Auditoría Sesión A11 Formatos SSI - Identificar, Analizar, Evaluar, Tratar y Acción

Nro

Riesgo(s)

Estado actual • No cuentan con Ningun Extintor. • El Centro de Computo es pequeño y cuentan con

R1

Incendio

mucho material inflamable. • No se cuenta con un sistema contra incendios. • No cuentan con sensores de humo.

No se cuenta con politicas de seguridad R2

manipulacion de la Configuracion

No se cuenta con manuales de configuracion No tienen restricciones de acceso a la configuracion del sistema No gestionan un cableado estructurado

R3

Fallo de servicio de comunicación

Desconfiguracion de la red(Puertos, patch panel) Perdidas de paquedes de datos en el envio de informacion • No se cuenta con un procedimiento de

mantenimiento mantenimiento del servidor. R4

Avería del Servidor SIAF

• Se cuenta con UPS's, estabilizadores y

supresores de picos. • No se tiene control, en caso de alta concurrencia

de usuarios. • No se cuenta con políticas de acceso al sistema. • Los empleados tienen acceso a todo tipo de

información. R5

Robo de Información (BD)

Los backUp no se protegen según las buenas practicas de cobit

No tienen un responsable que responda por la seguridad de la informacion • Se cuenta con un antivirus licenciado. • Se cuenta con un control de dispositivos de

R6

Difusion de software dañino

almacenamiento. • Se realizan analisis peridiamente a todo el equipo

varina mensualmente o quincenal Puerto de acceso desprotegidos R7

Interceptacion de la informacion

No tienen un proxy se seguridad No se cuenta con un firewall Los programas no tienen una metodologia definida d efinida de desarrollo

R8

El direccionamientos de paginas no incluye una encriptacion de las mismas

Vulnerabilidades de los programas

no gestionan perfiles perfiles de usuarios administradores administradores del programa

Cabecera Nro Número secuencial consecutivo que actua como ident

Redacción del riesgo de seguridad identificado, que a analizandose. La fuente sale de : el dueño del proceso del negocio, Riesgos otro que identifique riesgos, así como en el desarrollo Es recomendable que la redacción del riesgo tenga lo pérdida financiera (impacto), activo crítico afectado. La redacción del riesgo debe ser entendible en si mis

Estado actual Condición o estado actual de las acciones (controles) Proceso Código del proceso indicado en el Inventario de Activ Área afectada a ¿Qué área reportó?

Nombre del área del negocio con la que trabajaba cu Es recomendable no registrar nombre de personas.

Estrategia de conversación con el dueño del proceso El tema no es más que un enunciado que nos ayuda Pueden ser : Tema . Los procesos del negocio que están en el mapo de r . Temas informales del momento . La estructura de un estándard (cobit, magerit, itil, itil, e . etc

Identificar riesgos Proceso

Área afectada

PRONE01, PRONE02, PRONE03

Area de contabilidad, caja y transportes

PRONE01, PRONE02, PRONE03

Area de contabilidad, caja y transportes

PRONE01, PRONE02, PRONE03

Area de contabilidad, caja y transportes

PRONE01, PRONE02, PRONE03

Area de Contabilidad

PRONE01, PRONE02, PRONE03

Area de contabilidad, caja y transportes

PRONE01, PRONE02, PRONE03

Area de Transacciones(Logistica)

PRONE01, PRONE02, PRONE03

Area de contabilidad, caja

PRONE01, PRONE02, PRONE03

Area de contabilidad, caja y transportes

Descripción ificador del riesgo.

ecte la disponibilidad, confidencialidad confidencialidad y/o integridad de la información o de los recursos que la soportan (TI). Orientado al p el mapa de riesgos, la valorización de los activos de TI, el análisis de sensibilidad de información, las entrevistas entrevistas con los equi de los talleres y de la interacción de todos ellos. s siguientes componentes : probabilidad, probabilidad, evento, falla, amenaza y vulnerabilidad (considerando perdida de la confidencialida a, por lo tanto no debería haber necesidad de consultar c onsultar el área, proceso o cualquier otra información, para entender el ries

anteriormente implementados para mitigar el riesgo identificado. os de Información donde principalmente se produce el riesgo.

ndo se identificó el riesgo. el negocio para el taller de identificación de riesgos. enfocar de qué tema vamos a tratar de identificar riesgos; es como organizamos la conversación. iesgos. tc)

¿Que Área reportó?

