1. Tratamiento de Riesgode Seguridad Equipo Nº 11 UNFV – FIIS -2011 Universidad Nacional Federico Villarreal

2. Introducción La información es un activo para las organizaciones y en consecuencia requiere una protección adecuada, y debido al actual ambiente creciente esta expuesta a un mayor rango de amenazas sin contar con las debilidades inherentes de la misma.

3. Tratamiento del Riesgo «Proceso de selección e implementación de medidas para modificar el riesgo.» ISO/IEC Guide 73:2002

4. Caso Universidad Nacional de Colombia

7. GESTIÓN DE CONTINUIDAD Y RECUPERACIÓN Objetivo Asegurar el oportuno reestablecimientoy la disponibilidad de los servicios informáticos en la Universidad.

13. Administración del Sistema de Información Personal Objetivo Garantizar la infraestructura adecuada para el procesamiento, almacenamiento y presentación de la información de los procesos de administración de los RRHH, así como la implementación de estrategias para garantizar la calidad de la información.

15. Administración del Sistema de Información Personal

17. Caso:Consultora CMS

18. IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS

19. IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS

20. IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS

23. RIESGOS LOGICOS

24. RIESGOS FISICOS

25. Otros Aspectos

26. IMPLEMENTACIÓN DE LOS CONTROLESSELECCIONADOS ACORDE AL MANUAL DE PROCEDIMIENTOS Política de Seguridad de la Información

27. Teniendo en cuenta que una de las principales causas de los problemas dentro del área de sistemas, es la inadecuada administración de riesgos informáticos, se debe hacer una buena administración de riesgos, basándose en los siguientes aspectos: La evaluación de los riesgos inherentes a los procesos informáticos. La evaluación de las amenazas ó causas de los riesgos. Los controles utilizados para minimizar las amenazas a riesgos. La asignación de responsables a los procesos informáticos. La evaluación de los elementos del análisis de riesgos.

30. CASO

31. Oficina de Control Interno Comisión Central Seguridad Informática RESP. EJECUTIVA RESP. CONTROL Comité de Informática RESP. TÉCNICA Oficina de Seguridad Informática Equipos Interfuncionales Especialistas De Informática RESP. CUMPLIMIENTO Personal en General

32. Esquema Organización para la seguridad SSI SUNAT Relación de Procedimientos de Seguridad Informática Reportes de incidentes de seguridad Metodología de análisis de riesgos Circular Nº 039-2005

33. Relación de Procedimientos más Importantes - SUNAT

34. CIRCULAR N° 039-2005 Materia: Incidentes y vulnerabilidades de seguridad informática que deben ser reportados para identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso, permitiéndonos minimizar los riesgos y/o dar respuesta oportuna frente a posibles ataques. Finalidad: Establecer los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática. Alcance: A todo el personal de la Superintendencia Nacional de Administración Tributaría.

35. Base Legal Resolución de Superintendencia Adjunta Nº 059-2002/SUNAT - "Aprueban Políticas de Seguridad Informática". Reglamento Interno de Trabajo de la SUNAT, aprobado mediante Resolución de Superintendencia 235-2003/SUNAT Circular 036-2004 - "Atención de solicitudes de servicios informáticos-SIGESA" NTP ISO/IEC 17799:2004 EDI. "Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información"

36. Responsabilidades Oficina de Seguridad Informática Recibir, evaluar y dar respuesta a los incidentes y/o vulnerabilidades de seguridad informática reportados por la División de Atención a Usuarios. Implantar mecanismos para el monitoreo, registro y verificación de incidentes y vulnerabilidades de seguridad informática.

37. División de Atención a Usuarios

38. Lineamientos generales Guardar Reserva y confidencialidad No debe ser Intencional Durante el proceso de verificación del incidente y/o vulnerabilidad reportada, el acceso del/los usuario(s) al servicio ó sistema informático involucrado podrá ser suspendido en forma preventiva de acuerdo a su criticidad.

39. CASOS DE INCIDENTES Y VULNERABILIDADES QUE DEBEN REPORTARSE

40. INCIDENTES Personal General Acciones o respuestas no programadas en los sistemas informáticos.

41. INCIDENTES Personal General Instalaciones no autorizadas tanto de hardware como de software. Accesos no Autorizados

42. VULNERABILIDADES Por personal de la INSI, personal de los centros de cómputo de provincias y de los Departamentos de Soporte Informático. Servicios o puertos de acceso disponibles en equipos informáticos, sin autorización Equipos servidores y equipos de telecomunicaciones sin clave de acceso ó con clave por defecto ó clave simple

43. VULNERABILIDADES Por personal de la INSI, personal de los centros de cómputo de provincias y de los Departamentos de Soporte Informático. Conexiones con otras entidades sin la protección del muro de seguridad(firewall). Modem instalados sin autorización en servidores o computadoras de la SUNAT

44. PROCEDIMIENTO PARA REPORTAR LOS INCIDENTES Y VULNERABILIDADES

45. El reporte se enviará directamente a la Oficina de Seguridad Informática a través del Sistema electrónico de gestión documentaria (SIGED) en la opción de registro/otros documentos/reportes de incidentes y/o vulnerabilidades. Si el servicio del SIGED no estuviera disponible, se reportará a través del correo electrónico Institucional, al usuario Seguridad Informática.

46. TIVOLI Tivoli Storage Manager

47. ¿Qué es y para que sirve? Este software de cumplimiento de seguridad de Tivoli ofrece monitoreo automatizado de la actividad del usuario con el panel de control y presentación de informes para ayudar a controlar su cumplimiento de la seguridad.

57. Conclusiones El tratamiento de riesgos deriva de la evaluación de riesgos. La evaluación de riesgos identifica, cuantifica y prioriza riesgos, determinando con el tratamiento los controles necesarios. La seguridad de información se consigue implantando un conjunto adecuado de controles. Los controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario en la organización. Es imposible introducir cambios, si no aseguramos que ellos se producirán. Ello ocurre conformando una relación entre los procesos y las personas. No hay respuesta cuando las personas no tienen interés en participar y tampoco hay resultados, cuando los procesos aseguran que los problemas subsistan.

58. Recomendaciones Antes de considerar el tratamiento de riesgos, la organización debe decidir el criterio para determinar si es que los riesgos son aceptados o no. Para cada uno de los riesgos identificados, se necesita realizar una decisión de tratamiento de riesgo. Para los riesgos identificados, donde la decisión del tratamiento de riesgo ha sido aplicado a controles, estos deben de ser seleccionados e implementados. La gerencia deberá aprobar, publicar y comunicar a todos los empleados, un documento de política de seguridad de información.

59. Fin de la presentación