Seguridad y Auditoria de Sistemas Clase 4
Bienvenida y Organización de la Clase
Introducción a la Clase
- Se da la bienvenida a los participantes, indicando que ya hay suficiente asistencia para comenzar.
- Se informa que la entrega del trabajo parcial se ha diferido para la siguiente semana, sin exposición, pero con revisión grupal sobre matrices.
Planificación de Entregas
- El profesor revisará el documento relacionado con las empresas seleccionadas y otros elementos como FODA antes de su presentación final.
- La próxima clase (semana 5) incluirá la entrega del trabajo parcial y una práctica calificada en aula virtual.
Detalles sobre la Práctica Calificada
Estructura de Evaluación
- La práctica calificada se centrará en riesgos y controles, recomendando a los estudiantes revisar la grabación si no pueden asistir.
- Se aclara que el examen será teórico, con preguntas de verdadero/falso y selección múltiple.
Duración del Examen
- El examen está programado para durar desde las 9 hasta las 10 de la noche; sin embargo, estadísticamente los alumnos terminan entre 15 y 25 minutos.
Gestión de Riesgos: Teoría y Práctica
Revisión Teórica
- Se enfatiza que es necesario tener listas las matrices de activos y riesgos antes de continuar con el contenido teórico sobre gestión de riesgos.
- La clase se enfocará en valorar y tratar riesgos, revisando primero el concepto teórico antes de pasar a las matrices grupales.
Actividades Prácticas
- Los estudiantes deben cerrar sus matrices después de recibir retroalimentación del profesor; esto incluye evaluación y tratamiento.
Análisis de Riesgo: Conceptos Clave
Elementos Fundamentales
- Se recuerda que el análisis previo incluyó identificar medidas de control existentes e introducir conceptos como eficacia (fuerte, débil o moderada).
Cálculo del Nivel de Riesgo
- El nivel de riesgo se determina multiplicando probabilidad por impacto; este cálculo ayuda a tomar decisiones informadas sobre cómo manejar los riesgos identificados.
Valoración del Riesgo en la Gestión de Riesgos
Introducción a la Valoración del Riesgo
- Se revisa el proceso de gestión de riesgos, enfatizando que se ha materializado la teoría en Excel y ahora se procederá a la valoración del riesgo.
- Se menciona que ya se han identificado activos, amenazas y vulnerabilidades como parte de la evaluación de riesgo.
Fases de Evaluación de Riesgo
- La valoración es la última fase en el proceso de evaluación, donde se analiza el apetito por el riesgo y se priorizan los riesgos identificados.
- Se introduce la fase final: tratamiento del riesgo, que incluye identificar medidas de control y responsables.
Proceso de Valoración
- La valoración implica priorizar riesgos basándose en su nivel obtenido; esto se traduce en llenar campos específicos en Excel.
- La metodología permite adaptar las prioridades según las necesidades empresariales; puede ser una escala del uno al tres o más amplia.
Priorización y Respuesta al Riesgo
- Los niveles extremos o altos recibirán prioridad dos, mientras que los medios o bajos tendrán prioridad tres.
- Es crucial entender cómo responder ante un riesgo priorizado; existen seis tipos diferentes de respuestas.
Tipos de Respuestas al Riesgo
Aceptar el Riesgo
- Aceptar significa que el riesgo está dentro del apetito tolerado por la organización; no requiere acción adicional inmediata.
Asumir el Riesgo
- Asumir implica reconocer que no hay capacidad para mitigar un riesgo a un nivel aceptable, pero continuar con las actividades necesarias.
Ejemplo Práctico
- Un ejemplo práctico ilustra cómo una empresa pequeña podría enfrentar riesgos cibernéticos sin recursos suficientes para mitigarlos adecuadamente.
Estrategias de Gestión de Riesgos en Empresas
Tipos de Respuestas ante el Riesgo
- La primera estrategia mencionada es asumir el riesgo, donde las empresas que no tienen capacidades para manejarlo deciden aceptarlo. Esto es más común en empresas pequeñas o medianas.