Area Administrativa

Area de Transportes

Area Administrativa

Area de Contabilidad

Area de Tecnologia

Area de Tecnologia

Area de Administracion

Area de Tecnologia

roceso del negocio pos de trabajo y cualquier , integridad y disponibilidad), o.

Analizar Nro

Riesgos

Estado actual

• No cuentan con Ningun Extintor. • El Centro de Computo es pequeño y cuentan

R1

Incendio

con mucho material inflamable. • No se cuenta con un sistema contra incendios. • No cuentan con sensores de humo.

Proceso

PRONE01, PRONE02, PRONE03

No se cuenta con politicas de seguridad R2

Manipulacion de la configuración

No se cuenta con manuales de configuracion No tienen restricciones de acceso a la configuracion del sistema

PRONE01, PRONE02, PRONE03

No gestionan un cableado estructurado R3

Fallo de servicio de comunicación

Desconfiguracion de la red(Puertos, patch panel) Perdidas de paquedes de datos en el envio de informacion

R4

R5

Avería del Servidor SIAF

No se cuenta con un procedimiento de mantenimiento del servidor. Se cuenta con UPS's, estabilizadores y supresores de picos. No se tiene control, en caso de alta concurrencia de usuarios.

PRONE01, PRONE02, PRONE03

Robo de informacion (BD)

No se cuenta con políticas de acceso al sistema. Los empleados tienen acceso a todo tipo de información. Los backUp no se protegen según las buenas practicas de cobit No tienen un responsable que responda por la seguridad de la informacion

PRONE01, PRONE02, PRONE03

• Se cuenta con un antivirus licenciado. • Se cuenta con un control de dispositivos de

R6

Difusion de Software Dañino

almacenamiento. • Se realizan analisis peridiamente a todo el

equipo varina mensualmente o quincenal

R7

R8

PRONE01, PRONE02, PRONE03

Intercepcion de la informacion

Vulnerabilidad de los programas

PRONE01, PRONE02, PRONE03

Puerto de acceso desprotegidos No tienen un proxy de seguridad No se cuenta con un firewall

PRONE01, PRONE02, PRONE03

Los programas no tienen una metodologia definida de desarrollo El direccionamientos de paginas no incluye una encriptacion de las mismas No gestionan perfiles perfiles de usuarios administradores del programa

PRONE01, PRONE02, PRONE03

Cabecera

Descripción Nro Riesgos Estado actual

Número secuencial consecutivo viene de la matriz identicar. Riesgos de seguridad identificados, vienen de la matriz identificar. Condición o estado actual de los controles, viene de la matriz identificar.

Proceso Código del proceso indicado en el Inventario de Activos de Información do Listado de las descripciones de los eventos de pérdida o materialización d Eventos de pérdida riesgo de materializa en forma de un evento. Es la base para la cuantificación del riesgo y en un futuro va a constituir la

Probabilidad de ocurrencia del riesgo en las condiciones actuales. La probabilidad de que el riesgo ocurra debe considerar los controles que Probabilidad Esta matriz debe ser llenada por cada uno de los miembros del equipo del equipo de desarrollo debió haber establecido el procedimiento de cálculo ponderado o moda estadística o tomar el mayor, etc. Impacto de la pérdida estimada, el valor val or del impacto debe determinarse e considerando los controles que actualmente actual mente se han implementado y están se debe considerar la probabilidad de ocurrencia. Impacto Esta matriz debe ser llenada por cada uno de los miembros del equipo del mismo equipo debió haber establecido el procedimiento de cálculo del im moda estadística o tomar el mayor, etc. Fecha Fecha en la que se evaluó la probabilidad y el impacto.

riesgos Eventos de pérdida

Probabilidad

Impacto

Fecha

3. Posible

4. Mayor

5/27/2012

4. Probable

3. Moderado

5/27/2012

3. Posible

2. Menor

5/28/2012

1. Raro

4. Mayor

5/28/2012

Falta de seguridad como personal o instalaciones de camaras de vigilancia

4. Probable

4. Mayor

5/28/2012

Incursión de virus, troyanos, gusanos Degradación del desempeño de las plataformas computacionales Pérdida de información crÍtica

