Upload
vuongnhan
View
218
Download
5
Embed Size (px)
Citation preview
Logodelains,tuciónalaqueperteneces
MetodologíaparalaGes,óndeRiesgosenSistemasGestoresdeBasesdeDatos
JohnnyVillalobosM.
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
MetodologíaparalaGes,óndeRiesgosenSistemasGestoresdeBasesdeDatos
• SeguridaddelaInformación• RequerimientosdeSeguridad
• EvaluacióndeRiesgos• RiesgosyFactoresdeRiesgo
• SeleccióneimplantacióndeControles
• LaMetodología• Resultados• Conclusiones
• Referencia
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
SeguridaddelaInformación
Lainformaciónesunrecursoque,comoel
restodelosdemásac,voscomerciales,,enevalorparaunaorganizaciónypor
consiguientedebeserdebidamenteprotegida.[ISO27001].
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
SeguridaddelaInformación
caracterís,cas:
• Confidencialidad:segaran,zaquelainformaciónseaaccesible sólo a aquellas personas autorizadas a teneraccesoaella.
• Integridad:sesalvaguardalaexac,tudytotalidaddelainformaciónylosmétodosdeprocesamiento.
• Disponibilidad: se garan,za que los usuariosautorizados tengan acceso a la información y a losrecursosrelacionadosconellatodavezqueserequiera.
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
RequerimientosdeSeguridad
LagerenciadeTIC,debeiden,ficarsusrequerimientosdeseguridad,para
ellocuentacontresinsumos:
• Evaluaciónderiesgos
• Requisitoslegales
• Requisitosparaelprocesamientodelainformación
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
EvaluacióndeRiesgos
Proceso,enqueseiden,ficanlasamenazasa
losac,vos,seevalúanlasvulnerabilidadesy
probabilidadesdeocurrencia,ysees,mael
impactopotencialdeunafalladeseguridad
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
EvaluacióndeRiesgos
permiteestablecerlasprioridadesparalaadministraciónderiesgoslograndodeestaformalaiden,ficación,evaluación,selecciónyejecucióndemedidasparalatratarlosriesgos
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
RiesgosyFactoresdeRiesgo
Unfactorderiesgo,sepuedeconsiderarcomounevento,incidenteosituaciónquepodríaocurrirenunlugarespecíficoenunintervalode,empopar,cular.Sumanifestación,uobservanciaindicalapresenciadeunriesgo,loprovocaomodifica
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
Seleccióneimplantacióndecontroles
Unaveziden,ficadoslosrequerimientos
deseguridadylosfactoresderiesgosse
debenseleccionareimplementarse
controlesparagaran,zarquelosriesgosseanreducidosaunnivelaceptable.
Loscontrolesdebenseleccionarse
teniendoencuentaelcostode
implementaciónenrelaciónconlosriesgosareducirylaspérdidasque
podríanproducirsedetenerlugaruna
violacióndelaseguridad.
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
LaMetodología
consisteen
• iden,ficar,• analizar,• evaluary• administrar
laestructuraderiesgosdelSGBD
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
LaMetodología
Laaplicacióndelametodología,requiere:
• ladocumentaciónde losprocesosqueseejecutansobreelsistemagestordebasededatos,
• iden,ficarfactoresderiesgosenestosprocesos,
• determinar los controles o ausencia de controlesactualesqueseaplicanalos
• factoresderiesgoiden,ficadosy
• establecerlasrelacionesdeimpacto.
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
LaMetodología
Larelacióndeimpacto,
esunvalorporcentuales,mado,queindicaelpesooimpactoentredosen,dades,esunamedidadelamaterializacióndelriesgocomoconsecuenciadeunaomisión,fallaparcialocompletadeunproceso.
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
LaMetodología
• Larelacióndeimpacto,
Objetivo Riesgo
Las relaciones de impacto se identifican entre
• Objetivo - riesgo
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
LaMetodología
• Larelacióndeimpacto,
Riesgo Proceso
Las relaciones de impacto se identifican entre
• riesgo - procesos
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
LaMetodología
Riesgo
Proceso TI
Proceso TI
Administración de Bases de Datos
Proceso Ti
La relación de impacto,
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
LaMetodología• Larelacióndeimpacto,
Riesgo Proceso Control
Las relaciones de impacto se identifican entre
• riesgos - procesos,
• procesos– controles
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
LAMETODOLOGÍA
Larelacióndeimpacto,
Riesgo Proceso Factores Control
Las relaciones de impacto se identifican entre
• riesgos - procesos,
• procesos – factores y
• factores – controles
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
LAMETODOLOGÍA
Revisión/Informe/Divulgación
deberá realizase evaluaciones periódicas de la efectividad de los controles implementados, la revisión consiste en verificar
la aplicación,
documentación y
evidencia
de que el controles se utilizan, si se detecta una ausencia o falta de aplicación del control se dará una calificación (Ca) de 0 si por el contrario se evidencia la aplicación se otorga una calificación de 1.