- La segunda estrategia es evitar el riesgo, que implica dejar de realizar actividades que generan riesgos innecesarios. Por ejemplo, una empresa puede decidir no vender por internet si eso representa un alto riesgo.
- Al evitar la actividad riesgosa, se cierra una unidad de negocio o se deja de ofrecer un producto específico. Esta decisión se basa en la evaluación del impacto y la necesidad del desarrollo.
Mitigación del Riesgo
- La tercera estrategia es mitigar, que es la más común entre las empresas con recursos disponibles. Implica tomar medidas para reducir tanto la probabilidad como el impacto del riesgo.
- Ejemplos de mitigación incluyen invertir en tecnología como antivirus y sistemas de seguridad, así como capacitar al personal para crear conciencia sobre los riesgos.
Ejemplo Práctico: Compra de un Vehículo
- Se presenta un ejemplo práctico sobre la compra de un carro y los riesgos asociados a su posesión, como robos o accidentes. Aquí se discute cómo cada estrategia (asumir, evitar y mitigar) aplica a esta situación.
- En este contexto, asumir el riesgo sería inadecuado debido al alto costo del vehículo; evitarlo tampoco tiene sentido ya que no se puede dejar de usarlo tras haber realizado una inversión significativa.
Medidas Específicas para Mitigar Riesgos
- Para mitigar el riesgo de robo del vehículo, se sugieren varias medidas prácticas: instalar alarmas o GPS y considerar opciones como asegurar el auto o utilizar cocheras seguras.
- Se aclara que algunas medidas preventivas (como tener seguro o GPS) no reducen directamente la probabilidad del robo; sin embargo, otras acciones sí pueden ser efectivas para disminuir esa probabilidad.
Reflexiones Finales sobre Mitigación
- Es importante diferenciar entre reducir la probabilidad y reducir el impacto. Las estrategias deben ser elegidas cuidadosamente según las circunstancias específicas enfrentadas por cada empresa o individuo frente al riesgo.
Estrategias para Mitigar Riesgos en la Seguridad de Vehículos y Data Centers
Reducción de la Probabilidad y el Impacto del Robo de Vehículos
- La seguridad del vehículo puede mejorarse mediante medidas como alarmas, trabagaz y cocheras seguras. Esto ayuda a reducir la probabilidad de robo.
- Es importante trabajar en dos frentes: reducir la probabilidad de que ocurra un robo y minimizar su impacto si sucede.
- El uso de GPS es crucial para recuperar vehículos robados, ya que permite a las autoridades localizarlos rápidamente. También se menciona el papel del seguro en la mitigación del impacto financiero tras un robo.
- Comparar pérdidas: perder $1,000 es diferente a perder $18,000 o $19,000; el seguro ayuda a mitigar estas pérdidas al reponer parte del valor perdido.
- Se deben implementar múltiples acciones para mitigar riesgos, como alquilar cocheras seguras y utilizar tecnología avanzada (llaves inteligentes) para disminuir tanto la probabilidad como el impacto del robo.
Estrategias Generales para Mitigación de Riesgos
- La estrategia general implica tomar medidas proactivas para evitar que los riesgos se materialicen y tener planes en marcha para minimizar sus efectos si ocurren. Esto aplica no solo a vehículos sino también a sistemas tecnológicos y bases de datos.
- Una estrategia adicional es compartir o tercerizar riesgos cuando sea posible; esto puede incluir externalizar servicios como data centers especializados que manejan mejor los riesgos asociados con su mantenimiento.
Tercerización de Data Centers
- Las organizaciones enfrentan grandes riesgos al mantener sus propios data centers debido a problemas como cortocircuitos, inundaciones y fallos técnicos; estos son costosos y difíciles de gestionar internamente.
- Tercerizar un data center permite acceder a infraestructura especializada con certificaciones adecuadas (como ISO 27001), lo cual reduce significativamente los costos operativos por economía de escala.