4. Probable

4. Mayor

5/28/2012

3. Posible

4. Mayor

5/29/2012

4. Probable

4. Mayor

5/29/2012

Pérdida de la documentacion sensible del area TI

Malos funcionamientos en el modulo de la aplicación

Error en los protocoles de comunicacion Falla en la infraestructura de la red

Pérdida de la data intercambiada

Perdida de los datos financiero

Robo de la informacion Suplantacion de la informacion Modificacion de la informacion

Incompatibilidad de arquitecturas en los programas Falla en la comunicacion de las aplicaciones

nde principalmente se produce el riesgo. l riesgo. Describe las circunstancias sucedidas o por suceder en que el base para la elaboración de la base de datos de incidencias.

ctualmente se han implementado y están funcionando (si los hubiera). proyecto; por lo que con anterioridad y de manera consensu ada el de la probabilidad, probabilidad, pudiendo ser el promedio simple o promedio

función a las pérdidas que afectan a la organización en su conjunto, funcionando (si los hubiera). Para determinar el valor del impacto, no proyecto; por lo que con anterioridad y de manera consensu ada el pacto,, pudiendo ser el promedio simple o promedio ponderado o pacto

Evaluar riesgos Nro

Riesgos

R1

Incendio

R2

Desastres Naturales

R3

Avería de Servidor Web

R4

Conexión de red

R5

Proceso

PRNE03

Probabilidad 4. PPrrobable

Impacto 5. Ca Catastrófico

PRNE01-PRNE021. Raro PRNE03 PRNE01 4. Probable

2. Menor

PRNE01-PRNE02- 5. Casi asi certeza

4. Mayo ayor

 Averías de los PC’s Cliente Cliente

PRNE01

3. Posible

5. Catastrófico

R6

Robo de equipos

PRNE01

5. Cas Casi cert certeeza

5. Cat Catas astr tró ófico ico

R7

Robo de Información (BD)

PRNE01-PRNE02

5. Cas Casi cert certeeza

5. Cat Catas astr tró ófico ico

R8

Infección por virus informáticos

PRNE01-PRNE02

3. Posible

5. Catastrófico

4. Mayor

Descripción

Cabecera

anali zar. Nro Número del riesgo viene de la matriz analizar. Riesgos Riesgos de seguridad de TI identificados, vienen de la matriz Proceso

Código del proceso indicado en el Inventario de Activos de I principalmente se produce el riesgo.

Probabilidad Probabilidad de ocurrencia del riesgo, viene de la matriz a na ana lizar. Impacto Impacto de la pérdida estimada, viene de la matriz analizar. Fecha Fecha de evaluación, viene de la matriz analizar. Tienes dos posibilidades: (1) Valor Cuantitativo resultante de la multiplicación de la (2) Valor Cualitativo resultante obtenido de la matriz de ev Nivel de Riesgos probabilidad (Cuadro de colores). La determinación del nivel del riesgo, ri esgo, se separa de la matriz durante el proceso de análisis puede constituir un factor dist determinarción de la probabilidad y el impacto i mpacto por el miemb Determinación de si el riesgo va a ser tratado o no en el pre seguridad de información. Selección Esta determinación prioriza l os riesgos extremos y dependie cultura organizacional incluye los altos (o algunos de ellos) hasta donde la organización considere conveniente.

