Exposicion octave

1. OCTAVE RICARDO ANDRES CARMONA DANER SARMINETO AGUILAR DAVINSON CASTILLO AMAYA AVILA

2. ¿QUE ES? OCTAVE es una metodología de análisis de riesgos desarrollada por el SEI (Software Engineering Institute) operado por la Universidad Carnegie Mellon en el año 2001 ubicada en pemsilvania (Estados Unidos), y su acrónimo significa “Operationally Critical Threat, Asset and Vulnerability Evaluation (es la Metodología de Evaluación de Amenazas Operacionalmente Criticas, Activos y Vulnerabilidades)“. Esta metodología agiliza y optimiza los procesos de evaluación de riesgos de seguridad de la información alineados a los objetivos

3. OBJETIVOS  Desarrollar una perceptiva de seguridad dentro de una organización teniendo en cuenta perspectivas de todos los niveles para asegurarse que las soluciones puedan implementarse con facilidad.  Permitir la compresión del manejo de los riesgos.  Clasifica a los componentes de la empresa en activos y los ordena de acuerdo a su importancia en amenaza y vulnerabilidad

4. PRINCIPALES CARACTERÍSTICAS Estudia la infraestructura de la información Autodirigido Flexible Diferente de los análisis tradicionales de riesgos enfocados a tecnología

5. Ventajas • Es una metodología auto dirigida • Comprende los procesos de análisis y gestión de riesgos. • Involucra a todo el personal de la entidad. • Se considera de las más completas. Desventajas • No toma en cuenta el principio de no repudio de la información como objetivo de seguridad. • Usa muchos documentos anexos. • Requiere de profundos conocimientos técnicos. • No explica en forma clara la definición y determinación de los activos de información

6. ACTIVIDADES DE PREPARACIÓN  Obtener respaldo de la alta dirección: Este es el factor de éxito más crítico. Si los altos directivos apoyan el proceso, las personas de la organización participarán activamente en él.  Seleccionar el equipo de análisis: Los miembros del equipo deben tener las habilidades suficientes para dirigir la evaluación. Ellos también necesitan saber cómo establecer una buena comunicación con los demás integrantes, ya que esto les permitirá aumentar sus conocimientos y habilidades.  Alcance OCTAVE: La evaluación debe incluir importantes zonas de operaciones. Si el alcance es demasiado grande, será difícil de analizar todos los datos. Si es demasiado pequeño, los resultados pueden no ser tan significativos.  Selección de los participantes: Los funcionarios procedentes de múltiples niveles de organización aportarán sus conocimientos. Es importante que estas personas puedan comprender sus zonas de operaciones

7. Fases Fase 1: Visión organizativa Activos Amenazas Practicas Actuales Requerimientos de seguridad Fase 2:Visiòn tecnológica Componentes claves Vulnerabilidades técnicas Fase 3: Estrategia y desarrollo del plan Riesgos Estrategia de protección Planes de mitigación

8. FASE 1: VISIÓN ORGANIZATIVA • Identificar los elementos importantes • Describir las áreas de preocupación • Revisar el alcance de la evaluación Proceso 1: Identificar la información a nivel gerencial • Identificación de los activos importantes • Descripción de las áreas de interés • La identificación de las estrategias actuales de protección y vulnerabilidad • Verificación de los participantes del personal Proceso 2: identificar la información a nivel operativo • Estimula el conocimiento por parte del personal en general y el personal de las TI Proceso 3: Identificar los conocimientos del personal • Consolidación de datos preliminar • Selección de los activos críticos • Definición de los requisitos de seguridad para los activos críticos Proceso 4: Crear perfiles de amenazas

9. FASE 2: VISIÓN TECNOLÓGICA • Se identifican los componentes mas importantes que están relacionados con cada activo critico como firewall, servidores, routers, sistemas de backup y almacenamiento de la información entre otros Proceso 5: Identificar los componentes claves • Cada componente es evaluado mediante diferentes técnicas (herramientas de detección de vulnerabilidades, equipo técnico de inspección) para identificar las debilidades que puede llevar al acceso no autorizado sobre los activos críticos. Proceso 6: Evaluar los componentes seleccionados

10. FASE 3: PLANIFICACIÓN DE LAS MEDIDAS Y REDUCCIÓN DE RIESGOS • Se identifican los riegos y se evalúa el impacto en términos de una escala predefinida (alto, medio, bajo) de acuerdo con los criterios que deben definirse durante las fases anteriores Proceso 7: Realizar una análisis de riesgos • Revisar la información, crear una estrategia de protección, crear planes de mitigación, crear lista de acciones a corto plazo, incluye las vulnerabilidades que requieren corrección inmediata Proceso 8: Desarrollar una estrategia de protección

11. MÉTODOS OCTAVE Monta una visión clara de la organización y sus necesidades de información y seguridad de la misma OCTAVE-S Está adaptado a los limitados medios y restricciones únicas de las pequeñas organizaciones. OCTAVE ALLEGRO Se centra en los activos de la información.

