Professional Documents
Culture Documents
Trabajo de Grado Ingeniera de Sistemas Pontificia Universidad Javeriana Director: Ing. Jeimy J. Cano, PhD. Director
El problema
Progreso de la informtica y las redes = Beneficio vs. Riesgo Necesidad de justificar proyectos de seguridad informtica
Metodologa de Investigacin
1. 2. 3. 4. 5. 6. 7.
Especificacin del Problema Revisin de Literatura Diseo del modelo propuesto Diseo de la Gua Aplicacin Prueba Evaluacin Anlisis de resultados Conclusin de la investigacin
Revisin de Literatura
39 referencias bibliogrficas NIST (National Institute of Standards and Technology) IEEE (Institute of Electrical and Electronics Engineers) AMCIS (Americas Conference on Information Systems) ACSAC (Annual Computer Security Applications Conference) David F. Rico (davidfrico.com) Tesis Doctorales y de Maestra
Caracterizacin de la organizacin
Definir alcance y trazar lmites de la organizacin (conocimiento y contextualizacin)
2.
Identificacin de vulnerabilidades
Debilidades o defectos en la infraestructura de seguridad de una organizacin.
3.
Identificacin de amenazas
Agentes o circunstancias capaces de explotar una o ms vulnerabilidades
Identificador R1
Vulnerabilidad Las instalaciones de la organizacin no cuentan con planta elctrica, UPS, o algn sistema de contingencia para fallas elctricas. El punto de Acceso inalmbrico maneja un protocolo de encripcin dbil (WEP) El centro de cmputo est descentralizado y no tiene un lugar determinado; el rack de conexin est en un lugar de acceso pblico y con facilidad de presentar eventos involuntarios con los equipos que all se encuentran.
R2
R3
Ejemplo
Riesgo R1 R2 R3 NOA 50 * 20 2
* El corte de servicio elctrico, se estima en nmero de horas anuales. La denegacin de servicio del servidor archivos es estima en nmero de horas anuales.
Riesgo R1 R2 R3
NOA: Nmero de Ocurrencias Anuales
NOA 50 10 2
R1
Factor 1. Inactividad organizacional 2. EL costo promedio de informacin perdida a causa de un corte elctrico 3. El costo promedio de reparacin de daos causados a equipos por cada corte elctrico TOTAL
710
* El costo corresponde al impacto causado por una hora sin servicio elctrico.
Factor 1. Valor promedio de informacin perdida 2. Costo promedio de recuperacin de informacin perdida. 3. Costo de daos terceros (clientes) TOTAL
R3
causados
* El costo corresponde al impacto causado por una hora sin acceso al Servidor de Archivos
A partir del rango, se clasifican los riesgos segn el valor del CUI:
Riesgo R1 R2 R3 CUI (US$) 710 600 300 Criticidad CUI ALTO ALTO MEDIO
Riesgo R1 R2 R3
NOA 50 10 2
Recomendaciones de control
Recomendacin de controles para cada uno de los riesgos de la lista priorizada resultante del paso anterior
Ejemplo
R1 Control Compra e instalacin de UPS Crea polticas de mantenimiento TOTAL Costo de control (US$) 13.000 1.000 14.000 R2 Control Implementacin del protocolo WPA (Wi-Fi Protected Access) TOTAL Costo de control (US$) 5.000 5.000
Estimacin para el ao 1
Para cada uno de los riesgos se debe construir una tabla como la siguiente:
Costos total de inversiones en controles
Ao 1 ($)
CRIA Costos de Operacin (Soporte, Mtto.)
Valor positivo de la resta Ahorro con respecto al CRIA (Inversin + Operacin) menos costosa que Impacto Ya hay ROSI Beneficio del ahorro en dinero Ejemplo
Gasto
Valor negativo de la resta Gasto Adicional (Inversin + Operacin) ms costosa que Impacto Pendiente por recuperar Gasto Ejemplo
Riesgo n Inversin Impacto Operacin Gasto o Ahorro Ao 1 (US$) 5.000 6.000 2.000 -1.000
Riesgo n Inversin Impacto Operacin Gasto del Ao Pendiente por recuperar Ahorro Total o Saldo por recuperar
Ao 1 (US$)
Ao 2 (US$)
-
Ahorro Total o Saldo por recuperar = (CRIA Gasto del Ao) Pendiente por recuperar
Riesgo n Inversin Impacto Operacin Gasto o Ahorro Pendiente por recuperar Ahorro Total o Saldo por recuperar
Ao 1 (US$)
Ao 2 (US$)
-
Ao n (US$)
-
Riesgo R9
Inversin Impacto Operacin Gasto o Ahorro Pendiente por recuperar Ahorro Total o Saldo por recuperar
Limitaciones
Determinacin del NOA: slo se tienen en cuenta datos histricos
Se present un caso de riesgo con CRIA nulo, debido a un NOA = 0
Conclusiones
Seguimiento de un discurso metodolgico Utilidad de la pregunta de investigacin Uso de fichas bibliogrficas, fichas de campo y grabaciones No son fcilmente accesibles recursos bibliogrficos precisos y concretos sobre el tema Complejidad de la cuantificacin de los costos de impactos intangibles Viabilidad y aplicabilidad de la gua Aporte al rea de la seguridad informtica Esta investigacin fue presentada en la Americas Conference on Information Systems AMCIS 2006, en diciembre de 2005
Referencias
[BRIN95a] BRINKLEY, Donald L. y SCHELL, Roger R. Information Security: An Integrated Collection of Essays: Essay 1 What is there to worry about? An Introduction to the Computer Security Problem. California, Estados Unidos de Amrica. ACSAC. 1995. Disponible en: http://www.acsac.org/secshelf/book001/01.pdf [BRIN95b] BRINKLEY, Donald L. y SCHELL, Roger R. Information Security: An Integrated Collection of Essays: Essay 2 Concepts and Terminology for Computer Security. California, Estados Unidos de Amrica. ACSAC. 1995. Disponible en: http://www.acsac.org/secshelf/book001/02.pdf [HARR03] HARRIS, Shon. CISSP Certification: All-in-one Exam Guide. Second Edition. Emerville, California, Estados Unidos de Amrica. McGraw Hill. 2004 [MCLE03] MCLEAN, Greg y BROWN, Jason. Determining the ROI in IT security. Toronto, Canad. CICA. 2003. Disponible en: http://www.davidfrico.com/mclean03.htm [NIST95] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12 Washington, Estados Unidos de Amrica. National Institute of Standards and Technology (NIST), 1995. Disponible en: http://www.csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf [STON02] STONEBURNER, Gary; GOGUEN, Alice; FERINGA Alexis. NIST Special Publication 800-30: Risk Management Guide for Information Technology Systems. Gaithersburg, Estados Unidos de Amrica. National Institute of Standards and Technology (NIST), 2002. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
Una gua metodolgica para el clculo del Retorno a la Inversin (ROI) en seguridad informtica: un caso de estudio
Trabajo de Grado Ingeniera de Sistemas Pontificia Universidad Javeriana Director: Ing. Jeimy J. Cano, PhD. Director