- Al optar por una nube privada o un proveedor externo, las empresas pueden transferir parte del riesgo asociado al mantenimiento físico e infraestructura tecnológica al proveedor especializado.
Conclusiones sobre Compartición de Riesgos
- La tercerización implica costos pero ofrece tranquilidad al permitir que expertos manejen los riesgos asociados con infraestructuras críticas; esto libera recursos internos para otras prioridades estratégicas dentro de la organización.
- Esta estrategia es común entre muchas empresas modernas que buscan optimizar su gestión del riesgo sin comprometer su capacidad operativa ni financiera.
Oportunidades y Riesgos en la Gestión de Proyectos
Identificación de Oportunidades
- Las oportunidades se consideran riesgos positivos dentro del análisis FODA, permitiendo aumentar la probabilidad o el impacto para aprovechar situaciones favorables en el contexto.
- Un ejemplo de oportunidad es la nueva ley sobre seguridad de la información que obliga a las organizaciones a implementar un Sistema de Gestión de Seguridad de la Información (SGSI), lo cual puede ser visto como una ventaja competitiva.
Estrategias ante Riesgos
- La aplicación de estrategias depende del nivel del riesgo identificado. Es crucial determinar si se acepta, mitiga, comparte o evita el riesgo según su gravedad.
- En caso de un riesgo bajo, se puede optar por aceptar sin realizar inversiones adicionales; sin embargo, para riesgos medios o altos, se deben considerar acciones más proactivas.
Clasificación y Respuesta a los Riesgos
- Los niveles de riesgo determinan las respuestas: aceptar para riesgos bajos; mitigar, compartir o evitar para niveles medios y altos. La decisión debe alinearse con los recursos disponibles y el proceso organizacional.
- Para riesgos muy bajos, la aceptación es suficiente; mientras que para niveles más altos se requiere una evaluación cuidadosa antes de decidir cómo proceder.
Tratamiento de Riesgos
- El tratamiento implica definir medidas específicas para mitigar los riesgos seleccionados. Esto incluye identificar controles aplicables y establecer responsabilidades claras sobre su implementación.
- Se debe calcular el nivel objetivo del riesgo después de aplicar las medidas correctivas. Por ejemplo, al instalar dispositivos adicionales en un vehículo para reducir la probabilidad de robo.
Evaluación del Impacto Objetivo
- El impacto objetivo es el resultado esperado tras aplicar tratamientos al riesgo. Debe reflejar una disminución tanto en probabilidad como en impacto; si no hay cambios significativos, las medidas implementadas son insuficientes.
- La determinación del nivel objetivo es esencial para asegurar que las estrategias adoptadas efectivamente reduzcan los riesgos identificados durante el análisis inicial.
Análisis de Riesgos y Medidas de Control
Evaluación Inicial del Riesgo
- La evaluación inicial incluye un monitoreo constante de la memoria y la ampliación de memoria del servidor como medidas de control existentes.
- Se clasifica el nivel de riesgo como extremo, con una probabilidad de 5 y un impacto de 4. Esto resulta en un riesgo total alto.
Priorización del Riesgo
- La decisión sobre la prioridad se basa en la organización, asignando una prioridad dos a este riesgo alto.
- Las respuestas posibles al riesgo incluyen asumir, aceptar, evitar, mitigar, compartir o incrementar; en este caso se opta por mitigar.
Justificación para Mitigación
- Es crucial tomar medidas ante un riesgo alto; no se puede ignorar su potencial impacto (16%). Se decide mitigar debido a su alta probabilidad e impacto.
- No todos los riesgos son mitigables; algunos pueden requerir aceptación o transferencia del riesgo.
Propuestas para Medidas de Control
- Se deben implementar medidas específicas para disminuir tanto la probabilidad como el impacto del riesgo identificado. Ejemplos incluyen: alta disponibilidad y mantenimiento incrementado de equipos.
- El análisis revela que el principal riesgo es la interrupción del portal debido a errores en el software. Se busca corregir las propuestas iniciales basándose en esta debilidad identificada.