12. MÉTODO OCTAVE-S Fue desarrollado en respuesta a las necesidades de organizaciones más pequeñas alrededor de 100 personas o menos. Cumple con los mismos criterios que el método OCTAVE pero está adaptado a los limitados medios y restricciones únicas de las pequeñas organizaciones. OCTAVE-S utiliza un proceso simplificado y más hojas de trabajo diferentes, pero produce el mismo tipo de resultados Se diferencia de las demás versiones porque:  Requiere un pequeño equipo de 3-5 personas que entienden la amplitud y profundidad de la empresa.  incluye sólo una exploración limitada de la infraestructura informática.

13. GUÍA DE IMPLEMENTACIÓN Proporciona la mayor parte de lo que necesita un equipo de análisis para llevar a cabo una evaluación. Incluye hojas de trabajo y orientaciones para cada actividad, así como una introducción, la guía de preparación, y un ejemplo completo. No se incluye aún la adaptación de orientación a reuniones o de información.

14. MÉTODO OCTAVE ALLEGRO Es una variante simplificada del método de OCTAVE que se centra en los activos de la información. Igual que los anteriores métodos de OCTAVE, Allegro se puede realizar de entrada en un taller de entorno colaborativo, pero también es muy apropiado para las personas que desean realizar la evaluación de riesgo sin una amplia participación de la organización o experiencia.

15. FASES DE OCTAVE ALLEGRO Fase 1: Evaluación de los participantes desarrollando criterios de medición del riesgo con las directrices de la organización: la misión de la organización, los objetivos y los factores críticos de éxito. Fase 2: Cada uno de los participantes crean un perfil de los activos críticos de información, que establece límites claros para el activo, identifica sus necesidades de seguridad, e identifica todos sus contenedores. Fase 3: Los participantes identifican las amenazas a la información de cada activo en el contexto de sus contenedores. Fase 4: Los participantes identifican y analizan los riesgos para los activos de información y empiezan a desarrollar planes de mitigación.

16. PASOS PARA IMPLEMENTAR OCTAVE ALLEGRO 1 • Establecer criterios de medición del riesgo 2 • Desarrollar un perfil de activos de información 3 • Identificar contenedores de activos de información 4 • Identificar áreas de preocupación 5 • Identificar escenarios de amenaza 6 • Identificar riesgos 7 • Analizar riesgos 8 • Seleccionar un enfoque de mitigación

17. GUÍA DE IMPLEMENTACIÓN Contiene todos los recursos necesarios para llevar a cabo una evaluación de seguridad de la información. Incluye paso a paso las instrucciones detalladas para realizar la evaluación, hojas de trabajo que acompaña al documento de la evaluación, materiales de apoyo para la identificación y análisis de riesgos, y un ejemplo de una evaluación efectuada.

18. CERTIFICACIÓN Es un curso intensivo de dos días, ofrecido por la PECB(Profesional evaluation and certification board), el cual permite a los participantes desarrollar las competencias necesarias para dominar los elementos básicos de gestión de riesgos relacionados con los activos de relevancia para la seguridad de la información usando el estándar ISO / IEC 27005:2008 como marco de referencia y la metodología OCTAVE. Durante este curso de capacitación, podrá adquirir las habilidades necesarias para establecer criterios de medición de riesgos, desarrollar un perfil de activos de información, identificar contenedores de activos de información, identificar áreas de preocupación, identificar escenarios de amenazas, identificar riesgos, analizar riesgos y seleccionar enfoques de mitigación.