Nivel Riesgos

Fecha

Selección

PROBABILIDAD

8/8/2011

Extremo

0. No

1. Raro

8/15/2011

Extremo

0. No

2. Improbable

8/22/2011

Bajo

0. No

8/29/2011

Al t o

0. No

3. Posible 4. Probable

9/5/2011

Al t o

0. No

5. Casi certeza

9/5/2011

Extremo

0. No

9/5/2011

Extremo

0. No

9/15/2011

Extremo

0. No

Criterio Extremo Alto Moderado Bajo

analizar. formación donde lizar.

robabilidad y el impacto. aluación el impacto y la analizar, debido a que orsionante en la ro del equipo de trabajo. ente programa de do del tiempo, recursos y luego los medios y bajos,

IMPACTO

1. Insignificante 2. Menor 3. Moderado 4. Mayor 5. Catastrófico Descripción Requiere de atención inmediata Requiere la atención de las Gerencias Especificar la responsabilidad de las Gerencias Administrado por procedimientos rutinarios

Nro

Riesgos

Proc Proces eso o

Nive Nivell

PRNE03

R1

R2

Extrem

Incendio

Desastres Naturales

PRNE01PRNE02PRNE03

Extrem

PRNE01

R3

R4

Bajo

Avería de Servidor Web

Conexión de red

PRNE01PRNE02PRNE03

Alto

PRNE01 R5

 Averías de de los PC’s PC’s Cliente Cliente

R6

Robo de equipos

Alto PRNE01 Extrem PRNE01PRNE02

R7

Robo de Información (BD)

Extrem

PRNE01PRNE02

R8

Extrem

Infección por virus informáticos

Cabecera Nro Número del riesgo vien Riesgo de seguridad a Riesgos Solamente se toman lo Proceso Número(s) del proceso Nivel Valor del nivel, viene d Eventos de pérdida Listado de la descripció Son todos los controles Los controles salen pri número que le corresp Debe considerarse: Objetivos de controles . No todos los controle (metas de mitigación) . No tiene porqué aplic adecuado para seleccio . Se debe tener en clar seguirán aplicando con

Nivel avance de Establecer el porcentaj c ompletamentee Implementación ya esta completament ¿Documentado?

Un control no solament aprobado e informado

Tratar riesgos Objetivos de Control

Eventos de pérdida

1

Sobrecarga del servidor, Temperatura inadecuada

Falta de instalaciones antisísmicas

2

Saturación de la red, Falta Fal ta de manteniendo, Virus, Lugar no adecuado

3

4 Mal diseño de la red, Instalación inadecuada, Saturación de la red

Los usuarios finales no cumplen con requerimientos necesarios para la configuracion de su pc o nivles ni vles de acceso, como logueos, niveles de acceso y privilegios: Administrador

5

Falta de seguridad como personal o instalaciones de camaras de vigilancia

6

Robo de Contraseña, Interceptación de datos, Mal intención de per

7

a. qu r r ex n ores y distribuirlos en lugares altamente riesgosos. a.2 Elbarorar y Ejecutar un cronograma de revisión de las conexiones para verificar si tienen una adecueda estructura. a.3 Se debe revisar cada año para verificar el cableado. a.4 La directiva de Protestos y Moras debería adquirir un sistema contra incendios A.9.1.4 Diseñar un plan de proteccion contra amenazas externas y ambientales. A.9 Seguridad fí sica sica y ambiental c. er car que se cump a con el procedimiento de instalación. c.2 Las personas encagadas deberían implementar un procedimiento de mantenimiento del servidor. c.3 Revisar y mantener los UPS, los estabilizadores y los supresores de picos. c.4 Implementar medidas de contingencia en caso de . . aecu ar procedimientos de monitoreo y revisión Realizar un diseño de red que cumpla con los A.6.1 La gerencia debe asignar las responsabilidades a cada uno de los usuarios que operen el SI A.9.1.2 tener un control de personal solo autorizado pueda A6.1.2 Se debe tener un control de los roles de cada unos de los usuarios y niveles de acceso A.10.5.1 Realizar Back-up o respaldo de la información y se deben probar regularmente de acuerdo a la olí tica tica

Nivel de avance de implementacion (%)

20%

50%

0%

20%

50%

10%

10%

En este aspecto se tiene un control adecuado ya que se realizan periodicamente un analisis porfundo de los archivos del sistema

8

A.9.2.4 Mantenimiento de los equipos para permitir su continua disponibilidad. A.9.2.6 Realizar un control de todos los ítems de equipo que contengan medios de almacenaje A.10.4.1 Inplementar controles contra software malicioso