Estrategias para Evitar Saturaciones
- Ideas propuestas para evitar que un servidor se sature incluyen: implementación de balanceadores, limitación de carga en bases de datos SQL y monitoreo continuo existente.
- Se decide implementar tres medidas: balanceador de carga, limitación en la carga de base datos y clasterización para mejorar la resiliencia del sistema.
Implementación y Seguimiento
- Los responsables designados para implementar estas medidas son el jefe de infraestructura; se establece una programación clara con fechas inicio y fin sin complicaciones adicionales.
- Al aplicar las nuevas medidas, se espera que tanto la probabilidad como el impacto disminuyan significativamente; inicialmente eran 4 cada uno (probabilidad e impacto).
¿Cuál es el impacto del riesgo en la tecnología?
Comprendiendo el impacto y la probabilidad
- La discusión se centra en las consecuencias de que un riesgo se materialice, lo que se define como impacto. Se menciona la alta disponibilidad (HA) como una medida para mitigar riesgos.
- Se aclara que muchas veces se confunde la probabilidad con el impacto. Las medidas tecnológicas como balanceadores de carga no abordan directamente el impacto, sino que solo disminuyen la probabilidad de fallos.
- Se enfatiza que implementar tecnologías como balanceadores o clasterización no garantiza que un sistema nunca falle; por lo tanto, el impacto sigue presente.
- La teoría sugiere considerar qué sucedería si ocurriera un fallo, independientemente de las medidas implementadas. Esto resalta la importancia de evaluar siempre el posible impacto.
- Se menciona un caso real donde servicios importantes como Cloudflare han caído, subrayando que incluso los sistemas más robustos pueden experimentar fallos.
Medidas para reducir riesgo
- Al disminuir la probabilidad de un evento riesgoso, se debe calcular cuál es el nuevo nivel de riesgo. Por ejemplo, si se reduce la probabilidad de 4 a 2, esto cambia significativamente el nivel general del riesgo.
- Es importante atacar tanto la probabilidad como el impacto mediante diferentes medidas. No todas las estrategias deben enfocarse en uno solo; algunas pueden abordar ambos aspectos.
- El tratamiento del riesgo implica decidir si las medidas propuestas están orientadas a disminuir la probabilidad o el impacto del mismo.
Estrategias alternativas ante fallos
- Un participante plantea dudas sobre cómo los valores del impacto pueden variar y cómo implementar medidas adicionales puede ayudar a mitigarlo.
- Se discute cómo tener aplicaciones alternativas puede cambiar el enfoque ante una caída del sistema principal. Esto permite mantener acceso a información crítica aunque haya fallas en otros sistemas.
- La implementación de canales alternativos puede reducir efectivamente el nivel de impacto al ofrecer soluciones temporales durante interrupciones.
Identificación y análisis del riesgo
- Se presentan los pasos necesarios para identificar y analizar riesgos: identificación (amenazas y vulnerabilidades), análisis (medidas existentes), valoración (prioridades y respuestas), y control propuesto para determinar niveles objetivos de riesgo.
- La metodología debe seguirse estrictamente para asegurar una evaluación adecuada del riesgo; cada propuesta debe buscar reducir ya sea la probabilidad o el impacto o ambos aspectos simultáneamente.
Conclusiones sobre gestión de riesgos
- Finalmente, se recuerda a los participantes sobre recursos disponibles para profundizar en controles asociados y metodologías específicas relacionadas con gestión de riesgos tecnológicos.
Trabajo Parcial: Instrucciones y Requisitos
Introducción al Trabajo Parcial
- Se presenta el enunciado del trabajo parcial, que es sencillo y no tiene mucha complejidad. Se invita a los estudiantes a revisar el documento para aclarar dudas.
- El enunciado está disponible en el aula virtual y contiene detalles importantes que deben ser leídos detenidamente, especialmente la estructura del informe.
Estructura del Informe
- La primera parte del trabajo debe incluir un análisis de contexto y una evaluación de riesgo centrada en la gestión de activos. Los estudiantes deben identificar información clave como nombre, descripción, rubro y visión de la empresa.