19. ¿QUIÉN DEBE PARTICIPAR?  Gerentes de riesgos  Las personas responsables de la seguridad de la información o de la conformidad de una organización  Miembros del equipo de la seguridad de la información  Consultores de TI  El personal de organizaciones que implementan o que buscan cumplir con la norma ISO 27001 y que están involucrados en un programa de gestión de riesgos basado en la metodología OCTAVE

20. OBJETIVOS DE APRENDIZAJE  Comprender los conceptos, enfoques, métodos y técnicas que permiten una gestión eficaz del riesgo según la norma ISO 27005  Interpretar los requisitos de la norma ISO 27001 sobre la gestión de riesgos de seguridad de información  Desarrollar las habilidades necesarias para llevar a cabo una evaluación de riesgos con la metodología OCTAVE  Dominar los pasos para llevar a cabo una evaluación de riesgos con la metodología OCTAVE  Comprender la relación entre la gestión de riesgos de seguridad de la información, los controles de seguridad y el cumplimiento de los requisitos de los diferentes participantes de una organización  Adquirir la competencia para implementar, mantener y gestionar de manera continua un programa de gestión de riesgos de seguridad de la información de acuerdo con ISO 27005  Adquirir las competencias para asesorar eficazmente a las organizaciones sobre las mejores prácticas en la gestión de riesgos de seguridad de la información

21. INTRODUCCIÓN AL CASO DE ESTUDIO La empresa integrar soluciones informáticas específicamente diseñadas para las industrias de Alimentos y Bebidas, Hotelería y Comercio en General. Estas soluciones de hardware, software y servicios especializados dan como resultado sistemas escalables de Punto de Venta (POS), Sistemas Administrativos y de Control (Back Office) y Aplicaciones de Consolidación y Administración de Recursos en Oficinas Corporativas (Head Office) Por lo que proporcionan la información para la adecuada toma de decisiones en ámbitos operativos, financieros y de planeación.

22. SITUACIÓN ACTUAL Asociación de Consejeros posee la cuenta de un cliente multinacional de comida rápida el cual tiene contratado el servicio de administración del software de Punto de venta y Help Desk para los mercados de México, Panamá, Costa Rica y Puerto Rico, con lo que suman 450 restaurantes para atender en sus diferentes regiones. Asociación de Consejeros, al percatarse que sus políticas y procesos de los sistemas que administra tienen vulnerabilidades, se dio a la tarea de llevar a cabo un programa de Gestión de Riesgos en el cual el primer punto de la Gestión es la planeación del riesgo, para lo cual se requiere realizar un Análisis de Riesgo con el fin de conocer no solo algunas, sino todas la vulnerabilidades que se tienen así como los riesgos que conllevan y el posible impacto que se tendría.

23. OBJETIVO Para poder minimizar los riesgos y brindar un servicio de mayor calidad a sus clientes al proteger de manera integral su mayor activo que es la información en los aspectos de confiabilidad, integridad y disponibilidad, ya que con ello cada cliente toman decisiones estratégicas. Se utilizará la metodología OCTAVE para determinar y analizar las vulnerabilidades de las políticas y procesos, estudiando, identificando y evaluando los activos de información, activos de software y activos físicos, realizando un análisis de riesgo y sensibilidad.

24. Se realizará un análisis de riesgos sobre los activos de información que se emplean tanto en la administración de los puntos de venta, como en el sistema de gestión de puntos de venta BackOffice y HeadOffice, tanto en aplicativos, repositorios de los datos y hardware. ALCANCE

25. • Para el desarrollo del análisis de riesgo dentro de este proyecto se utilizo la metodología OCTAVE , debido a que se requiere la participación de las personas que se encuentran implicadas de manera directa en la operación de los activos críticas de información. • Con el objetivo de involucrar a todos los niveles de la organización desde los niveles operativos hasta la alta dirección, para que identificar de manera global las vulnerabilidades y amenazas a las que se encuentran expuestas las políticas y proceso de la empresa en los servicios de administración de sistemas de punto de ventas. METODOLOGIA

26. 1. Establecer criterios de medición de riesgos. 2. Desarrollar un perfil de activos de información. 3. Identificar contenedores de activos de información. 4. Identificar áreas de preocupación. 5. Identificar escenarios de amenaza. 6. Identificar riesgos. 7. Analizar riesgos. 8. Seleccionar un enfoque de mitigación. FASES DE OCTAVE

27. • Información: Contiene información acerca de las ventas de cada restaurante, datos de cobro de TC, niveles de inventarios. • Software: El software donde se gestionan las órdenes, el cobro de las mismas, la consolidación de las ventas y los niveles de inventario son las responsabilidades principales de la empresa Asociación de Consejeros. • Físicos: Debido a que la administración de cada restaurante se realiza por medio de una PC en el lugar y es ahí donde se lleva acabo todo lo relacionado con las ventas. Ninguna de estas tareas se realizan a mano. ACTIVOS CRITICOS

