto Humano Material Financiero Operativo Imagen 10 Desastroso Muertes Pérdidas graves no recuperables Más de $1,000,000.00 Afectación de procesos críticos que no pueden restablecerse en menos de dos días Difusión a nivel internacional 8 Gran impacto Heridos Pérdidas graves recuperables a largo plazo Entre $100,000.00 y $1,000,000.00 Afectación de procesos críticos, que pueden restablecerse en menos de dos días Difusión a nivel nacional 6 Regular impacto Lesiones que producen una incapacidad Pérdidas leves no recuperables Entre $50,000.00 y $100,000.00 Afectación de varios procesos no críticos Difusión a nivel local 4 Mínimo impacto Lesiones leves Pérdidas leves recuperables Entre $10,000.00 y $50,000.00 Afectación de un proceso no crítico Difusión dentro de la dependencia o entidad 2 Insignificante Sin lesiones Sin pérdidas materiales Menor de $10,000.00 Sin afectación de procesos Difusión dentro de la unidad �ANÁLISIS Y DETERMINACIÓN DE
RIESGOS
Código
Amenaza
Activo
e
i
c
v
P ih im if
R-3
R-18
R-32
R-46
R-66
R-79
R-88
R-97
R-151
R-164
R-266
R-330
R-339
R-371
R-422
R-434
R-467
R-476
1003
1018
1032
1046
1066
1079
1088
1097
1151
1164
1266
1330
1339
1371
1422
1434
1467
1476
004
004
004
004
004
004
004
004
004
004
004
004
004
004
004
004
004
004
0.7
0.9 0.9 0.83
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.9 0.8
0.3 0.9 0.7 0.7 0.65
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.7 0.75
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.7 0.75
0.7 0.7 0.9 0.7 0.75
0.7 0.7 0.9 0.7 0.75
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.9 0.8
0.7 0.7 0.9 0.7 0.75
0.7 0.7 0.9 0.9 0.8
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
6
6
6
6
2
2
2
2
6
6
2
2
2
2
2
2
4
4
4
4
4
4
2
2
2
2
4
4
4
4
4
2
2
2
4
4
io
10
10
10
10
8
8
8
8
10
10
8
8
8
8
10
10
8
8
ii
4
4
4
8
4
4
4
4
4
4
4
4
4
8
8
8
4
4
I
10
10
10
10
8
8
8
8
10
10
8
8
8
8
10
10
8
8
R
8.3
8
8
6.5
6.4
6.4
6.4
6.4
8
7.5
6.4
6
6
6
8
8
6
6.4
(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
23
�ANÁLISIS Y DETERMINACIÓN DE
RIESGOS
Impacto de
Imagen
8 = Difusión a
nivel nacional
R
I
Impacto Mayor
R = P * I
Impacto Operativo
10 = Afectación de
procesos críticos
que no puede
Crear cuenta
Comentarios de: Análisis de Riesgos para pequeñas dependencias públicas basado en el MAAGTICSI (0)
No hay comentarios