- Es crucial describir cada unidad organizacional, como el área de ventas, con breves descripciones para obtener la puntuación completa.
Objetivos y Procesos
- Los objetivos de la organización deben ser identificados claramente; se espera que se diferencien entre generales y específicos.
- Se requiere un mapa de procesos acompañado por una descripción resumida. No basta con presentar solo el gráfico; se necesita explicar los macroprocesos involucrados.
Análisis FODA
- Se debe realizar un análisis FODA enfocado en la gestión de seguridad de la información. Las amenazas identificadas deben estar relacionadas con ciberseguridad, no con factores económicos o políticos generales.
- Ejemplos de amenazas incluyen incidentes de phishing, robo de datos e incremento en ataques ransomware. Este enfoque es diferente al FODA tradicional.
Identificación de Stakeholders
- Es necesario listar los principales stakeholders relacionados con la seguridad dentro de la empresa, tanto internos (colaboradores, alta dirección) como externos (clientes).
- Cada grupo tiene intereses específicos sobre cómo se maneja su información personal y su protección ante vulnerabilidades.
Selección y Gestión de Procesos
- Los estudiantes deben seleccionar tres procesos relevantes del mapa general encontrado; al menos uno debe ser operativo para cumplir con los requisitos establecidos.
- Finalmente, se solicita una identificación clara de activos junto a criterios para gestionar riesgos basados en un Excel proporcionado previamente por el instructor.
¿Cómo se gestiona el riesgo en la seguridad de la información?
Introducción a la gestión de riesgos
- Se discuten los criterios para la fracción de riesgos, incluyendo matrices y la identificación de activos como parte del trabajo parcial.
- Se establece que los estudiantes pueden entregar su trabajo hasta el miércoles 26 antes de clase, enfatizando la importancia del avance en las matrices para aprender sobre gestión de riesgos.
Progreso en el trabajo final
- El profesor destaca que los estudiantes ya han avanzado significativamente en su trabajo final al completar partes clave como identificación y análisis de riesgos.
- Se anima a los estudiantes a dedicar tiempo esta semana para pulir lo que ya tienen hecho y concentrarse en finalizar sus tareas.
Importancia de la gestión de riesgos
- La gestión de riesgos es fundamental para entender la seguridad de la información; se requiere más tiempo que una sola clase para dominarlo adecuadamente.
- Aprender sobre gestión de riesgos es crucial, ya que constituye el núcleo del manejo efectivo de la seguridad informática.
Conceptos clave en seguridad informática
- Se introducen conceptos importantes: seguridad informática, seguridad de información y ciberseguridad, aclarando que no son sinónimos.
- La seguridad informática se refiere a proteger infraestructuras tecnológicas dentro de una organización (ej. antivirus, backups).
Diferencias entre ciberseguridad y seguridad informativa
- La ciberseguridad protege activos informáticos durante su transporte por internet, mientras que la seguridad informática se enfoca en proteger sistemas internos.
- Ejemplos incluyen protección contra ciberdelincuentes y asegurar transacciones electrónicas; ambos campos buscan salvaguardar activos valiosos pero desde diferentes enfoques.
Gestión integral en seguridad de información
- La gestión no es solo técnica; implica identificar activos y gestionar riesgos mediante un plan adecuado.
- La protección efectiva depende del entendimiento claro entre estos conceptos y cómo aplicarlos dentro del marco organizacional.
¿Qué es un Sistema de Gestión de Seguridad de la Información?
Conceptos Clave
- La implementación de controles en seguridad informática es crucial, y estos son gestionados por la ciberseguridad.
- Un Sistema de Gestión de Seguridad de la Información (SGCI) se basa en políticas que preservan la confidencialidad, integridad y disponibilidad de la información.
- La integridad asegura que la información no sea alterada por canales no formales, manteniéndola completa e inalterable.
- El SGCI sigue el ciclo Deming: planear, hacer, verificar y actuar; donde la planificación es fundamental para establecer el contexto organizacional.