28. • Laptops Help Desk no tienen usuarios definidos en Windows, ya que se comparten el equipo • Único usuario y contraseña para personal de Help Desk para ingresar al Back Office. • Único usuario y contraseñas para las bases de datos de los restaurantes en todas las regiones. • No existe antivirus en la PC del BackOffice del restaurante que es donde se realiza la administración contable. • No existe antivirus en las laptops de Help Desk. • Se puede ejecutar en la PC del BackOffice una sesión de SQL. • Que el personal de restaurante tenga a su disposición el generador de claves de soporte para la POS. • Implementación de alguna promoción en POS y que esta afecte su funcionamiento. • No existe seguridad para usuarios de Windows en las POS y se puede acceder a los recursos de dichos equipos RIESGOS

29. • Hacer que los POS sean inoperantes. • Robo de base de datos. • Robo de logs de transacciones de TC. • Manipulación de datos en inventario de los restaurantes. • Manipulación de ventas en POS, por medio de clave de soporte. • Virus o software malicioso Amenazas AMENAZAS

30. Amenaza Área Afectada Resultado de la Amenaza Impacto Robo de logs de transacciones de TC Toda la organización Puede causar una mala imagen para la empresa, además de prestarse a fraudes con este tipo de cobro de TC. Alto Manipulación de ventas en POS, por medio de clave de soporte Operación - Informática – Contabilidad Si el personal del restaurante tiene en su poder la clave de soporte este puede manipular al POS para realizar ventas y cobrar pero dichas ventas no se reflejarían en el balance de la POS. Alto Virus o software malicioso Informática Puede causar perdida de la integridad y disponibilidad de la información. Alto Mala implementación de promociones en POS Operación Puede hacer que el restaurante no pueda cobrar con la POS y tenga que realizar el cobro de manera manual, lo que causa una mala imagen al cliente y mayor tiempo en la preparación de alimentos. Medio Robo de base de datos Informática En este caso ser daría la fuga de información sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de empleado, inventario. Medio Manipulación de datos en inventario de los restaurantes Operación – Contabilidad Esto se puede prestar a realizar robo hormiga del inventario y por lo tanto afecta de manera económica a la empresa Bajo IDENTIFICACION DE AMENAZAS Y VULNERABILIDADES

31. Activo Controles de Seguridad Categorías de Información Riesgo Activos de Información Disponibilidad - Este Activo debe de contar con respaldos periodos - Debe de permanecer disponible para cualquier consulta. Confidencialidad - Se debe de tener un control de acceso para los diferentes niveles jerárquicos del personal Integridad - Se debe de asegurar que la información es completa e integra - Debe de aplicarse políticas de control cambios - Debe de aplicarse un control contra desastres en los repositorios de los restaurantes - Aplicación de protocolos seguros para la transferencia de datos. Prioritaria Alto CARACTERISTICAS CONTROL DE SEGURIDAD

32. Activo Controles de Seguridad Categorías de Información Riesgo Activos de Software Disponibilidad - Creación de base de conocimiento tanto para el personal de operación como el de Help Desk para atender incidentes conocidos. - Garantizar la disponibilidad de aplicativos y bases de datos. Confidencialidad - Restricción de puertos USB tanto en equipos de restaurante como en equipos de Help Desk - Creación de políticas para autenticación de usuario en equipos de Help Desk - Autenticación a BackOffice para cada miembro de Help Desk. - Uso exclusivo de correo electrónico corporativo Integridad - Políticas de depuración de información - Implementación de plan de recuperación de desastres Necesario Alto CARACTERISTICAS CONTROL DE SEGURIDAD

33. Activo Controles de Seguridad Categorías de Información Riesgo Activos Físicos Disponibilidad - Los activos deben de estar siempre disponibles para su uso. - Los activos debe de estar en niveles óptimos de performance. Confiabilidad - Restricción de puertos USB tanto en equipos de restaurante como en equipos de Help Desk Integridad - Creación de procedimiento de respaldos de información - Plan de mantenimiento correctivos y preventivos. Necesario Alto Personal Disponibilidad -Planeación de horarios. - Salarios competitivos. Confiabilidad - Aplicar acuerdos de confiabilidad - Aplicar políticas de Escritorio Limpio - Promover valores de la empresa en el personal Integridad - Capacitación - Políticas de seguridad en los puestos de trabajo - Creación de canales de comunicación con sus superiores Necesario Medio CARACTERISTICAS CONTROL DE SEGURIDAD

34. La metodología OCTAVE sugiere asignar valores esperados a los impactos teniendo en cuenta los valores contenidos en una matriz como ponderación alta, media y baja, según corresponda, como se muestra a continuación. MATRIZ DE PONDERACIÓN