Descripción e de la matriz Evaluar. ontrolarse, viene de la matriz evaluar. s que tienen un 1. SI en la columna selección. del mapa de riesgos, viene de la matriz evaluar. e la matriz Evaluar. n de los eventos de pérdida viene de la matriz Anali zar necesarios de implementar para mitigar el riesgo. Se inclu yen los actuales existentes y los propuestos. cipalmente del o los estándares utilizados (por ejemplo el anexo A del ISO 27001 , indicándose el nde en el ISO). necesarios están en el Estándar (Anexo A del ISO 27001). rse el control tal y como lo establece el Estándar (ISO 27001), siempre debe haber un criterio nar el control. (Siempre referenciar la sección del estándar en el que se basa el control). el riesgo residual, es decir el riesgo ri esgo que queda luego de implementado el control, de manera que se roles al mismo riesgos hasta obtener un riesgo residual aceptable para la organización.

del nivel de implementación del control. Nos sirve para determinar si el control existe actualmente y implementado o en proceso, o en su defecto si el control es nuevo (0%). e tiene que estar i mplementado, además tiene que estar completamente documentado, formalmente todos los involucrados

40%

¿Documentado?

0. No

0. No

0. No

0. No

0. No

0. No

0. No

0. No

Acciones Nro

Riesgos

R1

Incendio

R2

Desastres Naturales

R3

Avería de Servidor Web

R4

Conexión de red

R5

 Averías de los PC’s Cliente Cliente

R6

Robo de equipos

Controles a. qu r r ex n ores y s r u r os en lugares altamente riesgosos. a.2 Elbarorar y Ejecutar un cronograma de revisión de las conexiones para verificar si tienen una adecueda estructura. a.3 Se debe revisar cada año para verificar el cableado. a.4 La directiva de Protestos y Moras debería adquirir un sistema contra incendios A.9.1.4 Diseñar un plan de proteccion contra amenazas externas y " A.9.1.4 Diseñar un plan de proteccion contra amenazas externas y ambientales. A.9 Seguridad fí sica sica y ambiental c.1 Verificar que se cumpla con el procedimiento de instalación. c.2 Las personas encagadas deberían implementar un procedimiento de mantenimiento del servidor. c.3 Revisar y mantener los UPS, los estabilizadores y los supresores de picos. c.4 Implementar medidas de contingencia en caso de alta concurrencia de usuarios. A.9.2.2 El equipo debe ser protegido de fallas de energí a y otras interrupciones causadas por fallas en los servicios pblicos A.9.2 del equipo Evitar los . . Seguridad . de amenazas, y para mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la informacin en trnsito. A.6.1 La gerencia debe asignar las responsabilidades a cada uno de los usuarios que operen el SI A.5.1 La gerencia debe documentar las politicas de cada unos de los trabajadores A.9.1.2 tener un control de personal solo autorizado pueda manipilar los equipos. A.9.1.6 Se deben controlar los puntos de acceso como las reas de entrega y descarga y otros puntos donde personas no-autorizadas pueden ingresar a los locales

Acciones/Actividades /Proyectos

R7

R8

Robo de Información (BD)

Infección por virus informáticos

A6.1.2 Se debe tener un control de los roles de cada unos de los usuarios y niveles de acceso A.10.5.1 Realizar Back-up o respaldo de la información y se deben probar regularmente de acuerdo a la polí tica tica A.10.7.1 Gestin de los medios removibles A.11 Control de acceso: Polí tica tica de control de acceso, Gestin de privilegios, Gestin de la clave del usuario A.9.2.4 Mantenimiento de los equipos para permitir su continua disponibilidad. disponibilidad. A.9.2.6 Realizar un control de todos los tems de equipo que contengan medios í tems de almacenaje A.10.4.1 Inplementar controles contra software malicioso

Descripción

Cabecera Nro Número del riesgo viene de la matriz Tratar.