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
LAMETODOLOGÍA
Revisión/Informe/Divulgación
Riesgo Revisión 1 Revisión n
Ca
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
EstructuradeRiesgos
Probabilidad de ocurrencia
Impacto sobre el objetivo
Nivel estimado de riesgo
Nivel acepta de riesgo
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
ProcesoscomunesenelSistemaGestordeBasedeDatosclasificadosporáreasdeseguridad
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
Controlesdeprocesosporáreas
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
Variables• Im: Impactodelriesgosobreelobje,vodeláreadeTIC• Pr: Probabilidaddematerializacióndelriesgo• Re: Riesgoes,mado• Ra: Riesgoaceptado• Rr: Riesgoresidual• Rg: Riesgoges,onableoporadministrar• Cc: CoberturadeControl• Ca: Calificacióndelcontrolenlarevisión• Ir:Relacióndeimpactodelriesgoenelobje,vo• Ip: Relacióndeimpactodelprocesoenelriesgo• If: Relacióndeimpactodelfactorenelproceso• Ic: Relacióndeimpactodelcontrolsobreelfactoroproceso• Ec: Efec,vidaddelacoberturadelcontrol• Ca: Calificacióndelcontrol
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
Fórmulas
1. Re=(Ir*Pr) Riesgoes,mado
2. Cc=Re*Ip*If*Ic Coberturadelcontrol
3. Rr=Re–Cc Riesgoresidual
4. Rg=Rr‐Ra Riesgoges,ón
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
Ejemplo1:Unproceso,uncontrol
• Re(4*3)=12 Ip1(100)Ic1(50%)• Rr=12–6• Rr=6• Ra=3,Rg=(6‐3)=3Laadministracióndeberáges,onartrespuntosobreel
nivelderiegoresidual
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
Ejemplo2:Unproceso,dosfactores,doscontroles
• Re(4*3)=12Ip1(100%)(If1(60%)Ic1(70%)),
(If2(40%)Ic2(100%))
• Rr=12–(5.04+4.8)=2.16
• Rr=2.16
• Ra=2,Rg=(2.16–2)=0.16
Laadministracióndeberáges,onar0.16puntosobreelnivelde
riesgoresidual
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
Resultados
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
MatrizdeRelacionesdeImpacto
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
RevisiónperiódicaderiesgosEc = Cc * Ca
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
Revisiónperiódicaderiesgos
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
Ins,tucionesCapacitadasenelusodelaMetodología
• RefinadoraCostarricensedePetroleos• Ins,tutoCostarricensedeElectricidad• CajaCostarricensedelSeguroSocial• ContraloríaGeneraldelaReplública• PoderJudicial• BancoPopularyDesarrolloComunal• BancoNacionaldeCostaRica• MinisteriodeSalud• ComisióndePréstamosparalaEducación• UniversidadNacionaldeCostaRica
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
Conclusiones
• Autoevaluacióninternadeláreadetecnologíasdeinformación• Mejoramientodelcontrolinternoentecnologíasdeinformación• Mejoramientodelosprocesosycontroles• Documentacióndeprocesos• Iden,ficacióndefactoresderiesgo• Administraciónderiesgos• Aplicacióndelametodologíaenotrasáreasdetecnologíasdeinformación• Cumplimientoderegulaciones• Facilidadparalarevisiónyges,ón
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
Referencias
[1]ISO27001EIC2005‐SistemasdeGes,óndeSeguridaddelaInformación‐SGSI‐estándardeseguridad‐normainternacionalen:hlp://www.iso27000.es
[2] ResoluciónR‐CO‐64‐2005deContraloríaGeneraldelaRepúblicadeCostaRicaSEVRIDirectrizparaelestablecimientoyfuncionamientodelsistemaespecíficodevaloraciónderiesgoins,tucionalD‐3‐2005‐CO‐DFOE,ContraloríaGeneraldelaRepúblicadeCostaRica.2005
[3] NormasTécnicasparalaGes,ónyelControldelasTecnologíasdeInformación(N02‐2007‐CO‐DFOE)2007.ContraloríaGeneraldelaRepúblicadeCostaRica.2007
[4] ITGovernanceIns,tute(ITGI),ControlObjec,vesforInforma,onandrelatedTechnology(CobiT®)4.0,2006.
[5] COSOII(ERM),TheCOSO Enterprise Risk Management, IntegratedFrameworkandApplica,onTechniquespublica,ons,2004.en:hlp://www.erm.coso.org
[6] Seguridad 6sicayambiental.BibliotecadeInfraestructuradeTecnologíasdeInformaciónITIL2005“Informa,onTechnologyInfrastructureLibrary,en:hlp://www.i,l.co.uk.
Metodología para la Gestión de Riesgos en Sistemas Gestores de Bases de Datos
MuchasGracias