- La mejora continua del SGCI se basa en auditorías que identifican deficiencias o no conformidades.
Normas ISO Relacionadas
- Los estándares ISO son proporcionados por la Organización Internacional de Normalización (ISO), incluyendo normas como ISO 9001 y ISO 14001.
- El ISO 27001 es una norma principal dentro de una familia más amplia relacionada con la gestión de seguridad de la información.
- La versión vigente del ISO 27001 es del año 2022; incluye normas complementarias como el ISO 27002 para controles específicos.
- Existen múltiples normas dentro de esta familia, cada una abordando diferentes aspectos como auditoría y métricas relacionadas con seguridad.
- El ISO 2752 se centra en la gestión de riesgos relacionados con la seguridad de la información.
Implementación Práctica
- La metodología utilizada para gestionar riesgos está alineada con el estándar ISO 27005, que los participantes ya están aplicando a través del llenado de matrices.
- Conocer el proceso del ISO 27005 permite a las organizaciones implementar controles necesarios para cumplir con el estándar principal (ISO 27001).
- Se enfatiza que un estándar es similar a una ley; ambos contienen cláusulas que deben ser cumplidas por las partes involucradas.
¿Qué es la norma ISO 27001 y cómo implementarla?
Estructura de la norma ISO 27001
- La norma ISO 27001 se compone de cláusulas, específicamente desde la cláusula 4 hasta la 10, que deben ser cumplidas obligatoriamente por las empresas que decidan implementarla.
- Además de las cláusulas, hay un anexo A que incluye 93 controles que también son obligatorios para cumplir con el estándar.
- Es fundamental comprender el contexto organizacional y las necesidades de las partes interesadas al implementar esta norma.
Requisitos para la implementación
- Las organizaciones deben definir roles y responsabilidades en seguridad de la información, así como establecer políticas claras y planificar acciones para gestionar riesgos.
- Se requiere dotar a los empleados de competencias adecuadas en seguridad de la información; no cualquier persona puede ocupar el rol de oficial de seguridad.
Monitoreo y mejora continua
- Es necesario realizar auditorías periódicas del sistema y llevar a cabo revisiones por parte de la dirección para asegurar su efectividad.
- La mejora continua es clave, lo que implica tratar no conformidades detectadas durante el monitoreo del sistema.
Grupos de controles necesarios
- Los 93 controles están divididos en cuatro grupos: organizativos, físicos, tecnológicos y relacionados con personas. Cada grupo tiene su propia importancia dentro del SGSI (Sistema de Gestión de Seguridad).
Importancia más allá de lo tecnológico
- La seguridad no se limita a aspectos tecnológicos como firewalls o antivirus; también incluye controles organizativos y humanos esenciales para una gestión efectiva.
- Implementar mecanismos en la selección del personal es crucial para evitar contratar individuos con intenciones maliciosas hacia la empresa.
Importancia de la Concientización en Seguridad de la Información
Proceso Disciplinario y Concientización
- La concientización sobre seguridad es crucial; se debe investigar el dominio de los correos antes de abrirlos. Esto forma parte del proceso disciplinario si se ignoran las capacitaciones.
- Si un empleado hace clic en un correo malicioso, a pesar de haber sido capacitado, puede enfrentar sanciones debido al impacto negativo que esto genera en la organización.
Responsabilidades Post Empleo
- Se deben establecer acuerdos de confidencialidad y no divulgación, especialmente en trabajos remotos. Es esencial definir medidas de seguridad y cómo reportar eventos relacionados con la seguridad.
- Los controles requeridos por las normas no son solo tecnológicos; también incluyen procesos y funciones que deben ser implementados para garantizar la seguridad.
Reflexión Final sobre Seguridad
- La seguridad de la información va más allá de lo tecnológico; es necesario implementar controles humanos para una protección robusta.
- Las personas son identificadas como la mayor debilidad en términos de riesgos de seguridad, lo que resalta la importancia de no descuidar su capacitación y concientización a pesar del uso de tecnologías avanzadas.