Riesgos Riesgos de seguridad TI a controlarse, viene de la matriz Tratar. Controles Controles necesarios para mitigar el riesgos. Viene de la matriz tratar. (Objetivos de control) Son todas las actividades o procedimientos necesarios para lograr la implementación implementación del Puede incluir mejorar algunos controles ya existentes. Se trata de plasmar un diagrama básico de las actividades tipo Gantt. Puede suponerse q proyecto. Deben redactarse de manera que una acción pueda ser un proyecto específico, o la aplica pueda identificarse adecuadamente adecuadamente su inicio y su fin; aún cuando una acción identificada de repetirse, debe redactarse de manera que pueda determinarse cuando se termina de i Deben ser de responsabilidad atómica, es decir que se debe dividir en acciones hasta que y solamente un responsable. Acciones/Actividades Debe verificarse que las acciones definitidas cubren la implementación de todo el control.  /Proyectos Donde se pueda es conveniente que se base en un marco de buenas prácticas (por ejem Considerando: . No todos las acciones necesarias están en el estándar (NTP ISO/IEC 17799:2007). . No tiene porqué aplicarse literalmente las recomendaciones del estándar (NTP ISO/IEC adaptadas aplicando un adecuado criterio. Muchas veces la utilización del conocimiento previo es mucho más efectivo, es decir si la validación en el software, revisión de los resultados, emisión de una política, capacitación suficiente para lograr el nivel del objetivo de control, ya no es necesario recurrir al están Determina el responsable de la ejecución de la acción, no necesariamente tiene que ser e el riesgo. Es recomendable que se especifique el cargo antes que el nombre, porque las p el tiempo de implementación. Por cada acción solamente debe especificarse un responsa Responsable Debe tenerse bien claro la determinación de responsabilidades, dado que una mala elecci que no se llegue a implementar implementar el control. Por ejemplo una acción de implementar en el debe tener como responsable al Dpto. de TI, dado que el que determina el procedimiento del negocio.

Fecha Inicial Fecha en que se inicia la actividad. Fecha en que debería finalizar la actividad. Generalmente se asignan fechas a lo largo de Fecha Final nueva evaluación todos los años y cuantificar el nivel de avance de la implementaciones Es el riesgo después de implementados los controles. Riesgo Residual La descripción del riesgo residual registrado debe ser entendido y aprobado por el más al PSI.

Responsable

Fecha Inicial

Fecha Final

PER-10: Daniel Ibañez

Jefe de SI

8/8/ 8/8/20 2011 11 8/8/ 8/8/20 2012 12

PER-10: Daniel Ibañez

Jefe de SI

8/15/2 8/15/2011 011 8/15/2 8/15/2012 012

PER-10: Daniel Ibañez

Jefe de SI

8/22/2 8/22/2011 011 8/22/2 8/22/2012 012

PER-10: Daniel Ibañez

Jefe de SI

8/29/2 8/29/2011 011 8/29/2 8/29/2012 012

PER-10: Daniel Ibañez

Jefe de SI 9/5/ 9/5/20 2011 11 9/5/ 9/5/20 2012 12

PER-10: Daniel Ibañez

Jefe de SI 9/5/ 9/5/20 2011 11 9/5/ 9/5/20 2012 12

Riesgo residual

PER-10: Daniel Ibañez

Jefe de SI

9/5/ 9/5/20 2011 11 9/5/ 9/5/20 2012 12

PER-10: Daniel Ibañez

Jefe de SI 9/15/2 9/15/2011 011 9/15/2 9/15/2012 012

objetivo de control del riesgo. ue cada objetivo de control es un ción de una buena práctica, etc., pueda ser que nunca debe dejar mplementar la acción. cada acción le corresponda uno

lo NTP ISO/IEC 17799:2007). 7799:2007), siempre deben ser implementación de un software, al personal clave, etc. es ar (NTP ISO/IEC 17799:2007) l mismo que se ve afectado por ersonas podrían cambiar durante le. ón del responsable podría hacer istema informático un reporte no y diseño del reportes es el área

un año, para poder realizar una e los controles de seguridad. to responsable institucional del

Importante: En las matrices no tiene que incluirse toda la información i nformación de t toda el área organizacional donde se da el proceso. Toda la información que se registra en las matrices la determi negocio. La labor del personal del proyecto es ser un facilitador en la i redacción. Las matrices están elaboradas siguiendo el proceso de la l a me El consenso para los criterios de evaluación deben elaborars llenado de las matrices

da la organización, ni de na el dueño del proceso del entificación, análisis y odología AS/NZS. antes de empezar con el