35. Amenaza Riesgo Impacto Ponderació n Riesgo Ponderació n Impacto Ponderació n Robo de logs de transacciones de TC Se pueden cometer fraudes de TC con este tipo de información Causa mala imagen a la empresa y es posible que se incurra en algún tipo de sanción administrativa por parte del banco. Alto Alto 5 Manipulación de ventas en POS, por medio de clave de soporte Que algún miembro del equipo de operaciones realice fraude al marcar en ceros la orden. Fuga de dinero a través de fraude. Bajo Medio 3 Virus o software malicioso Puede causar perdida de la integridad y disponibilidad de la información. Alteración a la información lo que ocasiona que se Alto Bajo 3 RECONOCIMIENTO Y ACEPTACIÓN DEL RIESGO

36. Amenaza Riesgo Impacto Ponderación Riesgo Ponderación Impacto Ponderación Mala implementación de promociones en POS Puede hacer que el restaurante no pueda cobrar con la POS y tenga que realizar el cobro de manera manual Causa una mala imagen al cliente y mayor tiempo en la entrega de las órdenes. Medio Alto 4 Robo de base de datos Perdida de información sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de empleado, inventario. Fuga de información sensible del personal de operación, así como días de entrega de mercancía y promedio de dinero recaudado por día en el restaurante. Medio Medio 3 Manipulación de datos en inventario de los restaurantes Se puede a realizar robo hormiga de materia prima. Afectación económica a la empresa al tener que reabastecer el restaurante. Bajo Bajo 1 RECONOCIMIENTO Y ACEPTACIÓN DEL RIESGO

37. Amenaza Control Estatus Ponderación Actual Robo de logs de transacciones de TC - Restricción uso de Logs. - Cambio de rutas de creación de log, además del nombre del archivo - Cifrado de Logs de transacciones. - Eliminación de historial de Logs cada semana. - Bloqueo de puerto USB para POS, PC de Restaurante y Laptops de Help Desk Por Implementar 5 Manipulación de ventas en POS, por medio de clave de soporte - Creación de un nuevo archivo generador de claves de soporte. - Modificación de la lógica a NewPOS para solicitar claves de soporte - Se distribuirá de manera diaria la clave de soporte a los supervisores de soporte. Implementado 1 Virus o software malicioso - Implementación de un antivirus corporativo para Help Desk - Propuesta para que el cliente compre una licencia corporativa de antivirus para las POS. - Implementar accesos restringido a la configuración de antivirus - Bloqueo de puertos USB tanto en POS, PC del restaurante como en laptops de Help Desk Por Implementar 4 Monitoreo y Evaluación de Controles de Seguridad

38. Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderació n Actual Mala implementación de promociones en POS - Realizar pruebas integrales en un laboratorio cada vez que se tenga que implantar una promoción. - Integración de un comité de validación para realizar pruebas integrales. - Envío de promoción a todas las POS a nivel nacional. - Validación por parte de Help Desk con personal de operación que no exista ninguna falla después de la implementación de la promoción. Implemen tado 2 Robo de base de datos - Restricción de consola de comandos de SQL en el BackOffice. - Creación de usuario y contraseña por cada restaurante para acceso de la instancia de SQL. - Publicación de usuario y contraseñas solo a supervisores, gerente de Help Desk. - Eliminación de Software de base de datos en laptops de Help Desk - Bloqueo de puertos USB tanto en POS, BackOffice y laptops de HelpDesk Por Implemen ar 4

39. Amenaza Control Estatus Ponderación Actual Manipulación de datos en inventario de los restaurantes - Los niveles de abastecimiento deben de ser corroborados diariamente al cierre del día en el restaurante. - Los datos capturados se deben de almacenar tanto en el Back Office como en el Head Office - Reporte centralizado en el Head Office en donde se visualicé el nivel de abastecimiento actual, lo teórico en base a un inventario mensual menos el consumo reportado por las ventas de productos. Aplicado 1

40. REFERENCIAS • http://www.expresionbinaria.com/8-pasos-para-hacer-una-evaluacion-de-riesgos-con-octave-allegro/ • http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGestiC3%B2n+de+Riesgos.pdf

41. GRACIAS

Exposicion octave

Exposicion octave

Recomendados

Más contenido relacionado

Was ist angesagt?

Was ist angesagt?(20)

Similar a Exposicion octave

Similar a Exposicion octave(20)

Último

Último(20)

Exposicion octave